Metodi di autenticazione di Google

Questo documento ti aiuta a comprendere alcuni concetti e metodi di autenticazione chiave e dove ricevere assistenza per l'implementazione o la risoluzione dei problemi relativi all'autenticazione. L'argomento principale della documentazione sull'autenticazione è dedicato ai servizi Google Cloud, ma l'elenco di casi d'uso per l'autenticazione e il materiale introduttivo in questa pagina includono casi d'uso anche per altri prodotti Google.

Introduzione

L'autenticazione è il processo mediante il quale la tua identità viene confermata tramite l'uso di un qualche tipo di credenziale. L'autenticazione consiste nel provare che sei chi dici.

Google fornisce molti servizi e API, che richiedono l'autenticazione per accedere. Google offre inoltre una serie di servizi che ospitano le applicazioni scritte dai nostri clienti; queste applicazioni devono anche determinare l'identità dei loro utenti.

Ho intenzione di… Informazioni
Esegui l'autenticazione in un servizio Google Cloud dalla mia applicazione utilizzando un linguaggio di programmazione di alto livello. Configura le credenziali predefinite dell'applicazione, quindi utilizza una delle librerie client di Cloud.
Esegui l'autenticazione in un'applicazione in esecuzione su Cloud Run o Cloud Functions. Ottieni un token ID OpenID Connect (OIDC) e forniscilo con la tua richiesta.
Implementa l'autenticazione utente per un'applicazione che accede a servizi e risorse Google o Google Cloud. Consulta Autenticare gli utenti dell'applicazione per un confronto delle opzioni.
Prova alcuni comandi gcloud nel mio ambiente di sviluppo locale. Inizializza gcloud CLI.
Prova alcune richieste API REST di Google Cloud nel mio ambiente di sviluppo locale. Usa uno strumento a riga di comando come curl per chiamare l'API REST.
Prova uno snippet di codice incluso nella documentazione del prodotto. Configura le credenziali predefinite dell'applicazione in locale e installa la libreria client del tuo prodotto nel tuo ambiente locale. La libreria client trova automaticamente le tue credenziali.
Ricevi assistenza per un altro caso d'uso dell'autenticazione. Consulta la pagina Casi d'uso dell'autenticazione.
Consulta un elenco dei prodotti forniti da Google nello spazio di gestione di identità e accessi. Consulta la pagina dei prodotti per la gestione di identità e accessi di Google.

Scegli il metodo di autenticazione adatto al tuo caso d'uso

Quando accedi ai servizi Google Cloud utilizzando Google Cloud CLI, le librerie client di Cloud, gli strumenti che supportano le Credenziali predefinite dell'applicazione (ADC) come Terraform o le richieste REST, usa il diagramma seguente per scegliere un metodo di autenticazione:

Albero decisionale per la scelta del metodo di autenticazione in base al caso d'uso

Questo diagramma ti guida attraverso le seguenti domande:

  1. Stai eseguendo il codice in un ambiente di sviluppo a utente singolo, come la tua workstation, Cloud Shell o un'interfaccia desktop virtuale?
    1. In caso affermativo, vai alla domanda 4.
    2. In caso contrario, vai alla domanda 2.
  2. Stai eseguendo codice in Google Cloud?
    1. In caso affermativo, vai alla domanda 3.
    2. In caso contrario, vai alla domanda 5.
  3. Esegui container in Google Kubernetes Engine o GKE Enterprise?
    1. Se sì, utilizza la federazione delle identità per i carichi di lavoro per GKE per collegare gli account di servizio ai pod Kubernetes.
    2. In caso contrario, collega un account di servizio alla risorsa.
  4. Il tuo caso d'uso richiede un account di servizio?

    Ad esempio, vuoi configurare l'autenticazione e l'autorizzazione in modo coerente per la tua applicazione in tutti gli ambienti.

    1. In caso contrario, esegui l'autenticazione con le credenziali utente.
    2. Se sì, impersona un account di servizio con credenziali utente.
  5. Il tuo carico di lavoro autentica con un provider di identità esterno che supporta la federazione delle identità per i carichi di lavoro?
    1. Se sì, configura la federazione delle identità per i carichi di lavoro per consentire alle applicazioni in esecuzione on-premise o su altri cloud provider di utilizzare un account di servizio.
    2. In caso contrario, crea una chiave dell'account di servizio.

Tipi di autenticazione

Per accedere alla maggior parte delle risorse e delle applicazioni è necessaria l'autenticazione. Questa documentazione supporta i professionisti tecnici nella creazione di codice dell'applicazione con uno dei seguenti obiettivi:

OAuth 2.0

Le API di Google implementano ed estendono il framework OAuth 2.0. Il framework OAuth 2.0 delinea vari "flussi" o approcci di autenticazione. In genere, l'applicazione presenta le credenziali, che rappresentano un'entità (un account utente o di servizio), a un modulo intermedio chiamato Authorization Server. Il server di autorizzazione risponde con un token, che l'applicazione può utilizzare per eseguire l'autenticazione con il servizio e accedere alle risorse. Il token include uno o più ambiti, che riflettono il tipo di accesso che l'applicazione è autorizzata a effettuare. L'applicazione presenta quindi il token al server delle risorse per ottenere l'accesso alle risorse.

Metodi di autorizzazione per i servizi Google Cloud

I servizi Google Cloud utilizzano Identity and Access Management (IAM) per l'autenticazione. IAM offre un controllo granulare, per entità e per risorsa. Quando esegui l'autenticazione ai servizi Google Cloud, in genere utilizzi un ambito che include tutti i servizi Google Cloud (https://www.googleapis.com/auth/cloud-platform).

Gli ambiti OAuth 2.0 possono fornire un secondo livello di protezione, utile se il codice viene eseguito in un ambiente in cui la sicurezza dei token è preoccupante, ad esempio un'app per dispositivi mobili. In questo scenario, puoi utilizzare ambiti con granularità fina per ridurre il rischio in caso di token compromesso. Gli ambiti OAuth 2.0 vengono utilizzati anche per autorizzare l'accesso ai dati utente.

Credenziali predefinite dell'applicazione

Application Default Credentials (ADC) è una strategia utilizzata dalle librerie di autenticazione di Google per trovare automaticamente le credenziali in base all'ambiente applicativo. Le librerie di autenticazione rendono queste credenziali disponibili alle librerie client di Cloud e alle librerie client delle API di Google. Quando utilizzi ADC, il tuo codice può essere eseguito in un ambiente di sviluppo o di produzione senza cambiare il modo in cui l'applicazione viene autenticata ai servizi e alle API di Google Cloud.

Se stai scrivendo codice che richiede l'uso dei servizi Google Cloud, dovresti usare ADC ove possibile. L'utilizzo di ADC può semplificare il processo di sviluppo perché ti consente di usare lo stesso codice di autenticazione in diversi ambienti.

Prima di poter utilizzare ADC, devi fornire le tue credenziali ad ADC, a seconda di dove vuoi che venga eseguito il codice. ADC localizza automaticamente le credenziali e riceve un token in background, consentendo l'esecuzione del codice di autenticazione in diversi ambienti senza modifiche. Ad esempio, la stessa versione del tuo codice potrebbe essere autenticata con le API Google Cloud durante l'esecuzione su una workstation di sviluppo o su Compute Engine.

Le credenziali gcloud non corrispondono a quelle che fornisci ad ADC tramite lgcloud CLI. Per maggiori informazioni, consulta Credenziali dell'interfaccia a riga di comando gcloud e credenziali ADC.

Terminologia

È importante comprendere i seguenti termini quando si parla di autenticazione e autorizzazione.

Autenticazione

L'autenticazione è il processo di determinazione dell'identità dell'entità che tenta di accedere a una risorsa.

Autorizzazione

L'autorizzazione è il processo che determina se l'entità o l'applicazione che tenta di accedere a una risorsa è stata autorizzata per quel livello di accesso.

Credenziali

Quando questo documento utilizza il termine account utente, si riferisce a un account utente gestito dal tuo provider di identità e federato con la federazione delle identità per la forza lavoro.

Per l'autenticazione, le credenziali sono un oggetto digitale che fornisce una prova dell'identità. Password, PIN e dati biometrici possono essere utilizzati come credenziali, a seconda dei requisiti dell'applicazione. Ad esempio, quando accedi al tuo account utente, fornisci la tua password e soddisfi i requisiti di autenticazione a due fattori, come prova che l'account ti appartiene effettivamente e che non sei vittima di spoofing.

I token vengono a volte denominati credenziali, ma in questa documentazione vengono definiti oggetti digitali che dimostrano che il chiamante ha fornito credenziali corrette, ma non sono credenziali stesse.

Il tipo di credenziale che devi fornire dipende da ciò che utilizzi per l'autenticazione. Nella console Google Cloud è possibile creare i seguenti tipi di credenziali:

  • Chiavi API

    A differenza delle altre credenziali, le chiavi API non identificano un'entità. Le chiavi API forniscono un progetto Google Cloud a fini di fatturazione e quota.

    Molte API di Google non accettano chiavi API. Per ulteriori informazioni sulle chiavi API, consulta la sezione Chiavi API.

  • ID client OAuth

    Gli ID client OAuth vengono utilizzati per identificare un'applicazione per Google. Questa operazione è necessaria per accedere alle risorse di proprietà dei tuoi utenti finali, chiamata anche OAuth a tre vie (3LO). Per ulteriori informazioni su come ottenere e utilizzare un ID client OAuth, consulta la pagina Configurare OAuth 2.0.

Entità

Un'entità è un'identità a cui è possibile concedere l'accesso a una risorsa. Per l'autenticazione, le API di Google supportano due tipi di entità: account utente e account di servizio.

L'utilizzo di un account utente o di un account di servizio per l'autenticazione dipende dal caso d'uso specifico. Puoi utilizzarli entrambi in fasi diverse del progetto o in ambienti di sviluppo diversi.

Account utente

Gli account utente rappresentano uno sviluppatore, un amministratore o qualsiasi altra persona che interagisce con le API e i servizi Google.

Gli account utente sono gestiti dal tuo provider di identità e federati con la federazione delle identità per la forza lavoro.

Con un account utente, puoi eseguire l'autenticazione ai servizi e alle API di Google nei seguenti modi:

Per una panoramica dei modi per configurare le identità per gli utenti in Google Cloud, consulta Identità per gli utenti.

Account di servizio

Gli account di servizio sono account che non rappresentano un utente umano. Forniscono un modo per gestire l'autenticazione e l'autorizzazione quando un utente non è direttamente coinvolto, ad esempio quando un'applicazione deve accedere alle risorse Google Cloud. Gli account di servizio sono gestiti da IAM.

Il seguente elenco fornisce alcuni metodi per utilizzare un account di servizio per eseguire l'autenticazione nelle API e nei servizi Google, dal più sicuro al meno sicuro. Per maggiori informazioni, consulta Scegliere il metodo di autenticazione giusto per il proprio caso d'uso in questa pagina.

Per una panoramica dei modi per configurare le identità dei carichi di lavoro, inclusi gli account di servizio, per Google Cloud, consulta Identità per i carichi di lavoro. Per le best practice, consulta Best practice per l'utilizzo degli account di servizio.

Token

Per l'autenticazione e l'autorizzazione, un token è un oggetto digitale che mostra che un chiamante ha fornito le credenziali corrette che sono state scambiate per quel token. Il token contiene informazioni sull'identità dell'entità che effettua la richiesta e sul tipo di accesso che è autorizzato a effettuare.

I token possono essere considerati come chiavi di hotel. Quando fai il check-in in hotel e presenti la documentazione adeguata alla reception dell'hotel, ricevi una chiave che ti consente di accedere a risorse specifiche dell'hotel. Ad esempio, la chiave potrebbe consentire l'accesso alla camera e all'ascensore per gli ospiti, ma non all'accesso a nessun'altra stanza o all'ascensore di servizio.

Le API di Google, ad eccezione delle chiavi API, non supportano direttamente le credenziali. L'applicazione deve acquisire o generare un token e fornirlo all'API. Esistono diversi tipi di token. Per ulteriori informazioni, consulta la sezione Tipi di token.

Carico di lavoro e forza lavoro

I prodotti di identità e accesso Google Cloud consentono l'accesso ai servizi e alle risorse Google sia per l'accesso programmatico che per gli utenti umani. Google utilizza i termini carico di lavoro per l'accesso programmatico e forza lavoro per l'accesso degli utenti.

La federazione delle identità per i carichi di lavoro consente di fornire l'accesso ai carichi di lavoro in esecuzione al di fuori di Google senza dover creare e gestire le chiavi degli account di servizio.

La federazione delle identità per la forza lavoro consente di utilizzare un provider di identità esterno per autenticare e autorizzare una forza lavoro (un gruppo di utenti, ad esempio dipendenti, partner e contrattisti) utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud.

Passaggi successivi