Google cloud platform 如何从MERN stack应用程序中的身份感知代理获取用户组或角色
我有一个用例,其中我有两个应用程序:Google cloud platform 如何从MERN stack应用程序中的身份感知代理获取用户组或角色,google-cloud-platform,identity-aware-proxy,Google Cloud Platform,Identity Aware Proxy,我有一个用例,其中我有两个应用程序: React SPA前端,在web.myportal.example上运行 Node Express后端,在api.myportal.example上公开REST api 这两个应用程序都部署在GCP计算引擎中,可以从Internet访问。我能够配置IAP以防止未经授权的访问。我可以指定允许使用UI和API的电子邮件帐户列表 我需要的是GCP IAP的自动化功能。有吗? 简单示例-某些API端点应该只对具有特定组/角色成员身份的人员可用。如何从IAP中提取
- React SPA前端,在web.myportal.example上运行
- Node Express后端,在api.myportal.example上公开REST api
简单示例-某些API端点应该只对具有特定组/角色成员身份的人员可用。如何从IAP中提取?IAP留给我的唯一东西就是一个
GCP\u IAAP\u AUTH\u令牌
cookie,由于它的定义,我甚至不能使用它。您可以尝试在每个服务前面放置一个LB(一个用于API,另一个用于应用程序),并配置IAP以使用它们和
当应用程序或资源受IAP保护时,它只能
成员(也称为用户)通过代理访问
正确的身份和访问管理(IAM)角色。当你同意
用户通过IAP访问应用程序或资源时,他们受到
由正在使用的产品实现的细粒度访问控制
不需要VPN。当用户尝试访问IAP安全的
资源,IAP执行身份验证和授权检查
但是,不可能配置IAP以根据登录者向API方法授予不同的访问级别。它看起来不像是允许如此细粒度的管理——只有您可以访问或不访问
身份验证后,IAP应用相关IAM策略检查
用户有权访问请求的资源。如果用户
在云控制台项目上有IAP安全的Web应用程序用户角色吗
如果资源存在,则授权他们访问
应用程序
您是否希望根据访问该站点的用户而拥有不同的权限?前端和后端是否必须不同?是的,根据不同用户在google中的角色或组,不同用户拥有不同的权限。UI和API都需要区分——因此,是的,这两个应用程序的权限不同。