# 📌 Autenticación de Usuario: Proxy Consciente de Identidad (Identity-Aware Proxy - IAP)

## Introducción

Este laboratorio te guiará en la construcción de una aplicación web mínima utilizando **Google App Engine** y en la configuración de **Identity-Aware Proxy (IAP)** para restringir el acceso y obtener información de identidad del usuario. Este enfoque es clave para proteger sistemas empresariales, como los usados en contabilidad, asegurando que solo usuarios autorizados accedan a datos financieros sensibles.

💡 **Beneficio empresarial**: **IAP** actúa como un portero digital que verifica la identidad de los usuarios, similar a restringir el acceso a un sistema contable para evitar fraudes o accesos no autorizados.

Para más información, consulta la [Documentación de Google Cloud IAP](https://cloud.google.com/security/products/iap?hl=es_419).

## 🚀 Objetivos de Aprendizaje

- Escribir y desplegar una aplicación simple en **App Engine** usando **Python**.
- Habilitar y deshabilitar **IAP** para restringir el acceso.
- Obtener información de identidad del usuario desde **IAP**.
- Verificar criptográficamente la información de **IAP** para evitar suplantación.

💡 **Contexto empresarial**: Estos objetivos te permiten configurar sistemas seguros para aplicaciones financieras, asegurando que solo contadores o auditores autorizados accedan a reportes o módulos contables.

## 📋 Prerrequisitos

- Conocimientos básicos de **Python** (recomendado, pero no obligatorio).
- Familiaridad con **Google Cloud Console** y **Cloud Shell**.

💡 **Contexto empresarial**: No necesitas ser un experto en programación, pero entender los conceptos básicos de Python es útil, como saber leer un balance financiero para configurar un sistema contable.

## 🔒 Conceptos Clave

### ¿Qué es Identity-Aware Proxy (IAP)?
**IAP** es un servicio de **Google Cloud** que:
- Intercepta solicitudes web a tu aplicación.
- Autentica al usuario mediante **Google Identity Service**.
- Permite el acceso solo a usuarios autorizados.
- Modifica las cabeceras HTTP para incluir información del usuario autenticado.

💡 **Contexto empresarial**: **IAP** es como un sistema de autenticación para un ERP contable, asegurando que solo usuarios con credenciales válidas accedan a módulos financieros.

## 🚀 Comandos Iniciales en Cloud Shell

Configura tu entorno en **Cloud Shell** para comenzar el laboratorio.

### 1. Verificar cuenta activa

In [None]:
gcloud auth list

**Explicación del comando**:  
- `gcloud auth list`: Muestra las cuentas autenticadas en **Cloud Shell**, asegurando que usas las credenciales correctas.  
💡 **Contexto empresarial**: Similar a verificar que el usuario que accede a un sistema contable tiene permisos válidos.

### 2. Verificar proyecto activo

In [None]:
gcloud config list project

**Explicación del comando**:  
- `gcloud config list project`: Muestra el ID del proyecto activo, necesario para asociar recursos como **App Engine**.  
💡 **Contexto empresarial**: Como confirmar el centro de costo o departamento al que se asignan los recursos en un sistema contable.

### 3. Descargar código del laboratorio

In [None]:
gsutil cp gs://spls/gsp499/user-authentication-with-iap.zip .

**Explicación del comando**:  
- `gsutil cp`: Copia archivos desde **Google Cloud Storage** al entorno local de **Cloud Shell**.  
- `gs://spls/gsp499/user-authentication-with-iap.zip`: Ruta del archivo ZIP en **Cloud Storage**.  
- `.`: Directorio actual como destino.  
💡 **Contexto empresarial**: Como descargar un archivo de configuración contable desde un repositorio central seguro.

### 4. Descomprimir el archivo

In [None]:
unzip user-authentication-with-iap.zip

**Explicación del comando**:  
- `unzip`: Descomprime el archivo ZIP descargado.  
💡 **Contexto empresarial**: Como extraer un archivo de reportes financieros comprimido para trabajar con él.

### 5. Cambiar al directorio del proyecto

In [None]:
cd user-authentication-with-iap

**Explicación del comando**:  
- `cd`: Cambia al directorio descomprimido que contiene los archivos del laboratorio.  
💡 **Contexto empresarial**: Como abrir una carpeta específica de un proyecto contable para trabajar en él.

## 🚀 Tarea 1: Desplegar la Aplicación y Protegerla con IAP

### Paso 1: Revisar el Código de la Aplicación

La aplicación está escrita en **Python** usando **Flask** y contiene los siguientes archivos:
- `main.py`: Lógica principal de la aplicación.
- `templates/index.html`: Página de bienvenida.
- `app.yaml`: Configuración para **App Engine**.

💡 **Contexto empresarial**: Estos archivos son como los módulos de un sistema contable: la lógica (main.py), la interfaz (index.html) y la configuración (app.yaml) trabajan juntos para garantizar un acceso seguro.

### Paso 2: Desplegar en App Engine

#### 1. Actualizar la versión de Python

In [None]:
sed -i 's/python37/python39/g' app.yaml

**Explicación del comando**:  
- `sed -i`: Modifica el archivo `app.yaml` en el lugar.  
- `s/python37/python39/g`: Reemplaza `python37` por `python39` para actualizar la versión de Python.  
💡 **Contexto empresarial**: Como actualizar un sistema contable a una versión más reciente para garantizar compatibilidad.

#### 2. Desplegar la aplicación

In [None]:
gcloud app deploy

**Explicación del comando**:  
- `gcloud app deploy`: Despliega la aplicación en **App Engine**. Selecciona una región (ej. `us-central`) y confirma con `Y`.  
💡 **Contexto empresarial**: Como publicar un nuevo módulo contable para que esté disponible en la nube.

#### 3. Verificar el despliegue

In [None]:
gcloud app browse

**Explicación del comando**:  
- `gcloud app browse`: Abre la aplicación desplegada en el navegador. Si no se abre, copia y pega la URL manualmente.  
💡 **Contexto empresarial**: Como abrir un reporte financiero en un sistema ERP para verificar que esté disponible.

### Paso 3: Restringir Acceso con IAP

#### Configurar IAP en Google Cloud Console
1. Ve a **Menú de Navegación > Seguridad > Identity-Aware Proxy**.
2. Haz clic en **ENABLE API**.
3. Haz clic en **GO TO IDENTITY-AWARE PROXY**.
4. Configura la pantalla de consentimiento:
   - Haz clic en **CONFIGURE CONSENT SCREEN** > **GET STARTED**.
   - **App name**: Ingresa `IAP Example`.
   - **User support email**: Selecciona tu correo de estudiante y haz clic en **Next**.
   - **Audience**: Selecciona **Internal** y haz clic en **Next**.
   - **Contact information**: Pega tu nombre de usuario.
   - Acepta la política de datos y haz clic en **Continue** > **Create**.
5. Deshabilita la API de **App Engine Flex**:
   - En **Cloud Shell**, ejecuta:

In [None]:
gcloud services disable appengineflex.googleapis.com

**Explicación del comando**:  
- `gcloud services disable`: Deshabilita la API de **App Engine Flex** para asegurar compatibilidad con **IAP**.  
💡 **Contexto empresarial**: Como desactivar una función innecesaria en un sistema contable para evitar conflictos.

6. En la página de **Identity-Aware Proxy**, actualiza y activa **IAP** para la aplicación de **App Engine**:
   - Haz clic en el interruptor en la columna **IAP**.
   - Confirma con **Turn On**.

#### Verificar que IAP está activado
1. Abre la URL de la aplicación en un navegador.
   - **Resultado esperado**: Verás una pantalla de "Iniciar sesión con Google".
   - Si inicias sesión con tu cuenta de Google Cloud, aparecerá un mensaje de "Acceso denegado" (porque aún no has otorgado permisos).

2. Dar acceso a usuarios autorizados:
   - Ve a **Google Cloud Console > Seguridad > Identity-Aware Proxy**.
   - Selecciona la aplicación de **App Engine**.
   - Haz clic en **Agregar principal**.
   - Ingresa tu correo electrónico.
   - Asigna el rol **Cloud IAP > Usuario de aplicación web protegida por IAP**.
   - Haz clic en **Guardar**.

3. Prueba el acceso nuevamente:
   - Recarga la página de la aplicación.
   - Si no funciona, añade `/_gcp_iap/clear_login_cookie` a la URL (ej. `https://tu-app.appspot.com/_gcp_iap/clear_login_cookie`) y vuelve a iniciar sesión.
   - **Resultado esperado**: Ahora deberías ver la página de bienvenida.

4. Verifica que usuarios no autorizados no puedan entrar:
   - Usa un navegador en modo incógnito o una cuenta no autorizada.
   - **Resultado esperado**: Mensaje de "No tienes acceso".

💡 **Contexto empresarial**: **IAP** asegura que solo usuarios autorizados (como contadores) accedan a sistemas financieros, similar a restringir el acceso a un módulo de nóminas en un ERP.

## 🚀 Tarea 2: Acceso a Información de Identidad del Usuario con IAP

### Objetivo
Obtener y mostrar el correo electrónico y el ID único del usuario autenticado mediante **IAP**.

### Pasos
#### 1. Cambiar al directorio del proyecto

In [None]:
cd ~/user-authentication-with-iap/2-HelloUser

**Explicación del comando**:  
- `cd`: Cambia al directorio que contiene el código para esta tarea.  
💡 **Contexto empresarial**: Como abrir una carpeta específica de un proyecto contable para trabajar en un módulo.

#### 2. Actualizar la versión de Python

In [None]:
sed -i 's/python37/python39/g' app.yaml

**Explicación del comando**:  
- Actualiza `app.yaml` para usar Python 3.9.  
💡 **Contexto empresarial**: Como actualizar un sistema contable para garantizar compatibilidad con nuevas normativas.

#### 3. Desplegar la aplicación

In [None]:
gcloud app deploy

**Explicación del comando**:  
- Despliega la aplicación actualizada en **App Engine**. Confirma con `Y` y selecciona una región.  
💡 **Contexto empresarial**: Como publicar un nuevo reporte financiero en un sistema ERP.

#### 4. Obtener datos del usuario
El archivo `main.py` recupera los datos del usuario desde las cabeceras HTTP proporcionadas por **IAP**:

In [None]:
user_email = request.headers.get('X-Goog-Authenticated-User-Email')
user_id = request.headers.get('X-Goog-Authenticated-User-ID')
page = render_template('index.html', email=user_email, id=user_id)

**Explicación del código**:  
- `X-Goog-Authenticated-User-Email`: Cabecera con el correo del usuario autenticado (ej. `accounts.google.com:correo@empresa.com`).  
- `X-Goog-Authenticated-User-ID`: Cabecera con el ID único del usuario.  
- `render_template`: Renderiza la página `index.html` con los datos del usuario.  
💡 **Contexto empresarial**: Como mostrar el nombre del contador que inició sesión en un sistema ERP.

#### 5. Visualización en index.html
El archivo `templates/index.html` muestra los datos:

In [None]:
Hello, {{ email }}! Your persistent ID is {{ id }}

**Explicación del código**:  
- Usa la sintaxis de **Flask** para mostrar el correo y el ID en la página web.  
💡 **Contexto empresarial**: Como personalizar un reporte financiero con el nombre del usuario que lo generó.

#### 6. Probar la aplicación

In [None]:
gcloud app browse

**Explicación del comando**:  
- Abre la aplicación en el navegador para verificar que muestra el correo y el ID del usuario.  
💡 **Contexto empresarial**: Como verificar que un reporte financiero muestra los datos correctos.

## 🚀 Tarea 3: Uso de Verificación Criptográfica

### ¿Por qué es importante la verificación criptográfica?
La verificación criptográfica asegura que los datos de identidad provienen de **IAP** y no han sido manipulados, similar a validar la autenticidad de una factura con una firma digital.

💡 **Contexto empresarial**: Como auditar un documento financiero para confirmar que no ha sido alterado.

#### Pasos
1. Cambiar al directorio del proyecto

In [None]:
cd ~/user-authentication-with-iap/3-HelloVerifiedUser

**Explicación del comando**:  
- Cambia al directorio con el código para verificación criptográfica.  
💡 **Contexto empresarial**: Como abrir una carpeta con documentos auditados.

2. Actualizar la versión de Python

In [None]:
sed -i 's/python37/python39/g' app.yaml

**Explicación del comando**:  
- Actualiza `app.yaml` para usar Python 3.9.  
💡 **Contexto empresarial**: Como actualizar un sistema contable para cumplir con nuevas normativas.

3. Desplegar la aplicación

In [None]:
gcloud app deploy

**Explicación del comando**:  
- Despliega la aplicación con verificación criptográfica. Confirma con `Y`.  
💡 **Contexto empresarial**: Como publicar un reporte financiero auditado.

#### 4. Revisión de archivos
Los archivos actualizados incluyen:
- `auth.py`: Contiene la función `user()` para verificar criptográficamente la identidad.
- `main.py`: Usa `user()` para obtener datos verificados.
- `templates/index.html`: Muestra datos verificados.

#### 5. Lógica de la función `user()`

In [None]:
def user():
    assertion = request.headers.get('X-Goog-IAP-JWT-Assertion')
    if assertion is None:
        return None, None
    info = jwt.decode(
        assertion,
        keys(),
        algorithms=['ES256'],
        audience=audience()
    )
    return info['email'], info['sub']

**Explicación del código**:  
- `X-Goog-IAP-JWT-Assertion`: Cabecera con un token JWT firmado por **IAP**.  
- `jwt.decode`: Valida el token usando claves públicas de Google y el algoritmo ES256.  
- `info['email']`, `info['sub']`: Devuelve el correo y el ID verificados.  
💡 **Contexto empresarial**: Como verificar la firma digital de un documento financiero para confirmar su autenticidad.

#### 6. Probar la verificación criptográfica

In [None]:
gcloud app browse

**Explicación del comando**:  
- Abre la aplicación para verificar que muestra el correo y el ID verificados.  
💡 **Contexto empresarial**: Como revisar un reporte auditado para confirmar su validez.

#### 7. Comportamiento sin IAP
- Desactiva **IAP** en **Google Cloud Console > Seguridad > Identity-Aware Proxy**.
- Resultado: La página muestra `ID is None`, ya que no hay datos verificados.

#### 8. Reactivar IAP
- Activa **IAP** nuevamente y recarga la página.
- Resultado: La página muestra el correo y el ID del usuario sin el prefijo `accounts.google.com`, ya que los datos están verificados criptográficamente.

💡 **Contexto empresarial**: La verificación criptográfica asegura que solo usuarios legítimos accedan a sistemas financieros, evitando fraudes.

## 🔐 Documento Técnico: Funcionamiento de Identity-Aware Proxy (IAP)

### 1. Introducción
**IAP** protege aplicaciones verificando identidades y restringiendo accesos, similar a un sistema de autenticación para un ERP contable.

### 2. Estructura de la Aplicación
- **main.py**: Lógica del servidor.
- **templates/index.html**: Interfaz de usuario.
- **auth.py** (en Tarea 3): Verificación criptográfica.

### 3. Riesgos sin IAP
#### Simulación de un ataque

In [None]:
curl -X GET <URL-de-tu-app> -H "X-Goog-Authenticated-User-Email: totally fake email"

**Explicación del comando**:  
- `curl`: Envía una solicitud HTTP con un correo falso.  
- Resultado sin **IAP**: La aplicación muestra el correo falso, lo que representa un riesgo de suplantación.  
💡 **Contexto empresarial**: Como permitir que un usuario no autorizado falsifique su identidad en un sistema contable.

### 4. Cuadro resumen
| Concepto | Explicación Técnica | Analogía Contable |
|----------|--------------------|------------------|
| **Cabeceras IAP** | `X-Goog-Authenticated-User-Email` y `...-User-ID` verifican al usuario. | Login auditado en un ERP. |
| **Sin IAP** | Cualquier usuario accede sin restricciones. | Hoja de cálculo financiera sin contraseña. |
| **Falsificación de identidad** | Con `curl`, se puede enviar un correo falso. | Suplantar un usuario en un software contable. |
| **Solución recomendada** | Usar verificación criptográfica. | Autenticación de dos factores en sistemas financieros. |

### 5. Cuadro resumen de verificación criptográfica
| Elemento | Descripción |
|----------|-------------|
| **Objetivo** | Validar que los datos provienen de IAP. |
| **Encabezado usado** | `X-Goog-IAP-JWT-Assertion`. |
| **Archivo nuevo** | `auth.py` con función `user()`. |
| **Función user()** | Extrae y verifica la firma, devuelve email e ID. |
| **Claves públicas** | Obtenidas dinámicamente de Google. |
| **Datos validados** | Correo electrónico (`email`) e ID único (`sub`). |
| **Prueba sin IAP** | Página muestra `ID is None`. |
| **Prueba con IAP** | Página muestra email e ID verificados. |
| **Analogía contable** | Validar una factura con firma digital. |

Para más información, consulta la [Documentación de Google Cloud IAP](https://cloud.google.com/security/products/iap?hl=es_419).

## 🚀 Conclusión

Este laboratorio te ha guiado en la configuración de una aplicación en **App Engine** protegida con **IAP**, desde el despliegue hasta la verificación criptográfica de identidades. Estas habilidades son esenciales para proteger sistemas financieros, asegurando que solo usuarios autorizados accedan a datos sensibles y que las identidades sean válidas.

💡 **Beneficio empresarial**: **IAP** proporciona una capa de seguridad robusta para aplicaciones contables, similar a implementar autenticación de dos factores y auditorías en un ERP, reduciendo riesgos de fraude y mejorando el cumplimiento normativo.