Attivazione di identità esterne

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo articolo illustra come configurare Identity-Aware Proxy (IAP) per utilizzare le identità esterne. Se combini IAP e Identity Platform, puoi autenticare gli utenti con una vasta gamma di provider di identità (ad esempio OAuth, SAML, OIDC e altri) anziché solo Account Google.

Attivazione e configurazione di Identity Platform

IAP utilizza Identity Platform per autenticare le identità esterne. Consulta la Guida rapida per Identity Platform per scoprire come abilitarla.

Se vuoi utilizzare più tenant, devi seguire i passaggi in Iniziare a utilizzare la multitenancy. Se non hai bisogno di isolare le risorse, puoi saltare questo passaggio e configurare tutti i provider a livello di progetto. Consulta la panoramica sulle identità esterne se non hai la certezza di dover attivare la multitenancy.

Infine, dovrai attivare i provider. La guida rapida mostra come utilizzare l'autenticazione semplice di nomi utente e password, ma Identity Platform supporta un'ampia gamma di tipi di provider, tra cui:

  • Email e password
  • OAuth (ad esempio Google, Facebook, Twitter e altri)
  • SAML
  • OIDC
  • Numero di telefono
  • Personalizzato
  • Anonimo

Consulta il resto della documentazione di Identity Platform per scoprire come configurare altri provider. Tieni presente che i numeri di telefono, gli account anonimi e l'autenticazione personalizzata non sono supportati per l'uso multitenancy. L'accesso senza password con un link email non è supportato con IAP.

Abilitazione di IAP per utilizzare le identità esterne

Una volta impostata Identity Platform, puoi configurare IAP per utilizzarla per l'autenticazione.

  1. Apri la pagina IAP in Google Cloud Console.
    Apri la pagina IAP

  2. Seleziona lo stesso progetto con cui hai configurato Identity Platform. L'uso di progetti diversi non è supportato.

  3. Seleziona la scheda Applications (Applicazioni).

  4. Individua l'app App Engine o il servizio Compute Engine a cui vuoi limitare l'accesso utilizzando IAP.

  5. Imposta l'opzione della colonna IAP su On.

  6. Nel riquadro laterale, fai clic su Avvia nella casella Utilizza identità esterne per l'autorizzazione.

  7. Conferma la selezione.

  8. Nel riquadro laterale di Identity Platform:

    1. Scegli se creare la tua pagina di accesso o fare in modo che IAP ne crei una per te.

      Lasciare a IAP creare la pagina di accesso è il modo più veloce per iniziare. Non è necessario eseguire il deployment di servizi aggiuntivi o scrivere nuovo codice e puoi specificare personalizzazioni minime utilizzando JSON. Per ulteriori informazioni, consulta la pagina relativa all'hosting di un'interfaccia utente di autenticazione su Cloud Run.

      Creare una pagina è più complesso, ma ti offre il controllo completo del flusso di autenticazione e dell'esperienza. Per ulteriori informazioni, scopri come creare un'interfaccia utente di autenticazione con FirebaseUI e creare un'interfaccia utente di autenticazione personalizzata.

    2. Se hai scelto di creare la tua interfaccia utente, inserisci un URL di autenticazione. IAP reindirizzerà le richieste non autenticate che riceve a questo URL.

      L'inserimento della chiave API nell'URL è facoltativo. Se non fornisci una chiave, Google Cloud Console aggiungerà automaticamente la chiave predefinita.

    3. Scegli se utilizzare i provider di progetti o i tenant.

    4. Seleziona le caselle dei provider o dei tenant da abilitare. Seleziona Configura provider se devi modificare i tuoi provider o tenant.

  9. Fai clic su Salva.

Complimenti! IAP è configurato per autenticare gli utenti con identità esterne.

Ritorno alle identità Google

Non puoi utilizzare IAM per l'autorizzazione quando usi identità esterne. Se vuoi tornare alle identità Google in modo da poter utilizzare IAM, segui questi passaggi:

  1. Torna alla pagina IAP in Google Cloud Console.
    Apri la pagina IAP

  2. Seleziona la risorsa configurata per utilizzare IAP.

  3. Apri il riquadro delle informazioni di Identity Platform.

  4. Seleziona Utilizza IAM per gestire questa risorsa.

Tieni presente che il ritorno alle identità Google cancellerà l'URL di autenticazione e il progetto e i tenant associati.

Passaggi successivi