Question

У меня есть служба, предоставляющая API-интерфейс, работающий в Google Cloud за IAP.Аутентификация работает так, как ожидается, чтобы предоставить пользователям доступ к API.

Чтобы заблокировать API на более детальном уровне, я хотел бы разрешить доступ к определенным путям, основанным на том, какие роли IAM у пользователя в проекте Google.

Я думал, что смогуиспользуйте один из API Google rest, чтобы получить список ролей с учетом идентификатора пользователя, который отображается в заголовке IAP (или найти способ украсить запрос информацией о роли), но мне не удается выяснить, какие области мне нужныили какой API использовать.

Кто-нибудь знает, как сделать что-то подобное?

Matthew Sachs · Answer 1 · 25 апреля 2019

Я думаю, что вы можете получить членство в группе пользователя с помощью Directory API .У нас есть пункт в нашей дорожной карте для добавления членства в группах в IAP JWT, но сегодня это невозможно.

Вы также можете использовать условия хоста и пути , чтобы установить разные политики доступа для разныхпути в приложении, например, разрешить foo-users @ access, если путь начинается с / foo, и bar-users @ access, если путь начинается с /bar.

- Мэтью, Google Cloud IAP engineering

Как реализовать авторизацию на основе ролей после аутентификации в Google Cloud IAP?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как реализовать авторизацию на основе ролей после аутентификации в Google Cloud IAP?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы