我正在使用使用GCPAPIs & Services > Credentials > OAuth 2.0 Client IDs设置的OAuth2.0客户端id的GCP项目中工作。
任何拥有属于这些项目上级组织的电子邮件地址的人都可以通过我们的OAuth2.0 OpenID Connect登录页面登录。
是否可以限制哪些个人可以登录?这将是非常方便的,例如,定义一个Google组(让我们称之为"组1"),然后向该组添加特定的用户。然后,我们可以有一个特定的项目(称之为"项目1"),要求用户属于"组1";以登录"项目1"。如果用户不属于任何组或属于"组2",则他们将无法登录"项目1"。
-
如果用户没有IAM角色/权限,他们可以对您的应用程序进行身份验证,并且可以做什么都不做谷歌云。您是否混淆了身份验证和授权?您可以根据每个用户控制对Google Cloud的访问。为用户打开或关闭Google Cloud Platform
-
是的,Google Cloud支持组。您可以将身份添加到组中,以便进行组角色管理。管理Cloud Console中的组
-
用户不登录组。他们可以是组的成员,并拥有这些权限。
[问题修改后的更新]
Google Cloud不提供应用程序级授权。您必须在应用程序或框架内实现访问控制。
从OIDC或OAuth的角度。
是否可以限制哪些个人可以登录?
OAuth 2.0是关于委托来限制应用程序可以代表用户做什么;尽管建立在OAuth 2.0上的OIDC将身份验证作为流程的一部分,但只有在流程中,用户才能将权限(OAuth 2.0中的范围)委派给应用程序。
您当然可以有单独的作用域(对于Project 1和Project 2),为两个不同的应用程序授予委托访问的作用域。
另外,通常您应该只授予正向访问范围,而拒绝所有其他访问范围。(即"用户不属于…"),如果你没有范围"项目1",你不能访问资源。