Attivazione di identità esterne

Questo articolo spiega come configurare Identity-Aware Proxy (IAP) per utilizzare le identità esterne. Combinando IAP e Identity Platform, puoi autenticare gli utenti con un'ampia gamma di provider di identità (come OAuth, SAML, OIDC e altri) anziché solo Account Google.

Abilitare e configurare Identity Platform

IAP utilizza Identity Platform per autenticare le identità esterne. Consulta la Guida rapida per Identity Platform per scoprire come abilitarla.

Se vuoi utilizzare più tenant, devi anche seguire i passaggi in Iniziare a utilizzare l'architettura multi-tenancy. Se non hai bisogno di isolare le risorse, puoi saltare questo passaggio e configurare tutti i tuoi provider a livello di progetto. Consulta la panoramica sulle identità esterne se non hai la certezza di attivare la multitenancy.

Infine, dovrai attivare i provider. La guida rapida mostra come utilizzare l'autenticazione semplice di nomi utente e password, ma Identity Platform supporta un'ampia gamma di tipi di provider, tra cui:

• Email e password
• OAuth (ad es. Google, Facebook, Twitter e altri)
• SAML
• OIDC
• Numero di telefono
• Anonimo

Consulta la documentazione di Identity Platform per scoprire come configurare altri provider. Tieni presente che il numero di telefono e l'autenticazione anonima non sono supportati per l'utilizzo multi-tenancy. L'accesso senza password tramite un link email non è supportato con IAP.

Abilitare IAP per utilizzare le identità esterne

Dopo aver impostato Identity Platform, puoi configurare IAP in modo che lo utilizzi per l'autenticazione.

1. Apri la pagina IAP nella console Google Cloud.
   Apri la pagina IAP

2. Seleziona lo stesso progetto con cui hai configurato Identity Platform. L'utilizzo di progetti diversi non è supportato.

3. Seleziona la scheda Applicazioni.

4. Individua l'app App Engine o il servizio Compute Engine a cui vuoi limitare l'accesso tramite IAP.

5. Imposta la colonna IAP su On.

6. Nel riquadro laterale, fai clic su Inizia nella casella Utilizza identità esterne per l'autorizzazione.

7. Conferma la tua selezione.

8. Nel riquadro laterale di Identity Platform:

   1. Scegli se creare la tua pagina di accesso o fare in modo che IAP ne crei una per te.

      Lasciare a IAP la creazione della pagina di accesso è il modo più rapido per iniziare. Non è necessario eseguire il deployment di servizi aggiuntivi o scrivere nuovo codice e puoi specificare piccole personalizzazioni utilizzando JSON. Per ulteriori informazioni, consulta Ospitare un'interfaccia utente di autenticazione su Cloud Run.

      Condivisione limitata per i domini: se il progetto è soggetto al vincolo di condivisione limitata per il dominio in un criterio dell'organizzazione, non potrai creare servizi pubblici per impostazione predefinita. Puoi utilizzare i tag e un criterio condizionale per escludere determinati servizi da questo vincolo. Per ulteriori informazioni, consulta il post del blog sulla creazione di servizi Cloud Run pubblici quando viene applicata la condivisione limitata del dominio.

      Creare la tua pagina è più complesso, ma ti offre il controllo completo del flusso di autenticazione e della tua esperienza. Per ulteriori informazioni, consulta Creare un'interfaccia utente di autenticazione con FirebaseUI e Creare un'interfaccia utente di autenticazione personalizzata.

   2. Se hai scelto di creare la tua UI, inserisci un URL di autenticazione. IAP reindirizzerà le richieste non autenticate ricevute a questo URL.

      L'inserimento della chiave API nell'URL è facoltativo. Se non fornisci una chiave, la console Google Cloud aggiungerà automaticamente la chiave predefinita.

   3. Specifica se utilizzare i provider di progetto o i tenant.

   4. Seleziona le caselle dei provider o tenant da attivare. Seleziona Configura provider se devi modificare i tuoi provider o tenant.

9. Fai clic su Salva.

Complimenti! IAP è configurato per autenticare gli utenti con identità esterne.

Tornare alle identità Google

Non puoi utilizzare IAM per l'autorizzazione quando utilizzi identità esterne. Se vuoi tornare alle identità Google per utilizzare IAM, segui questi passaggi:

1. Torna alla pagina IAP nella console Google Cloud.
   Apri la pagina IAP

2. Seleziona la risorsa configurata per l'utilizzo di IAP.

3. Apri il riquadro delle informazioni di Identity Platform.

4. Seleziona Utilizza IAM per gestire questa risorsa.

Tieni presente che se torni alle identità Google, l'URL di autenticazione e i progetti e tenant associati verranno cancellati.

Passaggi successivi

• Ospitare una pagina di accesso su Cloud Run.
• Crea una pagina di accesso con FirebaseUI.
• Crea una pagina di accesso personalizzata.
• Comprendi meglio come funzionano le identità esterne con IAP.