Personalizzazione del flusso di autenticazione mediante funzioni di blocco

Questo documento mostra come estendere l'autenticazione di Identity Platform utilizzando le funzioni Cloud Run di blocco.

Le funzioni di blocco ti consentono di eseguire codice personalizzato che modifica il risultato utente che si registra o accede alla tua app. Ad esempio, puoi impedire a un utente dall'autenticazione se non soddisfano determinati criteri o aggiornano le informazioni prima di restituirle all'app client.

Prima di iniziare

Crea un'app con Identity Platform. Consulta le Guida rapida per scoprire come.

Informazioni sulle funzioni di blocco

Puoi registrare le funzioni di blocco per due eventi:

• beforeCreate: si attiva prima che un nuovo utente venga salvato nel database di Identity Platform e prima che un token venga restituito all'app client.

• beforeSignIn: si attiva dopo la verifica delle credenziali di un utente, ma prima che Identity Platform restituisca un token ID alla tua app client. Se la tua app utilizza l'autenticazione a più fattori, la funzione si attiva dopo che l'utente ha verificato il secondo fattore. Tieni presente che la creazione di un nuovo utente attiva anche beforeSignIn, oltre a beforeCreate.

Tieni presente quanto segue quando utilizzi le funzioni di blocco:

• La tua funzione deve rispondere entro 7 secondi. Dopo 7 secondi, Identity Platform restituisce un errore e l'operazione del client non va a buon fine.

• I codici di risposta HTTP diversi da 200 vengono passati alle app client. Assicurati che il codice del client gestisca eventuali errori che la funzione può restituire.

• Le funzioni si applicano a tutti gli utenti del progetto, inclusi quelli contenuti in un tenant. Identity Platform fornisce informazioni sugli utenti alla funzione, inclusi eventuali tenant a cui appartengono, in modo che tu possa rispondere di conseguenza.

• Collegare un altro provider di identità a un account riattiva tutte le funzioni beforeSignIn registrate. Ciò non include provider email e password.

• L'autenticazione anonima e personalizzata non supporta le funzioni di blocco.

• Se utilizzi anche le funzioni asincrone, l'oggetto utente che un la funzione asincrona non contiene aggiornamenti personalizzata.

Creazione di una funzione di blocco

I passaggi riportati di seguito mostrano come creare una funzione di blocco:

1. Vai alla pagina Impostazioni di Identity Platform nella console Google Cloud.

   Vai alla pagina Impostazioni

2. Seleziona la scheda Trigger.

3. Per creare una funzione di blocco per la registrazione degli utenti, seleziona il menu a discesa Funzione in Prima della creazione (beforeCreate) e poi fai clic su Crea funzione. Per creare una funzione di blocco per l'accesso degli utenti, crea una funzione in Prima dell'accesso (beforeSignIn).

4. Crea una nuova funzione:

   1. Inserisci un nome per la funzione.

   2. Nel campo Trigger, seleziona HTTP.

   3. Nel campo Autenticazione, seleziona Consenti chiamate non autenticate.

   4. Fai clic su Avanti.

5. Utilizzando l'editor in linea, apri index.js. Elimina l'esempio helloWorld e sostituiscilo con uno dei seguenti:

   Per rispondere alla registrazione:

   import gcipCloudFunctions from 'gcip-cloud-functions';
   
   const authClient = new gcipCloudFunctions.Auth();
   
   exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
     // TODO
   });
   

   Per rispondere all'accesso:

   import gcipCloudFunctions from 'gcip-cloud-functions';
   
   const authClient = new gcipCloudFunctions.Auth();
   
   exports.beforeSignIn = authClient.functions().beforeSignInHandler((user, context) => {
     // TODO
   });
   

6. Apri package.json e aggiungi il seguente blocco delle dipendenze: Per la versione più recente dell'SDK, consulta gcip-cloud-functions.

   {
     "type": "module",
     "name": ...,
     "version": ...,
   
     "dependencies": {
       "gcip-cloud-functions": "^0.2.0"
     }
   }
   

7. Imposta il punto di ingresso della funzione su beforeSignIn

8. Fai clic su Esegui il deployment per pubblicare la funzione.

9. Fai clic su Salva nella pagina delle funzioni di blocco di Identity Platform.

Per informazioni su come implementare la funzione, consulta le sezioni seguenti. Devi eseguire nuovamente il deployment della funzione ogni volta che la aggiorni.

Puoi anche creare e gestire le funzioni utilizzando Google Cloud CLI o l'API REST. Consulta la documentazione delle funzioni di Cloud Run per scoprire come utilizzare Google Cloud CLI per eseguire il deployment di una funzione.

Ottenere informazioni sugli utenti e sul contesto

Gli eventi beforeSignIn e beforeCreate offrono User e EventContext che contengono informazioni sull'accesso dell'utente. Utilizza questi valori nel codice per stabilire se consentire o meno il completamento di un'operazione.

Per un elenco delle proprietà disponibili per l'oggetto User, consulta Riferimento API di UserRecord.

L'oggetto EventContext contiene le seguenti proprietà:

Blocco della registrazione o dell'accesso

Per bloccare un tentativo di registrazione o di accesso, inserisci un HttpsError nel tuo personalizzata. Ad esempio:

throw new gcipCloudFunctions.https.HttpsError('permission-denied');

Nella tabella seguente sono elencati gli errori che puoi sollevare, insieme al relativo messaggio di errore predefinito:

Puoi anche specificare un messaggio di errore personalizzato:

throw new gcipCloudFunctions.https.HttpsError('permission-denied', 'Unauthorized request origin!');

L'esempio seguente mostra come bloccare gli utenti che non si trovano all'interno di uno specifico dominio dalla registrazione per la tua app:

// Import the Cloud Auth Admin module.
import gcipCloudFunctions from 'gcip-cloud-functions';
// Initialize the Auth client.
const authClient = new gcipCloudFunctions.Auth();
// Http trigger with Cloud Run functions.
exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  // If the user is authenticating within a tenant context, the tenant ID can be determined from
  // user.tenantId or from context.resource, eg. 'projects/project-id/tenant/tenant-id-1'
  // Only users of a specific domain can sign up.
  if (!user.email.endsWith('@acme.com')) {
    throw new gcipCloudFunctions.https.HttpsError('invalid-argument', `Unauthorized email "${user.email}"`);
  }
});

Che tu stia utilizzando un messaggio predefinito o personalizzato, Le funzioni Cloud Run aggregano l'errore e lo restituisce al client come errore interno. Ad esempio, se sollevi il seguente errore nella tua funzione:

throw new gcipCloudFunctions.https.HttpsError('invalid-argument', `Unauthorized email user@evil.com}`);

All'app client viene restituito un errore simile al seguente (se utilizzi l'SDK client, l'errore viene inserito come errore interno):

{
  "error": {
    "code": 400,
    "message": "BLOCKING_FUNCTION_ERROR_RESPONSE : HTTP Cloud Function returned an error. Code: 400, Status: \"INVALID_ARGUMENT\", Message: \"Unauthorized email user@evil.com\"",
    "errors": [
      {
        "message": "BLOCKING_FUNCTION_ERROR_RESPONSE : HTTP Cloud Function returned an error. Code: 400, Status: \"INVALID_ARGUMENT\", Message: \"Unauthorized email user@evil.com\"",
        "domain": "global",
        "reason": "invalid"
      }
    ]
  }
}

L'app dovrebbe rilevare l'errore e gestirlo di conseguenza. Ad esempio:

// Blocking functions can also be triggered in a multi-tenant context before user creation.
// firebase.auth().tenantId = 'tenant-id-1';
firebase.auth().createUserWithEmailAndPassword('johndoe@example.com', 'password')
  .then((result) => {
    result.user.getIdTokenResult()
  })
  .then((idTokenResult) => {
    console.log(idTokenResult.claim.admin);
  })
  .catch((error) => {
    if (error.code !== 'auth/internal-error' && error.message.indexOf('Cloud Function') !== -1) {
      // Display error.
    } else {
      // Registration succeeds.
    }
  });

Modifica di un utente

Invece di bloccare un tentativo di registrazione o accesso, puoi consentire la prosecuzione dell'operazione, ma modificare l'oggetto User salvato nel database di Identity Platform e restituito al client.

Per modificare un utente, restituisci un oggetto dal tuo gestore di eventi contenente il metodo campi da modificare. Puoi modificare i seguenti campi:

• displayName
• disabled
• emailVerified
• photoURL
• customClaims
• sessionClaims (solo beforeSignIn)

Ad eccezione di sessionClaims, tutti i campi modificati vengono salvati nel database di Identity Platform, il che significa che sono inclusi nel token di risposta e rimangono invariati tra le sessioni utente.

L'esempio seguente mostra come impostare un nome visualizzato predefinito:

exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  return {
    // If no display name is provided, set it to "guest".
    displayName: user.displayName || 'guest'
  };
});

Se registri un gestore di eventi sia per beforeCreate che per beforeSignIn, tieni presente che beforeSignIn viene eseguito dopo beforeCreate. Campi utente aggiornati in beforeCreate sono visibili in beforeSignIn. Se imposti un campo diverso da sessionClaims in entrambi i gestori eventi, il valore impostato in beforeSignIn sostituisce il valore impostato in beforeCreate. Solo per sessionClaims, vengono propagati ai claim dei token della sessione corrente, ma non vengono mantenuti o memorizzati nel database.

Ad esempio, se sono impostati sessionClaims, beforeSignIn li restituirà con eventuali rivendicazioni beforeCreate, che verranno unite. Quando vengono unite, se una chiave sessionClaims corrisponde a una chiave in customClaims, la chiave customClaims corrispondente verrà sovrascritta nei claim del token dalla chiave sessionClaims. Tuttavia, la chiave customClaims sovrascritta persiste nel database per le richieste future.

Credenziali e dati OAuth supportati

Puoi passare le credenziali e i dati OAuth alle funzioni di blocco di vari e i provider di identità. La tabella seguente mostra quali sono le credenziali e i dati supportate per ogni provider di identità:

Token di aggiornamento

Per utilizzare un token di aggiornamento in una funzione di blocco, devi prima selezionare la casella di controllo nella sezione Trigger del menu a discesa Includi credenziali token nella console Google Cloud.

I token di aggiornamento non verranno restituiti da alcun provider di identità al momento dell'accesso. direttamente con una credenziale OAuth, ad esempio un token ID o un token di accesso. In questa situazione, la stessa credenziale OAuth lato client verrà passata alla funzione di blocco. Tuttavia, per i flussi a tre passaggi, potrebbe essere disponibile un token di aggiornamento se il provider di identità lo supporta.

Le sezioni seguenti descrivono tutti i tipi di provider di identità e i tipi di provider supportati credenziali e dati.

Provider OIDC generici

Quando un utente accede con un provider OIDC generico, vengono utilizzate le seguenti credenziali verranno passate:

• Token ID: fornito se è selezionato il flusso id_token.
• Token di accesso: fornito se è selezionato il flusso del codice. Tieni presente che il codice è attualmente supportato solo tramite l'API REST.
• Token di aggiornamento: fornito se è selezionato offline_access ambito.

Esempio:

const provider = new firebase.auth.OAuthProvider('oidc.my-provider');
provider.addScope('offline_access');
firebase.auth().signInWithPopup(provider);

Google

Quando un utente accede con Google, vengono trasmesse le seguenti credenziali:

• Token ID
• Token di accesso
• Token di aggiornamento: fornito solo se i seguenti parametri personalizzati sono richiesto:
  • access_type=offline
  • prompt=consent, se l'utente aveva già espresso il suo consenso, ma nessun è stato richiesto un nuovo ambito

Esempio:

const provider = new firebase.auth.GoogleAuthProvider();
provider.setCustomParameters({
  'access_type': 'offline',
  'prompt': 'consent'
});
firebase.auth().signInWithPopup(provider);

Scopri di più sui token di aggiornamento di Google.

Facebook

Quando un utente accede con Facebook, viene passata la seguente credenziale:

• Token di accesso: viene restituito un token di accesso che può essere scambiato con un altro token di accesso. Scopri di più sui diversi tipi di token di accesso supportate da Facebook e su come scambiarle token di lunga durata.

GitHub

Quando un utente accede con GitHub, viene passata la seguente credenziale:

• Token di accesso: non scade a meno che non venga revocato.

Microsoft

Quando un utente accede con Microsoft, verranno passate le seguenti credenziali:

• Token ID
• Token di accesso
• Token di aggiornamento. Viene passato alla funzione di blocco se il valore offline_access ambito è selezionata.

Esempio:

const provider = new firebase.auth.OAuthProvider('microsoft.com');
provider.addScope('offline_access');
firebase.auth().signInWithPopup(provider);

Yahoo

Quando un utente accede con Yahoo, vengono trasmesse le seguenti credenziali senza parametri o ambiti personalizzati:

• Token ID
• Token di accesso
• Token di aggiornamento

LinkedIn

Quando un utente accede con LinkedIn, verrà passata la seguente credenziale:

• Token di accesso

Apple

Quando un utente accede con Apple, verranno passate le seguenti credenziali senza parametri o ambiti personalizzati:

• Token ID
• Token di accesso
• Aggiorna token

Scenari comuni

I seguenti esempi mostrano alcuni casi d'uso comuni per le funzioni di blocco:

Consentire la registrazione solo da un dominio specifico

L'esempio seguente mostra come impedire agli utenti che non fanno parte del example.com dominio dalla registrazione con la tua app:

exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  if (!user.email || user.email.indexOf('@example.com') === -1) {
    throw new gcipCloudFunctions.https.HttpsError(
      'invalid-argument', `Unauthorized email "${user.email}"`);
  }
});

Bloccare la registrazione degli utenti con indirizzi email non verificati

L'esempio seguente mostra come impedire agli utenti con email non verificate di registrarsi alla tua app:

exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  if (user.email && !user.emailVerified) {
    throw new gcipCloudFunctions.https.HttpsError(
      'invalid-argument', `Unverified email "${user.email}"`);
  }
});

Richiedere la verifica email al momento della registrazione

L'esempio seguente mostra come richiedere a un utente di verificare la propria email dopo registrazione:

exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  const locale = context.locale;
  if (user.email && !user.emailVerified) {
    // Send custom email verification on sign-up.
    return admin.auth().generateEmailVerificationLink(user.email).then((link) => {
      return sendCustomVerificationEmail(user.email, link, locale);
    });
  }
});

exports.beforeSignIn = authClient.functions().beforeSignInHandler((user, context) => {
 if (user.email && !user.emailVerified) {
   throw new gcipCloudFunctions.https.HttpsError(
     'invalid-argument', `"${user.email}" needs to be verified before access is granted.`);
  }
});

Trattare determinate email dei provider di identità come verificate

L'esempio seguente mostra come trattare le email degli utenti provenienti da una determinata identità Fornitori come verificati:

exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  if (user.email && !user.emailVerified && context.eventType.indexOf(':facebook.com') !== -1) {
    return {
      emailVerified: true,
    };
  }
});

Bloccare l'accesso da determinati indirizzi IP

L'esempio seguente mostra come bloccare l'accesso da determinati intervalli di indirizzi IP:

exports.beforeSignIn = authClient.functions().beforeSignInHandler((user, context) => {
  if (isSuspiciousIpAddress(context.ipAddress)) {
    throw new gcipCloudFunctions.https.HttpsError(
      'permission-denied', 'Unauthorized access!');
  }
});

Impostazione di attestazioni personalizzate e della sessione

L'esempio seguente mostra come impostare i claim personalizzati e di sessione:

exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  if (context.credential &&
      context.credential.providerId === 'saml.my-provider-id') {
    return {
      // Employee ID does not change so save in persistent claims (stored in
      // Auth DB).
      customClaims: {
        eid: context.credential.claims.employeeid,
      },
      // Copy role and groups to token claims. These will not be persisted.
      sessionClaims: {
        role: context.credential.claims.role,
        groups: context.credential.claims.groups,
      }
    }
  }
});

Monitoraggio degli indirizzi IP per monitorare le attività sospette

Puoi prevenire il furto di token monitorando l'indirizzo IP da cui un utente esegue l'accesso, e confrontandolo con l'indirizzo IP nelle richieste successive. Se la richiesta sembrano sospetti; ad esempio, gli IP provengono da località geografiche diverse regioni — puoi chiedere all'utente di accedere di nuovo.

1. Utilizza i claim di sessione per monitorare l'indirizzo IP con cui l'utente accede:

   Node.js

   exports.beforeSignIn = authClient.functions().beforeSignInHandler((user, context) => {
     return {
       sessionClaims: {
         signInIpAddress: context.ipAddress,
       },
     };
   });
   

2. Quando un utente tenta di accedere alle risorse che richiedono l'autenticazione con Identity Platform, confronta l'indirizzo IP nella richiesta con quello utilizzato per accedere:

   Node.js

   app.post('/getRestrictedData', (req, res) => {
     // Get the ID token passed.
     const idToken = req.body.idToken;
     // Verify the ID token, check if revoked and decode its payload.
     admin.auth().verifyIdToken(idToken, true).then((claims) => {
       // Get request IP address
       const requestIpAddress = req.connection.remoteAddress;
       // Get sign-in IP address.
       const signInIpAddress = claims.signInIpAddress;
       // Check if the request IP address origin is suspicious relative to
       // the session IP addresses. The current request timestamp and the
       // auth_time of the ID token can provide additional signals of abuse,
       // especially if the IP address suddenly changed. If there was a sudden
       // geographical change in a short period of time, then it will give
       // stronger signals of possible abuse.
       if (!isSuspiciousIpAddressChange(signInIpAddress, requestIpAddress)) {
         // Suspicious IP address change. Require re-authentication.
         // You can also revoke all user sessions by calling:
         // admin.auth().revokeRefreshTokens(claims.sub).
         res.status(401).send({error: 'Unauthorized access. Please login again!'});
       } else {
         // Access is valid. Try to return data.
         getData(claims).then(data => {
           res.end(JSON.stringify(data);
         }, error => {
           res.status(500).send({ error: 'Server error!' })
         });
       }
     });
   });
   

Controllo delle foto degli utenti

L'esempio seguente mostra come eseguire la sanitizzazione delle foto del profilo degli utenti:

exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  if (user.photoURL) {
    return isPhotoAppropriate(user.photoURL)
      .then((status) => {
        if (!status) {
          // Sanitize inappropriate photos by replacing them with guest photos.
          // Users could also be blocked from sign-up, disabled, etc.
          return {
            photoURL: PLACEHOLDER_GUEST_PHOTO_URL,
          };
        }
      });
});

Per scoprire di più su come rilevare e sanificare le immagini, consulta la documentazione di Cloud Vision.

Accedere alle credenziali OAuth del provider di identità di un utente

L'esempio seguente mostra come ottenere un token di aggiornamento per un utente che ha eseguito l'accesso con Google e come utilizzarlo per chiamare le API Google Calendar. Il token di aggiornamento viene memorizzato per l'accesso offline.

const {OAuth2Client} = require('google-auth-library');
const {google} = require('googleapis');
const gcipCloudFunctions = require('gcip-cloud-functions');

// ...
// Initialize Google OAuth client.
const keys = require('./oauth2.keys.json');
const oAuth2Client = new OAuth2Client(
  keys.web.client_id,
  keys.web.client_secret
);

exports.beforeCreate = authClient.functions().beforeCreateHandler((user, context) => {
  if (context.credential &&
      context.credential.providerId === 'google.com') {
    // Store the refresh token for later offline use.
    // These will only be returned if refresh tokens credentials are included
    // (enabled by Cloud console).
    return saveUserRefreshToken(
        user.uid,
        context.credential.refreshToken,
        'google.com'
      )
      .then(() => {
        // Blocking the function is not required. The function can resolve while
        // this operation continues to run in the background.
        return new Promise((resolve, reject) => {
          // For this operation to succeed, the appropriate OAuth scope should be requested
          // on sign in with Google, client-side. In this case:
          // https://www.googleapis.com/auth/calendar
          // You can check granted_scopes from within:
          // context.additionalUserInfo.profile.granted_scopes (space joined list of scopes).

          // Set access token/refresh token.
          oAuth2Client.setCredentials({
            access_token: context.credential.accessToken,
            refresh_token: context.credential.refreshToken,
          });
          const calendar = google.calendar('v3');
          // Setup Onboarding event on user's calendar.
          const event = {/** ... */};
          calendar.events.insert({
            auth: oauth2client,
            calendarId: 'primary',
            resource: event,
          }, (err, event) => {
            // Do not fail. This is a best effort approach.
            resolve();
          });
      });
    })
  }
});

Passaggi successivi

• Estendere l'autenticazione con le funzioni asincrone.
• Scopri di più sulle funzioni Cloud Run.