Eseguire l'autenticazione in Firestore

Questo documento descrive come eseguire l'autenticazione in Firestore in modo programmatico. La modalità di autenticazione a Firestore dipende dall'interfaccia utilizzata per accedere all'API e dall'ambiente in cui viene eseguito il codice.

Per ulteriori informazioni sull' Google Cloud autenticazione, consulta la panoramica dell'autenticazione.

Accesso API

Firestore supporta l'accesso programmatico. Puoi accedere all'API nei seguenti modi:

• Librerie client
• Google Cloud CLI

Librerie client

Le librerie client di Firestore forniscono supporto per i linguaggi di alto livello per l'autenticazione a Firestore tramite programmazione. Per autenticare le chiamate alle Google Cloud API, le librerie client supportano le credenziali predefinite dell'applicazione (ADC). Le librerie cercano le credenziali in un insieme di posizioni definite e le utilizzano per autenticare le richieste all'API. Con ADC, puoi mettere a disposizione della tua applicazione le credenziali in una serie di ambienti, come lo sviluppo locale o la produzione, senza dover modificare il codice dell'applicazione.

Google Cloud CLI

Quando utilizzi l'interfaccia a riga di comando gcloud per accedere a Firestore, accedi all'interfaccia a riga di comando gcloud con un account utente, che fornisce le credenziali utilizzate dai comandi gcloud CLI.

Se i criteri di sicurezza della tua organizzazione impediscono agli account utente di disporre delle autorizzazioni richieste, puoi utilizzare la sostituzione dell'identità dell'account di servizio.

Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di gcloud CLI. Per ulteriori informazioni sull'utilizzo di gcloud CLI con Firestore, consulta le pagine di riferimento di gcloud CLI.

Configurare l'autenticazione per Firestore

La configurazione dell'autenticazione dipende dall'ambiente in cui viene eseguito il codice.

Le seguenti opzioni per la configurazione dell'autenticazione sono le più utilizzate. Per altre opzioni e informazioni sull'autenticazione, consulta Metodi di autenticazione.

Per un ambiente di sviluppo locale

Puoi configurare le credenziali per un ambiente di sviluppo locale nei seguenti modi:

• Credenziali utente per librerie client o strumenti di terze parti
• Simulazione dell'identità dell'account di servizio

Librerie client o strumenti di terze parti

Configura le credenziali predefinite dell'applicazione (ADC) nel tuo ambiente locale:

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. If you're using a local shell, then create local authentication credentials for your user account:

   gcloud auth application-default login

   You don't need to do this if you're using Cloud Shell.

   Viene visualizzata una schermata di accesso. Dopo l'accesso, le credenziali vengono memorizzate nel file delle credenziali locali utilizzato da ADC.

Per ulteriori informazioni sull'utilizzo di ADC in un ambiente locale, consulta Configurare ADC per un ambiente di sviluppo locale.

Rappresentazione dell'identità dell'account di servizio

Nella maggior parte dei casi, puoi utilizzare le tue credenziali utente per autenticarti da un ambiente di sviluppo locale. Se non è possibile o se devi testare le autorizzazioni assegnate a un account di servizio, puoi utilizzare la rappresentazione di un account di servizio. Devi disporre dell'autorizzazione iam.serviceAccounts.getAccessToken, inclusa nel ruolo IAM Creatore token account di servizio (roles/iam.serviceAccountTokenCreator).

Puoi configurare gcloud CLI per utilizzare l'usurpazione di identità dell'account di servizio utilizzando il comando gcloud config set:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per alcune lingue, puoi utilizzare l'usurpazione dell'identità dell'account di servizio per creare un file ADC locale da utilizzare dalle librerie client. Questo approccio è supportato solo per le librerie client Go, Java, Node.js e Python, non per gli altri linguaggi. Per configurare un file ADC locale con l'inganno dell'account di servizio, utilizza il flag --impersonate-service-account con il comando gcloud auth application-default login:

gcloud auth application-default login --impersonate-service-account=SERVICE_ACCT_EMAIL

Per ulteriori informazioni sull'impersonificazione dei account di servizio, consulta Utilizzare l'account di servizio account.

Il giorno Google Cloud

Per autenticare un carico di lavoro in esecuzione su Google Cloud, utilizza le credenziali dell'account di servizio associato alla risorsa di calcolo in cui viene eseguito il codice, ad esempio un' istanza di macchina virtuale (VM) Compute Engine. Questo approccio è il metodo di autenticazione preferito per il codice in esecuzione su una Google Cloud risorsa di calcolo.

Per la maggior parte dei servizi, devi collegare l'account di servizio quando crei la risorsa che eseguirà il codice. Non puoi aggiungere o sostituire l'account di servizio in un secondo momento. Compute Engine è un'eccezione: ti consente di collegare un account di servizio a un'istanza VM in qualsiasi momento.

Utilizza gcloud CLI per creare un account di servizio e collegarlo alla risorsa:

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. Set up authentication:

   1. Create the service account:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Replace SERVICE_ACCOUNT_NAME with a name for the service account.

   2. To provide access to your project and your resources, grant a role to the service account:

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • ROLE: the role to grant
   3. To grant another role to the service account, run the command as you did in the previous step.

   4. Grant the required role to the principal that will attach the service account to other resources.

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • USER_EMAIL: the email address for a Google Account

3. Crea la risorsa che eseguirà il codice e collega l'account di servizio a questa risorsa. Ad esempio, se utilizzi Compute Engine:

   Create a Compute Engine instance. Configure the instance as follows:
   • Sostituisci INSTANCE_NAME con il nome dell'istanza preferito.
   • Imposta il flag --zone sulla zona in cui vuoi creare l'istanza.
   • Imposta il flag --service-account sull'indirizzo email dell'account di servizio che hai creato.

   gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL

Per ulteriori informazioni sull'autenticazione alle API Google, consulta Metodi di autenticazione.

On-premise o su un altro provider cloud

Il metodo preferito per configurare l'autenticazione dall'esterno di Google Cloud è utilizzare la federazione delle identità per i carichi di lavoro. Per ulteriori informazioni, consulta Configurare l'ADC per un ambiente on-premise o un altro provider cloud nella documentazione sull'autenticazione.

Controllo degli accessi per Firestore

Dopo aver eseguito l'autenticazione in Firestore, devi disporre dell'autorizzazione per accedere alle risorse Google Cloud . Firestore utilizza Identity and Access Management (IAM) per l'autorizzazione.

Per ulteriori informazioni sui ruoli per Firestore, consulta Sicurezza per le librerie client del server. Per ulteriori informazioni su IAM e sull'autorizzazione, consulta la panoramica di IAM.

Passaggi successivi

• Scopri di più sui Google Cloud metodi di autenticazione.
• Consulta un elenco di casi d'uso dell'autenticazione.