Google Cloud平台是否提供应用程序级授权功能？

Question

我正在研究使用使用GCP APIS设置的OAuth2.0客户端IDS的GCP项目。服务＆GT;凭据＆gt; OAuth 2.0客户端ID。

属于这些项目的父母组织的电子邮件地址的任何人都可以通过我们的OAuth2.0 OpenID Connect登录页面登录。

是否可以限制哪些人可以登录？例如，定义Google组（我们称其为“组1”），然后将特定用户添加到该组将非常方便。然后，我们可以有一个特定的项目（称其为“项目1”）要求用户在“组1”中以登录“项目1”。如果用户不属于任何组或属于“组2”，则他们将无法登录“项目1”。

Answer 1

1. 如果用户没有IAM角色/权限，则可以对您的应用程序进行身份验证，并且能够使用Google Cloud进行 。您是否将身份验证与授权混淆？您可以以每个用户为基础控制对Google Cloud的访问。 将Google cloud Platforn打开或关闭用于用户的Google Cloud Platform < /p>

2. < P>是的，Google Cloud支持组。您可以将身份添加到小组中以进行小组角色管理。 在云控制台中管理组

3. 登录组。他们可以是团体的成员并承担这些权限。

[AFTER问题修改]

Google Cloud不提供应用程序级授权。您必须在应用程序或框架内实现访问控件。

Answer 2

从OIDC或OAUTH的角度来看。

是否可以限制哪些人可以登录？

OAuth 2.0是关于委派的，以限制应用代表用户可以做的事情；
尽管在OAuth 2.0上构建的OIDC作为流程的一部分具有身份验证，但仅用于流量，仅用于用户将权限（OAuth 2.0中的范围）委派给应用程序。

当然，您可以拥有单独的范围（对于项目1和项目2），这些范围将授予对两个不同应用程序的授权访问权限。

同样，通常，您应该仅授予访问权限的积极范围，而所有其他人则被拒绝。 （即“用户不属于...”）是如果您没有范围“项目1”，则无法访问资源。