いろいろ調べたり、聞いたりした結果、BCRAはタイトルのとおりでした。
なので、IAPの実装の仕方をここにまとめました。
#【想定しているケース】
以下の機能を実現したいお客様を想定しています。
1.BeyondCorp Remote Access を介して、GCE上のwebアプリにアクセスする。
2.同じドメインのアカウントのみアクセスする。
#【実現するために必要な機能】
・IAP
#【BeyondCorp Remote Accessに関するGoogleドキュメント】
https://cloud.google.com/solutions/beyondcorp-remote-access
#【BeyondCorp Remote Access構築の際に参考にしたサイトのURL】
https://blog.cloudnative.co.jp/2293/
#【実装手順】
1.任意のプロジェクトを作成します。
2.作成したプロジェクトにGCEでテスト用webアプリを作成します。
※GCP管理コンソールの右上にある?からチュートリアルを開くことで、GCEのテスト環境を構築する手順が表示可能です。
3.IAPを設定します。
ハンバーガーメニュー>セキュリティ>Identity-Aware Proxyをクリック
Identity-Aware ProxyのAPIを有効にします。(すでに有効になっていたら不要です)
OAuthの設定が必要になるため、「同意画面を構成」をクリック。(すでに有効になっていたら不要です)
user typeで内部を選択。(こうすることで同じドメイン内のユーザーがアクセスできるようになります。gmail.comアカウントですと、外部しか選べません。)
表示された画面の「アプリケーション名」に作成したアプリケーションの名称を入力し、保存をクリックします。(アプリケーション名は任意のもので問題ないはずです。)
IAPの画面に遷移されます。
ステータスがエラーとなっていますが、IAP列にあるスイッチをONにすることで、エラーも消えます。
GCEアプリケーションと記載されている行のチェックボックスにチェックをいれます。
画面右側にメンバーの追加画面が表示されます。
メンバーを追加をクリックし、追加したいアカウントを入力。
権限を「「Cloud IAP - IAP-secured Web App User」として保存をクリック。(保存後、少し時間がかかることがあります。)
4.IAPの動作を確認します。
作成したGCEのIPアドレスにアクセス。
Googleの認証画面が表示されるので、メンバーに追加したアカウントでログインします。
GCEに構築したテストアプリの画面が表示されれば、完了しています。
他のアカウントでログインしたり、IAPのユーザーを変更して、GCEに構築したテストアプリに接続した際、エラーになります。
5.GCEの削除
料金が発生してしまいますので、テストが完了したら作成したGCEは削除してください。