Attivazione di identità esterne

Questo articolo mostra come configurare Identity-Aware Proxy (IAP) per utilizzare le identità esterne. Combinando IAP e Identity Platform, puoi autenticare gli utenti con una vasta gamma di provider di identità (come OAuth, SAML, OIDC e altri) anziché solo con gli Account Google.

Attivazione e configurazione di Identity Platform

IAP utilizza Identity Platform per autenticare le identità esterne. Consulta la guida rapida per Identity Platform per scoprire come attivarla.

Se vuoi utilizzare più tenant, dovrai anche seguire i passaggi in Introduzione all'architettura multi-tenancy. Se non hai bisogno di isolare le risorse, puoi saltare questo passaggio tutti i provider a livello di progetto. Consulta la panoramica delle identità esterne se hai dubbi sull'attivazione del multitenancy.

Infine, dovrai abilitare i provider. La guida rapida mostra come usare semplici dell'autenticazione basata su nome utente e password, ma Identity Platform supporta un'ampia diversi tipi di provider, tra cui:

• Email e password
• OAuth (ad esempio Google, Facebook, Twitter e altri ancora)
• SAML
• OIDC
• Numero di telefono
• Anonimo

Consulta il resto della documentazione di Identity Platform per scoprire come configurare altri provider. Tieni presente che il numero di telefono e la modalità anonima l'autenticazione non è supportata per l'uso con la multitenancy. L'accesso senza password tramite un link via email non è supportato con IAP.

Abilitazione di IAP per l'utilizzo delle identità esterne

Dopo aver configurato Identity Platform, puoi configurare IAP per utilizzarlo per l'autenticazione.

1. Apri la pagina IAP nella console Google Cloud.
   Apri la pagina IAP

2. Seleziona lo stesso progetto con cui hai configurato Identity Platform. Utilizzo progetti diversi non sono supportati.

3. Seleziona la scheda Applicazioni.

4. Individua il servizio di cui desideri limitare l'accesso utilizzando il IAP.

5. Imposta l'opzione nella colonna IAP su On.

6. Nel riquadro laterale, fai clic su Inizia nella casella etichettata Utilizza identità esterne per l'autorizzazione.

7. Conferma la selezione.

8. Nel riquadro laterale di Identity Platform:

   1. Scegli se creare la tua pagina di accesso o se fartene creare una da IAP.

      Permettere a IAP di creare la pagina di accesso è la procedura più veloce per iniziare. Non devi eseguire il deployment di servizi aggiuntivi scrivere alcun nuovo codice e specificare personalizzazioni secondarie utilizzando JSON. Consulta Hosting di una UI di autenticazione su Cloud Run per saperne di più.

      Condivisione limitata per il dominio: Se il progetto è soggetto al vincolo di condivisione limitata del dominio in un criterio dell'organizzazione, non potrai creare servizi pubblici predefinito. Puoi utilizzare i tag e un criterio condizionale per esentare servizi specifici da questo vincolo. Per saperne di più, consulta il post del blog sulla creazione di servizi Cloud Run pubblici quando è impostata la condivisione limitata per i domini.

      Creare la tua pagina è più complesso, ma ti offre il pieno controllo il flusso di autenticazione e l'esperienza. Consulta Creazione di una UI di autenticazione con FirebaseUI e Creazione di un'interfaccia utente di autenticazione personalizzata per ulteriori informazioni.

   2. Se hai scelto di creare la tua interfaccia utente, inserisci un URL di autenticazione. IAP reindirizzerà le richieste non autenticate che riceve a questo URL.

      L'inclusione della chiave API nell'URL è facoltativa. Se non fornisci un , la console Google Cloud aggiungerà la chiave predefinita automaticamente.

   3. Scegli se utilizzare provider di progetto o tenant.

   4. Seleziona le caselle dei fornitori o degli utenti da attivare. Seleziona Configura i fornitori se devi modificare i fornitori o gli tenant.

9. Fai clic su Salva.

Complimenti! IAP è configurato per autenticare gli utenti con identità esterne.

Tornare alle identità Google

Non puoi utilizzare IAM per l'autorizzazione se utilizzi identità esterne. Se vuoi tornare a Google Identities per poter usufruire dell'IAM, segui questi passaggi:

1. Torna alla pagina IAP nella console Google Cloud.
   Apri la pagina IAP

2. Seleziona la risorsa configurata per utilizzare l'IAP.

3. Apri il riquadro delle informazioni di Identity Platform.

4. Seleziona Utilizza IAM per gestire questa risorsa.

Tieni presente che il passaggio a Google Identities comporta l'eliminazione dell'URL di autenticazione e del progetto e degli tenant associati.

Passaggi successivi

• Ospitazione di una pagina di accesso su Cloud Run.
• Crea una pagina di accesso con FirebaseUI.
• Crea una pagina di accesso personalizzata.
• Comprendi meglio come funzionano le identità esterne con IAP.