Questa pagina descrive i modi in cui puoi configurare le identità per gli utenti della tua organizzazione in modo che possano accedere a Google Cloud. Non tratta le identità che i tuoi clienti utilizzano per autenticarsi nella tua applicazione. Per scoprire come autenticare i clienti nella tua applicazione, consulta la documentazione di Identity Platform, in cui viene descritta la gestione di identità e accessi dei clienti (GIAC).
Per poter accedere a Google Cloud, gli utenti hanno bisogno di un'identità che Google Cloud possa riconoscere. Esistono diversi modi per configurare le identità in modo che Google Cloud possa riconoscerle:
- Creare account Cloud Identity o Google Workspace.
- Configura una delle seguenti strategie di identità federata:
Account Cloud Identity o Google Workspace
Puoi utilizzare Cloud Identity o Google Workspace per creare account utente gestiti. Questi account sono chiamati account gestiti perché sei tu a controllarne il ciclo di vita e la configurazione. Gli utenti con questi account possono eseguire l'autenticazione in Google Cloud ed essere autorizzati a utilizzare le risorse Google Cloud.
Cloud Identity e Google Workspace condividono una piattaforma tecnica comune. Entrambi i prodotti offrono funzionalità simili per la gestione di utenti, gruppi e autenticazione.
Solo gli account Cloud Identity o super amministratore gestiti di Google Workspace possono invitare utenti con account consumer non gestiti a trasferire i loro account consumer in account gestiti.
Per iniziare a utilizzare Cloud Identity o Google Workspace, puoi:
- Per saperne di più sull'utilizzo di Cloud Identity e Google Workspace per creare identità per gli utenti, consulta Google per le organizzazioni.
- Scopri come configurare Cloud Identity.
- Scopri come configurare Google Workspace.
Identità utente federate
Puoi federare le identità per consentire agli utenti di utilizzare la propria identità e le proprie credenziali esistenti per accedere ai servizi Google. Esistono diversi metodi per federare le identità in Google Cloud.
Federazione che utilizza Cloud Identity o Google Workspace
Quando fede le identità con Cloud Identity o Google Workspace, agli utenti non viene richiesto di inserire una password quando tentano di accedere ai servizi Google. In alternativa, puoi reindirizzarli a un provider di identità esterno (IdP) per l'autenticazione.
Per utilizzare questo tipo di federazione delle identità, un utente deve avere un'identità esterna nell'IdP esterno e un Account Google corrispondente in Cloud Identity o Google Workspace, in genere con lo stesso indirizzo email. Puoi mantenere sincronizzati questi account utilizzando uno strumento come Google Cloud Directory Sync (GCDS) o eseguendo il provisioning degli account utilizzando una origine ufficiale esterna. Ad esempio, puoi configurare il provisioning degli account con Azure AD o Active Directory.
Per scoprire di più sulla federazione mediante Cloud Identity o Google Workspace, consulta Single Sign-On.
Federazione delle identità per la forza lavoro
La federazione delle identità per la forza lavoro consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare la forza lavoro, ovvero un gruppo di utenti, ad esempio dipendenti, partner e contrattisti, utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud. Con la federazione delle identità della forza lavoro non è necessario sincronizzare le identità utente dal tuo IdP esistente alle identità di Google Cloud, come faresti con Google Cloud Directory Sync (GCDS) di Cloud Identity. La federazione delle identità per la forza lavoro estende le funzionalità di identità di Google Cloud per supportare il Single Sign-On basato su attributi e senza sincronizzazione.
Per saperne di più sulla federazione delle identità della forza lavoro, consulta la panoramica della federazione delle identità per la forza lavoro.
Passaggi successivi
- Scopri i modi per eseguire l'autenticazione nelle API di Google con le credenziali utente.
- Scopri come concedere agli utenti l'accesso alle risorse.