IAP(Identity-Aware Proxy)로 사용자 인증

웹 앱 사용자를 인증해야 하는 경우가 많으며 대개 앱에 특별한 프로그래밍이 필요합니다. Google Cloud Platform 앱의 경우 이러한 책임을 IAP(Identity-Aware Proxy) 서비스에 넘길 수 있습니다. 선택한 사용자로만 액세스를 제한해야 하는 경우에는 애플리케이션을 변경할 필요가 없습니다. 애플리케이션이 사용자 ID를 알아야 하는 경우(예: 사용자 환경설정이 서버 측 유지) IAP(Identity-Aware Proxy)는 최소한의 애플리케이션 코드로 이러한 ID를 제공할 수 있습니다.

IAP(Identity-Aware Proxy)란 무엇인가요?

IAP (Identity-Aware Proxy)는 애플리케이션으로 전송되는 웹 요청을 가로채고, Google ID 서비스를 사용하여 요청하는 사용자를 인증하며, 사용자가 승인한 사용자로부터 오는 요청만 허용하게 하는 Google Cloud Platform 서비스입니다. 또한 요청 사용자에 대한 정보를 포함하도록 요청 헤더를 수정할 수 있습니다.

이 Codelab에서는 자체 애플리케이션을 만들고, 액세스를 제한하고, IAP에서 사용자 ID를 가져오는 방법을 안내합니다.

빌드할 항목

이 Codelab에서는 Google App Engine을 사용하여 최소한의 웹 애플리케이션을 빌드한 다음 IAP(Identity-Aware Proxy)를 사용하여 애플리케이션에 대한 액세스를 제한하고 사용자 ID 정보를 제공하는 다양한 방법을 알아봅니다. 이 앱에는 아래의 기능이 있습니다.

  • 시작 페이지 표시
  • IAP에서 제공하는 사용자 ID 정보에 액세스합니다.
  • 암호화 인증을 사용하여 사용자 ID 정보의 스푸핑 방지

학습할 내용

  • Python 3.7을 사용하여 간단한 App Engine 앱을 작성하고 배포하는 방법
  • IAP를 사용 설정 및 중지하여 앱 액세스를 제한하는 방법
  • IAP에서 사용자 ID 정보를 앱으로 가져오는 방법
  • 스푸핑으로부터 보호하기 위해 IAP의 정보를 암호화 방식으로 확인하는 방법

필요한 항목

  • Chrome과 같은 최신 웹브라우저
  • Python 프로그래밍 언어에 관한 기본 지식

이 Codelab에서는 Google App Engine 및 IAP에 중점을 둡니다. 따라서 이와 관련 없는 개념과 코드 블록은 그냥 넘어가겠습니다. 단, 필요할 때 복사해서 붙여넣을 수 있도록 다른 설명 없이 제공만 해드리겠습니다.

Cloud Shell 명령줄 환경에서 작업하게 됩니다. 먼저 이 환경을 열고 샘플 코드를 가져옵니다.

Console 및 Cloud Shell 실행하기

실습 페이지의 왼쪽 상단에서 Google Console 열기 버튼을 클릭합니다. 버튼 아래에 표시되는 사용자 이름과 비밀번호로 로그인해야 합니다.

이 Codelab의 모든 명령어는 자동으로 생성되어 열려 있는 프로젝트의 Cloud Shell 내에서 실행됩니다. Console 페이지 헤더의 오른쪽에 있는 'Cloud Shell 활성화' 아이콘을 클릭하여 Cloud Shell을 엽니다. 페이지의 아래쪽에서는 명령어를 입력하고 실행할 수 있습니다.

명령어는 자체 PC에서 실행할 수 있지만 먼저 필요한 개발 소프트웨어를 설치하고 구성해야 했습니다. Cloud Shell에는 이미 필요한 모든 소프트웨어 도구가 있습니다.

코드 다운로드

Cloud Shell에서 명령줄 영역을 클릭하여 명령어를 입력할 수 있습니다. GitHub에서 코드를 가져온 후 코드 폴더로 변경합니다.

git clone https://github.com/googlecodelabs/user-authentication-with-iap.git
cd iap-codelab

이 폴더에는 이 Codelab의 각 단계에 하나의 하위 폴더가 있습니다. 각 단계를 실행하기 위해 올바른 폴더로 변경합니다.

Python 3.7로 작성된 App Engine 표준 애플리케이션으로, "Hello, World" 시작 페이지를 표시합니다. Google은 앱을 배포 및 테스트한 후 IAP를 사용하여 액세스를 제한합니다.

애플리케이션 코드 검토

기본 프로젝트 폴더에서 이 단계의 코드가 포함된 1-HelloWorld 하위 폴더로 변경합니다.

cd 1-HelloWorld

애플리케이션 코드는 main.py 파일에 있습니다. Flask 웹 프레임워크를 사용하여 템플릿 콘텐츠로 웹 요청에 응답합니다. 이 템플릿 파일은 templates/index.html에 있으며 이 단계에서는 일반 HTML만 포함합니다. 두 번째 템플릿 파일에는 templates/privacy.html의 기본 예시 개인정보처리방침이 포함되어 있습니다.

두 개의 다른 파일이 있습니다. requirements.txt은 애플리케이션에서 사용하는 기본이 아닌 모든 Python 라이브러리를 나열하고, app.yaml은 Python 3.7 App Engine 애플리케이션임을 Google Cloud Platform에 알립니다.

다음과 같이 cat 명령어를 사용하여 셸에 각 파일을 나열할 수 있습니다.

cat main.py

또는 Cloud Shell 창의 오른쪽 상단에 있는 연필 아이콘을 클릭하여 Cloud Shell 코드 편집기를 열고 해당 방법을 사용해도 됩니다.

이 단계에서 파일을 변경할 필요는 없습니다.

App Engine에 배포

이제 Python 3.7용 App Engine 표준 환경에 앱을 배포합니다.

gcloud app deploy

배포할 리전을 선택하라는 메시지가 표시될 수 있습니다. 주변에 있는 항목을 선택하세요. '표준'을 선택하세요. 계속 진행할지 묻는 메시지가 표시되면 '예'를 나타내는 Y을 입력합니다.

몇 분 만에 배포가 완료되고 gcloud app browse로 애플리케이션을 볼 수 있는 메시지가 표시됩니다. 명령어를 입력합니다. 브라우저에서 새 탭이 열리지 않으면 표시된 링크를 클릭하여 새 탭에서 열거나 필요한 경우 수동으로 새 탭에 복사하세요. 이 앱이 처음 실행되는 것이므로 클라우드 인스턴스가 시작되는 동안 표시되는 데 몇 초 정도 걸리며 다음과 같은 창이 표시됩니다.

인터넷에 연결된 컴퓨터에서 동일한 URL을 열어 웹페이지를 볼 수 있습니다. 액세스가 아직 제한되지 않았습니다.

IAP로 액세스 제한

Cloud Console 창에서 페이지 왼쪽 상단의 메뉴 아이콘을 클릭하고 보안을 클릭한 다음 IAP(Identity-Aware Proxy)를 클릭합니다.

이 프로젝트에 인증 옵션을 처음으로 사용 설정했으므로 IAP를 사용하기 전에 OAuth 동의 화면을 구성해야 한다는 메시지가 표시됩니다.

'동의 화면 구성' 버튼을 클릭합니다. 동의 화면을 구성할 새 탭이 열립니다.

필요한 값을 적절한 값으로 채웁니다.

애플리케이션 이름

IAP 예

지원 이메일

이메일 주소가 자동으로 입력될 수 있습니다

승인된 도메인

애플리케이션 URL의 호스트 이름 부분(예: iap-example-999999.appspot.com)입니다. 이전에 연 Hello World 웹페이지의 주소 표시줄에서 확인할 수 있습니다. URL의 시작 https://또는 후행 /을 포함하지 않습니다.

이 값을 입력한 후 Enter 키를 눌러야 합니다.

애플리케이션 홈페이지 링크

앱을 볼 때 사용한 URL

애플리케이션 개인정보처리방침 링크

앱의 개인 정보 보호 페이지 링크, 끝에 /privacy가 추가된 홈페이지 링크

저장을 클릭합니다. 사용자 인증 정보를 만들라는 메시지가 표시됩니다. 이 Codelab의 사용자 인증 정보를 만들 필요가 없으므로 브라우저 탭을 닫으면 됩니다.

IAP(Identity-Aware Proxy) 페이지로 돌아가서 새로고침합니다. 이제 보호할 수 있는 리소스 목록이 표시됩니다.

App Engine 앱 행의 IAP 열에서 전환 버튼을 클릭하여 IAP를 사용 설정합니다.

IAP로 보호할 도메인 이름이 표시됩니다. 켜기를 클릭합니다.

이제 브라우저 탭을 열고 앱의 URL로 이동합니다. 앱에 액세스하려면 로그인해야 하는 Google 로그인 화면이 표시됩니다.

Google 또는 G Suite 계정으로 로그인합니다. 액세스를 거부하는 화면이 표시됩니다.

IAP로 앱을 성공적으로 보호했지만 어느 계정이 허용되는지 IAP에 알리지 않았습니다.

콘솔의 IAP(Identity-Aware Proxy) 페이지로 돌아가서 App Engine 앱 옆의 체크박스를 선택하면 페이지 오른쪽에 있는 사이드바가 표시됩니다.

액세스가 허용되어야 하는 각 이메일 주소 (또는 Google 그룹 주소, G Suite 도메인 이름)를 구성원으로 추가해야 합니다. '구성원 추가'를 클릭합니다. 이메일 주소를 입력한 다음 해당 주소에 할당할 Cloud IAP/IAP 보안 웹 앱 사용자 역할을 선택합니다. 주소 또는 G Suite 도메인을 동일한 방식으로 입력할 수 있습니다.

'저장'을 클릭합니다. 창 하단에 'Policy Updated" 메시지가 표시됩니다.

앱으로 돌아가 페이지를 새로고침합니다. 이제 승인된 사용자로 이미 로그인했으므로 웹 앱이 표시됩니다. 하지만 IAP에서 승인을 다시 확인하지 않을 수도 있으므로 '액세스 권한이 없습니다' 페이지가 계속 표시될 수 있습니다. 이 경우 다음 단계를 따르세요.

  • https://iap-example-999999.appspot.com/_gcp_iap/clear_login_cookie에서와 같이 URL 끝에 /_gcp_iap/clear_login_cookie를 추가하여 홈페이지를 열고 웹브라우저를 엽니다.
  • 내 계정이 이미 표시된 새 Google 계정으로 로그인 화면이 표시됩니다. 계정을 클릭하지 마세요. 대신 다른 계정 사용 을 클릭한 다음 사용자 인증 정보를 다시 입력하세요.
  • 이렇게 하면 IAP에서 액세스 권한을 다시 확인하며 애플리케이션의 홈 화면이 표시됩니다.

다른 브라우저에 액세스할 수 있거나 브라우저에서 시크릿 모드를 사용할 수 있고 다른 유효한 Gmail 또는 G Suite 계정이 있는 경우 해당 브라우저를 사용하여 앱 페이지로 이동한 후 다른 계정으로 로그인할 수 있습니다. 이 계정은 승인되지 않았기 때문에 앱 대신 '액세스 권한이 없습니다' 화면이 표시됩니다.

IAP로 앱을 보호하면 IAP가 전달하는 웹 요청 헤더에 이 ID 정보를 사용할 수 있습니다. 이 단계에서는 로그인한 사용자의 이메일 주소와 Google ID 서비스에서 해당 사용자에게 할당한 영구 고유 사용자 ID를 가져옵니다. 해당 데이터는 시작 페이지에 해당 사용자에게 표시됩니다.

2단계이며 Cloud Shell에서 iap-codelab/1-HelloWorld 폴더를 열어 둔 마지막 단계가 종료되었습니다. 이 단계의 폴더로 변경합니다.

cd ~/iap-codelab/2-HelloUser

App Engine에 배포

배포에는 몇 분 정도 걸리므로 먼저 Python 3.7용 App Engine 표준 환경에 앱을 배포합니다.

gcloud app deploy

계속 진행할지 묻는 메시지가 표시되면 '예'를 입력합니다. 몇 분 만에 배포가 완료됩니다. 기다리는 동안 아래 설명과 같이 애플리케이션 파일을 검사할 수 있습니다.

배포가 준비되면 gcloud app browse으로 애플리케이션을 볼 수 있는 메시지가 표시됩니다. 명령어를 입력합니다. 브라우저에서 새 탭이 열리지 않으면 표시된 링크를 복사하여 정상적으로 새 탭에서 엽니다. 다음과 비슷한 페이지가 표시됩니다.

새 버전의 애플리케이션이 이전 버전을 대체하려면 몇 분 정도 기다려야 할 수 있습니다. 위와 유사한 페이지를 보려면 필요한 경우 페이지를 새로고침합니다.

애플리케이션 파일 검사

이 폴더에는 1단계와 동일한 파일 세트가 포함되어 있지만 두 파일 중 main.pytemplates/index.html 파일이 변경되었습니다. IAP가 요청 헤더에서 제공하는 사용자 정보를 검색하도록 프로그램이 변경되었으며, 이제 템플릿에 해당 데이터가 표시됩니다.

main.py에는 IAP에서 제공한 ID 데이터를 가져오는 줄이 두 개 있습니다.

user_email = request.headers.get('X-Goog-Authenticated-User-Email')
user_id = request.headers.get('X-Goog-Authenticated-User-ID')

X-Goog-Authenticated-User- 헤더는 IAP에서 제공하며 이름이 대소문자를 구분하지 않으므로 원하는 경우 모든 소문자 또는 모든 대소문자를 대문자로 입력할 수 있습니다. 이제 render_template 문에 이러한 값이 포함되어 값이 표시됩니다.

page = render_template('index.html', email=user_email, id=user_id)

index.html 템플릿은 이름을 이중 중괄호로 묶어 이러한 값을 표시할 수 있습니다.

Hello, {{ email }}! Your persistent ID is {{ id }}.

표시된 바와 같이 제공된 데이터에는 accounts.google.com 접두어가 붙어 정보의 출처가 표시됩니다. 애플리케이션은 콜론을 포함한 모든 항목을 삭제하여 원하는 경우 원시 값을 가져올 수 있습니다.

IAP 사용 중지하기

IAP가 사용 중지되거나 동일한 방법으로 클라우드 프로젝트에서 실행 중인 다른 애플리케이션에 의해 우회가 발생하면 이 앱은 어떻게 되나요? 확인하려면 IAP를 사용 중지하세요.

Cloud Console 창에서 페이지 왼쪽 상단의 메뉴 아이콘을 클릭하고 보안을 클릭한 다음 IAP(Identity-Aware Proxy)를 클릭합니다. App Engine 앱 옆에 있는 IAP 전환 스위치를 클릭하여 IAP를 사용 중지합니다.

모든 사용자가 앱에 액세스할 수 있다는 경고가 표시됩니다.

애플리케이션 웹페이지를 새로고침합니다. 동일한 페이지가 표시되지만 사용자 정보는 표시되지 않습니다.

이제 애플리케이션이 보호되지 않으므로 사용자는 IAP를 통해 전달된 것으로 보이는 웹 요청을 전송할 수 있습니다. 예를 들어 Cloud Shell에서 다음 curl 명령어를 실행하여 '<your-url-here>를 앱의 올바른 URL로 바꿀 수 있습니다.

curl -X GET <your-url-here> -H "X-Goog-Authenticated-User-Email: totally fake email"

웹페이지가 명령줄에 표시되고 다음과 같이 표시됩니다.

<!doctype html>
<html>
<head>
  <title>IAP Hello User</title>
</head>
<body>
  <h1>Hello World</h1>

  <p>
    Hello, totally fake email! Your persistent ID is None.
  </p>

  <p>
    This is step 2 of the <em>User Authentication with IAP</em>
    codelab.
 </p>

</body>
</html>

애플리케이션에서 IAP가 사용 중지되었거나 우회되었음을 알 수 있는 방법은 없습니다. 잠재적 위험성이 있는 케이스의 경우 3단계에 해결 방법이 나와 있습니다.

IAP가 사용 중지되거나 우회될 위험이 있는 경우 앱은 수신 ID가 유효한지 확인할 수 있습니다. IAP에서 추가한 세 번째 웹 요청 헤더인 X-Goog-IAP-JWT-Assertion를 사용합니다. 헤더 값은 사용자 ID 데이터도 포함하는 암호화 서명 객체입니다. 애플리케이션에서는 디지털 서명을 확인하고 이 객체에 제공된 데이터를 사용하여 변형 없이 IAP에서 제공한 것인지 확인할 수 있습니다.

디지털 서명 확인에는 여러 가지 추가 단계가 필요합니다(예: 최신 Google 공개 키 검색). 사용자가 IAP를 사용 중지하거나 우회할 수 있는 위험도 및 애플리케이션의 민감도를 기준으로 애플리케이션에 이러한 추가 단계가 필요한지 결정할 수 있습니다.

이 단계는 3단계이며 Cloud Shell에서 iap-codelab/2-HelloUser 폴더를 열어 둔 마지막 단계가 종료되었습니다. 이 단계의 폴더로 변경합니다.

cd ~/iap-codelab/3-HelloVerifiedUser

App Engine에 배포

Python 3.7용 App Engine 표준 환경에 앱을 배포합니다.

gcloud app deploy

계속 진행할지 묻는 메시지가 표시되면 '예'를 입력합니다. 몇 분 만에 배포가 완료됩니다. 기다리는 동안 아래 설명과 같이 애플리케이션 파일을 검사할 수 있습니다.

배포가 준비되면 gcloud app browse으로 애플리케이션을 볼 수 있는 메시지가 표시됩니다. 명령어를 입력합니다. 브라우저에서 새 탭이 열리지 않으면 표시된 링크를 복사하여 정상적으로 새 탭에서 엽니다.

2단계에서 IAP를 사용 중지했으므로 애플리케이션에 IAP 데이터가 제공되지 않습니다. 다음과 비슷한 페이지가 표시됩니다.

이전 버전의 경우 새 버전의 페이지가 표시될 때까지 몇 분 정도 기다려야 할 수 있습니다.

IAP가 사용 중지되었으므로 사용자 정보가 없습니다. 이제 IAP를 다시 사용 설정합니다.

Cloud Console 창에서 페이지 왼쪽 상단의 메뉴 아이콘을 클릭하고 보안을 클릭한 다음 IAP(Identity-Aware Proxy)를 클릭합니다. App Engine 앱 옆에 있는 IAP 전환 스위치를 클릭하여 IAP를 다시 사용 설정합니다.

페이지를 새로고침합니다. 페이지는 다음과 같이 표시됩니다.

확인된 메서드에서 제공한 이메일 주소에 accounts.google.com: 접두사가 없습니다.

IAP가 사용 중지되거나 우회되는 경우 확인된 데이터가 누락되거나 무효가 됩니다. Google의 비공개 키가 생성되지 않은 경우 유효한 서명이 유효하지 않기 때문입니다.

애플리케이션 파일 검사

이 폴더에는 2단계와 동일한 파일 세트가 포함되어 있으며 두 개의 파일이 변경되고 새 파일 하나가 추가되었습니다. 새 파일은 auth.py로, 암호화 서명 ID 정보를 검색하고 확인하는 user() 메서드를 제공합니다. 변경된 파일은 main.pytemplates/index.html이며, 이제 이 메서드의 결과를 사용합니다. 2단계에 있는 인증되지 않은 헤더도 비교에 표시됩니다.

새로운 기능은 주로 user() 함수에 있습니다.

def user():
    assertion = request.headers.get('X-Goog-IAP-JWT-Assertion')
    if assertion is None:
        return None, None

    info = jwt.decode(
        assertion,
        keys(),
        algorithms=['ES256'],
        audience=audience()
    )

    return info['email'], info['sub']

assertion는 지정된 요청 헤더에 제공되는 암호화 서명 데이터입니다. 이 코드는 라이브러리를 사용해 해당 데이터를 검증하고 디코딩합니다. 검증은 Google이 서명한 데이터를 확인하고 데이터가 준비된 잠재고객 (기본적으로 보호 중인 Google Cloud 프로젝트)을 파악하기 위해 Google에서 제공하는 공개 키를 사용합니다. 도우미 함수 keys()audience()는 이러한 값을 수집하고 반환합니다.

서명된 객체에는 확인된 이메일 주소 및 sub에서 제공되는 고유 ID 값 (구독자, 표준 필드용)이라는 두 가지 데이터가 필요합니다.

이렇게 하면 3단계가 완료됩니다.

App Engine 웹 애플리케이션을 배포했습니다. 1단계에서는 선택한 사용자만 애플리케이션에 대한 액세스를 제한했습니다. 2단계에서는 IAP가 애플리케이션에 액세스하도록 허용한 사용자의 ID를 검색하여 표시했습니다. 또한 IAP가 사용 중지되거나 우회될 경우 그러한 정보가 스푸핑될 수 있음을 확인했습니다. 3단계에서 스푸핑할 수 없는 사용자 ID의 암호화 서명 어설션을 확인했습니다.

이 Codelab에서 사용된 유일한 Google Cloud Platform 리소스는 App Engine 인스턴스입니다. 앱을 배포할 때마다 새 버전이 생성되고 삭제될 때까지 계속 유지됩니다. 프로젝트와 프로젝트 내의 모든 리소스를 삭제하려면 실습을 종료하세요.