Nesta página, descrevemos as maneiras de configurar identidades para usuários na sua organização para que eles possam acessar o Google Cloud. Ele não discute as identidades que os clientes usam para autenticar no aplicativo. Para saber mais sobre como autenticar clientes no seu aplicativo, consulte a documentação do Identity Platform, que discute a identidade do cliente e o gerenciamento de acesso (CIAM).
Para que os usuários acessem o Google Cloud, eles precisam de uma identidade que o Google Cloud reconheça. Há várias maneiras de configurar identidades para que o Google Cloud possa reconhecê-las:
- Criar contas do Cloud Identity ou do Google Workspace
- Configure uma das seguintes estratégias de identidade federada:
Contas do Cloud Identity ou do Google Workspace
É possível usar o Cloud Identity ou o Google Workspace para criar contas de usuário gerenciadas. Essas contas são chamadas de contas gerenciadas porque você controla o ciclo de vida e a configuração delas. Os usuários com essas contas podem se autenticar no Google Cloud e receber autorização para usar os recursos dele.
O Cloud Identity e o Google Workspace compartilham uma plataforma técnica comum. Os dois produtos oferecem recursos semelhantes para gerenciar usuários, grupos e autenticação.
Somente as contas de superadministrador gerenciadas do Cloud Identity ou do Google Workspace podem convidar usuários com contas pessoais não gerenciadas para transferir essas contas pessoais para as gerenciadas.
Para começar a usar o Cloud Identity ou o Google Workspace, faça o seguinte:
- Para saber mais sobre como usar o Cloud Identity e o Google Workspace para criar identidades para seus usuários, consulte Google para organizações.
- Saber como configurar o Cloud Identity.
- Saber como configurar o Google Workspace.
Identidades de usuário federadas
É possível federar identidades para permitir que os usuários usem a identidade e as credenciais atuais para fazer login nos Serviços do Google. Há vários métodos para federar identidades no Google Cloud.
Federação usando o Cloud Identity ou o Google Workspace
Quando você federa identidades com o Cloud Identity ou o Google Workspace, os usuários não recebem uma solicitação para inserir uma senha quando tentarem acessar os serviços do Google. Em vez disso, é possível redirecioná-los para um provedor de identidade externo (IdP) para autenticação.
Para usar esse tipo de federação de identidade, um usuário precisa ter uma identidade externa no IdP externo e uma Conta do Google correspondente no Cloud Identity ou no Google Workspace, normalmente com o mesmo endereço de e-mail. É possível manter essas contas sincronizadas usando uma ferramenta como o Google Cloud Directory Sync (GCDS) ou provisionando contas com uma fonte autorizada externa. Por exemplo, é possível configurar o provisionamento de contas com o Azure AD ou o Active Directory.
Para saber mais sobre a federação usando o Cloud Identity ou o Google Workspace, consulte Logon único.
Federação de identidade da força de trabalho
A federação de identidade da força de trabalho permite que você use um provedor de identidade externo (IdP) para autenticar e autorizar uma força de trabalho, um grupo de usuários, como funcionários, parceiros e prestadores de serviços, usando o IAM. para que os usuários acessem os serviços do Google Cloud. Com a federação de identidade da força de trabalho, você não precisa sincronizar as identidades de usuário do seu IdP para as identidades do Google Cloud, como faria com o Google Cloud Directory Sync (GCDS) do Cloud Identity. A federação de identidade da força de trabalho amplia os recursos de identidade do Google Cloud para oferecer suporte a logon único sem sincronização e baseado em atributos.
Para saber mais sobre a federação de identidade da força de trabalho, consulte Visão geral da federação de identidade da força de trabalho.
A seguir
- Saiba mais sobre as maneiras de autenticar as APIs do Google com credenciais de usuário.
- Saiba como conceder aos usuários acesso a recursos.