Attivazione di identità esterne

Questo articolo illustra come configurare Identity-Aware Proxy (IAP) per l'utilizzo di identità esterne. Puoi combinare gli IAP e Identity Platform per autenticare gli utenti con una vasta gamma di provider di identità (ad esempio OAuth, SAML, OIDC e altri) anziché solo Account Google.

Abilitazione e configurazione di Identity Platform

IAP utilizza Identity Platform per autenticare le identità esterne. Consulta la guida rapida per Identity Platform per scoprire come abilitarla.

Se vuoi usare più tenant, devi anche seguire la procedura descritta in Iniziare a utilizzare la multi-tenancy. Se non hai bisogno di isolare le risorse, puoi saltare questo passaggio e configurare tutti i provider a livello di progetto. Consulta la panoramica sulle identità esterne se non sai se attivare o meno la modalità multitenancy.

Infine, dovrai attivare i provider. La guida rapida illustra come utilizzare l'autenticazione semplice per nome utente e password, ma Identity Platform supporta un'ampia gamma di tipi di provider, tra cui:

  • Email e password
  • OAuth (come Google, Facebook, Twitter e altri)
  • SAML
  • OIDC
  • Numero di telefono
  • Personalizzato
  • Anonimo

Consulta la parte restante della documentazione di Identity Platform per scoprire come configurare altri provider. Tieni presente che l'uso della funzione multi-tenancy per numero di telefono, anonimo e personalizzato non è supportato. L'accesso senza password utilizzando un link email non è supportato con IAP.

Possibilità di IAP di utilizzare identità esterne

Dopo aver impostato Identity Platform, puoi configurare IAP in modo che lo utilizzi per l'autenticazione.

  1. Apri la pagina IAP in Google Cloud Console.
    Apri la pagina IAP

  2. Seleziona lo stesso progetto con cui hai configurato Identity Platform. L'utilizzo di progetti diversi non è supportato.

  3. Seleziona la scheda Risorse HTTP.

  4. Individua l'app App Engine o il servizio Compute Engine a cui vuoi limitare l'accesso utilizzando IAP.

  5. Imposta l'opzione nella colonna IAP su On.

  6. Nel riquadro laterale, fai clic su Inizia nella casella Usa identità esterne per l'autorizzazione.

  7. Conferma la selezione.

  8. Nel riquadro laterale di Identity Platform:

    1. Scegli se creare la tua pagina di accesso o far sì che IAP ne crei una per te.

      Consentire a IAP di creare la pagina di accesso è il modo più rapido per iniziare. Non devi eseguire il deployment di servizi aggiuntivi o scrivere nuovo codice e puoi specificare personalizzazioni minime utilizzando JSON. Per ulteriori informazioni, consulta la sezione Ospitare un'interfaccia utente di autenticazione in Cloud Run.

      Creare una pagina è più complessa, ma offre il pieno controllo del flusso di autenticazione e dell'esperienza. Per ulteriori informazioni, consulta Creare un'interfaccia utente di autenticazione con FirebaseUI e Creare un'interfaccia utente di autenticazione personalizzata.

    2. Se hai scelto di creare la tua interfaccia utente, inserisci un URL di autenticazione. IAP reindirizzerà le richieste non autenticate ricevute a questo URL.

      L'inclusione della chiave API nell'URL è facoltativa. Se non fornisci una chiave, Google Cloud Console aggiungerà automaticamente la tua chiave predefinita.

    3. Scegli se utilizzare i provider di progetto o i tenant.

    4. Seleziona le caselle dei provider o tenant da attivare. Seleziona Configura provider se devi modificare i tuoi provider o tenant.

  9. Fai clic su Salva.

Complimenti! IAP è configurato per autenticare gli utenti con identità esterne.

Ritorno alle identità Google

Non puoi utilizzare IAM per l'autorizzazione quando utilizzi identità esterne. Se vuoi tornare alle identità Google per poter utilizzare IAM, segui questi passaggi:

  1. Torna alla pagina IAP in Google Cloud Console.
    Apri la pagina IAP

  2. Seleziona la risorsa configurata per utilizzare IAP.

  3. Apri il riquadro delle informazioni di Identity Platform.

  4. Seleziona Utilizza IAM per gestire questa risorsa.

Tieni presente che se torni alle identità Google, verranno cancellati l'URL di autenticazione e il progetto e i tenant associati.

Passaggi successivi