以编程方式访问 IAP 背后的网站?

【问题标题】:Access website behind IAP programatically?以编程方式访问 IAP 背后的网站?
【发布时间】:2021-08-31 14:19:26
【问题描述】:

我想访问部署在 GCP 上且位于 Identity-Aware-Proxy (IAP) 之后的网站 REST API。我只需要能够从我的本地计算机访问,我不能使用服务帐户密钥来实现。

我尝试使用gcloud auth logingcloud auth application-default login 设置application_default_credentials,然后调用Oauth2 端点获取id_token。

无论我尝试什么,我都会不断收到错误消息“观众客户和客户需要在同一个项目中”。

默认凭据中的 client_id (74XXXXXXX) 和 IAP 的 client_id (73XXXXXXX) 不匹配,但它们都使用同一个 GCP 项目。

从这个 (How to authenticate programmatically to a Cloud Identity-Aware Proxy (Cloud IAP)-secured resource using user default credentials?) 问题中使用 Python 示例:

import google.auth
import requests
import json

def id_token_from_default_creds(audience): 
    cred, proj = google.auth.default()
    # data necessary for ID token
    client_id = cred.client_id
    client_secret= cred.client_secret
    refresh_token = str(cred.refresh_token)
    return id_token_from_refresh_token(client_id, client_secret, refresh_token, audience)

def id_token_from_refresh_token(client_id, client_secret, refresh_token, audience):
    oauth_token_base_URL = "https://www.googleapis.com/oauth2/v4/token"
    payload = {"client_id": client_id, "client_secret": client_secret,
                "refresh_token": refresh_token, "grant_type": "refresh_token",
                "audience": audience}
    res = requests.post(oauth_token_base_URL, data=payload)
    return (str(json.loads(res.text)[u"id_token"]))

print("ID token from \"default\" credentials: %s" % id_token_from_default_creds("<IAP Client ID>"))

任何想法如何通过本地用户凭据传递 IAP?

【问题讨论】:

  • google.auth.default() 正在获取的凭据是 user account 凭据。然后,您尝试提取 Client ID 和 Client Secret 并使用它们生成 OIDC 身份令牌,gcloud auth application-default login 最初并未将其请求为请求的范围。我不相信你能成功地做到这一点。验证身份令牌是否有效,包括签名。错误消息可能会误导您。
  • 您能否详细说明如何做到这一点?
  • Client_ID 应以项目编号开头。在您的情况下,哪个 Client_ID 与项目编号匹配。是默认凭据 Client_ID 还是 IAP Client _ID?
  • 您是否更新了文件 path_to/google-cloud-sdk/lib/googlecloudsdk/api_lib/auth 中的字段 DEFAULT_CREDENTIALS_DEFAULT_CLIENT_IDDEFAULT_CREDENTIALS_DEFAULT_CLIENT_SECRET /util.py
  • 我最终听从了 Johans 的建议,并在 GCP 凭据中创建了一个桌面应用程序,并从中使用了 client_id 和 client_secret。该代码现在打开一个浏览器选项卡以获取 auth_code,然后我使用 oauth2 api 获取通过 IAP 的 id_token。

标签: python google-cloud-platform identity-aware-proxy


【解决方案1】:

受众客户端和客户端需要在同一个项目中。这意味着默认凭据客户端 ID 和 IAP 客户端 ID 没有匹配的项目编号。使用从 gcloud auth application-default login 生成的默认凭据会导致默认凭据的 Client_ID 不匹配,因为 Client_ID 应该以项目编号开头。用于获取刷新令牌的客户端 ID 的项目应与 IAP 客户端 ID 的项目匹配。 Gcloud 使用 path_to/google-cloud-sdk/lib/googlecloudsdk/api_lib/auth/util.py 中定义的客户端 ID 和密钥作为默认凭据(DEFAULT_CREDENTIALS_DEFAULT_CLIENT_ID 和 DEFAULT_CREDENTIALS_DEFAULT_CLIENT_SECRET)。因此,如果不更改 util.py,我们就无法使用来自 google.auth.default() 的刷新令牌。

我最终关注了 Johns 的评论 (Access website behind IAP programatically?),并在 GCP Credentials 中创建了一个桌面应用程序。我使用桌面应用程序中的 client_id 和 client_secret 首先通过 Oauth2 API 获取 auth_code,然后是 refresh_token,然后是 id_token。然后可以在标头中使用此令牌来传递 IAP。

代码现在打开一个浏览器选项卡,用户需要在其中登录,但这对我的用例来说很好。代码示例见https://stackoverflow.com/a/49129038/1411088

【讨论】:

    猜你喜欢
    • 2014-07-29
    • 1970-01-01
    • 2015-08-10
    • 1970-01-01
    • 2020-11-14
    • 2023-02-03
    • 2016-11-09
    • 2011-02-23
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode