Casi d'uso di autenticazione e autorizzazione

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina elenca alcuni casi d'uso di autenticazione e autorizzazione comuni, con link a ulteriori informazioni su come implementare ciascun caso d'uso.

Per una panoramica dell'autenticazione su Google, vedi Autenticazione in Google.

Autenticazione con le API di Google

Le API di Google richiedono un token di accesso o una chiave API validi per ogni richiesta. Il modo in cui fornisci queste credenziali obbligatorie dipende dalla posizione di esecuzione del codice e dai tipi di credenziali accettati dall'API.

Usa le librerie client e le credenziali predefinite dell'applicazione

Il metodo consigliato per utilizzare le API di Google è di utilizzare una libreria client e le ADC (Application Default Credentials). ADC è una strategia utilizzata dalle librerie client Cloud e dalle librerie client delle API di Google per trovare automaticamente le credenziali in base all'ambiente dell'applicazione e utilizzarle per l'autenticazione nelle API Google Cloud. Quando configuri ADC e utilizzi una libreria client, il codice può essere eseguito in un ambiente di sviluppo o di produzione senza modificare l'autenticazione dell'applicazione nei servizi e nelle API Google Cloud.

Il modo in cui configuri l'ADC dipende da dove viene eseguito il codice. ADC supporta sia l'autenticazione come account di servizio sia l'autenticazione come utente.

Autenticarsi da Google Kubernetes Engine (GKE)

Workload Identity consente di abilitare i carichi di lavoro in esecuzione su GKE per accedere in modo sicuro alle API di Google. Workload Identity consente a un account di servizio GKE nel tuo cluster GKE di agire come account di servizio Identity and Access Management (IAM).

Autentica da Cloud Run for Anthos

Autentichi i servizi Cloud Run for Anthos utilizzando Workload Identity, che ti consente di accedere alle API di Google.

Usa un'API che accetta chiavi API

Le chiavi API associano una richiesta API a un progetto Google Cloud ai fini della fatturazione e della quota. Se un'API supporta le chiavi API, è possibile fornire una chiave API con la richiesta API anziché con il token. Per determinare se un'API supporta le chiavi API, consulta la documentazione per l'API.

Utilizza token web JSON autofirmati

Alcune API di Google supportano i token web JSON autofirmati (JWT) al posto dei token di accesso. L'utilizzo di un JWT autofirmato consente di evitare di effettuare una richiesta di rete al server di autorizzazione di Google. Questo approccio richiede la creazione di un JWT firmato. Per ulteriori informazioni sui token, consulta Tipi di token.

Utilizzare le librerie e i pacchetti di autenticazione

Se nel tuo ambiente non sono disponibili ADC e l'implementazione OAuth fornita dalle librerie client di Cloud o dalle librerie client delle API di Google, puoi utilizzare le librerie e i pacchetti di autenticazione.

Sono disponibili i seguenti pacchetti e librerie di autenticazione:

Puoi anche implementare il flusso OAuth 2.0 utilizzando gli endpoint OAuth 2.0 di Google. Questo approccio richiede una comprensione più dettagliata di come funzionano OAuth 2.0 e OpenID Connect. Per ulteriori informazioni, consulta la pagina relativa all'utilizzo di OAuth 2.0 per le applicazioni server web.

Casi d'uso specifici per i servizi Google Cloud

Alcuni servizi Google Cloud supportano flussi di autenticazione specifici per tale servizio.

Fornisci accesso a tempo limitato a una risorsa Cloud Storage utilizzando gli URL firmati

Gli URL firmati forniscono l'accesso a tempo limitato a una risorsa Cloud Storage specifica.

Autentica nei cluster Anthos

Puoi eseguire l'autenticazione nei cluster Anthos utilizzando identità Google Cloud o utilizzando un provider di identità di terze parti:

Configurare un'API di cui è stato eseguito il deployment con API Gateway o Cloud Endpoints per l'autenticazione

Il gateway API e Cloud Endpoints supportano l'autenticazione Service-to-Service e l'autenticazione degli utenti con Firebase, token di ID firmati da Google, Okta, Auth0 e JWT.

Per informazioni, consulta la documentazione del prodotto:

Autenticarsi a IoT Core da un dispositivo IoT

I dispositivi Internet of Things (IoT) utilizzano JWT per eseguire l'autenticazione su IoT Core.

Autenticarsi nelle applicazioni ospitate su Cloud Run o Cloud Functions

Le applicazioni ospitate su Cloud Run e Cloud Functions richiedono token OpenID Connect (OIDC) o token ID per l'autenticazione.

Per saperne di più, consulta la documentazione del prodotto per i servizi di hosting elencati di seguito. Per informazioni su altri modi per acquisire un token ID, vedi Ottenere un token ID.

Cloud Run

Esistono diversi modi per configurare un servizio Cloud Run, a seconda di come verrà richiamato il servizio. Potresti anche dover autenticare ad altri servizi da un servizio Cloud Run, che richiede un token ID OIDC.

Per autenticare gli utenti al tuo servizio da un'app web o per dispositivi mobili, utilizza Identity Platform o Firebase Authentication. Puoi anche utilizzare Identity-Aware Proxy (IAP) per autenticare gli utenti interni.

Cloud Functions

Quando richiami una funzione, devi autenticare la chiamata. Puoi utilizzare le credenziali utente o un token ID OIDC.

Autenticare gli utenti dell'applicazione

Esistono diverse opzioni per autenticare gli utenti finali dell'applicazione, a seconda del resto dell'ambiente dell'applicazione. Utilizza le descrizioni di seguito per comprendere l'opzione migliore per la tua applicazione.

Servizio di autenticazione Descrizione
Servizi di Google Identity

I servizi Google Identity includono il pulsante Accedi con Google, il pulsante di accesso utente di Google e l'SDK e le API Identity Services. Google Identity Services si basa sui protocolli OAuth 2.0 e OpenID Connect (OIDC).

Se stai creando un'applicazione mobile e vuoi autenticare gli utenti utilizzando gli account Gmail e Google Workspace, la funzionalità Accedi con Google potrebbe essere una buona opzione. Accedi con Google supporta anche l'utilizzo di Account Google con un sistema di accesso esistente.

Informazioni dettagliate

Accedi con Google fornisce accesso agli account Gmail e Google Workspace e l'assistenza per le password uniche (OTP). Accedi con Google è destinato agli account solo Google o agli Account Google in un sistema di accesso esistente per le applicazioni per dispositivi mobili.

Accedi con Google è disponibile per iOS, Android e per le applicazioni web.

Autenticazione Firebase

Firebase Authentication fornisce servizi e librerie di autenticazione per autenticare gli utenti nella tua applicazione per un'ampia gamma di tipi di account utente.

Se vuoi accettare gli accessi utente da più piattaforme, Firebase Authentication potrebbe essere una buona opzione.

Informazioni dettagliate

Firebase Authentication offre funzionalità di autenticazione per molti tipi di account utente. Firebase Authentication supporta l'autenticazione tramite password e l'accesso federato con Google, Facebook, Twitter e altre piattaforme.

Identity Platform e Firebase Authentication si basano entrambi sui servizi di Google Identity. Firebase Authentication è rivolto alle applicazioni consumer. Identity Platform è la soluzione ideale per gli utenti che vogliono avere un proprio provider di identità o che hanno bisogno della funzionalità di livello enterprise fornita da Identity Platform. Per ulteriori informazioni sulle differenze tra questi prodotti, vedi Differenze tra Identity Platform e Firebase Authentication.

I link riportati di seguito forniscono ulteriori informazioni:

Identity Platform

Identity Platform è una piattaforma CIAM (Customer Identity and Access Management) che aiuta le organizzazioni ad aggiungere alle proprie applicazioni funzionalità di gestione di identità e accessi di livello aziendale.

Se stai creando un'applicazione da utilizzare con un provider di identità Google come Google Workspace o il tuo servizio di gestione di identità e accessi, Identity Platform potrebbe essere una buona opzione.

Informazioni dettagliate

Identity Platform fornisce un servizio di identità e autenticazione personalizzabile e integrato per l'accesso e la registrazione degli utenti. Identity Platform supporta diversi metodi di autenticazione: SAML, OIDC, email/password, social, telefono e opzioni personalizzate.

Identity Platform e Firebase Authentication si basano entrambi sui servizi di Google Identity. Firebase Authentication è rivolto alle applicazioni consumer. Identity Platform è la soluzione ideale per gli utenti che vogliono avere un proprio provider di identità o che hanno bisogno della funzionalità di livello enterprise fornita da Identity Platform. Per ulteriori informazioni sulle differenze tra questi prodotti, vedi Differenze tra Identity Platform e Firebase Authentication.

OAuth 2.0 e OpenID Connect

OpenID Connect ti consente di gestire e utilizzare i token di autenticazione con la massima personalizzazione.

Se vuoi il massimo controllo sull'implementazione di OAuth 2.0 e sai come implementare i flussi OAuth 2.0, prendi in considerazione questa opzione.

Informazioni dettagliate

L'implementazione di OAuth 2.0 di Google è conforme alla specifica OpenID Connect ed è certificata OpenID. OpenID Connect è un livello di identità superiore al protocollo OAuth 2.0. La tua applicazione può utilizzare OpenID Connect per convalidare il token ID e recuperare le informazioni del profilo utente.

OAuth 2.0 può essere utilizzato per implementare l'autenticazione programmatica in una risorsa protetta da Identity-Aware Proxy.

Identity-Aware Proxy (IAP)

IAP consente di controllare l'accesso all'applicazione prima che le richieste raggiungano le risorse dell'applicazione.

A differenza degli altri servizi di autenticazione in questa tabella, che sono implementati all'interno dell'applicazione, IAP esegue l'autenticazione prima di poter raggiungere l'applicazione.

Informazioni dettagliate

Con IAP puoi creare un livello di autorizzazione centrale per le applicazioni e utilizzare le intestazioni firmate per proteggere la tua app. Puoi accedere alle applicazioni protette da IAP solo dai principi che dispongono del ruolo IAM corretto. Quando un utente finale tenta di accedere a una risorsa protetta da IAP, IAP esegue i controlli di autenticazione e autorizzazione per te. IAP non protegge dalle attività all'interno di un progetto, ad esempio un altro servizio nello stesso progetto.

Per le identità Google, IAP utilizza i token ID. Per ulteriori informazioni, consulta Autenticazione programmatica.

Per informazioni su come IAP protegge le tue risorse dell'applicazione, consulta la panoramica di IAP.

API App Engine Users Per le applicazioni in esecuzione nell'ambiente standard App Engine, l'API Users è disponibile per fornire la funzionalità di autenticazione utente per alcuni linguaggi.
Autorizzazione dell'accesso per le risorse degli utenti finali Se la tua applicazione accede a risorse di proprietà del tuo utente finale, devi proteggere la sua autorizzazione in tal senso. Questo caso d'uso è a volte denominato tre vie OAuth o 3LO, perché sono coinvolte tre entità: l'applicazione, il server di autorizzazione e l'utente.

Opzioni di autenticazione e autorizzazione per Google Cloud e Google Workspace

Google Cloud e Google Workspace offrono varie opzioni per configurare l'accesso, migliorare la sicurezza degli account e amministrare gli account.

Concedi l'accesso alle risorse Google Cloud per i carichi di lavoro esterni

La federazione delle identità con carichi di lavoro consente di concedere ai carichi di lavoro on-premise o multi-cloud l'accesso alle risorse di Google Cloud. In passato, questo caso d'uso richiedeva l'uso di chiavi dell'account di servizio, ma la federazione delle identità dei carichi di lavoro evita il carico e la manutenzione di utilizzo delle chiavi dell'account di servizio. La federazione delle identità per i carichi di lavoro supporta numerosi provider di identità compatibili con OIDC o SAML 2.0. I provider di identità supportati includono AWS, Azure Active Directory, Active Directory on-premise, Okta, GitHub Actions e cluster Kubernetes.

Configura un provider di identità

Puoi utilizzare Google come provider di identità usando Cloud Identity o Google Workspace. Puoi anche federare un account Cloud Identity o Google Workspace con un provider di identità esterno. Questo approccio utilizza SAML, consentendo ai tuoi dipendenti di utilizzare la propria identità e credenziali esistenti per accedere ai servizi Google.

Configura l'autenticazione a due fattori

La richiesta dell'autenticazione a due fattori è una best practice che aiuta a impedire che utenti malintenzionati accedano a un account quando hanno ottenuto l'accesso alle credenziali in questione. Con l'autenticazione a due fattori, è necessaria una seconda informazione o identificazione dell'utente prima che l'utente venga autenticato. Google offre diverse soluzioni che supportano lo standard FIDO (Fast IDentity Online).

Identity Platform supporta l'autenticazione a due fattori per le app web, iOS e Android.

Google Identity Services supporta l'autenticazione FIDO (Fast IDentity Online).

Google supporta varie soluzioni hardware per l'autenticazione a due fattori, ad esempio le chiavi Titan.

Configurare l'accesso basato su certificati

Parte della soluzione Zero Trust di BeyondCorp Enterprise, l'accesso basato su certificati limita l'accesso solo agli utenti autenticati su un dispositivo attendibile, identificando i dispositivi tramite i certificati X.509. L'accesso basato su certificati a volte è anche denominato mTLS (mutual Transport Layer Security).

Ricevere assistenza per l'accesso a un Account Google

Se hai bisogno di aiuto per accedere o gestire un Account Google, visita la pagina di assistenza per l'Account Google.

Gestire le credenziali compromesse

Se ritieni che le tue credenziali siano state compromesse, ci sono misure che tu o l'amministratore potete intraprendere per mitigare la situazione. Per saperne di più, consulta Gestire le credenziali Google Cloud compromesse.