GSP499

Ringkasan

Di lab ini, Anda akan membangun aplikasi web sederhana dengan Google App Engine, lalu mempelajari berbagai cara dalam menggunakan Identity-Aware Proxy (IAP) untuk membatasi akses ke aplikasi dan menyediakan informasi identitas pengguna ke aplikasi tersebut. Aplikasi Anda akan:

• Menampilkan halaman sambutan
• Mengakses informasi identitas pengguna yang disediakan oleh IAP
• Menggunakan verifikasi kriptografi untuk mencegah spoofing informasi identitas pengguna

Yang akan Anda pelajari

• Cara menulis dan men-deploy aplikasi App Engine sederhana menggunakan Python
• Cara mengaktifkan dan menonaktifkan IAP untuk membatasi akses ke aplikasi Anda
• Cara mendapatkan informasi identitas pengguna dari IAP ke dalam aplikasi Anda
• Cara memverifikasi informasi dari IAP secara kriptografis untuk berlindung dari spoofing

Prasyarat

Pengetahuan dasar terkait bahasa pemrograman Python akan meningkatkan pengalaman belajar Anda.

Lab ini berfokus pada Google App Engine dan IAP. Konsep dan blok kode yang tidak relevan akan dibahas sekilas dan disediakan, jadi Anda cukup menyalin dan menempelkannya.

Pengantar Identity-Aware Proxy

Mengautentikasi pengguna aplikasi web sering kali diperlukan, dan biasanya memerlukan pemrograman khusus di aplikasi Anda. Untuk aplikasi Google Cloud, Anda dapat menyerahkan tugas tersebut pada layanan Identity-Aware Proxy. Jika Anda hanya perlu membatasi akses ke pengguna tertentu, perubahan pada aplikasi tidak diperlukan. Jika aplikasi perlu mengetahui identitas pengguna (seperti untuk menyimpan preferensi pengguna di sisi server), Identity-Aware Proxy dapat menyediakannya dengan sedikit kode aplikasi.

Apa yang dimaksud dengan Identity-Aware Proxy?

Identity-Aware Proxy (IAP) adalah layanan Google Cloud yang menangkap permintaan web yang dikirim ke aplikasi Anda, mengautentikasi pengguna yang membuat permintaan tersebut menggunakan Google Identity Service, dan hanya mengizinkan permintaan tersebut jika berasal dari pengguna yang diberi otorisasi. Selain itu, layanan ini dapat mengubah header permintaan untuk menyertakan informasi tentang pengguna yang diautentikasi.

Penyiapan dan persyaratan

Sebelum mengklik tombol Start Lab

Baca petunjuk ini. Lab memiliki timer dan Anda tidak dapat menjedanya. Timer yang dimulai saat Anda mengklik Start Lab akan menampilkan durasi ketersediaan resource Google Cloud untuk Anda.

Lab interaktif ini dapat Anda gunakan untuk melakukan aktivitas lab di lingkungan cloud sungguhan, bukan di lingkungan demo atau simulasi. Untuk mengakses lab ini, Anda akan diberi kredensial baru yang bersifat sementara dan dapat digunakan untuk login serta mengakses Google Cloud selama durasi lab.

Untuk menyelesaikan lab ini, Anda memerlukan:

• Akses ke browser internet standar (disarankan browser Chrome).

• Waktu untuk menyelesaikan lab. Ingat, setelah dimulai, lab tidak dapat dijeda.

Cara memulai lab dan login ke Google Cloud Console

1. Klik tombol Start Lab. Jika Anda perlu membayar lab, dialog akan terbuka untuk memilih metode pembayaran. Di sebelah kiri ada panel Lab Details yang berisi hal-hal berikut:

   • Tombol Open Google Cloud console
   • Waktu tersisa
   • Kredensial sementara yang harus Anda gunakan untuk lab ini
   • Informasi lain, jika diperlukan, untuk menyelesaikan lab ini

2. Klik Open Google Cloud console (atau klik kanan dan pilih Open Link in Incognito Window jika Anda menjalankan browser Chrome).

   Lab akan menjalankan resource, lalu membuka tab lain yang menampilkan halaman Sign in.

   Tips: Atur tab di jendela terpisah secara berdampingan.

   Catatan: Jika Anda melihat dialog Choose an account, klik Use Another Account.

3. Jika perlu, salin Username di bawah dan tempel ke dialog Sign in.

   {{{user_0.username | "Username"}}}

   Anda juga dapat menemukan Username di panel Lab Details.

4. Klik Next.

5. Salin Password di bawah dan tempel ke dialog Welcome.

   {{{user_0.password | "Password"}}}

   Anda juga dapat menemukan Password di panel Lab Details.

6. Klik Next.

   Penting: Anda harus menggunakan kredensial yang diberikan lab. Jangan menggunakan kredensial akun Google Cloud Anda. Catatan: Menggunakan akun Google Cloud sendiri untuk lab ini dapat dikenai biaya tambahan.

7. Klik halaman berikutnya:

   • Setujui persyaratan dan ketentuan.
   • Jangan tambahkan opsi pemulihan atau autentikasi 2 langkah (karena ini akun sementara).
   • Jangan mendaftar uji coba gratis.

Setelah beberapa saat, Konsol Google Cloud akan terbuka di tab ini.

Catatan: Untuk mengakses produk dan layanan Google Cloud, klik Navigation menu atau ketik nama layanan atau produk di kolom Search.

Mengaktifkan Cloud Shell

Cloud Shell adalah mesin virtual yang dilengkapi dengan berbagai alat pengembangan. Mesin virtual ini menawarkan direktori beranda persisten berkapasitas 5 GB dan berjalan di Google Cloud. Cloud Shell menyediakan akses command-line untuk resource Google Cloud Anda.

1. Klik Activate Cloud Shell di bagian atas konsol Google Cloud.

Setelah terhubung, Anda sudah diautentikasi, dan project ditetapkan ke PROJECT_ID Anda. Output berisi baris yang mendeklarasikan PROJECT_ID untuk sesi ini:

gcloud adalah alat command line untuk Google Cloud. Alat ini sudah terinstal di Cloud Shell dan mendukung pelengkapan command line.

2. (Opsional) Anda dapat menampilkan daftar nama akun yang aktif dengan perintah ini:

3. Klik Authorize.

4. Output Anda sekarang akan terlihat seperti ini:

Output:

5. (Opsional) Anda dapat menampilkan daftar project ID dengan perintah ini:

Output:

Contoh output:

Mendownload kode

Klik bidang command line di Cloud Shell untuk mengetikkan perintah.

Download kode dari bucket penyimpanan publik lalu ubah ke folder kode:

Folder ini berisi satu subfolder untuk tiap langkah di lab ini. Anda akan mengubahnya ke folder yang benar di tiap langkahnya.

Tugas 1. Men-deploy aplikasi dan melindunginya dengan IAP

Ini adalah aplikasi Standar App Engine yang ditulis dalam bahasa Python dan hanya menampilkan halaman sambutan “Halo Dunia”. Kami akan men-deploy dan mengujinya, lalu membatasi aksesnya menggunakan IAP.

Meninjau kode aplikasi

• Ubah dari folder project utama ke subfolder 1-HelloWorld yang berisi kode untuk langkah ini.

Kode aplikasi berada di file main.py. Kode ini menggunakan framework web Flask untuk merespons permintaan web dengan konten template. File template tersebut berada di templates/index.html, dan untuk langkah ini, hanya berisi HTML biasa. File template kedua berisi contoh kerangka kebijakan privasi di templates/privacy.html.

Ada dua file lainnya: requirements.txt berisi daftar dari semua library Python non-default yang digunakan oleh aplikasi, dan app.yaml yang memberi tahu Google Cloud bahwa ini adalah aplikasi App Engine yang ditulis menggunakan Python.

Anda dapat mencantumkan tiap file dalam shell menggunakan perintah cat, seperti berikut:

Atau Anda dapat membuka editor kode Cloud Shell dengan mengklik ikon Pensil di sisi kanan atas jendela Cloud Shell, dan memeriksa kode tersebut.

Anda tidak perlu mengubah file apa pun untuk langkah ini.

Men-deploy ke App Engine

1. Update runtime python ke python39.

2. Deploy aplikasi ke lingkungan Standar App Engine untuk Python.

3. Pilih region .

4. Ketika ditanya apakah Anda ingin melanjutkan, tekan Y untuk ya.

Dalam hitungan menit, deployment akan selesai. Anda akan melihat pesan yang menyatakan bahwa Anda dapat melihat aplikasi dengan perintah gcloud app browse.

5. Masukkan perintah tersebut:

6. Klik link yang ditampilkan untuk membukanya di tab baru, atau salin link ke tab baru yang dibuka secara manual, jika perlu. Karena ini adalah pertama kalinya aplikasi dijalankan, perlu waktu beberapa detik hingga aplikasi muncul saat instance cloud dimulai, dan Anda akan melihat jendela berikut.

Anda dapat membuka URL yang sama dari komputer mana pun yang terhubung ke internet untuk melihat halaman web tersebut. Akses belum dibatasi.

Klik Check my progress untuk memverifikasi tujuan. Men-deploy aplikasi App Engine

Membatasi akses dengan IAP

1. Di jendela konsol cloud, klik Navigation menu > Security > Identity-Aware Proxy.

2. Klik ENABLE API.

3. Klik GO TO IDENTITY-AWARE PROXY.

4. Klik CONFIGURE CONSENT SCREEN.

5. Pilih Internal di bagian User Type, lalu klik Create.

6. Lengkapi bagian kosong yang diperlukan dengan nilai yang sesuai:

7. Klik Save and Continue.

8. Untuk Scopes, klik Save and Continue.

9. Untuk Summary, klik Back to Dashboard.

Anda mungkin akan diminta untuk membuat kredensial. Anda tidak perlu membuat kredensial untuk lab ini, jadi tab browser ini bisa langsung ditutup.

10. Di Cloud Shell, jalankan perintah ini untuk menonaktifkan Flex API:

11. Kembali ke halaman Identity-Aware Proxy, lalu muat ulang halaman. Sekarang Anda akan melihat daftar resource yang dapat dilindungi.

Klik tombol di kolom IAP pada baris App Engine app untuk mengaktifkan IAP.

12. Domain akan dilindungi oleh IAP. Klik Turn On.

Menguji apakah IAP telah diaktifkan atau belum

1. Buka tab browser lalu klik URL aplikasi Anda. Layar "Login dengan Google" akan terbuka dan mengharuskan Anda login untuk mengakses aplikasi.

2. Login dengan akun yang Anda gunakan untuk masuk ke konsol. Anda akan melihat layar yang menolak upaya akses tersebut.

Anda telah berhasil melindungi aplikasi dengan IAP, tetapi Anda belum memberi tahu IAP terkait akun mana yang akan diberi akses.

3. Kembali ke halaman Identity-Aware Proxy pada konsol, pilih kotak centang di samping App Engine app, lalu lihat sidebar App Engine di sebelah kanan.

Tiap alamat email (atau alamat Grup Google, atau nama domain Workspace) yang akan diberi akses perlu ditambahkan sebagai Anggota.

4. Klik Add Principal.

5. Masukkan alamat email Student.

6. Lalu, pilih peran Cloud IAP > IAP-Secured Web App User untuk ditetapkan ke alamat tersebut.

Anda dapat memasukkan lebih banyak alamat atau domain Workspace dengan cara yang sama.

7. Klik Save.

Pesan "Policy Updated" akan muncul di bagian bawah jendela.

Klik Check my progress untuk memverifikasi tujuan. Mengaktifkan dan menambahkan kebijakan ke IAP

Menguji akses

Kembali ke aplikasi dan muat ulang halaman. Anda sekarang akan melihat aplikasi web, karena Anda telah login dengan pengguna yang telah diotorisasi.

Jika Anda masih melihat halaman "You don't have access", IAP tidak akan memeriksa ulang otorisasi Anda. Dalam hal ini, lakukan langkah-langkah berikut:

1. Buka browser web dan kunjungi alamat halaman beranda dengan menambahkan /_gcp_iap/clear_login_cookie ke bagian akhir URL, seperti berikut https://iap-example-999999.appspot.com/_gcp_iap/clear_login_cookie.
2. Anda akan melihat layar "Login dengan Google" yang baru, yang menampilkan akun Anda. Jangan mengklik akun tersebut. Sebagai gantinya, klik Use another account, dan masukkan kembali kredensial Anda.

Langkah-langkah ini akan membuat IAP memeriksa ulang akses, dan sekarang Anda akan melihat layar utama aplikasi.

Jika Anda memiliki akses ke browser lain atau dapat menggunakan Mode Samaran di browser, serta memiliki akun Gmail atau Workspace lain yang masih berlaku, Anda dapat menggunakan browser tersebut untuk membuka halaman aplikasi dan login dengan akun lainnya. Karena akun tersebut belum diotorisasi, akan muncul tulisan “You Don't Have Access” di layar, bukan aplikasi Anda.

Tugas 2. Mengakses informasi identitas pengguna

Setelah aplikasi dilindungi dengan IAP, aplikasi tersebut dapat menggunakan informasi identitas yang disediakan oleh IAP dalam header permintaan web yang dilaluinya. Pada langkah ini, aplikasi akan mendapatkan alamat email pengguna yang sedang login dan ID pengguna unik persisten yang ditetapkan oleh Google Identity Service untuk pengguna tersebut. Data tersebut akan ditampilkan kepada pengguna di halaman sambutan.

• Di Cloud Shell, ubah ke folder untuk langkah ini:

Men-deploy ke App Engine

1. Update runtime python ke python39.

2. Karena deployment memerlukan waktu beberapa menit, mulailah dengan men-deploy aplikasi ke lingkungan Standar App Engine untuk Python:

3. Ketika ditanya apakah Anda ingin melanjutkan, tekan Y untuk ya.

Dalam hitungan menit, deployment akan selesai. Sambil menunggu, Anda dapat memeriksa file aplikasi seperti yang dijelaskan di bawah.

Klik Check my progress untuk memverifikasi tujuan. Mengakses Informasi Identitas Pengguna

Memeriksa file aplikasi

Folder ini berisi kumpulan file yang sama seperti yang terlihat di aplikasi yang di-deploy sebelumnya, 1-HelloWorld, tetapi dua dari file tersebut telah diubah: main.py dan templates/index.html. Program telah diubah untuk mengambil informasi pengguna yang disediakan IAP dalam header permintaan, dan sekarang, template menampilkan data tersebut.

Ada dua baris di main.py yang mendapatkan data identitas yang disediakan IAP:

Header X-Goog-Authenticated-User- disediakan oleh IAP, dan nama-nama tersebut tidak peka huruf besar/kecil, sehingga dapat dituliskan dalam huruf kecil atau huruf besar jika diinginkan. Pernyataan render_template sekarang menyertakan nilai-nilai tersebut agar dapat ditampilkan:

Template index.html dapat menampilkan nilai tersebut dengan mengurung nama menggunakan tanda kurung kurawal ganda:

Seperti yang Anda lihat, data yang disediakan diawali dengan accounts.google.com, yang menunjukkan asal informasi tersebut. Aplikasi Anda dapat menghapus semuanya hingga dan termasuk tanda titik dua untuk mendapatkan nilai mentah jika diinginkan.

Menguji IAP yang diupdate

Kembali ke deployment. Ketika sudah siap, Anda akan melihat pesan bahwa aplikasi dapat dilihat dengan perintah gcloud app browse.

1. Masukkan perintah tersebut:

2. Jika tab baru tidak terbuka pada browser, salin link yang ditampilkan dan buka link tersebut di tab baru seperti biasa. Anda akan melihat halaman seperti berikut:

Anda mungkin perlu menunggu beberapa menit agar versi baru dari aplikasi dapat menggantikan versi sebelumnya. Muat ulang halaman jika diperlukan untuk melihat halaman yang mirip dengan halaman di atas.

Menonaktifkan IAP

Apa yang terjadi pada aplikasi ini jika IAP dinonaktifkan, atau diabaikan (misalnya oleh aplikasi lain yang berjalan di project cloud yang sama)? Nonaktifkan IAP untuk mengetahuinya.

1. Di jendela konsol cloud, klik Navigation menu > Security > Identity-Aware Proxy.
2. Klik tombol pengalih IAP di samping App Engine app untuk menonaktifkan IAP. Klik TURN OFF.

Anda akan diperingatkan bahwa dengan menonaktifkan IAP, semua pengguna dapat mengakses aplikasi.

3. Muat ulang halaman web aplikasi. Anda akan melihat halaman yang sama, tetapi tanpa informasi pengguna:

Karena aplikasi sekarang tidak terlindungi, pengguna dapat mengirim permintaan web yang terlihat telah melewati IAP. Sebagai contoh, Anda dapat menjalankan perintah curl berikut dari Cloud Shell untuk melakukannya (ganti <your-url-here> dengan URL aplikasi yang tepat):

Halaman web akan ditampilkan pada command line, dan akan terlihat seperti berikut:

Tidak ada cara bagi aplikasi untuk mengetahui apakah IAP telah dinonaktifkan atau diabaikan. Untuk kasus yang memiliki risiko potensial, Verifikasi Kriptografi bisa menjadi solusinya.

Tugas 3. Menggunakan Verifikasi Kriptografi

Jika ada risiko IAP dinonaktifkan atau diabaikan, aplikasi dapat memeriksa untuk memastikan informasi identitas yang diterimanya valid. Layanan ini menggunakan header permintaan web ketiga yang ditambahkan oleh IAP, yang disebut X-Goog-IAP-JWT-Assertion. Nilai header adalah objek yang ditandatangani secara kriptografis yang juga berisi data identitas pengguna. Aplikasi Anda dapat memverifikasi tanda tangan digital dan menggunakan data yang disediakan dalam objek ini untuk memastikan bahwa tanda tangan tersebut disediakan oleh IAP tanpa adanya perubahan.

Verifikasi tanda tangan digital memerlukan beberapa langkah tambahan, seperti mengambil set kunci publik Google yang terbaru. Perlu tidaknya langkah tambahan ini dapat ditentukan berdasarkan risikonya. Misalnya, seseorang mungkin dapat menonaktifkan atau mengabaikan IAP. Faktor penentu lainnya adalah sensitivitas aplikasi.

• Di Cloud Shell, ubah ke folder untuk langkah ini:

Men-deploy ke App Engine

1. Update runtime python ke python39.

2. Deploy aplikasi ke lingkungan Standar App Engine untuk Python:

3. Ketika ditanya apakah Anda ingin melanjutkan, tekan Y untuk ya.

Dalam hitungan menit, deployment akan selesai. Sambil menunggu, Anda dapat memeriksa file aplikasi seperti yang dijelaskan di bawah.

Klik Check my progress untuk memverifikasi tujuan. Menggunakan Verifikasi Kriptografi

Memeriksa file aplikasi

Folder ini berisi kumpulan file yang sama seperti yang terlihat di 2-HelloUser, dengan dua file telah diubah dan satu file baru. File yang baru adalah auth.py, yang menyediakan metode bagi user() untuk mendapatkan dan memverifikasi informasi identitas yang ditandatangani secara kriptografis. File yang diubah adalah main.py dan templates/index.html, yang saat ini menggunakan hasil dari metode tersebut. Header yang belum diverifikasi seperti yang ditemukan dalam deployment terakhir juga ditampilkan sebagai perbandingan.

• Fungsi baru ini sebagian besar terdapat pada fungsi user():

assertion adalah data yang ditandatangani secara kriptografis yang tersedia dalam header permintaan yang ditentukan. Kode ini menggunakan library untuk memvalidasi dan mendekode data tersebut. Validasi menggunakan kunci publik yang disediakan oleh Google untuk memeriksa data yang ditandatanganinya, serta mengetahui audiens yang dituju oleh data tersebut (pada dasarnya, project Google Cloud yang sedang dilindungi). Fungsi bantuan keys() dan audience() mengumpulkan dan menampilkan nilai tersebut.

Objek yang ditandatangani memiliki dua buah data yang diperlukan: alamat email yang diverifikasi, dan nilai ID unik (disediakan di bagian sub, untuk pelanggan, kolom standar).

Langkah 3 telah selesai.

Menguji Verifikasi Kriptografi

Ketika deployment siap, Anda akan melihat pesan bahwa aplikasi dapat dilihat dengan perintah gcloud app browse.

• Masukkan perintah tersebut:

Jika tab baru tidak terbuka pada browser, salin link yang ditampilkan dan buka link tersebut di tab baru seperti biasa.

Ingat, sebelumnya Anda telah menonaktifkan IAP, sehingga aplikasi tidak menyediakan data IAP. Anda akan melihat halaman seperti berikut:

Seperti sebelumnya, Anda mungkin perlu menunggu beberapa menit hingga versi terbaru diluncurkan guna melihat versi baru dari halaman tersebut.

Karena IAP dinonaktifkan, tidak ada informasi pengguna yang tersedia. Sekarang aktifkan kembali IAP.

1. Di jendela konsol cloud, klik Navigation menu > Security > Identity-Aware Proxy.

2. Klik tombol pengalih IAP di samping App Engine app untuk mengaktifkan IAP kembali. Klik TURN ON.

3. Muat ulang halaman. Halaman akan terlihat seperti berikut:

Perhatikan bahwa alamat email yang disediakan oleh metode terverifikasi tidak memiliki awalan accounts.google.com:.

Jika IAP dinonaktifkan atau diabaikan, data yang diverifikasi akan hilang, atau tidak valid, karena data tersebut tidak dapat memiliki tanda tangan yang valid kecuali jika dibuat oleh pemegang kunci pribadi Google.

Selamat!

Anda telah men-deploy aplikasi web App Engine. Pertama, Anda membatasi akses ke aplikasi hanya ke pengguna yang Anda pilih. Kemudian Anda mengambil dan menampilkan identitas pengguna yang diizinkan IAP untuk mengakses aplikasi, dan memahami bagaimana informasi tersebut dapat di-spoofing jika IAP dinonaktifkan atau diabaikan. Terakhir, Anda memverifikasi pernyataan yang ditandatangani secara kriptografis pada identitas pengguna, yang tidak dapat di-spoofing.

Langkah berikutnya/Pelajari lebih lanjut

• Dapatkan informasi selengkapnya tentang Cloud Identity-Aware Proxy.
• Lihat produk Keamanan Google lainnya.

Sertifikasi dan pelatihan Google Cloud

...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.

Manual Terakhir Diperbarui pada 15 April 2024

Lab Terakhir Diuji pada 28 Februari 2024

Hak cipta 2025 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.