Google Cloud Identity Aware Proxy (IAP) 强制注销答案

【问题标题】：Google Cloud Identity Aware Proxy (IAP) Force logoutGoogle Cloud Identity Aware Proxy (IAP) 强制注销
【发布时间】：2018-04-29 23:58:21
【问题描述】：

我正在研究如何注销正在使用 Google IAP 背后的应用程序的用户

最终目标是能够让用户回到他们第一次访问该网站时完成的初始过程（即他们在再次登录之前无法访问我的应用程序）

我查看了文档，我只能看到https://cloud.google.com/iap/docs/special-urls-howto 的“清除用户登录”部分

但是，当用户被重定向到 /_gcp_iap/clear_login_cookie 时，这会将 GCP_IAAP_AUTH_TOKEN cookie 设置为 none，然后将用户重定向到我的应用程序的根目录。对 / 的请求又将用户重定向到 https://accounts.google.com/o/oauth2/v2/auth（包括许多获取参数），然后又将用户重定向到 /_gcp_gatekeeper/authenticate，然后再次设置 GCP_IAAP_AUTH_TOKEN cookie，最后将用户返回到我的应用程序（现在重新登录，好像什么都没发生一样）

这里的问题可能是用户仍然登录到其他谷歌帐户应用程序吗？（例如 google 云控制台、gmail 等）

我想知道是否可以将 GCP_IAAP_AUTH_TOKEN cookie 值发送到 https://accounts.google.com/o/oauth2/revoke?token=token，但这似乎被 IAP 负载平衡器剥离了

感谢您对此提供的任何和所有帮助。

【问题讨论】：

嘿@jwmoxk 你周围有什么工作吗？

标签： google-cloud-platform google-iap

【解决方案1】：

您看到的是 clear_login_cookie 清除了 IAP 登录 cookie，但它并不打算对用户仍然登录到 Google 的事实做任何事情。

我们确实即将推出一项更改，这将迫使用户在 clear_login_cookie 之后返回帐户选择屏幕。您可以通过转到https://myaccount.google.com/permissions 并单击该列表中的应用程序，选择“删除访问”，然后访问 clear_login_cookie 来预览它的外观。

不过，我不确定这是否是您要寻找的东西。你能告诉我更多关于你的目标是什么吗？

--Matthew，Google Cloud IAP

【讨论】：

您在上面描述的更改听起来像我需要的，您有什么粗略的部署时间表吗？我们使用 IAP 在现有 Web 应用程序之上提供支持 2FA 的身份验证层。所需功能之一是用户能够退出应用程序，并且只有在重新验证后才能再次访问它（即手动输入验证因素，如密码）非常感谢
此外，如果我没看错的话，按照上面的要求“注销”用户的唯一方法是撤销用户第一次登录应用程序时发出的 Google OAuth 令牌，当前被 IAP 负载均衡器剥离的令牌。在这种情况下，我很感激任何和所有的帮助，因为我的手很紧！（如果您收到一些关于这篇文章的通知，我深表歉意，我与 Stackoverflow 评论编辑器发生了小争执）
好的，我现在了解用例了。确实， clear_login_cookie 无济于事。 “令牌撤销”也无济于事，IAP cookie 中的凭据是 OpenID Connect 令牌，而不是 OAuth 令牌。我们使用签名静态验证该令牌，因此无法撤销它。（更多后续评论。）
一种常见的处理方法是“重新认证”或“用户存在测试”。这背后的一般想法是，如果为应用程序打开了 reauth，则需要执行一个额外的步骤，例如在授予应用程序访问权限之前重新验证密码和/或第二个因素（即使用户仍然通过身份提供者登录。）如果您想在 issuetracker.google.com/issues/… 提交功能请求，那将很有帮助。谢谢！
@MatthewSachs reauthentication - 有这方面的文档吗？