Questa pagina descrive i modi in cui puoi configurare le identità per gli utenti della tua organizzazione in modo che possano accedere a Google Cloud. Non tratta le identità utilizzate dai clienti per l'autenticazione nella tua applicazione. Per ulteriori informazioni su come autenticare i clienti nell'applicazione, consulta la documentazione di Identity Platform, che illustra la gestione di identità e accessi dei clienti (GIAC).
Per accedere a Google Cloud, gli utenti devono avere un'identità che Google Cloud possa riconoscere. Esistono diversi modi per configurare le identità in modo che Google Cloud possa riconoscerle:
- Creare account Cloud Identity o Google Workspace.
- Configura una delle seguenti strategie di identità federata:
Account Cloud Identity o Google Workspace
Puoi utilizzare Cloud Identity o Google Workspace per creare account utente gestiti. Questi account sono chiamati account gestiti perché ne controlli il ciclo di vita e la configurazione. Gli utenti con questi account possono autenticarsi su Google Cloud ed essere autorizzati a utilizzare le risorse Google Cloud.
Cloud Identity e Google Workspace condividono una piattaforma tecnica comune. Entrambi i prodotti offrono funzionalità simili per la gestione di utenti, gruppi e autenticazione.
Solo gli account super amministratore gestiti di Cloud Identity o Google Workspace possono invitare utenti con account consumer non gestiti a trasferire i propri account consumer in account gestiti.
Per iniziare a utilizzare Cloud Identity o Google Workspace, puoi fare quanto segue:
- Per saperne di più sull'utilizzo di Cloud Identity e Google Workspace per creare identità per gli utenti, consulta Google per le organizzazioni.
- Scopri come configurare Cloud Identity.
- Scopri come configurare Google Workspace.
Identità utente federate
Puoi federare le identità per consentire agli utenti di utilizzare la propria identità e le credenziali esistenti per accedere ai servizi Google. Esistono diversi metodi per federare le identità in Google Cloud.
Federazione con Cloud Identity o Google Workspace
Quando fede le identità con Cloud Identity o Google Workspace, agli utenti non viene richiesto di inserire una password quando tentano di accedere ai servizi Google. In alternativa, puoi reindirizzarli a un provider di identità esterno (IdP) per l'autenticazione.
Per utilizzare questo tipo di federazione delle identità, un utente deve avere un'identità esterna nell'IdP esterno e un Account Google corrispondente in Cloud Identity o Google Workspace, in genere con lo stesso indirizzo email. Puoi mantenere questi account sincronizzati utilizzando uno strumento come Google Cloud Directory Sync (GCDS) o eseguendo il provisioning degli account utilizzando una fonte esterna autorevole. Ad esempio, puoi configurare il provisioning degli account con Azure AD o Active Directory.
Per scoprire di più sulla federazione tramite Cloud Identity o Google Workspace, vedi Single Sign-On.
Federazione delle identità per la forza lavoro
La federazione delle identità per la forza lavoro consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare una forza lavoro, ovvero un gruppo di utenti, ad esempio dipendenti, partner e appaltatori, utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud. Con la federazione delle identità per la forza lavoro non è necessario sincronizzare le identità utente dal tuo IdP esistente alle identità Google Cloud, come faresti con Google Cloud Directory Sync (GCDS) di Cloud Identity. La federazione delle identità per la forza lavoro estende le funzionalità delle identità di Google Cloud per supportare il Single Sign-On basato su attributi e senza sincronizzazione.
Per saperne di più sulla federazione delle identità per la forza lavoro, consulta la panoramica della federazione delle identità per la forza lavoro.
Passaggi successivi
- Scopri come eseguire l'autenticazione nelle API di Google con le credenziali utente.
- Scopri come concedere agli utenti l'accesso alle risorse.