GSP499

Présentation

Dans cet atelier, vous allez créer une application Web minimale avec Google App Engine, puis explorer diverses manières d'utiliser Identity-Aware Proxy (IAP) pour restreindre l'accès à l'application et lui fournir les informations d'identité des utilisateurs. Cette application réalise les opérations suivantes :

• Afficher une page de bienvenue
• Accéder aux informations d'identité des utilisateurs fournies par IAP
• Utiliser la validation cryptographique pour prévenir le spoofing des informations d'identité des utilisateurs

Objectifs de l'atelier

• Écrire et déployer une application App Engine simple à l'aide de Python
• Activer et désactiver IAP pour restreindre l'accès à votre application
• Récupérer les informations d'identité des utilisateurs à partir d'IAP dans votre application
• Valider les informations extraites d'IAP par des moyens cryptographiques afin de garantir la protection contre le spoofing

Prérequis

Une connaissance de base du langage de programmation Python améliorera votre expérience d'apprentissage.

Cet atelier porte sur Google App Engine et IAP. Les concepts et les blocs de code non pertinents ne sont pas abordés, et sont seulement fournis afin que vous puissiez les copier et les coller facilement.

Présentation d'Identity-Aware Proxy

L'authentification des utilisateurs de votre application Web est souvent nécessaire et requiert généralement une programmation spéciale dans votre application. Pour les applications Google Cloud, vous pouvez déléguer ces tâches au service Identity-Aware Proxy. Si vous avez seulement besoin de restreindre l'accès aux utilisateurs sélectionnés, aucune modification ne doit être apportée à l'application. Si l'application doit connaître l'identité de l'utilisateur (par exemple pour conserver les préférences utilisateur côté serveur), Identity-Aware Proxy peut fournir cette information avec un code d'application minimal.

Qu'est-ce qu'Identity-Aware Proxy ?

Identity-Aware Proxy (IAP) est un service Google Cloud qui intercepte les requêtes Web envoyées à votre application, authentifie l'utilisateur qui effectue la requête à l'aide de Google Identity Service et transmet la requête seulement si elle provient d'un utilisateur que vous autorisez. De plus, IAP peut modifier les en-têtes de requête pour inclure des informations sur l'utilisateur authentifié.

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).

• Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

   • Le bouton "Ouvrir la console Google Cloud"
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche.

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Le résultat contient une ligne qui déclare YOUR_PROJECT_ID (VOTRE_ID_PROJET) pour cette session :

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

2. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

3. Cliquez sur Autoriser.

4. Vous devez à présent obtenir le résultat suivant :

Résultat :

5. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :

Résultat :

Exemple de résultat :

Télécharger le code

Cliquez sur la zone de la ligne de commande dans Cloud Shell afin de pouvoir saisir des commandes.

Téléchargez le code depuis un bucket de stockage public, puis accédez au dossier du code :

Ce dossier contient un seul sous-dossier pour chaque étape de cet atelier. Vous devrez accéder au dossier approprié pour effectuer chaque étape.

Tâche 1 : Déployer l'application et la protéger avec IAP

Il s'agit d'une application standard App Engine codée en Python qui affiche simplement une page d'accueil "Hello, World". Nous allons déployer et tester cette application, puis en restreindre l'accès à l'aide d'IAP.

Examiner le code de l'application

• À partir du dossier principal du projet, accédez au sous-dossier 1-HelloWorld qui contient le code pour cette étape.

Le code de l'application est contenu dans le fichier main.py. L'application utilise le framework Web Flask pour répondre aux requêtes Web avec le contenu d'un modèle. Ce fichier de modèle est situé dans templates/index.html et, pour cette étape, contient uniquement du code HTML. Un second fichier de modèle contient un exemple de squelette de règles de confidentialité dans templates/privacy.html.

Il existe deux autres fichiers : requirements.txt qui contient la liste complète des bibliothèques Python autres que celles que l'application utilise par défaut, et app.yaml qui indique à Google Cloud qu'il s'agit d'une application Python App Engine.

Vous pouvez lister tous les fichiers contenus dans le shell à l'aide de la commande cat, comme dans l'exemple suivant :

Vous pouvez également lancer l'éditeur de code Cloud Shell en cliquant sur l'icône en forme de crayon située en haut à droite dans la fenêtre Cloud Shell pour examiner le code.

Aucun fichier n'a besoin d'être modifié pour cette étape.

Déployer l'application sur App Engine

1. Mettez à jour l'environnement d'exécution Python vers python39.

2. Déployez l'application dans l'environnement standard App Engine pour Python.

3. Sélectionnez une région .

4. Lorsque vous êtes invité à poursuivre l'opération, saisissez Y pour "oui".

Le déploiement s'effectue en quelques minutes. Un message vous indique que vous pouvez afficher votre application avec gcloud app browse.

5. Saisissez la commande suivante :

6. Cliquez sur le lien affiché pour l'ouvrir dans un nouvel onglet ou ouvrez manuellement un nouvel onglet et copiez-le, si nécessaire. Cette application étant exécutée pour la première fois, elle met quelques secondes à apparaître, le temps qu'une instance Cloud soit lancée. La fenêtre suivante s'ouvre :

Vous pouvez ouvrir cette même URL à partir de n'importe quel ordinateur connecté à Internet pour afficher cette page Web. L'accès n'est pas encore restreint.

Cliquez sur Vérifier ma progression pour valider l'objectif. Déployer une application App Engine

Restreindre l'accès avec IAP

1. Dans la fenêtre de la console Cloud, cliquez sur le menu de navigation  > Sécurité > Identity-Aware Proxy.

2. Cliquez sur ACTIVER L'API.

3. Cliquez sur ACCÉDER À IDENTITY-AWARE PROXY.

4. Cliquez sur CONFIGURER L'ÉCRAN D'AUTORISATION.

5. Sous "Type d'utilisateur", sélectionnez Interne, puis cliquez sur Créer.

6. Renseignez les champs obligatoires à l'aide des valeurs appropriées :

7. Cliquez sur Enregistrer et continuer.

8. Pour Champs d'application, cliquez sur Enregistrer et continuer.

9. Pour Résumé, cliquez sur Revenir au tableau de bord.

Vous serez peut-être invité à créer des identifiants. Pour cet atelier, vous n'avez pas besoin d'effectuer cette opération. Vous pouvez donc simplement fermer cet onglet du navigateur.

10. Dans Cloud Shell, exécutez la commande suivante pour désactiver l'API Flex :

11. Revenez à la page Identity-Aware Proxy et actualisez-la. Vous devez maintenant voir la liste des ressources que vous pouvez protéger.

Cliquez sur le bouton d'activation dans la colonne IAP sur la ligne de l'application App Engine pour activer IAP.

12. Le domaine sera protégé par IAP. Cliquez sur Activer.

Vérifier qu'IAP est activé

1. Ouvrez un onglet du navigateur et accédez à l'URL de votre application. Un écran "Se connecter avec Google" s'ouvre, vous invitant à vous connecter pour accéder à l'application.

2. Connectez-vous avec le compte que vous avez utilisé pour vous connecter à la console. Un écran vous refusant l'accès s'affiche.

Cela signifie que vous avez correctement protégé votre application avec IAP, mais que vous n'avez pas encore indiqué les comptes autorisés à y accéder.

3. Revenez à la page Identity-Aware Proxy de la console, cochez la case Application App Engine et repérez la barre latérale "App Engine" sur la droite.

Chaque adresse e-mail (ou adresse de groupe Google, ou nom de domaine Workspace) à laquelle vous voulez autoriser l'accès doit être ajoutée en tant que membre.

4. Cliquez sur Ajouter un compte principal.

5. Saisissez à nouveau votre adresse e-mail de participant.

6. Ensuite, cliquez sur Cloud IAP, puis sélectionnez le rôle Utilisateur de l'application Web sécurisée par IAP pour l'attribuer à cette adresse.

Vous pouvez saisir de la même manière d'autres adresses ou domaines Workspace.

7. Cliquez sur Enregistrer.

Le message "Règle mise à jour" apparaît au bas de la fenêtre.

Cliquez sur Vérifier ma progression pour valider l'objectif. Activer et ajouter une règle à IAP

Tester l'accès

Revenez dans votre application et rechargez la page. Vous devez maintenant voir votre application Web, car vous vous êtes déjà connecté avec un compte utilisateur que vous avez autorisé.

Si vous voyez apparaître la page "Vous n'avez pas accès", cela signifie qu'IAP n'a pas revérifié votre autorisation. Dans ce cas, effectuez la procédure suivante :

1. Ouvrez votre navigateur Web à l'adresse de la page d'accueil en ajoutant /_gcp_iap/clear_login_cookie à la fin de l'URL, comme dans https://iap-example-999999.appspot.com/_gcp_iap/clear_login_cookie.
2. Un nouvel écran "Se connecter avec Google" s'ouvre, dans lequel votre compte est déjà affiché. Ne cliquez pas sur ce compte. Cliquez sur "Utiliser un autre compte" et ressaisissez vos identifiants.

Cette procédure oblige IAP à revérifier votre accès, et l'écran d'accueil de votre application doit maintenant s'afficher.

Si vous avez accès à un autre navigateur ou si vous pouvez utiliser le mode navigation privée dans votre navigateur, et que vous avez accès à un autre compte Gmail ou Workspace valide, vous pouvez vous servir de ce navigateur pour accéder à la page de votre application et vous connecter avec l'autre compte. Ce compte n'ayant pas été autorisé, l'écran "Vous n'avez pas accès" apparaît à la place de votre application.

Tâche 2 : Accéder aux informations d'identité des utilisateurs

Une fois qu'une application est protégée avec IAP, elle peut utiliser les informations d'identité qu'IAP fournit dans les en-têtes de requête Web qu'elle transmet. Dans cette étape, l'application récupérera l'adresse e-mail de l'utilisateur connecté et un ID utilisateur unique persistant attribué par Google Identity Service à cet utilisateur. Ces données seront affichées pour l'utilisateur dans la page d'accueil.

• Dans Cloud Shell, accédez au dossier pour cette étape :

Déployer l'application sur App Engine

1. Mettez à jour l'environnement d'exécution Python vers python39.

2. Comme le déploiement prend quelques minutes, commencez par déployer l'application dans l'environnement standard App Engine pour Python :

3. Lorsque vous êtes invité à poursuivre l'opération, saisissez Y pour "oui".

Le déploiement devrait s'effectuer en quelques minutes. En attendant, vous pouvez examiner les fichiers de l'application comme décrit ci-dessous.

Cliquez sur Vérifier ma progression pour valider l'objectif. Accéder aux informations d'identité des utilisateurs

Examiner les fichiers de l'application

Ce dossier contient le même ensemble de fichiers que celui affiché dans la précédente application déployée, 1-HelloWorld, mais deux des fichiers ont été modifiés : main.py et templates/index.html. Le programme a été modifié pour récupérer les informations utilisateur qu'IAP fournit dans les en-têtes de requête, et le modèle affiche maintenant ces données.

main.py contient deux lignes qui récupèrent les données d'identité fournies par IAP :

Les en-têtes X-Goog-Authenticated-User- sont fournis par IAP, et les noms ne sont pas sensibles à la casse. Vous pouvez donc les saisir indifféremment en minuscules ou en majuscules. L'instruction render_template inclut maintenant ces valeurs qui peuvent alors être affichées :

Le modèle index.html peut afficher ces valeurs, encadrées par des accolades doubles :

Comme vous pouvez le voir, les données fournies sont précédées d'accounts.google.com, indiquant la provenance des informations. Votre application peut supprimer toutes les informations situées avant le signe deux-points, y compris ce signe, pour extraire les valeurs brutes, selon les besoins.

Tester l'IAP mis à jour

Lorsque vous revenez au déploiement, une fois celui-ci terminé, un message indique que vous pouvez afficher votre application à l'aide de la commande gcloud app browse.

1. Saisissez la commande suivante :

2. Si un nouvel onglet ne s'ouvre pas dans votre navigateur, copiez le lien affiché et ouvrez-le normalement dans un nouvel onglet. Une page semblable à la suivante s'affiche :

Le remplacement de l'ancienne version de votre application par la nouvelle peut prendre quelques minutes. Si besoin, actualisez la page pour afficher une page semblable à celle illustrée ci-dessus.

Désactiver le service IAP

Que se passe-t-il si le service IAP est désactivé ou ignoré d'une quelconque façon (par exemple par d'autres applications s'exécutant sur votre même projet Cloud) ? Désactivez IAP pour le savoir.

1. Dans la fenêtre de la console Cloud, cliquez sur le menu de navigation > Sécurité > Identity-Aware Proxy.
2. Cliquez sur le bouton d'activation d'IAP situé à côté de la ressource "Application App Engine" pour désactiver IAP. Cliquez sur DÉSACTIVER.

Un message d'avertissement vous informe que tous les utilisateurs pourront alors accéder à l'application.

3. Actualisez la page Web de l'application. Vous devez normalement voir la même page, mais sans aucune information utilisateur :

L'application n'étant désormais plus protégée, un utilisateur peut envoyer une requête Web qui semble avoir été transmise via IAP. Par exemple, vous pouvez exécuter la commande curl suivante à partir de Cloud Shell pour réaliser cette opération (remplacez <your-url-here> par l'URL de votre application) :

La page Web sera affichée sur la ligne de commande et sera semblable au résultat suivant :

L'application n'a aucun moyen de savoir qu'IAP a été désactivé ou ignoré. Si cela représente un risque dans certains cas, la validation cryptographique offre une solution.

Tâche 3 : Utiliser la validation cryptographique

S'il existe un risque qu'IAP soit désactivé ou ignoré, votre application peut effectuer une vérification pour s'assurer que les informations d'identité qu'elle reçoit sont valides. Cette validation utilise un troisième en-tête de requête Web ajouté par IAP, appelé X-Goog-IAP-JWT-Assertion. La valeur de cet en-tête est un objet avec signature cryptographique qui contient également les données d'identité de l'utilisateur. Votre application peut valider la signature numérique et utiliser les données fournies dans cet objet pour s'assurer qu'elles sont fournies par IAP sans altération.

La validation de la signature numérique requiert quelques étapes supplémentaires, telles que l'extraction du dernier ensemble de clés publiques Google. Vous pouvez déterminer la nécessité d'ajouter ces étapes supplémentaires à votre application en fonction du risque qu'un utilisateur puisse désactiver ou ignorer IAP, et également du caractère sensible de l'application.

• Dans Cloud Shell, accédez au dossier pour cette étape :

Déployer l'application sur App Engine

1. Mettez à jour l'environnement d'exécution Python vers python39.

2. Déployez l'application dans l'environnement standard App Engine pour Python :

3. Lorsque vous êtes invité à poursuivre l'opération, saisissez Y pour "oui".

Le déploiement devrait s'effectuer en quelques minutes. En attendant, vous pouvez examiner les fichiers de l'application comme décrit ci-dessous.

Cliquez sur Vérifier ma progression pour valider l'objectif. Utiliser la validation cryptographique

Examiner les fichiers de l'application

Ce dossier contient le même ensemble de fichiers que dans 2-HelloUser, avec deux fichiers modifiés et un nouveau fichier. Le nouveau fichier est auth.py, qui fournit une méthode user() pour récupérer et valider les informations d'identité avec signature cryptographique. Les fichiers modifiés sont main.py et templates/index.html, qui utilisent maintenant les résultats de cette méthode. Les en-têtes non validés présents dans le dernier déploiement sont également affichés à des fins de comparaison.

• La nouvelle fonctionnalité réside principalement dans la fonction user() :

assertion représente les données avec signature cryptographique fournies dans l'en-tête de requête spécifié. Le code utilise une bibliothèque pour valider et décoder ces données. La validation utilise les clés publiques fournies par Google pour vérifier les données qu'il signe, et pour connaître le public pour lequel les données ont été préparées (essentiellement le projet Google Cloud en cours de protection). Les fonctions de l'outil d'aide keys() et audience() recueillent et renvoient ces valeurs.

L'objet signé contient deux données dont nous avons besoin : l'adresse e-mail validée et la valeur d'identifiant unique (fournie dans le champ standard sub pour "subscriber" [abonné]).

Cette opération met fin à l'étape 3.

Tester la validation cryptographique

Lorsque le déploiement est prêt, un message s'affiche pour vous indiquer que vous pouvez afficher votre application avec gcloud app browse.

• Saisissez la commande suivante :

Si un nouvel onglet ne s'ouvre pas dans votre navigateur, copiez le lien affiché et ouvrez-le normalement dans un nouvel onglet.

Rappelez-vous que vous avez précédemment désactivé IAP, et que l'application ne fournit donc aucune donnée IAP. Une page semblable à la suivante s'affiche :

Comme précédemment, vous devrez peut-être patienter quelques minutes avant que la nouvelle version soit activée dans la nouvelle version de la page.

IAP étant désactivé, aucune information relative aux utilisateurs n'est disponible. Vous allez maintenant réactiver IAP.

1. Dans la fenêtre de la console Cloud, cliquez sur le menu de navigation > Sécurité > Identity-Aware Proxy.

2. Cliquez sur le bouton d'activation d'IAP situé à côté de la ressource "Application App Engine" pour réactiver IAP. Cliquez sur ACTIVER.

3. Actualisez la page. La page devrait ressembler à l'exemple ci-dessous :

Notez que l'adresse e-mail fournie par la méthode validée ne comporte pas le préfixe accounts.google.com:.

Si IAP est désactivé ou ignoré, les données valides seront manquantes ou non valides, car elles ne peuvent pas avoir de signature valide à moins d'avoir été créées par le détenteur des clés privées de Google.

Félicitations !

Vous avez déployé une application Web App Engine. Pour commencer, vous avez restreint l'accès à l'application uniquement aux utilisateurs que vous avez choisis. Ensuite, vous avez récupéré et affiché l'identité des utilisateurs auxquels IAP a autorisé l'accès à votre application, et vous avez vu comment ces informations pouvaient être spoofées si IAP était désactivé ou ignoré. Enfin, vous avez validé les assertions à signature cryptographique de l'identité de l'utilisateur, qui ne peut pas être spoofée.

Étapes suivantes et informations supplémentaires

• Obtenez plus d'informations sur Cloud Identity-Aware Proxy.
• Découvrez d'autres produits de sécurité Google.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 15 avril 2024

Dernier test de l'atelier : 28 février 2024

Copyright 2025 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.