Google Cloud Identity Aware Proxy (IAP) 強制注銷

Question

我正在嘗試找出如何注銷使用 Google IAP 背后的應用程序的用戶

最終目標是能夠讓用戶直接回到他們第一次訪問網站時完成的初始過程（即他們在再次登錄之前無法訪問我的應用程序）

我查看了文檔，我只能看到https://cloud.google.com/iap/docs/special-urls-howto的“清除用戶登錄”部分

但是，當用戶被重定向到 /_gcp_iap/clear_login_cookie 時，這會將 GCP_IAAP_AUTH_TOKEN cookie 設置為無，然后將用戶重定向到我的應用程序的根目錄。 請求 / 然后將用戶重定向到https://accounts.google.com/o/oauth2/v2/auth （包括許多獲取參數），然后將用戶重定向到 /_gcp_gatekeeper/authenticate，這然后再次設置 GCP_IAAP_AUTH_TOKEN cookie，最后將用戶返回到我的應用程序（現在重新登錄就好像什么都沒發生一樣）

這里的問題可能是用戶仍然登錄到其他谷歌帳戶應用程序嗎？ （例如谷歌雲控制台，gmail 等）

我想知道我是否可以將 GCP_IAAP_AUTH_TOKEN cookie 值發送到https://accounts.google.com/o/oauth2/revoke?token= token ，但是這似乎被 IAP 負載均衡器剝離了

對此表示感謝的任何和所有幫助。

Answer 1

您看到的是 clear_login_cookie 清除了IAP登錄 cookie，但它無意對用戶仍登錄到 Google 的事實做任何事情。

我們確實有一項即將推出的更改，它將強制用戶在 clear_login_cookie 后返回到帳戶選擇屏幕。 您可以通過訪問https://myaccount.google.com/permissions並在該列表中單擊您的應用程序，選擇“刪除訪問權限”，然后訪問 clear_login_cookie 來預覽這將是什么樣子。

不過，我不確定這是否是您要找的。 你能告訴我更多關於你的目標是什么嗎？

--Matthew，谷歌雲 IAP

Answer 2

我知道這已經有一段時間了，但也許它可以幫助將來的人：我們有類似的問題，我們想基本上實現“帳戶切換”——所以當用戶點擊“退出”時，我們不想簽那個人自動返回並只顯示可用的提供者。 這有點像你所說的“初始狀態”。

所以經過多次尋找，我找到了這個資源https://cloud.google.com/iap/docs/external-identity-sessions#signing_users_out

它描述了使用?gcp-iap-mode=GCIP_SIGNOUT查詢參數來注銷 IAP，它解決了我們的問題。