Para autenticar a los usuarios en las aplicaciones de Google Cloud , Google ofrece los siguientes métodos de autenticación de usuarios:
| Servicio de autenticación | Resumen |
|---|---|
| Identity Platform (recomendado) | Autentica a los usuarios con contraseñas, números de teléfono, proveedores de identidades federadas populares como Google, Facebook y Twitter, y cualquier proveedor que admita el protocolo SAML u OpenID Connect. Ofrece funciones empresariales, como la autenticación multifactor, la compatibilidad con el inicio de sesión único de OIDC y SAML, la arquitectura multicliente y un acuerdo de nivel de servicio del 99,95 %, entre otras. Es el método recomendado para iniciar un proyecto nuevo, ya que puedes usar las funciones de Identity Platform, así como las funciones antiguas de Firebase Authentication. |
| Firebase Authentication | Autentica a los usuarios mediante diferentes opciones de autenticación, como Google, Facebook y Twitter. Firebase Authentication admite el mayor número de usuarios y, al mismo tiempo, mantiene la menor cantidad de código. Es el método recomendado para implementar una solución en el menor número de pasos posible. |
| Servicios de Identidad de Google para Web | Autentica a los usuarios mediante cuentas de usuario de Google de Gmail y Google Workspace. Es el método recomendado para admitir cuentas solo de Google o cuentas de Google en un sistema de inicio de sesión. |
| OAuth 2.0 y OpenID Connect | Proporciona una identidad federada del proveedor que elijas, incluido Google. Es el método recomendado si quieres crear tú mismo el protocolo de autenticación de usuarios. |
| Identity‑Aware Proxy | Proporciona autenticación añadiendo una capa de verificación de gestión de identidades y accesos (IAM) a tu aplicación de App Engine. IAP te permite controlar el acceso a tus servicios de App Engine antes de que las solicitudes lleguen a los recursos de tu aplicación. Por lo tanto, IAP no es adecuado para protegerse frente a la actividad dentro del mismo Google Cloud proyecto. Es el método recomendado si quieres usar cuentas de Google y la gestión de identidades y accesos para controlar el acceso de los usuarios. |
| API Users | Autentica a los usuarios que utilizan cuentas de Google y Google Workspace. Solo se puede acceder al servicio de usuarios de App Engine a través de los servicios agrupados antiguos. |
Identity Platform
Identity Platform es una plataforma de gestión de identidades y accesos de clientes (CIAM) que permite a las organizaciones personalizar la identidad y la autenticación para el registro y el inicio de sesión de los usuarios en sus aplicaciones. Identity Platform admite varios métodos de autenticación (SAML, OIDC, correo electrónico y contraseña, redes sociales, teléfono y autenticación personalizada) para ofrecer opciones de integración flexibles para cualquier solución de identidad. Identity Platform se basa en la escala mundial, el rendimiento, la red y la seguridad deGoogle Cloud. Además, incluye asistencia de nivel empresarial y un acuerdo de nivel de servicio para estar a la altura de las exigencias de prácticamente cualquier aplicación o servicio.
Esta solución es la más adecuada para la mayoría de los usuarios que quieren opciones de autenticación flexibles basadas en funciones y acuerdos de nivel de servicio fiables y de nivel empresarial.
Identity Platform ofrece su propio sistema de identidad de usuario. Si ya usas Google Workspace en tu dominio y quieres autenticar a los usuarios en función de ese inicio de sesión, debes usar Servicios de Identidad de Google para Web.
Para obtener información sobre cómo integrar Identity Platform con App Engine, consulta la guía práctica sobre cómo iniciar sesión de usuarios en App Engine.
Firebase Authentication
Firebase Authentication ofrece un servicio de identidad y autenticación directo y personalizable para el registro y el inicio de sesión de los usuarios. Al igual que Identity Platform, Firebase Authentication admite varios métodos de autenticación (SAML, OIDC, correo electrónico y contraseña, redes sociales, móvil y autenticación personalizada) para ofrecer opciones de integración flexibles para cualquier solución de identidad.
Firebase Authentication se diferencia de Identity Platform en que no incluye algunas funciones empresariales. Para obtener más información, consulta Diferencias entre Identity Platform y Firebase Authentication.
Esta solución es la más adecuada si quieres configurar la autenticación de usuarios de una aplicación de App Engine de la forma más sencilla posible. Para muchos usuarios, Firebase Authentication es la forma más rápida de implementar o probar la autenticación.
Para obtener más información sobre Firebase Authentication, prueba lo siguiente:
El tutorial sobre Firebase para Web destaca cómo usar Firebase en un sitio web, incluido el inicio de sesión de los usuarios con Google como proveedor de identidad.
Las aplicaciones de inicio rápido de Firebase muestran cómo integrar Firebase en diferentes plataformas mediante ejemplos de inicio de sesión federado y con nombre de usuario y contraseña. En los ejemplos se muestra la autenticación de Firebase con el SDK de JavaScript, así como en iOS y Android.
Servicios de Identidad de Google para la Web
Servicios de identidad de Google para Web es una biblioteca de cliente de inicio de sesión de Google basada en los protocolos OAuth 2.0 y OpenID Connect. Permite iniciar sesión de forma rápida y sencilla proporcionando un botón de inicio de sesión con Google que aparece en tu sitio web o aplicación.
Esta solución es la más adecuada si quieres autenticar a los usuarios en función de su cuenta de Google o si usas la consola de administración de Google en tu dominio.
OAuth 2.0 y OpenID Connect
OpenID Connect es una capa de identidad que se basa en el protocolo OAuth 2.0. Google ofrece una implementación de OAuth 2.0 que cumple con la especificación OpenID Connect y está certificada por OpenID. También hay disponibles varios proveedores.
Esta solución es la más adecuada si quieres personalizar y controlar por completo la implementación de la autenticación.
Para obtener más información, consulta OpenID Connect.
Identity‑Aware Proxy
A diferencia de otras opciones de autenticación que implementan la autenticación en tu aplicación, IAP protege y asegura tu aplicación añadiendo una capa de autenticación y autorización de IAM delante de tus recursos. Esta capa verifica las solicitudes externas entrantes antes de que se pueda acceder a la aplicación. Los usuarios que no tengan autorización para acceder a tu aplicación no podrán acceder a tu aplicación de App Engine.
Puedes habilitar la compra en la aplicación para toda tu aplicación o para servicios o versiones específicos de tu aplicación. Solo pueden acceder a los servicios o aplicaciones protegidos por la compra en la aplicación las entidades principales que tengan el rol de gestión de identidades y accesos correcto. Cuando un usuario intenta acceder a un recurso protegido por IAP, IAP realiza las comprobaciones de autenticación y autorización. Consulta cómo protege IAP los recursos de tu aplicación en la descripción general de IAP.
IAP no protege contra la actividad dentro de un proyecto, como cuando un servicio de App Engine accede a otro servicio del mismo proyecto.
Esta solución es la más adecuada si quiere usar cuentas de usuario de Google y IAM para autorizar el acceso de los usuarios.
Para saber cómo configurar IAP en tus recursos de App Engine, consulta la guía de inicio rápido de IAP.
API Users
La API Users permite que una aplicación de App Engine realice las siguientes tareas:
- Detecta si el usuario actual ha iniciado sesión con una cuenta de Google.
- Redirige al usuario a la página de inicio de sesión correspondiente para que inicie sesión.
- Pide al usuario que cree una cuenta de Google si aún no tiene una.
Mientras un usuario tiene la sesión iniciada en la aplicación, esta puede acceder a su dirección de correo electrónico. La aplicación también puede detectar si el usuario actual es administrador, lo que facilita la implementación de áreas de la aplicación exclusivas para administradores.
Esta solución es adecuada si vas a actualizar una aplicación de un entorno de ejecución de primera generación a uno de segunda generación y quieres seguir usando la API Users. Si quieres tener la flexibilidad de cambiar a Cloud Run u otra plataforma de alojamiento de aplicaciones más adelante, te recomendamos que migres a una solución de autenticación de usuarios más moderna. Google Cloud
Para obtener información sobre cómo integrar la API Users, consulte la información general sobre la API Users.
Otros servicios de autenticación
Auth0 ofrece autenticación con varios proveedores de identidades y funciones de inicio de sesión único.