Attivazione di identità esterne

Questo articolo spiega come configurare Identity-Aware Proxy (IAP) per utilizzare le identità esterne. Combinando IAP e Identity Platform, è possibile autenticare gli utenti con un'ampia gamma di provider di identità (come OAuth, SAML, OIDC e altri ancora), anziché solo con Account Google.

Abilitazione e configurazione di Identity Platform

IAP utilizza Identity Platform per autenticare le identità esterne. Consulta la guida rapida per Identity Platform per scoprire come abilitarlo.

Se vuoi utilizzare più tenant, dovrai anche seguire i passaggi descritti in Guida introduttiva all'architettura multi-tenancy. Se non hai bisogno di isolare le risorse, puoi saltare questo passaggio e configurare tutti i provider a livello di progetto. Se non sai con certezza se sia opportuno attivare l'architettura multi-tenancy, consulta la panoramica sulle identità esterne.

Infine, dovrai abilitare i provider. La quickstart mostra come utilizzare l'autenticazione semplice tramite nome utente e password, ma Identity Platform supporta un'ampia gamma di tipi di provider, tra cui:

• Email e password
• OAuth (come Google, Facebook, Twitter e altri)
• SAML
• OIDC
• Numero di telefono
• Anonimo

Consulta il resto della documentazione di Identity Platform per scoprire come configurare altri provider. Tieni presente che il numero di telefono e l'autenticazione anonima non sono supportati per l'uso con l'architettura multi-tenancy. L'accesso senza password tramite un link email non è supportato con IAP.

Abilitazione di IAP per l'utilizzo di identità esterne

Dopo aver configurato Identity Platform, puoi configurare IAP in modo che venga utilizzato per l'autenticazione.

1. Apri la pagina IAP nella console Google Cloud.
   Apri la pagina IAP

2. Seleziona lo stesso progetto con cui hai configurato Identity Platform. L'utilizzo di progetti diversi non è supportato.

3. Seleziona la scheda Applicazioni.

4. Individua l'app o il servizio Compute Engine di App Engine di cui vuoi limitare l'accesso mediante IAP.

5. Imposta l'opzione nella colonna IAP su On.

6. Nel riquadro laterale, fai clic su Inizia nella casella Utilizza identità esterne per l'autorizzazione.

7. Conferma la selezione.

8. Nel riquadro laterale di Identity Platform:

   1. Scegli se creare una pagina di accesso personalizzata o fare in modo che IAP ne crei una per te.

      Consentire a IAP di creare la pagina di accesso è il modo più rapido per iniziare. Non devi eseguire il deployment di servizi aggiuntivi o scrivere nuovo codice e puoi specificare personalizzazioni minori utilizzando JSON. Per saperne di più, consulta Hosting di una UI di autenticazione su Cloud Run.

      Condivisione limitata per il dominio: se il progetto è soggetto al vincolo di condivisione limitata per i domini in un criterio dell'organizzazione, per impostazione predefinita non potrai creare servizi pubblici. Puoi utilizzare i tag e un criterio condizionale per escludere servizi specifici da questo vincolo. Per ulteriori informazioni, consulta il post del blog sulla creazione di servizi Cloud Run pubblici quando viene applicata la condivisione limitata del dominio.

      La creazione di una pagina personalizzata è più complessa, ma ti offre il controllo completo dell'esperienza e del flusso di autenticazione. Per ulteriori informazioni, consulta Creazione di un'interfaccia utente di autenticazione con FirebaseUI e Creazione di un'interfaccia utente di autenticazione personalizzata.

   2. Se hai scelto di creare la tua UI, inserisci un URL di autenticazione. IAP reindirizzerà le richieste non autenticate ricevute a questo URL.

      L'inserimento della chiave API nell'URL è facoltativo. Se non fornisci una chiave, la console Google Cloud aggiungerà automaticamente la chiave predefinita.

   3. Scegli se utilizzare provider di progetti o tenant.

   4. Seleziona le caselle dei provider o dei tenant da abilitare. Seleziona Configura provider se devi modificare i provider o i tenant.

9. Fai clic su Salva.

Complimenti! IAP è configurato per autenticare gli utenti con identità esterne.

Ritorno alle identità Google

Non è possibile utilizzare IAM per l'autorizzazione quando si utilizzano identità esterne. Se vuoi tornare alle identità Google in modo da poter utilizzare IAM, segui questi passaggi:

1. Torna alla pagina IAP nella console Google Cloud.
   Apri la pagina IAP

2. Seleziona la risorsa configurata per l'utilizzo di IAP.

3. Apri il riquadro delle informazioni di Identity Platform.

4. Seleziona Utilizza IAM per gestire questa risorsa.

Tieni presente che il ritorno alle identità Google cancellerà l'URL di autenticazione e il progetto e i tenant associati.

Passaggi successivi

• Ospita una pagina di accesso su Cloud Run.
• Crea una pagina di accesso con FirebaseUI.
• Crea una pagina di accesso personalizzata.
• Comprendi meglio come funzionano le identità esterne con IAP.