Questa pagina è stata tradotta dall'API Cloud Translation.

Metodi di autenticazione in Google

Questo documento ti aiuta a comprendere alcuni metodi e concetti chiave dell'autenticazione, e dove trovare assistenza per l'implementazione o la risoluzione dei problemi dell'autenticazione. Gli argomenti principali della documentazione sull'autenticazione sono per Google Cloud ma l'elenco dei casi d'uso di autenticazione e il materiale introduttivo in questa pagina include casi d'uso per altri prodotti Google .

Introduzione

L'autenticazione è il processo mediante il quale viene confermata la tua identità. mediante l'uso di alcune credenziali. L'autenticazione consiste nel dimostrare di essere chi dici di essere.

Google fornisce molte API e servizi che richiedono l'autenticazione per l'accesso. Google fornisce inoltre una serie di servizi che ospitano applicazioni scritte dai nostri clienti; anche queste applicazioni devono determinare l'identità dei propri utenti.

Come richiedere assistenza per l'autenticazione

Ho intenzione di...	Informazioni
Eseguire l'autenticazione in un servizio Google Cloud dalla mia applicazione utilizzando un linguaggio di programmazione di alto livello.	Configura le Credenziali predefinite dell'applicazione, quindi utilizza una delle librerie client di Cloud.
Esegui l'autenticazione in un'applicazione che richiede un token ID.	Genera un token ID OpenID Connect (OIDC) e forniscilo con la richiesta.
Implementare l'autenticazione utente per un'applicazione che accede a Google o i servizi e le risorse di Google Cloud.	Consulta: Autenticare gli utenti delle applicazioni per un confronto delle opzioni.
Provare alcuni comandi `gcloud` nel mio ambiente di sviluppo locale.	Inizializza gcloud CLI.
Prova un'API REST Google Cloud nel mio ambiente di sviluppo locale.	Utilizza uno strumento a riga di comando come `curl` per chiamare l'API REST.
Provare uno snippet di codice incluso nella documentazione del mio prodotto.	Configura localmente le credenziali predefinite dell'applicazione, e installare la libreria client del prodotto nel tuo ambiente locale. La libreria client trova automaticamente le tue credenziali.
Ricevi assistenza per un altro caso d'uso di autenticazione.	Consulta la pagina Casi d'uso dell'autenticazione.
Consulta un elenco dei prodotti forniti da Google nell'identità e nell'accesso spazio di gestione dei dati.	Consulta le Prodotti Google per la gestione di identità e accessi .

Scegli il metodo di autenticazione giusto per il tuo caso d'uso

Quando accedi ai servizi Google Cloud utilizzando Google Cloud CLI, le librerie client di Cloud, gli strumenti che supportano le credenziali predefinite dell'applicazione (ADC) come Terraform o le richieste REST, utilizza il seguente diagramma per scegliere un metodo di autenticazione:

Albero decisionale per la scelta del metodo di autenticazione in base al caso d'uso

Questo diagramma illustra le seguenti domande:

Stai eseguendo il codice in un ambiente di sviluppo per utente singolo, ad esempio la tua workstation, Cloud Shell o un'interfaccia desktop virtuale?
1. In caso affermativo, vai alla domanda 4.
2. In caso contrario, passa alla domanda 2.
Stai eseguendo il codice in Google Cloud?
1. In caso affermativo, vai alla domanda 3.
2. In caso contrario, vai alla domanda 5.
Esegui container in Google Kubernetes Engine o GKE Enterprise?
1. In caso affermativo, utilizza federazione delle identità per i carichi di lavoro per GKE per collegare account di servizio ai pod Kubernetes.
2. In caso contrario, collegare un account di servizio alla risorsa.
Il tuo caso d'uso richiede un account di servizio?

Ad esempio, vuoi configurare l'autenticazione e l'autorizzazione in modo coerente per la tua applicazione in tutti gli ambienti.
1. In caso contrario, utilizzare le credenziali utente.
2. Se sì, rappresentare un account di servizio con credenziali utente.
Il carico di lavoro esegue l'autenticazione con un provider di identità esterno che supporti federazione delle identità per i carichi di lavoro?
1. Se sì, configurare la federazione delle identità per i carichi di lavoro per consentire alle applicazioni in esecuzione on-premise o su altri cloud provider di utilizzare un account di servizio.
2. In caso contrario, crea una chiave dell'account di servizio.

OAuth 2.0

Le API di Google implementano ed estendono il framework OAuth 2.0. Consulta la documentazione per il tuo ambiente e il caso d'uso per maggiori dettagli.

Metodi di autorizzazione per i servizi Google Cloud

I servizi Google Cloud utilizzano Identity and Access Management (IAM) per l'autenticazione. IAM offre un controllo granulare, per entità e per risorsa. Quando esegui l'autenticazione ai servizi Google Cloud, usano in genere un ambito che include tutti i servizi Google Cloud (https://www.googleapis.com/auth/cloud-platform).

Gli ambiti OAuth 2.0 possono fornire un secondo livello di protezione, utile se il tuo codice è in esecuzione in un ambiente in cui la sicurezza dei token è un problema, ad esempio un'app mobile. In questo scenario, puoi utilizzare in ambiti più granulari per ridurre i rischi in caso di compromissione del token. Tu puoi trovare l'elenco degli ambiti accettati da un metodo API nel relativo riferimento API pagine nella documentazione del prodotto.

Credenziali predefinite dell'applicazione

Application Default Credentials (ADC) è una strategia utilizzata dalle librerie di autenticazione per trovare automaticamente le credenziali in base all'ambiente dell'applicazione. Le librerie di autenticazione rendere disponibili le credenziali Librerie client di Cloud e librerie client delle API di Google. Quando utilizzi ADC, il codice può essere eseguito in un ambiente di sviluppo o di produzione senza modificare il modo in cui l'applicazione esegue l'autenticazione ai servizi e alle API Google Cloud.

Se scrivi codice che deve utilizzare i servizi Google Cloud, utilizzare ADC quando possibile. L'utilizzo di ADC può semplificare la procedura di sviluppo, in quanto ti consente di utilizzare lo stesso codice di autenticazione in una serie di ambienti.

Prima di poter utilizzare ADC, devi fornire le tue credenziali ad ADC, a seconda di dove vuoi che venga eseguito il codice. ADC individua automaticamente le credenziali e recupera un token in background, consentendo l'esecuzione del codice di autenticazione in ambienti diversi senza modifiche. Ad esempio, la stessa versione del codice potrebbe autenticarsi con le API Google Cloud quando viene eseguita su una workstation di sviluppo o su Compute Engine.

Le credenziali gcloud non sono le stesse fornite ad ADC utilizzando gcloud CLI. Per ulteriori informazioni, vedi configurazione dell'autenticazione gcloud CLI e configurazione ADC.

Terminologia

I seguenti termini sono importanti da comprendere quando si parla di autenticazione e autorizzazione.

Autenticazione

L'autenticazione è il processo di determinazione dell'identità dell'entità che tenta di accedere a una risorsa.

Autorizzazione

L'autorizzazione è il processo di determinazione se l'entità o l'applicazione che tenta di accedere a una risorsa è stata autorizzata per quel livello di accesso.

Credenziali

Quando in questo documento viene utilizzato il termine account utente, si fa riferimento a un Account Google o a un account utente gestito dal tuo provider di identità e federato con la federazione delle identità della forza lavoro.

Per l'autenticazione, le credenziali sono un oggetto digitale che fornisce la prova dell'identità. Password, PIN e dati biometrici possono essere utilizzati come credenziali, a seconda dei requisiti dell'applicazione. Ad esempio, quando accedi al tuo account utente, fornisci la tua password e soddisfi tutte le esigenze dell'account requisito di autenticazione come prova che l'account appartiene effettivamente a te; e non sia stato falsificato da un malintenzionato.

I token a volte vengono definiti credenziali, ma per questa documentazione vengono invece indicati come un oggetto digitale che dimostra che l'utente che ha effettuato la chiamata ha fornito le credenziali appropriate, ma non sono le credenziali stesse.

Il tipo di credenziale che devi fornire dipende da cosa stai l'autenticazione. Nella console Google Cloud è possibile creare i seguenti tipi di credenziali:

Chiavi API

A differenza delle altre credenziali, le chiavi API non identificano principal. Le chiavi API offrono una soluzione Google Cloud ai fini della fatturazione e della quota.

Molte API di Google non accettano chiavi API. Per ulteriori informazioni sulle chiavi API, consulta la sezione Chiavi API.
ID client OAuth

Gli ID client OAuth consentono di identificare un'applicazione in Google Cloud. Questo è necessario quando vuoi accedere alle risorse possedute dai tuoi utenti finali, chiamate anche OAuth a tre vie (3LO). Per ulteriori informazioni su come ottenere e utilizzare un ID client OAuth, consulta la pagina Configurare OAuth 2.0.
Chiavi account di servizio

Le chiavi dell'account di servizio identificano un'entità (l'account di servizio) e il progetto associato all'account di servizio.

Nota: le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti Scegliere un'alternativa più sicura alle chiavi degli account di servizio ove possibile. Se devi effettuare l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte dalle best practice per la gestione delle chiavi degli account di servizio. Se non è possibile creare una chiave dell'account di servizio, è possibile disattivato per la tua organizzazione. Per ulteriori informazioni, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Entità

Un'entità è un'identità a cui è possibile concedere l'accesso a una risorsa. Per l'autenticazione, le API di Google supportano due tipi di entità: account utente e account di servizio.

L'utilizzo di un account utente o di un account di servizio per l'autenticazione dipende dal tuo caso d'uso. Potresti utilizzarli in due fasi diverse del progetto in diversi ambienti di sviluppo.

Account utente

Gli account utente rappresentano uno sviluppatore, un amministratore o un'altra persona che interagisce con le API e i servizi Google.

Gli account utente vengono gestiti come Account Google con Google Workspace o Cloud Identity. Possono anche essere account utente gestiti da un provider di identità di terze parti e federati con Workforce Identity Federation.

Con un account utente, puoi autenticarti alle API e ai servizi Google nel nei seguenti modi:

Utilizza gcloud CLI per configurare le credenziali predefinite dell'applicazione (ADC).
Utilizza le tue credenziali utente per accedi a Google Cloud CLI e utilizza lo strumento per per accedere ai servizi Google Cloud.
Utilizza le tue credenziali utente per simulare l'identità di un account di servizio.
Utilizza le tue credenziali utente per accedi a Google Cloud CLI e utilizza lo strumento per generare token di accesso.

Per una panoramica dei modi per configurare le identità per gli utenti in Google Cloud, consulta Identità per gli utenti.

Account di servizio

Gli account di servizio sono account che non rappresentano un utente umano. Forniscono un modo per gestire l'autenticazione quando un essere umano non è direttamente coinvolto, ad esempio quando un'applicazione deve accedere alle risorse Google Cloud. Gli account di servizio sono gestiti da o IAM.

Il seguente elenco fornisce alcuni metodi per utilizzare un account di servizio per: l'autenticazione alle API e ai servizi Google, dal più sicuro al meno in tutta sicurezza. Per ulteriori informazioni, vedi Scegli il metodo di autenticazione giusto per il tuo caso d'uso in questa pagina.

Collega un account di servizio gestito dall'utente alla risorsa e utilizza ADC per l'autenticazione.

Questo è il metodo consigliato per autenticare il codice di produzione in esecuzione in Google Cloud.
Utilizzare un account di servizio per rubare l'identità di un altro account di servizio.

La simulazione dell'identità dei service account ti consente di concedere temporaneamente più privilegi a un account di servizio. La concessione temporanea di privilegi aggiuntivi che l'account di servizio esegua l'accesso richiesto senza di acquisire definitivamente maggiori privilegi.
Utilizza la Federazione delle identità per i carichi di lavoro per autenticare i carichi di lavoro che vengono eseguiti on-premise o su un altro cloud provider.
Utilizza l'account di servizio predefinito.

Non è consigliabile utilizzare l'account di servizio predefinito perché per impostazione predefinita, l'account di servizio predefinito ha privilegi elevati, il che viola le principio del privilegio minimo.
Utilizza una chiave dell'account di servizio.

Nota: Se non vengono gestite correttamente, le chiavi degli account di servizio comportano un rischio per la sicurezza. Dovresti Scegliere un'alternativa più sicura alle chiavi degli account di servizio ove possibile. Se devi autenticarti con una chiave dell'account di servizio, sei responsabile della chiave privata e per le altre operazioni descritte Best practice per la gestione delle chiavi degli account di servizio. Se non è possibile creare una chiave dell'account di servizio, è possibile disattivato per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Per una panoramica dei modi per configurare le identità di carico di lavoro, inclusi gli account di servizio, per Google Cloud, consulta Identità per i carichi di lavoro. Per le best practice, consulta le best practice per l'utilizzo degli account di servizio.

Token

Per l'autenticazione e l'autorizzazione, un token è un oggetto digitale che mostra che il chiamante abbia fornito le credenziali corrette che sono state scambiate per il token. Il token contiene informazioni sull'identità dell'entità che effettua la richiesta e sul tipo di accesso a cui è autorizzata.

I token possono essere considerati come chiavi di hotel. Quando fai il check-in in un hotel e presenti la documentazione appropriata alla reception, ricevi una chiave che ti consente di accedere a risorse specifiche dell'hotel. Ad esempio, la chiave potrebbe consentire l'accesso alla stanza e all'ascensore per gli ospiti, ma non che permette di accedere a qualsiasi altra stanza o all'ascensore di servizio.

Ad eccezione delle chiavi API, le API di Google non supportano direttamente le credenziali. L'applicazione deve acquisire o generare un token e fornirlo all'API. Esistono diversi tipi di token. Per ulteriori informazioni, vedi Tipi di token.

Carico di lavoro e forza lavoro

I prodotti di identità e accesso di Google Cloud consentono di accedere a I servizi e le risorse di Google Cloud per l'accesso programmatico e per gli esseri umani utenti. Google Cloud utilizza i termini workload per l'accesso programmatico e workforce per l'accesso utente.

La federazione Workload Identity ti consente di fornire l'accesso ai carichi di lavoro on-premise o multi-cloud senza dover creare e gestire le chiavi dell'account di servizio.

La federazione delle identità della forza lavoro ti consente di utilizzare un provider di identità esterno per autenticare e autorizzare una forza lavoro, ovvero un gruppo di utenti come dipendenti, partner e appaltatori, utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud.

Passaggi successivi

Scopri di più su come i servizi Google Cloud utilizzano IAM per controllare l'accesso alle risorse Google Cloud.
Scopri come funzionano le Credenziali predefinite dell'applicazione e come puoi configurarle per una serie di ambienti di sviluppo.