Nesta página, descrevemos as maneiras de configurar identidades para usuários na sua organização para que eles possam acessar o Google Cloud. Ele não discute as identidades que os clientes usam para autenticar no aplicativo. Para saber mais sobre como autenticar clientes no seu aplicativo, consulte a documentação do Identity Platform, que discute a identidade do cliente e o gerenciamento de acesso (CIAM).
Para que os usuários acessem o Google Cloud, eles precisam de uma identidade que o Google Cloud reconheça. Há várias maneiras de configurar identidades para que o Google Cloud possa reconhecê-las:
- Criar contas do Cloud Identity ou do Google Workspace
- Configure uma das seguintes estratégias de identidade federada:
Contas do Cloud Identity ou do Google Workspace
É possível usar o Cloud Identity ou o Google Workspace para criar contas de usuário gerenciadas. Essas contas são chamadas de contas gerenciadas porque você controla o ciclo de vida e a configuração delas. Os usuários com essas contas podem se autenticar no Google Cloud e receber autorização para usar os recursos dele.
O Cloud Identity e o Google Workspace compartilham uma plataforma técnica comum. Os dois produtos oferecem recursos semelhantes para gerenciar usuários, grupos e autenticação.
Para começar a usar o Cloud Identity ou o Google Workspace, faça o seguinte:
- Para saber mais sobre como usar o Cloud Identity e o Google Workspace para criar identidades para seus usuários, consulte Google para organizações.
- Saber como configurar o Cloud Identity.
- Saber como configurar o Google Workspace.
Identidades de usuário federadas
É possível federar identidades para permitir que os usuários usem a identidade e as credenciais atuais para fazer login nos Serviços do Google. Há vários métodos para federar identidades no Google Cloud.
Federação usando o Cloud Identity ou o Google Workspace
Quando você federa identidades com o Cloud Identity ou o Google Workspace, os usuários não recebem uma solicitação para inserir uma senha quando tentarem acessar os serviços do Google. Em vez disso, é possível redirecioná-los para um provedor de identidade externo (IdP) para autenticação.
Para usar esse tipo de federação de identidade, um usuário precisa ter uma identidade externa no IdP externo e uma Conta do Google correspondente no Cloud Identity ou no Google Workspace, normalmente com o mesmo endereço de e-mail. É possível manter essas contas sincronizadas usando uma ferramenta como o Google Cloud Directory Sync (GCDS) ou provisionando contas com uma fonte autorizada externa. Por exemplo, é possível configurar o provisionamento de contas com o Azure AD ou o Active Directory.
Para saber mais sobre a federação usando o Cloud Identity ou o Google Workspace, consulte Logon único.
Federação de identidade da força de trabalho
A federação de identidade da força de trabalho permite que você use um provedor de identidade externo (IdP) para autenticar e autorizar uma força de trabalho, um grupo de usuários, como funcionários, parceiros e prestadores de serviços, usando o IAM. para que os usuários acessem os serviços do Google Cloud. Com a federação de identidade da força de trabalho, você não precisa sincronizar as identidades de usuário do seu IdP para as identidades do Google Cloud, como faria com o Google Cloud Directory Sync (GCDS) do Cloud Identity. A federação de identidade da força de trabalho amplia os recursos de identidade do Google Cloud para oferecer suporte a logon único sem sincronização e baseado em atributos.
Para saber mais sobre a federação de identidade da força de trabalho, consulte Visão geral da federação de identidade da força de trabalho.
A seguir
- Saiba mais sobre as maneiras de autenticar as APIs do Google com credenciais de usuário.
- Saiba como conceder aos usuários acesso a recursos.