Identity Access Proxy

Fortalece la seguridad de tu aplicación en App Engine con capas de acceso simples y efectivas usando Identity Aware Proxy (IAP). A diferencia de las Firewall Rules, IAP opera a nivel de aplicación y se integra con el servicio de autenticación de Google para permitir o restringir acceso por correos y grupos de Gmail, incluso en otros productos de Google Cloud Platform.

¿Qué es Identity Aware Proxy y por qué usarlo?

IAP es un servicio que filtra el acceso antes de llegar a tu aplicación. En lugar de trabajar por sectores de red o IP como las Firewall Rules, controla quién entra usando el login de Google. Puedes autorizar cuentas o grupos y bloquear el resto.

• Funciona en App Engine y en más productos de Google Cloud Platform.
• Usa Google Sign-in para autenticar usuarios.
• Verifica permisos con Cloud IAM antes de permitir acceso.
• Simplifica el control: otorgas acceso a correos específicos o grupos.
• Permite denegar por defecto y abrir solo a quienes elijas.

¿Cómo se activa IAP en Google Cloud Platform paso a paso?

Activarlo toma pocos clics y cambia de raíz cómo administras el acceso: por identidad, no por red. Así, solo quienes estén en tu lista podrán ver la aplicación.

¿Dónde encontrar IAP en la consola?

• Entra a la consola de Google Cloud Platform y elige tu proyecto de App Engine.
• Abre Productos y ve a la sección de Security.
• Si no lo ves de inmediato, búscalo entre herramientas de desarrollo cerca de Endpoints, Data y Caching.
• Entra a Identity Aware Proxy.

¿Qué cuentas o grupos añadir?

• Selecciona el recurso detectado automáticamente por IAP.
• Agrega los correos o grupos de Gmail que tendrán acceso.
• Define en qué URLs se activará IAP.
• Haz clic en Activar y espera unos segundos.

¿Cómo verificar el acceso?

• Intenta entrar con una cuenta distinta a la autorizada: verás acceso denegado.
• Abre una ventana en incógnito y pega la misma URL.
• Inicia sesión con la cuenta autorizada mediante Google Sign-in.
• Si Cloud IAM valida tus permisos, podrás usar la aplicación.

¿Cómo funciona el flujo de autenticación con Google Sign-in e IAM?

IAP actúa como guardián antes de tu backend. El usuario primero enfrenta a Cloud IAP, luego se autentica con Google Sign-in. Después, Cloud IAM comprueba si esa identidad tiene autorización para el recurso protegido. Si la tiene, el acceso procede; si no, se bloquea.

• Usuario solicita acceso a la aplicación.
• Cloud IAP exige autenticación con Google Sign-in.
• Cloud IAM verifica permisos del usuario autenticado.
• Con permisos válidos, se permite el uso de la aplicación.

En conjunto, estas herramientas de seguridad de App Engine te ayudan a proteger mejor tu aplicación. No son obligatorias, pero sí recomendables para mantener el acceso bajo control a nivel de correos y grupos.

¿Tienes dudas sobre la configuración o casos de uso con IAP y App Engine? Cuéntalo en los comentarios y comparte cómo gestionas el acceso en tu equipo.