Attivazione di identità esterne

Questo articolo mostra come configurare Identity-Aware Proxy (IAP) per utilizzare le identità esterne. Combinando IAP e Identity Platform, puoi autenticare gli utenti con un'ampia gamma di provider di identità (come OAuth, SAML, OIDC e altri) anziché solo con gli Account Google.

Attivazione e configurazione di Identity Platform

IAP utilizza Identity Platform per autenticare le identità esterne. Consulta la guida rapida per Identity Platform per scoprire come attivarla.

Se vuoi utilizzare più tenant, devi anche seguire i passaggi descritti in Introduzione all'architettura multi-tenancy. Se non devi isolare le risorse, puoi saltare questo passaggio e configurare tutti i tuoi fornitori a livello di progetto. Consulta la panoramica delle identità esterne se hai dubbi sull'attivazione del multitenancy.

Infine, dovrai attivare i fornitori. La guida rapida mostra come utilizzare un'autenticazione semplice con nome utente e password, ma Identity Platform supporta un'ampia gamma di tipi di provider, tra cui:

• Email e password
• OAuth (ad esempio Google, Facebook, Twitter e altri)
• SAML
• OIDC
• Numero di telefono
• Anonimo

Consulta il resto della documentazione di Identity Platform per scoprire come configurare altri provider. Tieni presente che l'autenticazione anonima e tramite numero di telefono non sono supportate per l'utilizzo con il multitenancy. L'accesso senza password tramite un link email non è supportato con IAP.

Attivare l'IAP per utilizzare le identità esterne

Dopo aver configurato Identity Platform, puoi configurare IAP per utilizzarlo per l'autenticazione.

1. Apri la pagina IAP nella console Google Cloud.
   Apri la pagina IAP

2. Seleziona lo stesso progetto con cui hai configurato Identity Platform. L'utilizzo di progetti diversi non è supportato.

3. Seleziona la scheda Applicazioni.

4. Individua il servizio a cui vuoi limitare l'accesso utilizzando IAP.

5. Imposta l'opzione nella colonna IAP su On.

6. Nel riquadro laterale, fai clic su Avvia nella casella Utilizza identità esterne per l'autorizzazione.

7. Conferma la selezione.

8. Nel riquadro laterale di Identity Platform:

   1. Scegli se creare la tua pagina di accesso o se fartene creare una da IAP.

      Lasciare che sia IAP a creare la pagina di accesso è il modo più rapido per iniziare. Non è necessario implementare servizi aggiuntivi o scrivere nuovo codice e puoi specificare piccole personalizzazioni utilizzando JSON. Per saperne di più, consulta Hosting di un'interfaccia utente di autenticazione su Cloud Run.

      Condivisione limitata per i domini: se il progetto è soggetto al vincolo di condivisione limitata per i domini in un criterio dell'organizzazione, non potrai creare servizi pubblici per impostazione predefinita. Puoi utilizzare i tag e un criterio condizionale per esentare servizi specifici da questo vincolo. Per saperne di più, consulta il post del blog sulla creazione di servizi Cloud Run pubblici quando è applicata la condivisione limitata per i domini.

      La creazione di una pagina personalizzata è più complessa, ma ti offre il controllo completo del flusso e dell'esperienza di autenticazione. Per ulteriori informazioni, consulta Creare un'interfaccia utente per l'autenticazione con FirebaseUI e Creare un'interfaccia utente per l'autenticazione personalizzata.

   2. Se hai scelto di creare la tua interfaccia utente, inserisci un URL di autenticazione. IAP reindirizzerà le richieste non autenticate che riceve a questo URL.

      L'inclusione della chiave API nell'URL è facoltativa. Se non fornisci una chiave, la console Google Cloud aggiungerà automaticamente la chiave predefinita.

   3. Seleziona se utilizzare provider di progetti o tenant.

   4. Seleziona le caselle dei fornitori o degli account tenant da attivare. Seleziona Configura i fornitori se devi modificare i fornitori o gli tenant.

9. Fai clic su Salva.

Complimenti! IAP è configurato per autenticare gli utenti con identità esterne.

Tornare alle identità Google

Non puoi utilizzare IAM per l'autorizzazione se utilizzi identità esterne. Se vuoi tornare a Google Identities per poter usufruire dell'IAM, segui questi passaggi:

1. Torna alla pagina IAP nella console Google Cloud.
   Apri la pagina IAP

2. Seleziona la risorsa configurata per utilizzare l'IAP.

3. Apri il riquadro delle informazioni di Identity Platform.

4. Seleziona Utilizza IAM per gestire questa risorsa.

Tieni presente che il passaggio alle identità Google comporta l'eliminazione dell'URL di autenticazione e del progetto e degli tenant associati.

Passaggi successivi

• Ospitazione di una pagina di accesso su Cloud Run.
• Crea una pagina di accesso con FirebaseUI.
• Crea una pagina di accesso personalizzata.
• Scopri di più su come le identità esterne funzionano con IAP.