Authentifier les utilisateurs

Pour authentifier les utilisateurs dans des applications Google Cloud, Google propose les méthodes suivantes:

Service d'authentification Objectif
Firebase Authentication Ce service propose plusieurs options d'authentification des utilisateurs, y compris via Google, Facebook et Twitter. Il peut également gérer un grand nombre d'utilisateurs tout en conservant le minimum de code possible.
Google Sign-In Google Sign-In permet de se connecter avec des comptes Gmail et Google Workspace, et accepte également les mots de passe à usage unique (OTP). Il s'agit de la méthode la plus simple pour gérer les comptes Google exclusifs ou les comptes Google dans un système de connexion existant.
OAuth 2.0 et OpenID Connect OpenID Connect permet de gérer et d'utiliser des jetons d'authentification à tous les niveaux, de façon extrêmement personnalisée.
Google Cloud Identity Platform Identity Platform est une plate-forme de gestion de l'authentification et des accès client (CIAM) qui permet aux entreprises d'intégrer une fonctionnalité de gestion de l'authentification et des accès à leurs applications. Cette option est idéale pour les utilisateurs qui souhaitent être leurs propres fournisseurs d'identité.
API Users L'API Users est l'un des anciens services groupés utilisés pour authentifier les comptes Google et Google Workspace. Cette API intégrée n'est disponible que dans App Engine.
Identity-Aware Proxy (IAP) IAP vous permet de contrôler l'accès à vos services App Engine avant que les requêtes n'atteignent les ressources de votre application. IAP vous permet d'établir une couche d'autorisation centrale pour les applications. Il sécurise les applications à l'aide d'en-têtes signés ou de l'API Users d'App Engine. Contrairement aux autres services d'authentification de ce tableau, IAP effectue l'authentification avant que votre application ne soit accessible. Les autres options de cette page mettent en œuvre l'authentification dans votre application.

Firebase Authentication

Firebase Authentication offre un système d'authentification complet, robuste et sécurisé permettant à vos utilisateurs de se connecter avec n'importe quel compte. En plus de la connexion fédérée via Google, Facebook, Twitter, etc., Firebase Authentication permet l'authentification par mot de passe, facilitant ainsi l'adaptation de votre système d'authentification au développement d'applications de bureau ou mobiles.

Firebase Authentication est le moyen le plus simple de configurer l'authentification des utilisateurs pour une application Google App Engine. Pour en savoir plus sur Firebase Authentication, consultez les ressources ci-dessous :

  • Le tutoriel Web consacré à Firebase explique comment utiliser Firebase sur un site Web, y compris comment se connecter en utilisant Google en tant que fournisseur d'identité.

  • Dans les applications de démarrage rapide Firebase, vous trouverez la procédure à suivre pour intégrer Firebase à plusieurs plates-formes, à l'aide d'exemples de connexion fédérée et de connexion par nom d'utilisateur/mot de passe. Les exemples illustrent l'utilisation de Firebase Authentication avec le SDK JavaScript, ainsi que sur iOS et Android.

Google Sign-In

Si vous souhaitez ajouter un bouton de connexion Google sur votre site Web ou dans votre application, ou si vous utilisez la console d'administration Google pour votre domaine et que vous voulez authentifier les utilisateurs avec ce mode de connexion, vous pouvez utiliser la fonctionnalité Google Sign-In, la bibliothèque cliente de connexion proposée par Google et basée sur les protocoles OAuth 2.0 et OpenID Connect.

Google Sign-In est disponible pour les applications Web, iOS et Android.

OAuth 2.0 et OpenID Connect

Google Sign-in est basée sur le déploiement OAuth 2.0 de Google, conforme à la spécification OpenID Connect et certifiée OpenID.

OpenID Connect est une couche d'identité située au-dessus du protocole OAuth 2.0. Votre application peut l'utiliser pour récupérer les informations de profil utilisateur.

Identity Platform

Identity Platform fournit un service d'authentification et d'identité prêt à l'emploi et personnalisable pour l'inscription et la connexion des utilisateurs. Identity Platform est compatible avec plusieurs méthodes d'authentification (SAML, OIDC, e-mail/mot de passe, réseaux sociaux, téléphone et authentification personnalisée) et propose des options d'intégration flexibles pour toutes les solutions d'authentification. Exploitant la portée mondiale, les performances, le réseau et la sécurité de Google Cloud, Identity Platform intègre un service d'assistance et un contrat de niveau de service pour les entreprises, afin de répondre aux exigences de presque tous les services et applications.

Identity Platform dispose de son propre système d'identité d'utilisateur. Si vous utilisez déjà Google Workspace pour votre domaine et que vous souhaitez authentifier les utilisateurs avec ce mode de connexion, vous devez utiliser Google Sign-In.

Pour en savoir plus sur l'intégration d'Identity Platform à App Engine, consultez le guide pratique de connexion des utilisateurs sur App Engine.

API Users

L'API Users permet à une application d'exécuter les tâches suivantes :

  • Détecter si l'utilisateur actuel est connecté
  • Rediriger l'utilisateur vers la page de connexion appropriée
  • Demander à l'utilisateur de créer un compte Google s'il n'en possède pas déjà un

Lorsqu'un utilisateur est connecté à l'application, cette dernière peut accéder à son adresse e-mail. L'application peut également détecter si l'utilisateur actuel est un administrateur, ce qui facilite la mise en œuvre de zones réservées aux administrateurs dans l'application.

Pour en savoir plus, consultez la page de présentation de l'API Users.

Identity-Aware Proxy (IAP)

IAP protège et sécurise votre application en ajoutant une couche d'authentification et d'autorisation devant vos ressources, pour les requêtes externes entrantes. IAP ne protège pas contre les activités au sein d'un projet, comme un autre service App Engine dans le même projet. Les utilisateurs non autorisés à accéder à votre application n'ont pas accès à votre application App Engine.

Les services ou applications protégés par IAP ne sont accessibles qu'aux comptes principaux dotés du rôle IAM (Identity and Access Management) approprié. Lorsqu'un utilisateur tente d'accéder à une ressource sécurisée par IAP, des vérifications d'authentification et d'autorisation sont effectuées. Pour savoir comment IAP sécurise les ressources de votre application, consultez la page Présentation d'IAP.

Vous pouvez activer IAP pour l'ensemble de votre application, ou pour des services ou des versions spécifiques de votre application. Consultez le Guide de démarrage rapide d'IAP pour apprendre à configurer IAP pour vos ressources App Engine.