Questa pagina è stata tradotta dall'API Cloud Translation.

Creazione di una pagina di accesso personalizzata

Questo articolo mostra come creare la tua pagina di autenticazione utilizzando le identità esterne e l'IAP. Se crei questa pagina autonomamente, hai il pieno controllo sul flusso di autenticazione e sull'esperienza utente.

Se non hai bisogno di personalizzare completamente l'interfaccia utente, puoi lasciare che sia l'IAP a ospitare una pagina di accesso per te oppure utilizzare FirebaseUI per un'esperienza più semplificata.

Panoramica

Per creare la tua pagina di autenticazione:

Attiva le identità esterne. Seleziona Fornirò la mia UI durante la configurazione.
Installa la libreria gcip-iap.
Configura l'interfaccia utente implementando l'interfaccia AuthenticationHandler. La pagina di autenticazione deve gestire i seguenti scenari:
- Selezione dell'account utente
- Autorizzazione utente
- Accesso utente
- Gestione degli errori
(Facoltativo) Personalizza la pagina di autenticazione con funzionalità aggiuntive, come barre di avanzamento, pagine di disconnessione ed elaborazione degli utenti.
Esegui il test dell'interfaccia utente.

Installazione della libreria gcip-iap

Per installare la libreria gcip-iap, esegui il seguente comando:

npm install gcip-iap --save

Il modulo NPM gcip-iap esegue l'astrazione delle comunicazioni tra la tua applicazione, l'IAP e Identity Platform. In questo modo puoi personalizzare l'intero flusso di autenticazione senza dover gestire gli scambi sottostanti tra la UI e l'IAP.

Utilizza le importazioni corrette per la versione dell'SDK:

gcip-iap v0.1.4 o versioni precedenti

// Import Firebase/GCIP dependencies. These are installed on npm install.
import * as firebase from 'firebase/app';
import 'firebase/auth';
// Import GCIP/IAP module.
import * as ciap from 'gcip-iap';

Da gcip-iap v1.0.0 a v1.1.0

A partire dalla versione v1.0.0, gcip-iap richiede la dipendenza peer firebase v9 o successiva. Se esegui la migrazione a gcip-iap 1.0.0 o versioni successive, completa le seguenti azioni:

Aggiorna la versione di firebase nel file package.json alla versione 9.6.0 o successiva.
Aggiorna le istruzioni di importazione firebase come segue:

// Import Firebase modules.
import firebase from 'firebase/compat/app';
import 'firebase/compat/auth';
// Import the gcip-iap module.
import * as ciap from 'gcip-iap';

Non sono necessarie ulteriori modifiche al codice.

gcip-iap v2.0.0

A partire dalla versione 2.0.0, gcip-iap richiede la riscrittura dell'applicazione UI personalizzata utilizzando il formato SDK modulare. Se esegui la migrazione a gcip-iap 2.0.0 o versioni successive, completa le seguenti azioni:

Aggiorna la versione di firebase nel file package.json alla versione 9.8.3 o successiva.
Aggiorna le istruzioni di importazione firebase come segue:

  // Import Firebase modules.
  import { initializeApp } from 'firebase/app';
  import { getAuth, GoogleAuthProvider } 'firebase/auth';
  // Import the gcip-iap module.
  import * as ciap from 'gcip-iap';

Configurazione dell'interfaccia utente

Per configurare l'interfaccia utente, crea una classe personalizzata che implementi l'interfaccia AuthenticationHandler:

interface AuthenticationHandler {
  languageCode?: string | null;
  getAuth(apiKey: string, tenantId: string | null): FirebaseAuth;
  startSignIn(auth: FirebaseAuth, match?: SelectedTenantInfo): Promise<UserCredential>;
  selectTenant?(projectConfig: ProjectConfig, tenantIds: string[]): Promise<SelectedTenantInfo>;
  completeSignOut(): Promise<void>;
  processUser?(user: User): Promise<User>;
  showProgressBar?(): void;
  hideProgressBar?(): void;
  handleError?(error: Error | CIAPError): void;
}

Durante l'autenticazione, la libreria chiama automaticamente i metodi di AuthenticationHandler.

Selezione dei tenant

Per selezionare un tenant, implementa selectTenant(). Puoi implementare questo metodo per scegliere un tenant tramite programmazione o visualizzare un'interfaccia utente in modo che l'utente possa selezionarne uno autonomamente.

In entrambi i casi, la libreria utilizza l'oggetto SelectedTenantInfo restituito per completare il flusso di autenticazione. Contiene l'ID del tenant selezionato, eventuali ID provider e l'email inserita dall'utente.

Se nel tuo progetto sono presenti più tenant, devi selezionarne uno prima di poter autenticare un utente. Se hai un solo tenant o utilizzi l'autenticazione a livello di progetto, non devi implementare selectTenant().

IAP supporta gli stessi provider di Identity Platform, ad esempio:

Email e password
OAuth (Google, Facebook, Twitter, GitHub, Microsoft e così via)
SAML
OIDC
Numero di telefono
Personalizzato
Anonimo

I tipi di autenticazione numero di telefono, personalizzato e anonimo non sono supportati per il multitenancy.

Selezione dei tenant tramite programmazione

Per selezionare un tenant in modo programmatico, utilizza il contesto corrente. La classe Authentication contiene getOriginalURL() che restituisce l'URL a cui l'utente stava accedendo prima dell'autenticazione.

Utilizza questa opzione per trovare una corrispondenza da un elenco di tenant associati:

// Select provider programmatically.
selectTenant(projectConfig, tenantIds) {
  return new Promise((resolve, reject) => {
    // Show UI to select the tenant.
    auth.getOriginalURL()
      .then((originalUrl) => {
        resolve({
          tenantId: getMatchingTenantBasedOnVisitedUrl(originalUrl),
          // If associated provider IDs can also be determined,
          // populate this list.
          providerIds: [],
        });
      })
      .catch(reject);
  });
}

Consentire agli utenti di selezionare i tenant

Per consentire all'utente di selezionare un tenant, mostra un elenco di tenant e invitalo a sceglierne uno oppure chiedigli di inserire il proprio indirizzo email e poi di individuare una corrispondenza in base al dominio:

// Select provider by showing UI.
selectTenant(projectConfig, tenantIds) {
  return new Promise((resolve, reject) => {
    // Show UI to select the tenant.
    renderSelectTenant(
        tenantIds,
        // On tenant selection.
        (selectedTenantId) => {
          resolve({
            tenantId: selectedTenantId,
            // If associated provider IDs can also be determined,
            // populate this list.
            providerIds: [],
            // If email is available, populate this field too.
            email: undefined,
          });
        });
  });
}

Autenticazione degli utenti

Dopo aver ottenuto un provider, implementa getAuth() per restituire un'istanza Auth corrispondente alla chiave API e all'ID tenant forniti. Se non viene fornito un ID tenant, utilizza i provider di identità a livello di progetto.

getAuth() monitora la posizione in cui è archiviato l'utente corrispondente alla configurazione fornita. Inoltre, consente di aggiornare silenziosamente il token ID di Identity Platform di un utente autenticato in precedenza senza richiedere all'utente di reinserire le credenziali.

Se utilizzi più risorse IAP con tenant diversi, ti consigliamo di utilizzare un'istanza di autenticazione univoca per ogni risorsa. In questo modo, più risorse con configurazioni diverse possono utilizzare la stessa pagina di autenticazione. Inoltre, consente a più utenti di accedere contemporaneamente senza uscire dall'utente precedente.

Di seguito è riportato un esempio di come implementare getAuth():

gcip-iap v1.0.0

getAuth(apiKey, tenantId) {
  let auth = null;
  // Make sure the expected API key is being used.
  if (apiKey !== expectedApiKey) {
    throw new Error('Invalid project!');
  }
  try {
    auth = firebase.app(tenantId || undefined).auth();
    // Tenant ID should be already set on initialization below.
  } catch (e) {
    // Use different App names for every tenant so that
    // multiple users can be signed in at the same time (one per tenant).
    const app = firebase.initializeApp(this.config, tenantId || '[DEFAULT]');
    auth = app.auth();
    // Set the tenant ID on the Auth instance.
    auth.tenantId = tenantId || null;
  }
  return auth;
}

gcip-iap v2.0.0

import {initializeApp, getApp} from 'firebase/app';
import {getAuth} from 'firebase/auth';

getAuth(apiKey, tenantId) {
  let auth = null;
  // Make sure the expected API key is being used.
  if (apiKey !== expectedApiKey) {
    throw new Error('Invalid project!');
  }
  try {
    auth = getAuth(getApp(tenantId || undefined));
    // Tenant ID should be already set on initialization below.
  } catch (e) {
    // Use different App names for every tenant so that
    // multiple users can be signed in at the same time (one per tenant).
    const app = initializeApp(this.config, tenantId || '[DEFAULT]');
    auth = getAuth(app);
    // Set the tenant ID on the Auth instance.
    auth.tenantId = tenantId || null;
  }
  return auth;
}

Accesso degli utenti

Per gestire l'accesso, implementa startSignIn(), visualizza un'interfaccia utente per l'autenticazione dell'utente e poi restituisci un valore UserCredential per l'utente che ha eseguito l'accesso al termine dell'operazione.

In un ambiente multi-tenant, puoi determinare i metodi di autenticazione disponibili da SelectedTenantInfo, se è stato fornito. Questa variabile contiene le stesse informazioni restituite da selectTenant().

L'esempio seguente mostra un'implementazione di startSignIn() per un utente esistente con un indirizzo email e una password:

gcip-iap v1.0.0

startSignIn(auth, selectedTenantInfo) {
  return new Promise((resolve, reject) => {
    // Show the UI to sign-in or sign-up a user.
    $('#sign-in-form').on('submit', (e) => {
      const email = $('#email').val();
      const password = $('#password').val();
      // Example: Ask the user for an email and password.
      // Note: The method of sign in may have already been determined from the
      // selectedTenantInfo object.
      auth.signInWithEmailAndPassword(email, password)
        .then((userCredential) => {
          resolve(userCredential);
        })
        .catch((error) => {
          // Show the error message.
        });
    });
  });
}

gcip-iap v2.0.0

import {signInWithEmailAndPassword} from 'firebase/auth';

startSignIn(auth, selectedTenantInfo) {
  return new Promise((resolve, reject) => {
    // Show the UI to sign-in or sign-up a user.
    $('#sign-in-form').on('submit', (e) => {
      const email = $('#email').val();
      const password = $('#password').val();
      // Example: Ask the user for an email and password.
      // Note: The method of sign in may have already been determined from the
      // selectedTenantInfo object.
        signInWithEmailAndPassword(auth, email, password)
        .then((userCredential) => {
          resolve(userCredential);
        })
        .catch((error) => {
          // Show the error message.
        });
    });
  });
}

Puoi anche far accedere gli utenti con un provider federato, ad esempio SAML o OIDC, utilizzando un popup o un reindirizzamento:

gcip-iap v1.0.0

startSignIn(auth, selectedTenantInfo) {
  // Show the UI to sign-in or sign-up a user.
  return new Promise((resolve, reject) => {
    // Provide the user multiple buttons to sign-in.
    // For example sign-in with popup using a SAML provider.
    // Note: The method of sign in may have already been determined from the
    // selectedTenantInfo object.
    const provider = new firebase.auth.SAMLAuthProvider('saml.myProvider');
    auth.signInWithPopup(provider)
      .then((userCredential) => {
        resolve(userCredential);
      })
      .catch((error) => {
        // Show the error message.
      });
    // Using redirect flow. When the page redirects back and sign-in completes,
    // ciap will detect the result and complete sign-in without any additional
    // action.
    auth.signInWithRedirect(provider);
  });
}

gcip-iap v2.0.0

import {signInWithPopup, SAMLAuthProvider} from 'firebase/auth';

startSignIn(auth, selectedTenantInfo) {
  // Show the UI to sign-in or sign-up a user.
  return new Promise((resolve, reject) => {
    // Provide the user multiple buttons to sign-in.
    // For example sign-in with popup using a SAML provider.
    // Note: The method of sign in might have already been determined from the
    // selectedTenantInfo object.
    const provider = new SAMLAuthProvider('saml.myProvider');
    signInWithPopup(auth, provider)
      .then((userCredential) => {
        resolve(userCredential);
      })
      .catch((error) => {
        // Show the error message.
      });
    // Using redirect flow. When the page redirects back and sign-in completes,
    // ciap will detect the result and complete sign-in without any additional
    // action.
    signInWithRedirect(auth, provider);
  });
}

Alcuni provider OAuth supportano il passaggio di un suggerimento per l'accesso:

gcip-iap v1.0.0

startSignIn(auth, selectedTenantInfo) {
  // Show the UI to sign-in or sign-up a user.
  return new Promise((resolve, reject) => {
    // Use selectedTenantInfo to determine the provider and pass the login hint
    // if that provider supports it and the user specified an email address.
    if (selectedTenantInfo &&
        selectedTenantInfo.providerIds &&
        selectedTenantInfo.providerIds.indexOf('microsoft.com') !== -1) {
      const provider = new firebase.auth.OAuthProvider('microsoft.com');
      provider.setCustomParameters({
        login_hint: selectedTenantInfo.email || undefined,
      });
    } else {
      // Figure out the provider used...
    }
    auth.signInWithPopup(provider)
      .then((userCredential) => {
        resolve(userCredential);
      })
      .catch((error) => {
        // Show the error message.
      });
    });
}

gcip-iap v2.0.0

import {signInWithPopup, OAuthProvider} from 'firebase/auth';

startSignIn(auth, selectedTenantInfo) {
  // Show the UI to sign in or sign up a user.
  return new Promise((resolve, reject) => {
    // Use selectedTenantInfo to determine the provider and pass the login hint
    // if that provider supports it and the user specified an email address.
    if (selectedTenantInfo &&
        selectedTenantInfo.providerIds &&
        selectedTenantInfo.providerIds.indexOf('microsoft.com') !== -1) {
      const provider = new OAuthProvider('microsoft.com');
      provider.setCustomParameters({
        login_hint: selectedTenantInfo.email || undefined,
      });
    } else {
      // Figure out the provider used...
    }
    signInWithPopup(auth, provider)
      .then((userCredential) => {
        resolve(userCredential);
      })
      .catch((error) => {
        // Show the error message.
      });
    });
}

Per ulteriori informazioni, consulta la sezione Autenticazione con la multitenancy.

Gestione degli errori

Per mostrare messaggi di errore agli utenti o per tentare di recuperare da errori come i timeout di rete, implementa handleError().

L'esempio seguente implementa handleError():

handleError(error) {
  showAlert({
    code: error.code,
    message: error.message,
    // Whether to show the retry button. This is only available if the error is
    // recoverable via retrial.
    retry: !!error.retry,
  });
  // When user clicks retry, call error.retry();
  $('.alert-link').on('click', (e) => {
    error.retry();
    e.preventDefault();
    return false;
  });
}

Nella tabella seguente sono elencati i codici di errore specifici per IAP che possono essere restituiti. Identity Platform può anche restituire errori. Consulta la documentazione relativa a firebase.auth.Auth.

Codice di errore	Descrizione
`invalid-argument`	Il client ha specificato un argomento non valido.
`failed-precondition`	La richiesta non può essere eseguita nello stato attuale del sistema.
`out-of-range`	Il client ha specificato un intervallo non valido.
`unauthenticated`	La mancata autenticazione della richiesta è dovuta a un token OAuth mancante, non valido o scaduto.
`permission-denied`	Il client non dispone di autorizzazioni sufficienti o l'interfaccia utente è ospitata su un dominio non autorizzato.
`not-found` .	La risorsa specificata non è stata trovata.
`aborted`	Conflitto di concorrenza, ad esempio conflitto di lettura, modifica e scrittura.
`already-exists`	La risorsa che un client ha cercato di creare esiste già.
`resource-exhausted`	Quota di risorse esaurita o vicina alla limitazione della frequenza.
`cancelled`	La richiesta è stata annullata dal client.
`data-loss`	Perdita di dati non recuperabili o danneggiamento dei dati.
`unknown`	Errore sconosciuto del server.
`internal`	Errore interno del server.
`not-implemented`	Metodo API non implementato dal server.
`unavailable`	Servizio non disponibile.
`restart-process`	Visita di nuovo l'URL che ti ha reindirizzato a questa pagina per riavviare il processo di autenticazione.
`deadline-exceeded`	Scadenza richiesta superata.
`authentication-uri-fail`	Impossibile generare l'URI di autenticazione.
`gcip-token-invalid`	Token ID GCIP fornito non valido.
`gcip-redirect-invalid`	URL di reindirizzamento non valido.
`get-project-mapping-fail`	Impossibile recuperare l'ID progetto.
`gcip-id-token-encryption-error`	Errore di crittografia del token ID GCIP.
`gcip-id-token-decryption-error`	Errore di decrittografia del token ID GCIP.
`gcip-id-token-unescape-error`	Non è stato possibile eseguire lo scollegamento da Base64 sicuro per il web.
`resource-missing-gcip-sign-in-url`	URL di autenticazione GCIP mancante per la risorsa IAP specificata.

Personalizzazione dell'interfaccia utente

Puoi personalizzare la pagina di autenticazione con funzionalità facoltative come barre di avanzamento e pagine di logout.

Visualizzazione di un'interfaccia utente di avanzamento

Per mostrare all'utente un'interfaccia utente di avanzamento personalizzata ogni volta che il modulo gcip-iap esegue attività di rete di lunga durata, implementa showProgressBar() e hideProgressBar().

Disconnessione degli utenti

In alcuni casi, potresti voler consentire agli utenti di uscire da tutte le sessioni attive che condividono lo stesso URL di autenticazione.

Dopo che un utente è uscito, potrebbe non esserci un URL a cui reindirizzarlo. Questo accade di solito quando un utente esce da tutti i tenant associati a una pagina di accesso. In questo caso, implementa completeSignOut() per visualizzare un messaggio che indica che l'utente ha eseguito la disconnessione correttamente. Se non implementi questo metodo, viene visualizzata una pagina vuota quando un utente esce.

Elaborazione degli utenti

Per modificare un utente che ha eseguito l'accesso prima del reindirizzamento alla risorsa IAP, implementa processUser().

Puoi utilizzare questo metodo per:

Link a fornitori aggiuntivi.
Aggiorna il profilo dell'utente.
Chiedi all'utente di fornire dati aggiuntivi dopo la registrazione.
Elabora i token di accesso OAuth restituiti da getRedirectResult() dopo la chiamata a signInWithRedirect().

Di seguito è riportato un esempio di implementazione di processUser():

gcip-iap v1.0.0

processUser(user) {
  return lastAuthUsed.getRedirectResult().then(function(result) {
    // Save additional data, or ask the user for additional profile information
    // to store in database, etc.
    if (result) {
      // Save result.additionalUserInfo.
      // Save result.credential.accessToken for OAuth provider, etc.
    }
    // Return the user.
    return user;
  });
}

gcip-iap v2.0.0

import {getRedirectResult} from 'firebase/auth';

processUser(user) {
  return getRedirectResult(lastAuthUsed).then(function(result) {
    // Save additional data, or ask the user for additional profile information
    // to store in database, etc.
    if (result) {
      // Save result.additionalUserInfo.
      // Save result.credential.accessToken for OAuth provider, etc.
    }
    // Return the user.
    return user;
  });
}

Se vuoi che le modifiche apportate a un utente vengano applicate ai claim del token di identità propagati dall'IAP alla tua app, devi forzare l'aggiornamento del token:

gcip-iap v1.0.0

processUser(user) {
  return user.updateProfile({
    photoURL: 'https://example.com/profile/1234/photo.png',
  }).then(function() {
    // To reflect updated photoURL in the ID token, force token
    // refresh.
    return user.getIdToken(true);
  }).then(function() {
    return user;
  });
}

gcip-iap v2.0.0

import {updateProfile} from 'firebase/auth';

processUser(user) {
  return updateProfile(user, {
    photoURL: 'https://example.com/profile/1234/photo.png',
  }).then(function() {
    // To reflect updated photoURL in the ID token, force token
    // refresh.
    return user.getIdToken(true);
  }).then(function() {
    return user;
  });
}

Test dell'interfaccia utente

Dopo aver creato una classe che implementa AuthenticationHandler, puoi usarla per creare una nuova istanza di AuthenticationHandler e avviarla:Authentication

// Implement interface AuthenticationHandler.
// const authHandlerImplementation = ....
const ciapInstance = new ciap.Authentication(authHandlerImplementation);
ciapInstance.start();

Esegui il deployment dell'applicazione e vai alla pagina di autenticazione. Dovresti vedere la UI di accesso personalizzata.

Passaggi successivi

Scopri come accedere alle risorse non Google in modo programmatico.
Scopri di più sulla gestione delle sessioni.
Scopri come le identità esterne funzionano con IAP.