Per autenticare gli utenti nelle applicazioni Google Cloud, Google offre i seguenti metodi di autenticazione utente:
| Servizio di autenticazione | Riepilogo |
|---|---|
| Identity Platform (consigliato) | Autentica gli utenti utilizzando password, numeri di telefono, provider di identità federati comuni come Google, Facebook, Twitter e qualsiasi provider che supporti il protocollo SAML o OpenID Connect. Offre funzionalità aziendali, tra cui autenticazione a più fattori, supporto di SSO OIDC e SAML, multitenancy, SLA del 99,95% e altro ancora. Il metodo consigliato per l'avvio di un nuovo progetto, in modo da poter utilizzare le funzionalità di Identity Platform e quelle precedenti di Firebase Authentication. |
| Firebase Authentication | Autentica gli utenti utilizzando diverse opzioni di autenticazione, ad esempio con Google, Facebook e Twitter. Firebase Authentication supporta il maggior numero di utenti mantenendo la quantità di codice più ridotta. Il metodo consigliato per eseguire il deployment di una soluzione nel minor numero di passaggi. |
| Servizi di identità Google per il web | Autentica gli utenti utilizzando gli account utente Google di Gmail e Google Workspace. Il metodo consigliato per supportare gli account solo Google o gli Account Google in un sistema di accesso esistente. |
| OAuth 2.0 e OpenID Connect | Fornisce l'identità federata del provider che preferisci, incluso Google. Il metodo consigliato se vuoi creare autonomamente il protocollo di autenticazione utente. |
| Identity-Aware Proxy (IAP) | Fornisce l'autenticazione aggiungendo un livello di verifica Identity and Access Management (IAM) sopra la tua app App Engine. IAP consente di controllare l'accesso ai servizi App Engine prima che le richieste raggiungano le risorse dell'applicazione. Questo rende IAP inadatto per la protezione dalle attività all'interno dello stesso progetto Google Cloud. Il metodo consigliato se vuoi utilizzare Account Google e IAM per controllare l'accesso degli utenti. |
| API Users | Autenticare gli utenti che utilizzano account Google e Google Workspace. Il servizio Utenti di App Engine è accessibile solo tramite i servizi in bundle legacy. |
Identity Platform
Identity Platform è un cliente di gestione di identità e accessi (GIAC, Identity and Access Management) che consente alle organizzazioni di personalizzare identità e autenticazione per la registrazione e l'accesso degli utenti nelle loro applicazioni. Identity Platform supporta diversi metodi di autenticazione (SAML, OIDC, email/password, social, telefono e autenticazione personalizzata) per fornire opzioni di integrazione flessibili per qualsiasi soluzione di gestione delle identità. La piattaforma Identity Platform si basa sulla scalabilità, sulle prestazioni, sulla rete e sulla sicurezza globali di Google Cloud e viene fornita con assistenza e SLA di livello enterprise per soddisfare le esigenze di qualsiasi applicazione o servizio.
Questa soluzione è ideale per la maggior parte degli utenti che vogliono opzioni di autenticazione flessibili basate su SLA e funzionalità affidabili di livello enterprise.
Identity Platform offre un proprio sistema di identità utente. Se utilizzi già Google Workspace per il tuo dominio e vuoi autenticare gli utenti in base a questo accesso, devi utilizzare Servizi di identità Google per il web.
Per scoprire di più sull'integrazione di Identity Platform con App Engine, consulta la guida di istruzioni per l'accesso degli utenti su App Engine.
Firebase Authentication
Firebase Authentication fornisce una un servizio di identità e autenticazione personalizzabile per la registrazione degli utenti e all'accesso. Analogamente a Identity Platform, Firebase Authentication supporta più metodi di autenticazione (SAML, OIDC, via email/password, social, auth) per fornire opzioni di integrazione flessibili per qualsiasi soluzione di identità.
Firebase Authentication si differenzia da Identity Platform per il fatto che è privo di alcune funzionalità per le aziende. Per ulteriori informazioni, consulta Differenze tra Identity Platform e Firebase Authentication.
Questa soluzione è ideale se vuoi configurare l'autenticazione degli utenti per un'app App Engine nel modo più semplice. Per molti utenti, Firebase Authentication è il modo più rapido per implementare o testare l'autenticazione.
Per scoprire di più su Firebase Authentication, prova quanto segue:
Il tutorial sul web di Firebase illustra come utilizzare Firebase su un sito web, incluso l'accesso degli utenti con Google come provider di identità.
Le app di avvio rapido di Firebase mostrano come integrare Firebase su più piattaforme, utilizzando esempi di accesso federato e di accesso con nome utente/password. Esempi dimostrano Firebase Authentication Con l'SDK JavaScript nonché su iOS e Android.
Servizi di identità Google per il web
Google Identity Services for Web è una libreria client di accesso per Google basata sui protocolli OAuth 2.0 e OpenID Connect. Consente di accedere in modo facile e veloce grazie alla funzionalità Accedi con Pulsante Google visualizzato sul tuo sito web o nella tua app.
Questa è la soluzione migliore se vuoi autenticare gli utenti in base ai loro dati Google o se utilizzi la Console di amministrazione Google per il tuo dominio.
OAuth 2.0 e OpenID Connect
OpenID Connect è un livello di identità sovrapposto al protocollo OAuth 2.0. Google offre un'implementazione di OAuth 2.0 conforme alla specifica OpenID Connect e con la certificazione OpenID. Esistono anche diversi altri fornitori available.
Questa soluzione è ideale per chi desidera una personalizzazione e un controllo totali del l'implementazione dell'autenticazione.
Per ulteriori informazioni, vedi OpenID Connect.
Identity-Aware Proxy (IAP)
A differenza delle altre opzioni di autenticazione che implementano l'autenticazione all'interno la tua app, IAP protegge e protegge l'applicazione aggiungendo un sistema di autenticazione IAM di autorizzazione prima delle risorse. Questo livello verifica l'accesso richieste esterne prima di poter raggiungere l'app. Gli utenti che non dispongono dell'accesso autorizzato alla tua app non possono raggiungere la tua app App Engine.
Puoi attivare l'IAP per l'intera app o per servizi o versioni specifiche dell'app. I servizi o le applicazioni protette da IAP possono essere accessibili solo da principali con il ruolo IAM corretto. Quando un utente tenta di accedere a una risorsa protetta da IAP, IAP esegue per te i controlli di autenticazione e autorizzazione. Scopri in che modo IAP protegge le risorse delle applicazioni Panoramica di IAP.
IAP non protegge dalle attività svolte all'interno di un progetto, ad esempio un servizio App Engine che accede a un altro servizio nello stesso progetto.
Questa soluzione è ideale se vuoi utilizzare gli account utente Google e la gestione dell'accesso a internet (IAM) per autorizzare l'accesso utente.
Per scoprire come configurare IAP per App Engine vedi le risorse Guida rapida di IAP.
API Users
L'API Users consente a un'app di App Engine di eseguire le attività seguenti:
- Rileva se l'utente corrente ha eseguito l'accesso utilizzando un Account Google.
- Reindirizza l'utente alla pagina di accesso appropriata per accedere.
- Chiedi all'utente di creare un nuovo Account Google, se non ne ha già uno.
Mentre un utente ha eseguito l'accesso all'applicazione, l'app può accedere ai suoi . L'app può anche rilevare se l'utente corrente è un amministratore, semplificando l'implementazione delle aree dell'app riservate agli amministratori.
Questa soluzione funziona bene se stai eseguendo l'upgrade di un'app esistente da un runtime di prima generazione a un runtime di seconda generazione e vuoi continuare a utilizzare l'API Users. Se in un secondo momento vuoi avere la flessibilità di passare a Cloud Run o a un'altra piattaforma di hosting di app Google Cloud, ti consigliamo di eseguire la migrazione a una soluzione di autenticazione utente più moderna.
Per informazioni sull'integrazione dell'API Users, consulta la Panoramica dell'API Users.
Altri servizi di autenticazione
Auth0 fornisce l'autenticazione con varie identità e le funzionalità Single Sign-On.