上下文希望使用Google IAP来保护一组业务和个人客户的访问权限。在Google云中运行单个中央服务,该服务支持多个客户,因此支持多个不重叠的安全区域。为每个安全区域提供服务是不经济的。
根据//cloud.google.com/iap/docs/signed-headers-howto,可用的用户信息是他们的电子邮件和长期谷歌用户ID。但是,给定的业务安全区域可能有多个授权用户(员工)。 是否有一种简单,安全的方式从个人身份映射到某种群体身份。在理想情况下,在最初授予帐户访问权限期间,将分配安全组标识 - 业务名称,并将其作为安全标头的一部分传递。
鉴于这种多租户应用程序部署模型非常普遍,我期待Google提供它,但我无法在其文档中找到参考。任何帮助将不胜感激。 理查德
答案 0 :(得分:0)
今天没有一个好方法可以做到这一点,但我承认这是一个痛苦的差距,并且它在路线图上。 --Matthew,Google IAP Engineering