add SharedFlow for IAP securization

Author: thomasdesplaces

sharedflows/gcp-token-iap/README.md

@@ -0,0 +1,68 @@
+# Sharedflow gcp-token
+
+## Description
+
+Ce sharedflow va permettre de demander un jeton OAuth à Google en fonction du service account qui lui ai passé en paramètre.
+Une fois le token récupéré alors on le met en cache durant la durée définit dans le fichier de configuration _caches.json_ (peut être différent pour chaque environnement. Dans nos exemples cette valeur est de 10 seconde en dev, 60 secondes en test et 3500 secondes en prd).
+[Documentation Google](https://developers.google.com/identity/protocols/oauth2/service-account)
+
+## Pré-requis
+Lors de l'utilisation de ce sharedflow dans un proxy il faut d'abord prévoir :
+
+- Un sevice account qui a les droit d'appeler une API sur GCP via un IAP.
+- Le JSON de ce service account.
+- Créer une entrée dans le KVM chiffré *gcp-service-account-credentials* avec en clé le nom du projet et en valeur le contenu du JSON du service account.
+- Créer dans le proxy une variable nommée *private.credentialsjson* dont la valeur est le contenu du JSON du service account.
+
+## Fonctionnement
+
+Ce sharedflow exécute 7 policies d'affilées :
+- lc.gcp-token
+- js.extract-credentials
+- gjwt.generate-JWT
+- sc.gcp-oauth
+- ev.extract-json
+- am.add-authorization
+- pc.gcp-token
+
+### lc.gcp-token
+
+Cette policy vérifie si une valeur existe dans un cache dont le nom est composé :
+- nom de l'organisation
+- nom de l'environnement
+- nom du proxy
+- numéro de la révision
+- nom de la target
+Si une valeur est trouvée alors on instancie la valeur de la variable _google-credentials.id-token_ avec cette valeur.
+Cela permet d'éviter de demander un nouveau token si cette valeur est toujours présente (durée de cache encore valide).
+
+** Les 4 étapes suivantes ne sont exécutées que si la variable _google-credentials.id-token_ n'est pas vide.**
+
+### js.extract-credentials
+
+Cette policy permet d'extraire chaque paire clé/valeur de la variable *private.credentialsjson* (qui contient le contenu du JSON du service account).
+
+### gjwt.generate-JWT
+
+Cette policy utilise les informations récupérées pour générer un jeton JWT. Ce jeton est inscrit dans la variable *output_jwt*.
+
+### sc.gcp-oauth
+
+Cette policy demande à GCP la création d'un jeton OAuth à partir du jeton JWT généré précédemment. Ce jeton est inscrit dans la variable *callout-token*.
+
+### ev.extract-json
+
+Cette policy extrait le jeton OAuth renvoyé précédemment et crée une variable *google-credentials.id-token*.
+
+### am.add-authorization
+
+Cette policy crée une en-tête *Authorization* dont la valeur est *Bearer * + le contenu de la variable _google-credentials.id-token_.
+
+### pc.gcp-token
+
+Cette policy met en cache la valeur de la variable _google-credentials.id-token_ dans un cache dont le nom est composé :
+- nom de l'organisation
+- nom de l'environnement
+- nom du proxy
+- numéro de la révision
+- nom de la target

sharedflows/gcp-token-iap/env/dev/caches.json

@@ -0,0 +1,12 @@
+[
+    {
+      "name": "gcp-token-oauth-cache",
+      "description": "Cache For GCP OAuth SharedFlow",
+      "expirySettings": {
+          "timeoutInSec": {
+              "value": "10"
+          },
+          "valuesNull": false
+      }
+    }
+  ]

sharedflows/gcp-token-iap/env/prd/caches.json

@@ -0,0 +1,12 @@
+[
+    {
+      "name": "gcp-token-oauth-cache",
+      "description": "Cache For GCP OAuth SharedFlow",
+      "expirySettings": {
+          "timeoutInSec": {
+              "value": "3500"
+          },
+          "valuesNull": false
+      }
+    }
+  ]

sharedflows/gcp-token-iap/env/test/caches.json

@@ -0,0 +1,12 @@
+[
+    {
+      "name": "gcp-token-oauth-cache",
+      "description": "Cache For GCP OAuth SharedFlow",
+      "expirySettings": {
+          "timeoutInSec": {
+              "value": "60"
+          },
+          "valuesNull": false
+      }
+    }
+  ]

sharedflows/gcp-token-iap/pom.xml

@@ -0,0 +1,16 @@
+<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
+         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
+    <parent>
+        <groupId>com.apigee.sharedflows</groupId>
+        <artifactId>apigee-sharedflow-parent</artifactId>
+        <version>1.0</version>
+        <relativePath>../sharedflow-shared-pom.xml</relativePath>
+    </parent>
+
+    <modelVersion>4.0.0</modelVersion>
+    <groupId>com.apigee.sharedflows</groupId>
+    <artifactId>apigee-sharedflow-gcp-token-oauth</artifactId>
+    <name>gcp-token-oauth</name>
+    <version>1.0</version>
+    <packaging>pom</packaging>
+</project>

sharedflows/gcp-token-iap/sharedflowbundle/gcp-token-oauth.xml

@@ -0,0 +1,22 @@
+<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
+<SharedFlowBundle revision="1" name="gcp-token-oauth">
+    <ConfigurationVersion majorVersion="4" minorVersion="0"/>
+    <Description>Shared flow permettant de récupérer un token OAuth2 pour appeler un backend GCP</Description>
+    <DisplayName>gcp-token-oauth</DisplayName>
+    <Policies>
+        <Policy>am.create-oauth-header</Policy>
+        <Policy>ev.extract-json</Policy>
+        <Policy>gjwt.generate-JWT</Policy>
+        <Policy>js.extract-credentials</Policy>
+        <Policy>kvm.gcp-service-account</Policy>
+        <Policy>lc.gcp-token</Policy>
+        <Policy>pc.gcp-token</Policy>
+        <Policy>sc.gcp-oauth</Policy>
+    </Policies>
+    <Resources/>
+    <Spec></Spec>
+    <subType>SharedFlow</subType>
+    <SharedFlows>
+        <SharedFlow>default</SharedFlow>
+    </SharedFlows>
+</SharedFlowBundle>

sharedflows/gcp-token-iap/sharedflowbundle/policies/am.add-authorization.xml

@@ -0,0 +1,10 @@
+<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
+<AssignMessage async="false" continueOnError="false" enabled="true" name="am.add-authorization">
+    <DisplayName>am.add-authorization</DisplayName>
+    <Add>
+        <Headers>
+            <Header name="Authorization">Bearer {google-credentials.id-token}</Header>
+        </Headers>
+    </Add>
+    <IgnoreUnresolvedVariables>true</IgnoreUnresolvedVariables>
+</AssignMessage>

sharedflows/gcp-token-iap/sharedflowbundle/policies/ev.extract-json.xml

@@ -0,0 +1,11 @@
+<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
+<ExtractVariables async="false" continueOnError="false" enabled="true" name="ev.extract-json">
+    <DisplayName>ev.extract-json</DisplayName>
+    <JSONPayload>
+        <Variable name="id-token">
+            <JSONPath>$.id_token</JSONPath>
+        </Variable>
+    </JSONPayload>
+    <Source clearPayload="false">callout-token</Source>
+    <VariablePrefix>google-credentials</VariablePrefix>
+</ExtractVariables>

sharedflows/gcp-token-iap/sharedflowbundle/policies/gjwt.generate-JWT.xml

@@ -0,0 +1,14 @@
+<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
+<GenerateJWT async="false" continueOnError="false" enabled="true" name="gjwt.generate-JWT">
+    <Algorithm>RS256</Algorithm>
+    <PrivateKey>
+        <Value ref="private.private_key"/>
+    </PrivateKey>
+    <Issuer ref="private.client_email"/>
+    <Audience ref="private.token_uri"/>
+    <ExpiresIn>300s</ExpiresIn>
+    <AdditionalClaims>
+        <Claim name="scope" type="string" ref="private.iap-id" />
+    </AdditionalClaims>
+    <OutputVariable>output_jwt</OutputVariable>
+</GenerateJWT>

sharedflows/gcp-token-iap/sharedflowbundle/policies/js.extract-credentials.xml

@@ -0,0 +1,12 @@
+<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
+<Javascript async="false" continueOnError="false" enabled="true" timeLimit="200" name="js.extract-credentials">
+    <DisplayName>js.extract-credentials</DisplayName>
+    <Properties/>
+    <Source>
+        var c = context.getVariable('private.credentialsjson');
+        c = JSON.parse(c);
+        for (var prop in c) { 
+          context.setVariable('private.' + prop, c[prop]);
+        }
+    </Source>
+</Javascript>