GSP499

Aperçu

Dans cet atelier, vous allez créer une application Web minimale avec Google App Engine, puis explorer diverses manières d'utiliser Identity-Aware Proxy (IAP) pour restreindre l'accès à l'application et lui fournir les informations d'identité des utilisateurs. Cette application réalise les opérations suivantes :

• Afficher une page de bienvenue
• Accéder aux informations d'identité des utilisateurs fournies par IAP
• Utiliser la validation cryptographique pour prévenir le spoofing des informations d'identité des utilisateurs

Objectifs de l'atelier

• Écrire et déployer une application App Engine simple à l'aide de Python
• Activer et désactiver IAP pour restreindre l'accès à votre application
• Récupérer les informations d'identité des utilisateurs à partir d'IAP dans votre application
• Valider les informations extraites d'IAP par des moyens cryptographiques afin de garantir la protection contre le spoofing

Présentation

L'authentification des utilisateurs de votre application Web est souvent nécessaire et requiert généralement une programmation spéciale dans votre application. Pour les applications Google Cloud, vous pouvez déléguer ces tâches au service Identity-Aware Proxy. Si vous avez seulement besoin de restreindre l'accès aux utilisateurs sélectionnés, aucune modification ne doit être apportée à l'application. Si l'application doit connaître l'identité de l'utilisateur (par exemple pour conserver les préférences utilisateur côté serveur), Identity-Aware Proxy peut fournir cette information avec un code d'application minimal.

Qu'est-ce qu'Identity-Aware Proxy ?

Identity-Aware Proxy (IAP) est un service Google Cloud qui intercepte les requêtes Web envoyées à votre application, authentifie l'utilisateur qui effectue la requête à l'aide de Google Identity Service et transmet la requête seulement si elle provient d'un utilisateur que vous autorisez. De plus, IAP peut modifier les en-têtes de requête pour inclure des informations sur l'utilisateur authentifié.

Prérequis

Une connaissance de base du langage de programmation Python améliorera votre expérience d'apprentissage.

Cet atelier porte sur Google App Engine et IAP. Les concepts et les blocs de codes non pertinents ne sont pas abordés, et sont seulement fournis afin que vous puissiez les copier et les coller facilement.

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;

Remarque : Ouvrez une fenêtre de navigateur en mode incognito/navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le temporaire étudiant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier afin d'éviter que des frais supplémentaires ne vous soient facturés.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

   • Le bouton Ouvrir la console Google
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google. L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue Se connecter. Cliquez sur Suivant.

4. Copiez le mot de passe inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue de bienvenue. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis dans le panneau de gauche. Ne saisissez pas vos identifiants Google Cloud Skills Boost. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

5. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas aux essais offerts.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Vous pouvez afficher le menu qui contient la liste des produits et services Google Cloud en cliquant sur le menu de navigation en haut à gauche.

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Le résultat contient une ligne qui déclare YOUR_PROJECT_ID (VOTRE_ID_PROJET) pour cette session :

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

2. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

3. Cliquez sur Autoriser.

4. Vous devez à présent obtenir le résultat suivant :

Résultat :

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project = <ID_Projet>

Exemple de résultat :

[core] project = qwiklabs-gcp-44776a13dea667a6 Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Télécharger le code

Cliquez sur la zone de la ligne de commande dans Cloud Shell afin de pouvoir saisir des commandes.

Téléchargez le code depuis un bucket de stockage public, puis accédez au dossier du code :

gsutil cp gs://spls/gsp499/user-authentication-with-iap.zip . unzip user-authentication-with-iap.zip cd user-authentication-with-iap

Ce dossier contient un seul sous-dossier pour chaque étape de cet atelier. Vous devrez accéder au dossier approprié pour effectuer chaque étape.

Tâche 1 : Déployer l'application et la protéger avec IAP

Il s'agit d'une application standard App Engine codée en Python qui affiche simplement une page d'accueil "Hello, World". Nous allons déployer et tester cette application, puis en restreindre l'accès à l'aide d'IAP.

Examiner le code de l'application

• À partir du dossier principal du projet, accédez au sous-dossier 1-HelloWorld qui contient le code pour cette étape.

cd 1-HelloWorld

Le code de l'application est contenu dans le fichier main.py. L'application utilise le framework Web Flask pour répondre aux requêtes Web avec le contenu d'un modèle. Ce fichier de modèle est situé dans templates/index.html et, pour cette étape, contient uniquement du code HTML. Un second fichier de modèle contient un exemple de squelette de règles de confidentialité dans templates/privacy.html.

Il existe deux autres fichiers : requirements.txt qui contient la liste complète des bibliothèques Python autres que celles que l'application utilise par défaut, et app.yaml qui indique à Google Cloud qu'il s'agit d'une application Python App Engine.

Vous pouvez lister tous les fichiers contenus dans le shell à l'aide de la commande cat, comme dans l'exemple suivant :

cat main.py

Vous pouvez également lancer l'éditeur de code Cloud Shell en cliquant sur l'icône en forme de crayon située en haut à droite dans la fenêtre Cloud Shell pour examiner le code.

Aucun fichier n'a besoin d'être modifié pour cette étape.

Déployer l'application sur App Engine

1. Mettez à jour l'environnement d'exécution Python vers python39.

sed -i 's/python37/python39/g' app.yaml

2. Déployez l'application dans l'environnement standard App Engine pour Python.

gcloud app deploy

3. Sélectionnez une région .

4. Lorsque vous êtes invité à poursuivre l'opération, saisissez Y pour "oui".

Remarque : Si un message d'erreur concernant la propagation Gaia s'affiche, exécutez de nouveau la commande gcloud app deploy.

Le déploiement s'effectue en quelques minutes. Un message vous indique que vous pouvez afficher votre application avec gcloud app browse.

5. Saisissez la commande suivante :

gcloud app browse

6. Cliquez sur le lien affiché pour l'ouvrir dans un nouvel onglet ou ouvrez manuellement un nouvel onglet et copiez-le, si nécessaire. Cette application étant exécutée pour la première fois, elle met quelques secondes à apparaître, le temps qu'une instance Cloud soit lancée. La fenêtre suivante s'ouvre :

Vous pouvez ouvrir cette même URL à partir de n'importe quel ordinateur connecté à Internet pour afficher cette page Web. L'accès n'est pas encore restreint.

Cliquez sur Vérifier ma progression pour valider l'objectif. Déployer une application App Engine

Restreindre l'accès avec IAP

1. Dans la fenêtre de la console Cloud, cliquez sur le menu de navigation  > Sécurité > Identity-Aware Proxy.

2. Cliquez sur ACTIVER L'API.

3. Cliquez sur ACCÉDER À IDENTITY-AWARE PROXY.

4. Cliquez sur CONFIGURER L'ÉCRAN D'AUTORISATION.

5. Sous "Type d'utilisateur", sélectionnez Interne, puis cliquez sur Créer.

6. Renseignez les champs obligatoires à l'aide des valeurs appropriées :

Champ	Valeur
Nom de l'application	IAP Example
Adresse e-mail d'assistance utilisateur	Sélectionnez votre adresse e-mail d'élève générée pour l'atelier dans le menu déroulant.
Page d'accueil de l'application	L'URL que vous avez utilisée pour afficher votre application. Vous pouvez la retrouver en exécutant à nouveau la commande gcloud app browse dans Cloud Shell.
Lien vers les règles de confidentialité de l'application	Il s'agit du lien vers les règles de confidentialité dans l'application, identique au lien vers la page d'accueil avec /privacy ajouté à la fin.
Domaines autorisés	Cliquez sur + AJOUTER UN DOMAINE et saisissez la partie nom d'hôte de l'URL de l'application, par exemple, iap-example-999999.appspot.com. Vous pouvez la voir dans la barre d'adresse de la page Web Hello World que vous avez ouverte précédemment. N'incluez pas la partie https:// du début ni le caractère / de fin de cette URL.
Coordonnées du développeur	Saisissez au moins une adresse e-mail.

7. Cliquez sur Enregistrer et continuer.

8. Pour Champs d'application, cliquez sur Enregistrer et continuer.

9. Pour Résumé, cliquez sur Revenir au tableau de bord.

Vous serez peut-être invité à créer des identifiants. Pour cet atelier, vous n'avez pas besoin d'effectuer cette opération. Vous pouvez donc simplement fermer cet onglet du navigateur.

10. Dans Cloud Shell, exécutez la commande suivante pour désactiver l'API Flex :

gcloud services disable appengineflex.googleapis.com Remarque : App Engine dispose d'un environnement standard et d'un environnement flexible qui sont optimisés pour différentes architectures d'applications. Actuellement, lorsque vous activez IAP pour App Engine et que l'API Flex est activée, Google Cloud recherche un compte de service Flex. Le projet de l'atelier comprend une multitude d'API déjà activées à des fins pratiques. Toutefois, il s'agit d'une situation exceptionnelle où l'API Flex est activée sans compte de service associé.

11. Revenez à la page Identity-Aware Proxy et actualisez-la. Vous devez maintenant voir une liste de ressources que vous pouvez protéger.

Cliquez sur le bouton d'activation dans la colonne IAP sur la ligne de l'application App Engine pour activer IAP.

12. Le domaine sera protégé par IAP. Cliquez sur Activer.

Vérifier qu'IAP est activé

1. Ouvrez un onglet du navigateur et accédez à l'URL de votre application. Un écran "Se connecter avec Google" s'ouvre, vous invitant à vous connecter pour accéder à l'application.

2. Connectez-vous avec le compte que vous avez utilisé pour vous connecter à la console. Un écran vous refusant l'accès s'affiche.

Cela signifie que vous avez correctement protégé votre application avec IAP, mais que vous n'avez pas encore indiqué les comptes autorisés à y accéder.

3. Revenez à la page Identity-Aware Proxy de la console, cochez la case Application App Engine et repérez la barre latérale "App Engine" sur la droite.

Chaque adresse e-mail (ou adresse de groupe Google, ou nom de domaine Workspace) à laquelle vous voulez autoriser l'accès doit être ajoutée en tant que membre.

4. Cliquez sur Ajouter un compte principal.

5. Saisissez à nouveau votre adresse e-mail d'élève.

6. Ensuite, cliquez sur Cloud IAP, puis sélectionnez le rôle Utilisateur de l'application Web sécurisée par IAP pour l'attribuer à cette adresse.

Vous pouvez saisir de la même manière d'autres adresses ou domaines Workspace.

7. Cliquez sur Enregistrer.

Le message "Règle mise à jour" apparaît au bas de la fenêtre.

Cliquez sur Vérifier ma progression pour valider l'objectif. Activer et ajouter une règle à IAP

Tester l'accès

Revenez dans votre application et rechargez la page. Vous devez maintenant voir votre application Web, car vous vous êtes déjà connecté avec un compte utilisateur que vous avez autorisé.

Si vous voyez apparaître la page "Vous n'avez pas accès", cela signifie qu'IAP n'a pas revérifié votre autorisation. Dans ce cas, effectuez la procédure suivante :

1. Ouvrez votre navigateur Web à l'adresse de la page d'accueil en ajoutant /_gcp_iap/clear_login_cookie à la fin de l'URL, comme dans https://iap-example-999999.appspot.com/_gcp_iap/clear_login_cookie.
2. Un nouvel écran "Se connecter avec Google" s'ouvre, dans lequel votre compte est déjà affiché. Ne cliquez pas sur ce compte. Cliquez sur "Utiliser un autre compte" et ressaisissez vos identifiants.

Remarque : Le changement de rôle prend environ une minute. Si la page continue d'afficher le message "Vous n'avez pas accès" après que vous avez suivi les étapes précédentes, patientez une minute et actualisez la page.

Cette procédure oblige IAP à revérifier votre accès, et l'écran d'accueil de votre application doit maintenant s'afficher.

Si vous avez accès à un autre navigateur ou si vous pouvez utiliser le mode navigation privée dans votre navigateur, et que vous avez accès à un autre compte Gmail ou Workspace valide, vous pouvez vous servir de ce navigateur pour accéder à la page de votre application et vous connecter avec un autre compte. Ce compte n'ayant pas été autorisé, l'écran "Vous n'avez pas accès" apparaît à la place de votre application.

Tâche 2 : Accéder aux informations d'identité des utilisateurs

Une fois qu'une application est protégée avec IAP, elle peut utiliser les informations d'identité qu'IAP fournit dans les en-têtes de requête Web qu'elle transmet. Dans cette étape, l'application récupérera l'adresse e-mail de l'utilisateur connecté et un ID utilisateur unique persistant attribué par Google Identity Service à cet utilisateur. Ces données seront affichées pour l'utilisateur dans la page d'accueil.

• Dans Cloud Shell, accédez au dossier pour cette étape :

cd ~/user-authentication-with-iap/2-HelloUser

Déployer l'application sur App Engine

1. Mettez à jour l'environnement d'exécution Python vers python39.

sed -i 's/python37/python39/g' app.yaml

2. Comme le déploiement prend quelques minutes, commencez par déployer l'application dans l'environnement standard App Engine pour Python :

gcloud app deploy

3. Lorsque vous êtes invité à poursuivre l'opération, saisissez Y pour "oui".

Le déploiement devrait s'effectuer en quelques minutes. En attendant, vous pouvez examiner les fichiers de l'application comme décrit ci-dessous.

Cliquez sur Vérifier ma progression pour valider l'objectif. Accéder aux informations d'identité des utilisateurs

Examiner les fichiers de l'application

Ce dossier contient le même ensemble de fichiers que celui affiché dans la précédente application déployée, 1-HelloWorld, mais deux des fichiers ont été modifiés : main.py et templates/index.html. Le programme a été modifié pour récupérer les informations utilisateur qu'IAP fournit dans les en-têtes de requête, et le modèle affiche maintenant ces données.

main.py contient deux lignes qui récupèrent les données d'identité fournies par IAP :

user_email = request.headers.get('X-Goog-Authenticated-User-Email') user_id = request.headers.get('X-Goog-Authenticated-User-ID')

Les en-têtes X-Goog-Authenticated-User- sont fournis par IAP, et les noms ne sont pas sensibles à la casse. Vous pouvez donc les saisir indifféremment en minuscules ou en majuscules. L'instruction render_template inclut maintenant ces valeurs qui peuvent alors être affichées :

page = render_template('index.html', email=user_email, id=user_id)

Le modèle index.html peut afficher ces valeurs, encadrées par des accolades doubles :

Hello, {{ email }}! Your persistent ID is {{ id }}.

Comme vous pouvez le voir, les données fournies sont précédées d'accounts.google.com, indiquant la provenance des informations. Votre application peut supprimer toutes les informations situées avant le deux-points, y compris le deux-points, pour extraire les valeurs brutes, selon les besoins.

Tester l'IAP mis à jour

Lorsque vous revenez au déploiement, une fois celui-ci terminé, un message indique que vous pouvez afficher votre application à l'aide de la commande gcloud app browse.

1. Saisissez la commande suivante :

gcloud app browse

2. Si un nouvel onglet ne s'ouvre pas dans votre navigateur, copiez le lien affiché et ouvrez-le normalement dans un nouvel onglet. Une page semblable à la suivante s'affiche :

Le remplacement de l'ancienne version de votre application par la nouvelle peut prendre quelques minutes. Si besoin, actualisez la page pour afficher une page semblable à celle illustrée ci-dessus.

Désactiver le service IAP

Que se passe-t-il si le service IAP est désactivé ou ignoré d'une quelconque façon (par exemple par d'autres applications s'exécutant sur votre même projet Cloud) ? Désactivez IAP pour le savoir.

1. Dans la fenêtre de la console Cloud, cliquez sur le menu de navigation > Sécurité > Identity-Aware Proxy.
2. Cliquez sur le bouton d'activation d'IAP situé à côté de la ressource "Application App Engine" pour désactiver IAP. Cliquez sur DÉSACTIVER.

Un message d'avertissement vous informe que tous les utilisateurs pourront alors accéder à l'application.

3. Actualisez la page Web de l'application. Vous devez normalement voir la même page, mais sans aucune information utilisateur :

L'application n'étant désormais plus protégée, un utilisateur peut envoyer une requête Web qui semble avoir été transmise via IAP. Par exemple, vous pouvez exécuter la commande curl suivante à partir de Cloud Shell pour réaliser cette opération (remplacez <your-url-here> par l'URL de votre application) :

curl -X GET <your-url-here> -H "X-Goog-Authenticated-User-Email: totally fake email"

La page Web sera affichée sur la ligne de commande et sera semblable au résultat suivant :

<!doctype html> <html> <head> <title>IAP Hello User</title> </head> <body> <h1>Hello World</h1> <p> Hello, totally fake email! Your persistent ID is None. </p> <p> This is step 2 of the User Authentication with IAP</em> codelab. </p> </body> </html>

L'application n'a aucun moyen de savoir qu'IAP a été désactivé ou ignoré. Si cela représente un risque dans certains cas, la validation cryptographique offre une solution.

Tâche 3 : Utiliser la validation cryptographique

S'il existe un risque qu'IAP soit désactivé ou ignoré, votre application peut effectuer une vérification pour s'assurer que les informations d'identité qu'elle reçoit sont valides. Cette validation utilise un troisième en-tête de requête Web ajouté par IAP, appelé X-Goog-IAP-JWT-Assertion. La valeur de cet en-tête est un objet avec signature cryptographique qui contient également les données d'identité de l'utilisateur. Votre application peut valider la signature numérique et utiliser les données fournies dans cet objet pour s'assurer qu'elles sont fournies par IAP sans altération.

La validation de la signature numérique requiert quelques étapes supplémentaires, telles que l'extraction du dernier ensemble de clés publiques Google. Vous pouvez déterminer la nécessité d'ajouter ces étapes supplémentaires à votre application en fonction du risque qu'un utilisateur puisse désactiver ou ignorer IAP, et également du caractère sensible de l'application.

• Dans Cloud Shell, accédez au dossier pour cette étape :

cd ~/user-authentication-with-iap/3-HelloVerifiedUser

Déployer l'application sur App Engine

1. Mettez à jour l'environnement d'exécution Python vers python39.

sed -i 's/python37/python39/g' app.yaml

2. Déployez l'application dans l'environnement standard App Engine pour Python :

gcloud app deploy

3. Lorsque vous êtes invité à poursuivre l'opération, saisissez Y pour "oui".

Le déploiement devrait s'effectuer en quelques minutes. En attendant, vous pouvez examiner les fichiers de l'application comme décrit ci-dessous.

Cliquez sur Vérifier ma progression pour valider l'objectif. Utiliser la validation cryptographique

Examiner les fichiers de l'application

Ce dossier contient le même ensemble de fichiers que dans 2-HelloUser, avec deux fichiers modifiés et un nouveau fichier. Le nouveau fichier est auth.py, qui fournit une méthode user() pour récupérer et valider les informations d'identité avec signature cryptographique. Les fichiers modifiés sont main.py et templates/index.html, qui utilisent maintenant les résultats de cette méthode. Les en-têtes non validés présents dans le dernier déploiement sont également affichés à des fins de comparaison.

• La nouvelle fonctionnalité réside principalement dans la fonction user() :

def user(): assertion = request.headers.get('X-Goog-IAP-JWT-Assertion') if assertion is None: return None, None info = jwt.decode( assertion, keys(), algorithms=['ES256'], audience=audience() ) return info['email'], info['sub']

assertion représente les données avec signature cryptographique fournies dans l'en-tête de requête spécifié. Le code utilise une bibliothèque pour valider et décoder ces données. La validation utilise les clés publiques fournies par Google pour vérifier les données qu'il signe, et pour connaître le public pour lequel les données ont été préparées (essentiellement le projet Google Cloud en cours de protection). Les fonctions de l'outil d'aide keys() et audience() recueillent et renvoient ces valeurs.

L'objet signé contient deux données dont nous avons besoin : l'adresse e-mail validée et la valeur d'identifiant unique (fournie dans le champ standard sub pour "subscriber" [abonné]).

Cette opération met fin à l'étape 3.

Tester la validation cryptographique

Lorsque le déploiement est prêt, un message s'affiche pour vous indiquer que vous pouvez afficher votre application avec gcloud app browse.

• Saisissez la commande suivante :

gcloud app browse

Si un nouvel onglet ne s'ouvre pas dans votre navigateur, copiez le lien affiché et ouvrez-le normalement dans un nouvel onglet.

Rappelez-vous que vous avez précédemment désactivé IAP, et que l'application ne fournit donc aucune donnée IAP. Une page semblable à la suivante s'affiche :

Comme précédemment, vous devrez peut-être patienter quelques minutes avant que la nouvelle version soit activée dans la nouvelle version de la page.

IAP étant désactivé, aucune information relative aux utilisateurs n'est disponible. Vous allez maintenant réactiver IAP.

1. Dans la fenêtre de la console Cloud, cliquez sur le menu de navigation > Sécurité > Identity-Aware Proxy.

2. Cliquez sur le bouton d'activation d'IAP situé à côté de la ressource "Application App Engine" pour réactiver IAP. Cliquez sur ACTIVER.

3. Actualisez la page. La page devrait ressembler à l'exemple ci-dessous :

Notez que l'adresse e-mail fournie par la méthode validée ne comporte pas le préfixe accounts.google.com:.

Si IAP est désactivé ou ignoré, les données valides seront manquantes ou non valides, car elles ne peuvent pas avoir de signature valide à moins d'avoir été créées par le détenteur des clés privées de Google.

Félicitations !

Vous avez déployé une application Web App Engine. Pour commencer, vous avez restreint l'accès à l'application uniquement aux utilisateurs que vous avez choisis. Ensuite, vous avez récupéré et affiché l'identité des utilisateurs auxquels IAP a autorisé l'accès à votre application, et vous avez vu comment ces informations pouvaient être spoofées si IAP était désactivé ou ignoré. Enfin, vous avez validé les assertions à signature cryptographique de l'identité de l'utilisateur, qui ne peut pas être spoofée.

Terminer votre quête

Cet atelier d'auto-formation fait partie des quêtes Security & Identity Fundamentals et Networking Fundamentals in Google Cloud. Une quête est une série d'ateliers associés qui constituent un parcours de formation. Si vous terminez une quête, vous obtenez un badge attestant de votre réussite. Vous pouvez rendre publics les badges que vous recevez et ajouter leur lien dans votre CV en ligne ou sur vos comptes de réseaux sociaux. Inscrivez-vous à n'importe quelle quête contenant cet atelier pour obtenir immédiatement les crédits associés. Découvrez toutes les quêtes disponibles dans le catalogue Google Cloud Skills Boost.

Atelier suivant

Continuez sur votre lancée en suivant l'atelier Premiers pas avec Cloud KMS ou un autre atelier Google Cloud Skills Boost, par exemple :

• Développement d'applications : ajouter une authentification utilisateur à votre application – Python

Étapes suivantes et informations supplémentaires

• Obtenez plus d'informations sur Cloud Identity-Aware Proxy.
• Découvrez d'autres produits de sécurité Google.

Licence

Ce document est publié sous une licence Creative Commons Attribution 2.0 Generic.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 28 février 2024

Dernier test de l'atelier : 28 février 2024

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.