In questa pagina sono elencati alcuni casi d'uso comuni relativi ad autenticazione e autorizzazione, con link a ulteriori informazioni su come implementare ciascun caso d'uso.
Per una panoramica dell'autenticazione in Google, consulta Autenticazione in Google.
Autenticazione nelle API di Google
Le API di Google richiedono un token di accesso o una chiave API validi per ogni richiesta. Come che fornire queste credenziali richieste dipende da dove si trova il codice e i tipi di credenziali accettati dall'API.
Utilizza le librerie client e le credenziali predefinite dell'applicazione
Il modo consigliato per usare le API di Google è usare una libreria client e Credenziali predefinite dell'applicazione (ADC). Application Default Credentials (ADC) è una strategia utilizzata dalle librerie di autenticazione per trovare automaticamente le credenziali in base all'ambiente dell'applicazione. Le librerie di autenticazione rendere disponibili le credenziali Librerie client di Cloud e librerie client delle API di Google. Quando utilizzi ADC, il codice può essere eseguito in un ambiente di sviluppo o di produzione senza modificare il modo in cui l'applicazione esegue l'autenticazione ai servizi e alle API Google Cloud.
La modalità di configurazione di ADC dipende da dove viene eseguito il codice. ADC supporta sia l'autenticazione come account di servizio, sia l'autenticazione come utente.
Autenticazione da Google Kubernetes Engine (GKE)
Utilizzi Identità carico di lavoro per abilita i carichi di lavoro in esecuzione su GKE per accedere in modo sicuro API di Google. Workload Identity abilita un account di servizio GKE nel tuo cluster GKE per fungere da Identity and Access Management (IAM) l'account di servizio.
Esegui l'autenticazione da Knative serving
Autentichi i servizi Knative serving utilizzando Identità carico di lavoro che ti consente di accedere alle API di Google.
Utilizza un'API che accetta le chiavi API
Le chiavi API associano una richiesta API a un progetto Google Cloud ai fini della fatturazione e della quota. Se un'API supporta le chiavi API, una chiave API può essere fornita con la richiesta API anziché con il token. Per determinare se un'API supporta le chiavi API; consulta la documentazione dell'API.
Utilizza token web JSON autofirmati (JWT)
Alcune API di Google supportano i token web JSON (JWT) autofirmati anziché l'accesso. di token. L'utilizzo di un JWT autofirmato consente di evitare di effettuare una richiesta di rete server di autorizzazione di Google. Questo approccio richiede crea il tuo JWT firmato. Per ulteriori informazioni sui token, consulta Tipi di token.
Utilizza le librerie e i pacchetti di autenticazione
Se ADC e l'implementazione di OAuth fornita dalla Le librerie client di Cloud o delle API di Google non sono disponibili nel tuo ambiente, puoi usare le librerie e i pacchetti di autenticazione.
Sono disponibili i seguenti pacchetti e librerie di autenticazione:
Puoi anche implementare il flusso OAuth 2.0 utilizzando gli endpoint OAuth 2.0 di Google. Questo approccio richiede una comprensione più dettagliata di come OAuth 2.0 e OpenID Connect al lavoro. Per ulteriori informazioni, vedi Utilizzo di OAuth 2.0 per applicazioni server web.
Casi d'uso specifici dei servizi Google Cloud
Alcuni servizi Google Cloud supportano flussi di autenticazione specifici per questo completamente gestito di Google Cloud.
Fornisci accesso limitato nel tempo a una risorsa Cloud Storage utilizzando URL firmati
Gli URL firmati forniscono accesso limitato nel tempo a una specifica risorsa di Cloud Storage.
Autenticazione nei cluster GKE Enterprise
Puoi eseguire l'autenticazione nei cluster GKE Enterprise utilizzando Google Cloud di identità o mediante un provider di identità di terze parti:
- Esegui l'autenticazione con le identità Google Cloud utilizzando il gateway Connect.
- Esegui l'autenticazione con un provider di identità di terze parti che supporti OIDC o LDAP utilizzando Anthos Identity Service.
Configura un'API di cui è stato eseguito il deployment con API Gateway o Cloud Endpoints per l'autenticazione
Gateway API e Cloud Endpoints supportano i servizi service-to-service e l'autenticazione degli utenti con Firebase, Token ID firmati da Google, Okta, Auth0 e JWT.
Per informazioni, consulta la documentazione del prodotto:
- Scelta di un metodo di autenticazione per API Gateway
- Scelta di un metodo di autenticazione per Cloud Endpoints
Autenticazione per le applicazioni ospitate su Cloud Run o Cloud Functions
Le applicazioni ospitate su Cloud Run e Cloud Functions richiedono OpenID Connect (OIDC) i token, o token ID, per l'autenticazione.
Per ulteriori informazioni, consulta la documentazione del prodotto per i servizi di hosting elencati di seguito. Per informazioni su altri modi per acquisire un token ID, consulta Procurati un token ID. Per ulteriori informazioni sui token ID, ad esempio: di convalida dei token ID, consulta la sezione Token ID.
Cloud Run
Esistono vari modi per configurare un servizio Cloud Run, a seconda di come verrà richiamato il servizio. Potresti anche dover eseguire l'autenticazione ad altri servizi da un servizio Cloud Run, che richiede un token ID OIDC.
Per autenticare gli utenti al tuo servizio da un'app web o per dispositivi mobili: utilizzi Identity Platform o Firebase Authentication. Puoi anche utilizzare Identity-Aware Proxy (IAP) a autenticare gli utenti interni.
Cloud Functions
Quando richiami una funzione, devi autenticare la chiamata. Puoi utilizza le credenziali utente o un token ID OIDC.
Autentica gli utenti dell'applicazione
Esistono varie opzioni per autenticare gli utenti finali del tuo a seconda del resto dell'ambiente applicativo. Utilizza la le descrizioni riportate di seguito per aiutarti a capire qual è l'opzione migliore per la tua applicazione.
| Servizio di autenticazione | Descrizione |
|---|---|
| Servizi di identità Google |
I servizi di identità Google includono Accedi con Google, il pulsante di accesso dell'utente, e API e SDK di Identity Services. Google Identity I servizi si basano sui protocolli OAuth 2.0 e OpenID Connect (OIDC). Se crei un'applicazione mobile e desideri autenticarti utenti che utilizzano account Gmail e Google Workspace, Accedi con Google potrebbe essere una buona opzione. Accedi con Google supporta anche utilizzando Account Google con un sistema di accesso esistente. Ulteriori informazioni Accedi con Google fornisce un account Gmail e Google Workspace l'accesso e il supporto per le password monouso (OTP). Accedi con Google è indirizzato solo agli Account Google o agli Account Google in un di accesso al sistema di accesso esistente, per le app mobile. Accedi con Google è disponibile per iOS Android e applicazioni web. |
| Firebase Authentication |
Firebase Authentication fornisce servizi e librerie di autenticazione autenticare gli utenti nella tua applicazione per una vasta gamma di account utente di testo. Se vuoi accettare gli accessi degli utenti da più piattaforme, Firebase Authentication potrebbe essere una buona opzione. Ulteriori informazioni Firebase Authentication fornisce funzionalità di autenticazione a molti tipi di account utente. Firebase Authentication supporta la password autenticazione e accesso federato con Google, Facebook, Twitter e altre piattaforme. Identity Platform e Firebase Authentication sono entrambi basati su Servizi di identità Google. Firebase Authentication è rivolto alle applicazioni consumer. Identity Platform è ideale per gli utenti che vogliono essere propri o che necessitano di funzionalità di livello enterprise fornito da Identity Platform. Per ulteriori informazioni sui le differenze tra questi prodotti, consulta Differenze tra Identity Platform e Firebase Authentication. I seguenti link forniscono ulteriori informazioni:
|
| Identity Platform |
Identity Platform è una soluzione di gestione di identità e accessi cliente (GIAC) piattaforma che aiuta le organizzazioni ad aggiungere identità e accessi di livello aziendale. funzionalità di gestione delle applicazioni alle proprie applicazioni. Se si crea un'applicazione da utilizzare con un'identità Google come Google Workspace, o il tuo servizio di gestione di identità e accessi, Identity Platform potrebbe essere una buona opzione. Ulteriori informazioni Identity Platform offre un servizio servizio di identità e autenticazione personalizzabile per gli utenti fare la registrazione e accedere. Identity Platform supporta più metodi di autenticazione: SAML, OIDC, via email/password, social, telefono, e opzioni personalizzate. Identity Platform e Firebase Authentication sono entrambi basati su Servizi di identità Google. Firebase Authentication è rivolto alle applicazioni consumer. Identity Platform è ideale per gli utenti che vogliono essere propri o che necessitano di funzionalità di livello enterprise fornito da Identity Platform. Per ulteriori informazioni sui le differenze tra questi prodotti, consulta Differenze tra Identity Platform e Firebase Authentication. |
| OAuth 2.0 e OpenID Connect |
OpenID Connect ti consente di gestire e utilizzare i token di autenticazione con maggiore personalizzazione. Se vuoi avere il massimo controllo sull'implementazione di OAuth 2.0 hai dimestichezza con l'implementazione dei flussi OAuth 2.0. Prendi in considerazione questa opzione. Ulteriori informazioni L'implementazione di OAuth 2.0 di Google è conforme alle Specifiche OpenID Connect ed è certificato OpenID. OpenID Connect è un livello di identità sovrapposto al protocollo OAuth 2.0. La tua applicazione può utilizzare OpenID Connect per convalida il token ID e recuperare le informazioni del profilo utente. È possibile usare OAuth 2.0 per implementare l'autenticazione programmatica per Risorsa protetta da Identity-Aware Proxy. |
| Identity-Aware Proxy (IAP) |
IAP ti consente di controllare l'accesso ai tuoi dell'applicazione prima che le richieste raggiungano le risorse dell'applicazione. A differenza degli altri servizi di autenticazione in questa tabella, implementati all'interno della tua applicazione, IAP esegue prima che la tua applicazione sia raggiungibile. Ulteriori informazioni Con IAP, stabilisci un livello di autorizzazione centrale per le applicazioni e l'uso intestazioni firmate per proteggere la tua app. Le applicazioni protette da IAP possono essere accessibile solo da entità che hanno il corretto ruolo IAM. Quando un utente finale tenta di accedere a una risorsa protetta da IAP, IAP esegue controlli di autenticazione e autorizzazione per te. IAP non protegge dalle attività all'interno di un come un altro servizio nello stesso progetto. Per le identità Google, IAP utilizza Token ID. Per ulteriori informazioni, vedi Autenticazione programmatica. Per informazioni su come IAP protegge i tuoi di risorse dell'applicazione, consulta Panoramica di IAP. I seguenti tutorial specifici per ogni lingua sono disponibili IAP: |
| API App Engine Users | Per le applicazioni eseguite nell'ambiente standard App Engine, l'API Users per fornire funzionalità di autenticazione utente per alcuni lingue diverse. |
| Autorizzazione dell'accesso per le risorse degli utenti finali | Se la tua applicazione accede a risorse di tua proprietà devi assicurarti che sia autorizzato a farlo. Questo caso d'uso è talvolta chiamato OAuth a tre vie o 3LO, perché sono coinvolte tre entità: l'applicazione, l'autorizzazione server e l'utente. |
Opzioni di autenticazione e autorizzazione per Google Cloud e Google Workspace
Google Cloud e Google Workspace offrono varie opzioni per impostare l'accesso, migliorare la sicurezza degli account e amministrare gli account.
Concedi l'accesso alle risorse Google Cloud per i carichi di lavoro esterni
Con la Federazione delle identità per i carichi di lavoro puoi concedere ai carichi di lavoro on-premise o multi-cloud l'accesso a Google Cloud Google Cloud. In passato, questo caso d'uso richiedeva l'uso di chiavi degli account di servizio, ma la federazione delle identità per i carichi di lavoro evita la manutenzione onere della sicurezza derivante dall'uso delle chiavi degli account di servizio. La federazione delle identità per i carichi di lavoro supporta Provider di identità compatibili con OIDC o compatibili con SAML 2.0.
Configura un provider di identità
Puoi usare Google come provider di identità, utilizzando Cloud Identity o Google Workspace. Puoi anche Federare un account Cloud Identity o Google Workspace con un provider di identità esterno. Questo approccio utilizza SAML, consentendo ai dipendenti di usare la loro identità e le loro credenziali esistenti per firmare ai servizi Google.
Configura l'autenticazione a due fattori
Richiedere l'autenticazione a due fattori è una best practice che aiuta a evitare utenti non possano accedere a un account quando hanno ottenuto l'accesso alle credenziali per quell'account. Con l'autenticazione a due fattori, una seconda informazione o l'identificazione dell'utente è necessaria per poter eseguire l'autenticazione. Google offre diverse soluzioni che supportano FIDO (Fast Identity Online) standard.
Identity Platform supporta l'autenticazione a due fattori per web, iOS e le app per Android.
Servizi di identità Google supporta Autenticazione FIDO (Fast Identity Online).
Google supporta varie soluzioni hardware per l'autenticazione a due fattori, come come Chiavi Titan.
Configura l'accesso basato su certificati
Componente della soluzione Zero Trust di Chrome Enterprise Premium, accesso basato su certificati limita l'accesso solo agli utenti autenticati su un dispositivo attendibile, che identificano i dispositivi tramite i certificati X.509. Accesso basato su certificati Talvolta è denominato anche mTLS (mutual Transport Layer Security).
Informazioni generali sull'account e sull'autenticazione
Assistenza per l'accesso a un Account Google
Se hai bisogno di aiuto per accedere a un Account Google o per gestirlo, consulta le pagina di assistenza per l'Account Google.
Gestire le credenziali compromesse
Se ritieni che le tue credenziali siano state compromesse, segui questi passaggi. tu o il tuo amministratore potete adottare misure per mitigare la situazione. Per ulteriori informazioni le informazioni, vedi Gestione delle credenziali Google Cloud compromesse.
Assistenza per i problemi delle autorità di certificazione
Se ricevi errori relativi a un problema con il tuo certificato o certificato l'autorità di certificazione (CA), inclusa la CA radice, consulta le Domande frequenti su Google Trust Services per ulteriori informazioni.