Pour authentifier les utilisateurs dans des applications Google Cloud, Google propose les méthodes d'authentification des utilisateurs suivantes :
| Service d'authentification | Résumé |
|---|---|
| Identity Platform (recommandé) | Authentifiez les utilisateurs à l'aide de mots de passe, de numéros de téléphone, de fournisseurs d'identité fédérés populaires tels que Google, Facebook, Twitter et de tout autre fournisseur compatible avec le protocole SAML ou OpenID Connect. La solution offre des fonctionnalités d'entreprise telles que l'authentification multifacteur, l'authentification unique OIDC et SAML, la mutualisation, une garantie de disponibilité de 99,95 %, et bien plus encore. Méthode recommandée pour démarrer un nouveau projet. Vous pouvez donc utiliser les fonctionnalités d'Identity Platform et les anciennes fonctionnalités de Firebase Authentication. |
| Firebase Authentication | Authentifiez les utilisateurs à l'aide de différentes options d'authentification, y compris via Google, Facebook et Twitter. Firebase Authentication permet de gérer le plus grand nombre d'utilisateurs tout en conservant le minimum de code possible. Méthode recommandée pour déployer une solution en quelques étapes seulement. |
| Google Identity Services pour le Web | Authentifiez les utilisateurs à l'aide des comptes utilisateur Google dans Gmail et Google Workspace. Méthode recommandée pour accepter les comptes Google exclusifs ou les comptes Google dans un système de connexion existant |
| OAuth 2.0 et OpenID Connect | Fournit une identité fédérée auprès du fournisseur de votre choix, y compris Google. Méthode recommandée si vous souhaitez créer vous-même le protocole d'authentification des utilisateurs. |
| Identity-Aware Proxy (IAP) | Fournit l'authentification en ajoutant une couche de validation IAM (Identity and Access Management) au-dessus de votre application App Engine. IAP vous permet de contrôler l'accès à vos services App Engine avant que les requêtes n'atteignent les ressources de votre application. Par conséquent, IAP ne convient pas pour se protéger contre l'activité au sein du même projet Google Cloud. Méthode recommandée si vous souhaitez utiliser des comptes Google et IAM pour contrôler l'accès des utilisateurs. |
Identity Platform
Identity Platform est une plate-forme de gestion de l'authentification et des accès client (CIAM) qui permet aux entreprises de personnaliser l'identité et l'authentification pour l'inscription et la connexion des utilisateurs dans leurs applications. Identity Platform est compatible avec plusieurs méthodes d'authentification (SAML, OIDC, e-mail/mot de passe, réseaux sociaux, téléphone et authentification personnalisée) et propose des options d'intégration flexibles pour toutes les solutions d'authentification. Exploitant la portée mondiale, les performances, le réseau et la sécurité de Google Cloud, Identity Platform intègre un service d'assistance et un contrat de niveau de service pour les entreprises, afin de répondre aux exigences de presque tous les services et applications.
Cette solution est optimale pour la plupart des utilisateurs qui souhaitent disposer d'options d'authentification flexibles basées sur des fonctionnalités et des contrats de niveau de service fiables et professionnels.
Identity Platform dispose de son propre système d'identité d'utilisateur. Si vous utilisez déjà Google Workspace pour votre domaine et que vous souhaitez authentifier les utilisateurs avec ce mode de connexion, vous devez utiliser Google Identity Services pour le Web.
Pour en savoir plus sur l'intégration d'Identity Platform à App Engine, consultez le guide pratique de connexion des utilisateurs sur App Engine.
Firebase Authentication
Firebase Authentication fournit un service d'authentification et d'identité prêt à l'emploi et personnalisable pour l'inscription et la connexion des utilisateurs. Semblable à Identity Platform, Firebase Authentication accepte plusieurs méthodes d'authentification (SAML, OIDC, e-mail/mot de passe, réseaux sociaux, mobile et authentification personnalisée) et fournit des options d'intégration flexibles pour toutes les solutions d'authentification.
Firebase Authentication diffère d'Identity Platform, car il n'offre pas certaines fonctionnalités d'entreprise. Pour en savoir plus, consultez la section Différences entre Identity Platform et Firebase Authentication.
Cette solution est préférable si vous souhaitez configurer la méthode la plus légère pour configurer l'authentification des utilisateurs pour une application App Engine. Pour de nombreux utilisateurs, Firebase Authentication est le moyen le plus rapide de mettre en œuvre ou de tester l'authentification.
Pour en savoir plus sur Firebase Authentication, consultez les ressources ci-dessous :
Le tutoriel Web consacré à Firebase explique comment utiliser Firebase sur un site Web, y compris comment se connecter en utilisant Google en tant que fournisseur d'identité.
Dans les applications de démarrage rapide Firebase, vous trouverez la procédure à suivre pour intégrer Firebase à plusieurs plates-formes, à l'aide d'exemples de connexion fédérée et de connexion par nom d'utilisateur/mot de passe. Les exemples illustrent l'utilisation de Firebase Authentication avec le SDK JavaScript, ainsi que sur iOS et Android.
Google Identity Services pour le Web
Google Identity Services pour le Web est une bibliothèque cliente de connexion pour Google basée sur les protocoles OAuth 2.0 et OpenID Connect. La solution permet de se connecter rapidement et facilement grâce à un bouton "Se connecter avec Google" sur votre site Web ou dans votre application.
Cette solution est préférable si vous souhaitez authentifier les utilisateurs en fonction de leur compte Google ou si vous utilisez la console d'administration Google pour votre domaine.
OAuth 2.0 et OpenID Connect
OpenID Connect est une couche d'identité en complément du protocole OAuth 2.0. Google propose une mise en œuvre OAuth 2.0 conforme à la spécification OpenID Connect et certifiée OpenID. Sachez qu'il existe également plusieurs autres fournisseurs.
Cette solution est préférable si vous souhaitez une personnalisation totale et un contrôle de votre mise en œuvre d'authentification.
Pour plus d'informations, consultez la page OpenID Connect.
Identity-Aware Proxy (IAP)
Contrairement aux autres options d'authentification qui mettent en œuvre l'authentification au sein de votre application, IAP protège et sécurise votre application en ajoutant une couche d'authentification et d'autorisation IAM devant vos ressources. Cette couche vérifie les requêtes externes entrantes avant que l'application ne soit accessible. Les utilisateurs non autorisés à accéder à votre application n'ont pas accès à votre application App Engine.
Vous pouvez activer IAP pour l'ensemble de votre application, ou pour des services ou des versions spécifiques de votre application. Seuls les comptes principaux disposant du rôle IAM approprié peuvent accéder aux services ou applications protégés par IAP. Lorsqu'un utilisateur tente d'accéder à une ressource sécurisée par IAP, des vérifications d'authentification et d'autorisation sont effectuées. Pour savoir comment IAP sécurise les ressources de votre application, consultez la page Présentation d'IAP.
IAP ne protège pas contre les activités au sein d'un projet, comme un service App Engine accédant à un autre service du projet.
Cette solution est préférable si vous souhaitez utiliser des comptes utilisateur Google et IAM pour autoriser l'accès des utilisateurs.
Pour apprendre à configurer IAP pour vos ressources App Engine, consultez le guide de démarrage rapide d'IAP.
Autres services d'authentification
Auth0 permet l'authentification via divers fournisseurs d'identité et des fonctionnalités d'authentification unique.