Casi d'uso di autenticazione e autorizzazione

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina elenca alcuni casi d'uso comuni di autenticazione e autorizzazione, con link a ulteriori informazioni su come implementare ogni caso d'uso.

Per una panoramica dell'autenticazione su Google, consulta Autenticazione presso Google.

Autenticazione nelle API di Google

Le API di Google richiedono un token di accesso o una chiave API validi per ogni richiesta. Il modo in cui fornisci queste credenziali obbligatorie dipende dalla posizione in cui viene eseguito il codice e dai tipi di credenziali accettati dall'API.

Usa le librerie client e le Credenziali predefinite dell'applicazione

Il modo consigliato per utilizzare le API di Google è utilizzare una libreria client e Credenziali predefinite dell'applicazione (ADC). ADC è una strategia utilizzata dalle librerie di autenticazione di Google per trovare automaticamente le credenziali in base all'ambiente dell'applicazione. Le librerie di autenticazione rendono quindi disponibili queste credenziali per le librerie client Cloud e le librerie client delle API di Google. Le librerie client utilizzano le credenziali per autenticarsi nelle API Google Cloud. Quando configuri l'ADC e utilizzi una libreria client, il codice può essere eseguito in un ambiente di sviluppo o di produzione senza modificare la modalità di autenticazione dell'applicazione ai servizi e alle API di Google Cloud.

La configurazione dell'ADC dipende dall'esecuzione del codice. ADC supporta sia l'autenticazione come account di servizio sia l'autenticazione come utente.

Autenticazione da Google Kubernetes Engine (GKE)

Utilizza Workload Identity per abilitare i carichi di lavoro in esecuzione su GKE per accedere in modo sicuro alle API di Google. Workload Identity consente a un account di servizio GKE nel tuo cluster GKE di agire come account di servizio Identity and Access Management (IAM).

Autenticazione da Cloud Run for Anthos

Autentichi i servizi Cloud Run for Anthos utilizzando Workload Identity, che ti consente di accedere alle API di Google.

Usa un'API che accetta le chiavi API

Le chiavi API associano una richiesta API a un progetto Google Cloud per la fatturazione e le quote. Se un'API supporta le chiavi API, è possibile fornire una chiave API insieme alla richiesta API anziché il token. Per determinare se un'API supporta le chiavi API, consulta la documentazione per l'API.

Utilizza token web JSON (JWT) autofirmati

Alcune API di Google supportano i token web JSON (JWT) autofirmati invece dei token di accesso. L'utilizzo di un JWT autofirmato ti consente di evitare di inviare una richiesta di rete al server di autorizzazione di Google. Questo approccio richiede la creazione di un JWT firmato. Per ulteriori informazioni sui token, consulta Tipi di token.

Utilizza le librerie di autenticazione e i pacchetti

Se ADC e l'implementazione OAuth fornita dalle librerie client di Cloud o dalle librerie client dell'API di Google non sono disponibili nel tuo ambiente, puoi utilizzare le librerie e i pacchetti di autenticazione.

Sono disponibili le seguenti librerie e pacchetti di autenticazione:

Puoi anche implementare il flusso OAuth 2.0 utilizzando gli endpoint OAuth 2.0 di Google. Questo approccio richiede una comprensione più dettagliata di come funzionano OAuth 2.0 e OpenID Connect. Per saperne di più, consulta Utilizzo di OAuth 2.0 per applicazioni server web.

Casi d'uso specifici dei servizi Google Cloud

Alcuni servizi Google Cloud supportano flussi di autenticazione specifici per quel servizio.

Fornisce l'accesso limitato a tempo a una risorsa Cloud Storage utilizzando gli URL firmati

Gli URL firmati forniscono l'accesso a tempo limitato a una specifica risorsa di Cloud Storage.

Autenticazione nei cluster Anthos

Puoi autenticarti nei cluster Anthos utilizzando le identità Google Cloud o utilizzando un provider di identità di terze parti:

Configura un'API di cui è stato eseguito il deployment con API Gateway o Cloud Endpoints per l'autenticazione

API Gateway e Cloud Endpoints supportano l'autenticazione da servizio a servizio e l'autenticazione utente con Firebase, token ID firmati da Google, Okta, Auth0 e JWT.

Per informazioni, consulta la documentazione del prodotto:

Autenticazione a IoT Core da un dispositivo IoT

I dispositivi Internet of Things (IoT) utilizzano i JWT per autenticarsi in IoT Core.

Autenticazione per applicazioni in hosting su Cloud Run o Cloud Functions

Le applicazioni ospitate su Cloud Run e Cloud Functions richiedono i token OpenID Connect (OIDC) o token ID per l'autenticazione.

Per saperne di più, consulta la documentazione dei prodotti per i servizi di hosting elencati di seguito. Per informazioni su altri modi per acquisire un token ID, consulta la pagina Ottenere un token ID. Per ulteriori informazioni sui token ID, inclusa la convalida dei token ID, consulta la sezione Token ID.

Cloud Run

Esistono diversi modi per configurare un servizio Cloud Run, a seconda di come verrà richiamato il servizio. Potrebbe anche essere necessario autenticarsi ad altri servizi da un servizio Cloud Run, che richiede un token ID OIDC.

Per autenticare gli utenti al tuo servizio da un'app web o per dispositivi mobili, utilizza Identity Platform o Firebase Authentication. Puoi anche utilizzare Identity-Aware Proxy (IAP) per autenticare gli utenti interni.

Cloud Functions

Quando richiami una funzione, devi autenticare la chiamata. Puoi utilizzare le credenziali utente o un token ID OIDC.

Autenticare gli utenti delle applicazioni

Esistono varie opzioni per autenticare gli utenti finali della tua applicazione, a seconda del resto dell'ambiente dell'applicazione. Utilizza le descrizioni di seguito per capire qual è l'opzione migliore per la tua applicazione.

Servizio di autenticazione Descrizione
Servizi di Google Identity

I servizi Google Identity includono la funzionalità Accedi con Google, il pulsante di accesso utente di Google e l'SDK e le API Identity Services. I servizi di identità Google si basano sui protocolli OAuth 2.0 e OpenID Connect (OIDC).

Se stai creando un'applicazione per dispositivi mobili e vuoi autenticare gli utenti utilizzando gli account Gmail e Google Workspace, la funzionalità Accedi con Google potrebbe essere una buona opzione. Accedi con Google supporta anche l'utilizzo di Account Google con un sistema di accesso esistente.

Informazioni dettagliate

Accedi con Google fornisce l'accesso agli account Gmail e Google Workspace e supporta le password uniche (OTP). La funzionalità Accedi con Google è indirizzata agli account solo Google o agli Account Google in un sistema di accesso esistente per le app per dispositivi mobili.

Accedi con Google è disponibile per iOS, Android e applicazioni web.

Autenticazione Firebase

Firebase Authentication fornisce servizi di autenticazione e librerie per autenticare gli utenti nella tua applicazione per una vasta gamma di tipi di account utente.

Se vuoi accettare gli accessi degli utenti da più piattaforme, Firebase Authentication potrebbe essere una buona opzione.

Informazioni dettagliate

Firebase Authentication fornisce funzionalità di autenticazione per molti tipi di account utente. Firebase Authentication supporta l'autenticazione tramite password e l'accesso federato con Google, Facebook, Twitter e altre piattaforme.

Identity Platform e Firebase Authentication sono entrambi basati sui servizi di identità Google. Firebase Authentication è rivolto alle applicazioni consumer. Identity Platform è la soluzione ideale per gli utenti che vogliono essere i propri provider di identità o che hanno bisogno della funzionalità di livello aziendale offerta da Identity Platform. Per saperne di più sulle differenze tra questi prodotti, vedi Differenze tra Identity Platform e Firebase Authentication.

I seguenti link forniscono ulteriori informazioni:

Identity Platform

Identity Platform è una piattaforma CIAM (Customer Identity and Access Management) che consente alle organizzazioni di aggiungere funzionalità di gestione di identità e accessi di livello enterprise alle proprie applicazioni.

Se stai creando un'applicazione da utilizzare con un provider di identità Google, come Google Workspace, o con il tuo servizio di gestione di identità e accessi, Identity Platform potrebbe essere una buona opzione.

Informazioni dettagliate

Identity Platform fornisce un servizio di identità e autenticazione personalizzabile e integrato per la registrazione e l'accesso degli utenti. Identity Platform supporta diversi metodi di autenticazione: SAML, OIDC, email/password, social, telefono e opzioni personalizzate.

Identity Platform e Firebase Authentication sono entrambi basati sui servizi di identità Google. Firebase Authentication è rivolto alle applicazioni consumer. Identity Platform è la soluzione ideale per gli utenti che vogliono essere i propri provider di identità o che hanno bisogno della funzionalità di livello aziendale offerta da Identity Platform. Per saperne di più sulle differenze tra questi prodotti, vedi Differenze tra Identity Platform e Firebase Authentication.

OAuth 2.0 e OpenID Connect

OpenID Connect ti consente di gestire e utilizzare i token di autenticazione con la massima personalizzazione.

Se vuoi il massimo controllo sull'implementazione di OAuth 2.0 e sai come implementare i flussi OAuth 2.0, valuta questa opzione.

Informazioni dettagliate

L'implementazione di Google OAuth 2.0 è conforme alla specifica OpenID Connect ed è certificata OpenID. OpenID Connect è un livello di identità sovrapposto al protocollo OAuth 2.0. L'applicazione può utilizzare OpenID Connect per convalidare il token ID e recuperare le informazioni del profilo utente.

OAuth 2.0 può essere utilizzato per implementare l'autenticazione programmatica in una risorsa protetta da Identity-Aware Proxy.

Identity-Aware Proxy (IAP)

IAP ti consente di controllare l'accesso alla tua applicazione prima che le richieste raggiungano le relative risorse.

A differenza degli altri servizi di autenticazione in questa tabella, implementati all'interno dell'applicazione, IAP esegue l'autenticazione prima di poter raggiungere l'applicazione.

Informazioni dettagliate

Con IAP stabilisci un livello di autorizzazione centrale per le applicazioni e utilizzi le intestazioni firmate per proteggere la tua app. Le applicazioni protette da IAP sono accessibili solo dai principali con il ruolo IAM corretto. Quando un utente finale tenta di accedere a una risorsa protetta da IAP, IAP esegue i controlli di autenticazione e autorizzazione per te. IAP non protegge dalle attività all'interno di un progetto, ad esempio un altro servizio nello stesso progetto.

Per le identità Google, IAP utilizza i token ID. Per scoprire di più, consulta la pagina Autenticazione programmatica.

Per informazioni su come IAP protegge le risorse dell'applicazione, consulta la panoramica di IAP.

Per IAP sono disponibili i seguenti tutorial in base alla lingua:

API App Engine Users Per le applicazioni in esecuzione nell'ambiente standard App Engine, l'API Users è in grado di fornire funzionalità di autenticazione degli utenti per alcuni linguaggi.
Autorizzazione dell'accesso per le risorse dell'utente finale Se la tua applicazione accede a risorse di proprietà del tuo utente finale, devi proteggere la sua autorizzazione per farlo. A volte questo caso d'uso è chiamato OAuth a tre vie o 3LO, perché ci sono tre entità coinvolte: l'applicazione, il server di autorizzazione e l'utente.

Opzioni di autenticazione e autorizzazione per Google Cloud e Google Workspace

Google Cloud e Google Workspace offrono varie opzioni per configurare l'accesso, migliorare la sicurezza degli account e amministrare gli account.

Concedi l'accesso alle risorse Google Cloud per i carichi di lavoro esterni

La federazione delle identità per i carichi di lavoro ti consente di concedere l'accesso alle risorse Google Cloud ai carichi di lavoro on-premise o multi-cloud. In passato, questo caso d'uso richiedeva l'uso di chiavi dell'account di servizio, ma la federazione delle identità per i carichi di lavoro evita l'onere della manutenzione e del carico di sicurezza dell'utilizzo delle chiavi degli account di servizio. La federazione delle identità per i carichi di lavoro supporta molti provider di identità compatibili con OIDC o SAML 2.0. I provider di identità supportati includono AWS, Azure Active Directory, on-premise Active Directory, Okta, GitHub Actions e cluster Kubernetes.

Configurare un provider di identità

Puoi utilizzare Google come provider di identità usando Cloud Identity o Google Workspace. Puoi anche federare un account Cloud Identity o Google Workspace con un provider di identità esterno. Questo approccio utilizza SAML, consentendo ai tuoi dipendenti di utilizzare le loro identità e credenziali esistenti per accedere ai servizi Google.

Configura autenticazione a due fattori

Richiedere l'autenticazione a due fattori è una best practice che impedisce ai malintenzionati di accedere a un account quando hanno ottenuto l'accesso all'account. Con l'autenticazione a due fattori, è necessaria una seconda informazione o l'identificazione dell'utente prima che l'utente venga autenticato. Google offre diverse soluzioni che supportano lo standard FIDO (Fast IDentity Online).

Identity Platform supporta l'autenticazione a due fattori per le app web, iOS e Android.

Google Identity Services supporta l'autenticazione FIDO (Fast IDentity Online).

Google supporta varie soluzioni hardware per l'autenticazione a due fattori, ad esempio le chiavi Titan.

Configura l'accesso basato su certificati

Parte della soluzione Zero Trust di BeyondCorp Enterprise, l'accesso basato su certificati limita l'accesso solo agli utenti autenticati su un dispositivo attendibile, identificando i dispositivi tramite i certificati X.509. L'accesso basato su certificati a volte viene chiamato anche mTLS (mutual Transport Layer Security).

Informazioni generali sull'account e sull'autenticazione

Ricevere assistenza per l'accesso a un Account Google

Se hai bisogno di aiuto per accedere o gestire un Account Google, consulta la pagina di assistenza per l'Account Google.

Gestire le credenziali compromesse

Se ritieni che le tue credenziali siano state compromesse, ci sono azioni che tu o l'amministratore potete intraprendere per mitigare la situazione. Per saperne di più, consulta Gestione delle credenziali Google Cloud compromesse.

Assistenza per problemi con le autorità di certificazione

Se noti errori relativi a un problema con il certificato o l'autorità di certificazione (CA), inclusa la CA radice, consulta le Domande frequenti su Google Trust Services per ulteriori informazioni.