Google bietet die folgenden Methoden zum Authentifizieren von Nutzern in Google Cloud-Anwendungen:
Authentifizierungsdienst | Zusammenfassung |
---|---|
Identity Platform (empfohlen) | Authentifizieren Sie Nutzer mithilfe von Passwörtern, Telefonnummern, beliebten föderierten Identitätsanbietern wie Google, Facebook, Twitter und allen Anbietern, die das SAML- oder OpenID Connect-Protokoll unterstützen. Sie bietet Unternehmensfeatures, einschließlich Multi-Faktor-Authentifizierung, OIDC- und SAML-SSO-Unterstützung, Mehrinstanzenfähigkeit, SLA von 99,95 % und mehr. Die empfohlene Methode beim Starten eines neuen Projekts, sodass Sie die Funktionen der Identity Platform und die Legacy-Features von Firebase Authentication verwenden können. |
Firebase Authentication | Authentifizieren Sie Nutzer mithilfe verschiedener Authentifizierungsoptionen, darunter Google, Facebook und Twitter. Firebase Authentication unterstützt die größte Anzahl von Nutzern bei möglichst geringer Codemenge. Die empfohlene Methode zum Bereitstellen einer Lösung in wenigen Schritten. |
Google Identity Services für das Web | Authentifizieren Sie Nutzer mithilfe von Google-Nutzerkonten aus Gmail und Google Workspace. Die empfohlene Methode zur Unterstützung von reinen Google-Konten oder zur Unterstützung von Google-Konten in einem vorhandenen Anmeldesystem. |
OAuth 2.0 und OpenID Connect | Stellt eine föderierte Identität vom Anbieter Ihrer Wahl bereit, einschließlich Google. Die empfohlene Methode, wenn Sie das Nutzerauthentifizierungsprotokoll selbst erstellen möchten. |
Identity-Aware Proxy (IAP) | Ermöglicht die Authentifizierung durch Hinzufügen einer IAM-Überprüfungsebene (Identity and Access Management) über Ihrer App Engine-Anwendung. Mit IAP können Sie den Zugriff auf Ihre App Engine-Dienste steuern, bevor Anfragen Ihre Anwendungsressourcen erreichen. IAP ist somit ungeeignet, um vor Aktivitäten innerhalb desselben Google Cloud-Projekts zu schützen. Die empfohlene Methode, wenn Sie den Nutzerzugriff mit Google-Konten und IAM steuern möchten. |
Users API | Authentifizieren Sie Nutzer, die Google- und Google Workspace-Konten verwenden. Auf den App Engine-Nutzerdienst kann nur über die gebündelten Legacy-Dienste zugegriffen werden. |
Identity Platform
Identity Platform ist eine CIAM-Plattform (Customer Identity and Access Management), mit der Organisationen die Identität und Authentifizierung für die Nutzerregistrierung und -anmeldung in ihren Anwendungen anpassen können. Identity Platform unterstützt verschiedene Authentifizierungsmethoden (SAML, OIDC, E-Mail-Adresse/Passwort, über soziale Netzwerke, Telefon oder eine benutzerdefinierte Authentifizierung) und bietet so flexible Integrationsoptionen für jede Identitätslösung. Identity Platform basiert auf der globalen Größenordnung, der Leistung, dem Netzwerk und der Sicherheit von Google Cloud und erfüllt durch den Support für Unternehmen und sein SLA die Anforderungen praktisch jeder Anwendung und jedes Dienstes.
Diese Lösung eignet sich am besten für die meisten Nutzer, die flexible Authentifizierungsoptionen basierend auf zuverlässigen Features und SLAs für Unternehmen verwenden möchten.
Identity Platform bietet ein eigenes Nutzeridentitätssystem. Wenn Sie bereits Google Workspace für Ihre Domain verwenden und Nutzer anhand dieser Anmeldung authentifizieren möchten, sollten Sie Google Identity Services für das Web verwenden.
Informationen zur Einbindung von Identity Platform in App Engine finden Sie in der Anleitung Nutzer in App Engine anmelden.
Firebase Authentication
Firebase Authentication bietet einen anpassbaren Drop-in-Identitäts- und Authentifizierungsdienst für die Nutzerregistrierung und -anmeldung. Ähnlich wie Identity Platform unterstützt Firebase Authentication mehrere Authentifizierungsmethoden (SAML, OIDC, E-Mail-Adresse/Passwort, soziale Netzwerke, Mobilgerät und benutzerdefinierte Authentifizierung) und bietet so flexible Optionen zur Einbindung für jede Identitätslösung.
Firebase Authentication unterscheidet sich von Identity Platform insofern, als es bestimmte Unternehmensfeatures nicht enthält. Weitere Informationen finden Sie unter Unterschiede zwischen der Identity Platform und Firebase Authentication.
Diese Lösung eignet sich am besten, wenn Sie nach einer möglichst einfachen Methode zum Einrichten der Nutzerauthentifizierung für eine App Engine-Anwendung suchen. Für viele Nutzer ist Firebase Authentication die schnellste Möglichkeit, die Authentifizierung zu implementieren oder zu testen.
Weitere Informationen zu Firebase Authentication erhalten Sie in den folgenden Dokumenten:
In der Firebase-Webanleitung wird erläutert, wie Sie Firebase in einer Website verwenden, einschließlich Nutzeranmeldung über Google als Identitätsanbieter.
Firebase-Schnellstart-Apps zeigen, wie Sie Firebase plattformübergreifend sowohl mit einer föderierten Anmeldung als auch mit einer Anmeldung über Nutzername/Passwort integrieren können. Firebase Authentication wird anhand von Beispielen unter Verwendung des JavaScript SDK auf iOS wie auf Android erläutert.
Google Identity Services für das Web
Google Identity Services für das Web ist eine Anmelde-Clientbibliothek für Google, die auf der Basis von OAuth 2.0- und OpenID Connect-Protokollen erstellt wurde. Sie ermöglicht eine schnelle und einfache Anmeldung. Die Schaltfläche „Über Google anmelden“ wird auf Ihrer Website oder in Ihrer App angezeigt.
Diese Lösung eignet sich am besten, wenn Sie Nutzer über ihr Google-Konto authentifizieren möchten oder die Admin-Konsole für Ihre Domain verwenden.
OAuth 2.0 und OpenID Connect
OpenID Connect liegt eine Identitätsebene über dem OAuth 2.0-Protokoll. Google bietet eine Implementierung von OAuth 2.0, die der OpenID Connect-Spezifikation entspricht und OpenID-zertifiziert ist. Es gibt auch mehrere Andere Anbieter verfügbar.
Diese Lösung eignet sich am besten, wenn Sie eine vollständige Anpassung und Kontrolle über die Implementierung der Authentifizierung wünschen.
Weitere Informationen finden Sie unter OpenID Connect.
Identity-Aware Proxy (IAP)
Im Gegensatz zu den anderen Authentifizierungsoptionen, mit denen die Authentifizierung in Ihrer Anwendung implementiert wird, schützt und sichert IAP Ihre Anwendung durch Hinzufügen einer IAM-Authentifizierungs- und Autorisierungsebene vor Ihren Ressourcen. Diese Ebene prüft eingehende externe Anfragen, bevor die Anwendung erreicht werden kann. Nutzer ohne autorisierten Zugriff auf Ihre Anwendung haben keinen Zugriff auf Ihre App Engine-Anwendung.
Sie können IAP für Ihre gesamte Anwendung oder für bestimmte Dienste oder Versionen Ihrer Anwendung aktivieren. Auf IAP-geschützte Dienste oder Anwendungen kann nur über Hauptkonten mit der richtigen IAM-Rolle zugegriffen werden. Versucht ein Nutzer, auf eine mit IAP gesicherte Ressource zuzugreifen, führt IAP Authentifizierungs- und Autorisierungsprüfungen für Sie aus. Informationen zum Schutz Ihrer Anwendungsressourcen durch IAP finden Sie unter IAP-Übersicht.
IAP schützt nicht vor Aktivitäten innerhalb eines Projekts, z. B. dem Zugriff eines App Engine-Dienstes auf einen anderen Dienst im selben Projekt.
Diese Lösung eignet sich am besten, wenn Sie Google-Nutzerkonten und IAM zum Autorisieren des Nutzerzugriffs verwenden möchten.
Informationen zum Konfigurieren von IAP für Ihre App Engine-Ressourcen finden Sie in der IAP-Kurzanleitung.
Users API
Mit der Users API kann eine App Engine-Anwendung folgende Aufgaben ausführen:
- Ermitteln, ob der aktuelle Nutzer mit einem Google-Konto angemeldet ist
- Nutzer zur Anmeldung an die entsprechende Anmeldeseite weiterleiten
- Nutzer dazu auffordern, ein neues Google-Konto zu erstellen, falls noch keines vorhanden ist
Wenn ein Nutzer angemeldet ist, kann die Anwendung auf seine E-Mail-Adresse zugreifen. Außerdem kann die Anwendung ermitteln, ob es sich bei dem aktuellen Nutzer um einen Administrator handelt. Dies erleichtert die Implementierung von Anwendungsbereichen, die nur für Administratoren zugänglich sind.
Diese Lösung eignet sich gut, wenn Sie eine vorhandene Anwendung von einer Laufzeit der ersten Generation auf eine Laufzeit der zweiten Generation aktualisieren und weiterhin die Users API verwenden möchten. Wenn Sie später zu Cloud Run oder einer anderen Hosting-Plattform der Google Cloud-Anwendung wechseln möchten, empfehlen wir die Migration zu einer moderneren Lösung zur Nutzerauthentifizierung.
Informationen zur Integration der Users API finden Sie in der Übersicht zur Users API.
Andere Authentifizierungsdienste
Auth0 bietet die Authentifizierung mithilfe verschiedener Identitätsanbieter und Funktionen zur Einmalanmeldung.