Cloud Run で Identity-Aware Proxy (IAP) を使用し、外部のGWSアカウントや特定のgmailも許可

概要

備忘録的にまずは殴り書きです。
余裕があるときに清書します。

要件

1. CloudRunで公開しているNext.jsアプリにBasic認証をかけたい
2. しかし、それは難しい。
3. 組織としてGWSを使用しているので、そのアカウントでログインできるようにする。
4. 関連する外部にはGWSの機能制限アカウントを発行して共通で配布

手順

1. OAuth同意画面設定
   1. scopeは基本的なもののみでOK
   2. 「外部」にして「テスト」に設定
      1. IAMでユーザー指定するため、ここでのユーザー追加不要
2. ロードバランサー設定調整
   1. CDNをオフにする。オンだとIAPが使えない
3. CloudRunの設定調整
   1. 「ネットワーキング」タブでIngressの制御を「内部」に変更
      1. 「外部アプリケーション ロードバランサからのトラフィックを許可する」をチェック
   2. 「セキュリティ」タブで「未承認の呼び出しを許可」
      1. ネットワークで内部に制限されているから、未承認で問題ない。
      2. 逆に「承認が必要」だと他の設定完了してもアクセスできない。
4. IAP設定
   2. 対象のバックエンドサービスで「IAP」のトグルボタンをオン