Questa pagina elenca alcuni casi d'uso comuni di autenticazione e autorizzazione, con link per ulteriori informazioni su come implementare ogni caso d'uso.
Per una panoramica dell'autenticazione su Google, vedi Autenticazione su Google.
Autenticarsi nelle API di Google
Le API di Google richiedono un token di accesso o una chiave API validi per ogni richiesta. Il modo in cui fornisci queste credenziali obbligatorie dipende da dove viene eseguito il codice e da quali tipi di credenziali accetta l'API.
Utilizza le librerie client e le Credenziali predefinite dell'applicazione
Il modo consigliato per utilizzare le API di Google è utilizzare una libreria client e le Credenziali predefinite dell'applicazione (ADC). Application Default Credentials (ADC) è una strategia utilizzata dalle librerie di autenticazione per trovare automaticamente le credenziali in base all'ambiente dell'applicazione. Le librerie di autenticazione rendono disponibili queste credenziali per le librerie client Cloud e le librerie client delle API di Google. Quando utilizzi ADC, il codice può essere eseguito in un ambiente di sviluppo o di produzione senza modificare il modo in cui l'applicazione si autentica ai servizi e alle API. Trusted Cloud by S3NS
La modalità di configurazione di ADC dipende da dove viene eseguito il codice. ADC supporta sia l'autenticazione come service account sia l'autenticazione come utente.
Autenticarsi da Google Kubernetes Engine (GKE)
Utilizzi la federazione delle identità per i carichi di lavoro per GKE per consentire ai tuoi workload in esecuzione su GKE di accedere in modo sicuro alle API di Google. Workload Identity Federation for GKE consente a un account di servizio GKE nel tuo cluster GKE di fungere da account di servizio Identity and Access Management (IAM).
Autenticazione da Knative serving
Autentica i tuoi servizi Knative Serving utilizzando Workload Identity Federation per GKE, che ti consente di accedere alle API di Google.
Utilizza un'API che accetta chiavi API
Se un'API supporta le chiavi API, è possibile fornire una chiave API con una richiesta anziché il token di accesso. Le chiavi API associano la richiesta a un Trusted Cloud progetto a fini di fatturazione e quota.
Per determinare se un'API supporta le chiavi API, consulta la documentazione della tua API.
Utilizzare token web JSON (JWT) autofirmati
Alcune API di Google supportano i token web JSON (JWT) autofirmati anziché i token di accesso. L'utilizzo di un JWT autofirmato ti consente di evitare di effettuare una richiesta di rete al server di autorizzazione di Google. Questo approccio richiede di creare il tuo JWT firmato. Per saperne di più sui token, vedi Tipi di token.
Utilizzare le librerie e i pacchetti di autenticazione
Se le ADC e l'implementazione OAuth fornita dalle librerie client Cloud o dalle librerie client delle API di Google non sono disponibili nel tuo ambiente, puoi utilizzare le librerie e i pacchetti di autenticazione.
Sono disponibili le seguenti librerie e pacchetti di autenticazione:
Puoi anche implementare il flusso OAuth 2.0 utilizzando gli endpoint OAuth 2.0 di Google. Questo approccio richiede una comprensione più dettagliata del funzionamento di OAuth 2.0 e OpenID Connect. Per maggiori informazioni, vedi Utilizzo di OAuth 2.0 per applicazioni server web.
Trusted Cloud Casi d'uso specifici per il servizio
Alcuni Trusted Cloud servizi supportano flussi di autenticazione specifici per quel servizio.
Fornire accesso a tempo limitato a una risorsa Cloud Storage utilizzando URL firmati
Gli URL firmati forniscono accesso limitato nel tempo a una risorsa Cloud Storage specifica.
Autenticarsi nei cluster GKE Enterprise
Puoi autenticarti nei cluster GKE Enterprise utilizzando identità Trusted Cloud o un provider di identità di terze parti:
- Autenticati con le identità Trusted Cloud utilizzando Connect Gateway.
- Autenticati con un provider di identità di terze parti che supporta OIDC o LDAP utilizzando GKE Identity Service.
Configurare un'API di cui è stato eseguito il deployment con API Gateway o Cloud Endpoints per l'autenticazione
API Gateway e Cloud Endpoints supportano l'autenticazione da servizio a servizio e l'autenticazione utente con Firebase, token ID firmati da Google, Okta, Auth0 e JWT.
Per informazioni, consulta la documentazione del prodotto:
- Scegliere un metodo di autenticazione per API Gateway
- Scegliere un metodo di autenticazione per Cloud Endpoints
Autenticazione per le applicazioni ospitate su Cloud Run o Cloud Run Functions
Le applicazioni ospitate su Cloud Run e Cloud Run Functions richiedono token OpenID Connect (OIDC) o token ID per l'autenticazione.
Per ulteriori informazioni, consulta la documentazione del prodotto per i servizi di hosting elencati di seguito. Per informazioni su altri modi per acquisire un token ID, consulta Ottenere un token ID. Per ulteriori informazioni sui token ID, inclusa la relativa convalida, consulta la pagina Token ID.
Cloud Run
Esistono vari modi per configurare un servizio Cloud Run, a seconda di come verrà richiamato il servizio. Potresti anche dover eseguire l'autenticazione ad altri servizi da un servizio Cloud Run, il che richiede un token ID OIDC.
Per autenticare gli utenti al tuo servizio da un'app web o mobile, utilizza Identity Platform o Firebase Authentication. Puoi anche utilizzare Identity-Aware Proxy (IAP) per autenticare gli utenti interni.
Cloud Run Functions
Quando richiami una funzione, devi autenticare la chiamata. Puoi utilizzare le credenziali utente o un token ID OIDC.
Autenticare gli utenti dell'applicazione
Esistono varie opzioni per autenticare gli utenti finali della tua applicazione, a seconda del resto dell'ambiente dell'applicazione. Utilizza le descrizioni riportate di seguito per capire qual è l'opzione migliore per la tua richiesta.
| Servizio di autenticazione | Descrizione |
|---|---|
| Servizi di identità Google |
I servizi Google Identity includono Accedi con Google, il pulsante di accesso degli utenti di Google e le API e l'SDK dei servizi di identità. Google Identity Services si basa sui protocolli OAuth 2.0 e OpenID Connect (OIDC). Se stai creando un'applicazione mobile e vuoi autenticare gli utenti utilizzando account Gmail e Google Workspace, Accedi con Google potrebbe essere una buona opzione. Accedi con Google supporta anche l'utilizzo di Account Google con un sistema di accesso esistente. Ulteriori informazioni Accedi con Google fornisce l'accesso all'account Gmail e Google Workspace e il supporto per le password monouso (OTP). Accedi con Google è destinato agli account solo Google o agli Account Google in un sistema di accesso esistente per le applicazioni mobile. Accedi con Google è disponibile per iOS, Android e applicazioni web. |
| Firebase Authentication |
Firebase Authentication fornisce servizi e librerie di autenticazione per autenticare gli utenti nella tua applicazione per un'ampia gamma di tipi di account utente. Se vuoi accettare gli accessi degli utenti da più piattaforme, Firebase Authentication potrebbe essere una buona opzione. Ulteriori informazioni Firebase Authentication fornisce il supporto per l'autenticazione per molti tipi di account utente. Firebase Authentication supporta l'autenticazione con password e l'accesso federato con Google, Facebook, Twitter e altre piattaforme. Identity Platform e Firebase Authentication si basano su Google Identity Services. Firebase Authentication è destinato alle applicazioni consumer. Identity Platform è ideale per gli utenti che vogliono essere il proprio provider di identità o che hanno bisogno delle funzionalità pronte per l'uso aziendale che offre Identity Platform. Per saperne di più sulle differenze tra questi prodotti, consulta Differenze tra Identity Platform e Firebase Authentication. I seguenti link forniscono ulteriori informazioni:
|
| Identity Platform |
Identity Platform è una piattaforma di gestione di identità e accessi cliente (GIAC) che consente alle organizzazioni di aggiungere funzionalità di gestione di identità e accessi di livello aziendale alle loro applicazioni. Se stai creando un'applicazione da utilizzare con un provider di identità Google come Google Workspace o con il tuo servizio di gestione di identità e accessi, Identity Platform potrebbe essere una buona opzione. Ulteriori informazioni Identity Platform offre un servizio di identità e autenticazione personalizzabile e integrato per l'accesso e la registrazione degli utenti. Identity Platform supporta diversi metodi di autenticazione: SAML, OIDC, via email/password, social network, telefono e personalizzata. Identity Platform e Firebase Authentication si basano su Google Identity Services. Firebase Authentication è destinato alle applicazioni consumer. Identity Platform è ideale per gli utenti che vogliono essere il proprio provider di identità o che hanno bisogno delle funzionalità pronte per l'uso aziendale che offre Identity Platform. Per saperne di più sulle differenze tra questi prodotti, consulta Differenze tra Identity Platform e Firebase Authentication. |
| OAuth 2.0 e OpenID Connect |
OpenID Connect ti consente di gestire e utilizzare i token di autenticazione con la massima personalizzazione. Se vuoi il massimo controllo sull'implementazione di OAuth 2.0 e ti senti a tuo agio con l'implementazione dei flussi OAuth 2.0, prendi in considerazione questa opzione. Ulteriori informazioni L'implementazione OAuth 2.0 di Google è conforme alla specifica OpenID Connect ed è certificata OpenID. OpenID Connect è un livello di identità sovrapposto al protocollo OAuth 2.0. La tua applicazione può utilizzare OpenID Connect per convalidare il token ID e recuperare le informazioni del profilo utente. OAuth 2.0 può essere utilizzato per implementare l'autenticazione programmatica a una risorsa protetta da Identity-Aware Proxy. |
| Identity-Aware Proxy (IAP) |
IAP ti consente di controllare l'accesso alla tua applicazione prima che le richieste raggiungano le risorse dell'applicazione. A differenza degli altri servizi di autenticazione in questa tabella, che sono implementati all'interno dell'applicazione, IAP esegue l'autenticazione prima che l'applicazione possa essere raggiunta. Ulteriori informazioni Con IAP, puoi stabilire un livello di autorizzazione centrale per le applicazioni e utilizzare intestazioni firmate per proteggere la tua app. Le applicazioni protette da IAP sono accessibili solo alle entità che dispongono del ruolo IAM corretto. Quando un utente finale tenta di accedere a una risorsa protetta da IAP, IAP esegue i controlli di autenticazione e autorizzazione per tuo conto. IAP non protegge dalle attività all'interno di un progetto, ad esempio un altro servizio nello stesso progetto. Per le identità Google, IAP utilizza token ID. Per maggiori informazioni, consulta Autenticazione programmatica. Per informazioni su come IAP protegge le risorse dell'applicazione, consulta la panoramica di IAP. Sono disponibili i seguenti tutorial specifici per la lingua per IAP: |
| API App Engine Users | Per le applicazioni in esecuzione nell'ambiente standard App Engine, l'API Users è disponibile per fornire l'autenticazione utente per alcuni linguaggi. |
| Autorizzare l'accesso alle risorse per gli utenti finali | Se la tua applicazione accede a risorse di proprietà dell'utente finale, devi proteggere la sua autorizzazione a farlo. Questo caso d'uso è talvolta chiamato OAuth a tre passaggi o 3LO, perché sono coinvolte tre entità: l'applicazione, il server di autorizzazione e l'utente. |
Opzioni di autenticazione e autorizzazione per Trusted Cloud e Google Workspace
Trusted Cloud e Google Workspace offrono varie opzioni per configurare l'accesso, migliorare la sicurezza dell'account e amministrare gli account.
Concedere l'accesso alle risorse Trusted Cloud per i carichi di lavoro esterni
La federazione delle identità dei carichi di lavoro ti consente di concedere ai workload on-premise o multi-cloud l'accesso alle risorse Trusted Cloud. Storicamente, questo caso d'uso richiedeva l'utilizzo di chiavi dei account di servizio, ma la federazione delle identità per i workload evita la manutenzione e l'onere di sicurezza dell'utilizzo delle account di servizio account. Workload Identity Federation supporta i provider di identità compatibili con OIDC o SAML 2.0.
Configura un provider di identità
Puoi utilizzare Google come provider di identità, utilizzando Cloud Identity o Google Workspace. Puoi anche federare un account Cloud Identity o Google Workspace con un provider di identità esterno. Questo approccio utilizza SAML, consentendo ai tuoi dipendenti di utilizzare le proprie credenziali e identità esistenti per accedere ai servizi Google.
Configurare l'autenticazione a due fattori
Richiedere l'autenticazione a due fattori è una best practice che aiuta a impedire agli autori malintenzionati di accedere a un account quando hanno ottenuto l'accesso alle credenziali per quell'account. Con l'autenticazione a due fattori, prima che l'utente venga autenticato è necessario un secondo elemento di informazione o identificazione. Google offre diverse soluzioni che supportano lo standard FIDO (Fast IDentity Online).
Identity Platform supporta l'autenticazione a due fattori per le app web, iOS e Android.
Google Identity Services supporta l'autenticazione FIDO (Fast IDentity Online).
Google supporta varie soluzioni hardware per l'autenticazione a due fattori, ad esempio i token di sicurezza Titan.
Configurare l'accesso basato su certificato
Parte della soluzione Zero Trust di Chrome Enterprise Premium, l'accesso basato su certificati limita l'accesso solo agli utenti autenticati su un dispositivo attendibile, identificando i dispositivi tramite i certificati X.509. L'accesso basato su certificati viene a volte chiamato anche mutual Transport Layer Security (mTLS).
Informazioni generali sull'account e sull'autenticazione
Ricevere assistenza per accedere a un Account Google
Se hai bisogno di aiuto per accedere a un Account Google o gestirlo, consulta la pagina di assistenza dell'Account Google.
Gestire le credenziali compromesse
Se ritieni che le tue credenziali siano state compromesse, ci sono passaggi che tu o il tuo amministratore potete seguire per risolvere la situazione. Per ulteriori informazioni, vedi Gestione delle credenziali Trusted Cloud by S3NS compromesse.
Ricevere assistenza per problemi relativi all'autorità di certificazione
Se visualizzi errori relativi a un problema con il certificato o l'autorità di certificazione (CA), inclusa la CA radice, consulta le Domande frequenti su Google Trust Services per ulteriori informazioni.