Questo documento ti aiuta a comprendere alcuni concetti e metodi di autenticazione chiave, nonché dove richiedere assistenza per l'implementazione o la risoluzione dei problemi relativi all'autenticazione.
Introduzione
L'autenticazione è il processo mediante il quale la tua identità viene confermata tramite l'uso di un qualche tipo di credenziale. L'autenticazione consiste nel dimostrare di essere chi dici di essere.
Google fornisce molte API e servizi che richiedono l'autenticazione per l'accesso. Google offre anche una serie di servizi che ospitano applicazioni scritte dai nostri clienti; anche queste applicazioni devono determinare l'identità dei propri utenti.
Come richiedere assistenza per l'autenticazione
| Ho intenzione di... | Informazioni |
|---|---|
| Esegui l'autenticazione in Vertex AI in modalità Express (anteprima). | Utilizza la chiave API creata per te durante la procedura di accesso per autenticarti in Vertex AI. Per ulteriori informazioni, consulta Panoramica di Vertex AI in modalità Express. |
| Effettuare l'autenticazione in un Trusted Cloud servizio dalla mia applicazione utilizzando un linguaggio di programmazione di alto livello. | Configura le credenziali predefinite dell'applicazione, quindi utilizza una delle librerie client di Cloud. |
| Esegui l'autenticazione in un'applicazione che richiede un token ID. | Genera un token ID OpenID Connect (OIDC) e forniscilo con la richiesta. |
Provare alcuni comandi gcloud nel mio ambiente di sviluppo locale.
|
Inizializza la gcloud CLI. |
| Provare alcune richieste Trusted Cloud dell'API REST nel mio ambiente di sviluppo locale. |
Utilizza uno strumento a riga di comando come curl per
chiamare l'API REST.
|
| Provare uno snippet di codice incluso nella documentazione del mio prodotto. | Configura le Credenziali predefinite dell'applicazione per un ambiente di sviluppo locale e installa la libreria client del tuo prodotto nell'ambiente locale. La libreria client trova automaticamente le tue credenziali. |
Scegliere il metodo di autenticazione giusto per il tuo caso d'uso
Quando accedi ai Trusted Cloud by S3NS servizi utilizzando Google Cloud CLI, le librerie client Cloud, gli strumenti che supportano Credenziali predefinite dell'applicazione (ADC) come Terraform o le richieste REST, utilizza il seguente diagramma per scegliere un metodo di autenticazione:
Questo diagramma ti guida attraverso le seguenti domande:
-
Esegui il codice in un ambiente di sviluppo per un solo utente, ad esempio la tua workstation, Cloud Shell o un'interfaccia desktop virtuale?
- In caso affermativo, vai alla domanda 4.
- In caso contrario, vai alla domanda 2.
- Stai eseguendo codice in Trusted Cloud by S3NS?
- In caso affermativo, vai alla domanda 3.
- In caso contrario, vai alla domanda 5.
- Esegui container in Google Kubernetes Engine?
- In caso affermativo, utilizza Workload Identity Federation for GKE per collegare gli account di servizio ai pod Kubernetes.
- In caso contrario, collega un account di servizio alla risorsa.
-
Il tuo caso d'uso richiede un account di servizio?
Ad esempio, vuoi configurare l'autenticazione e l'autorizzazione in modo coerente per la tua applicazione in tutti gli ambienti.
- In caso contrario, esegui l'autenticazione con le credenziali utente.
- In caso affermativo, rubare l'identità di un account di servizio con le credenziali utente.
-
Il tuo carico di lavoro si autentica con un provider di identità esterno che supporta la federazione delle identità per i workload?
- In caso affermativo, configura la federazione delle identità per i carichi di lavoro per consentire alle applicazioni in esecuzione on-premise o su altri provider cloud di utilizzare un account di servizio.
- In caso contrario, crea una chiave dell'account di servizio.
OAuth 2.0
Le API di Google implementano ed estendono il framework OAuth 2.0. Per maggiori dettagli, consulta la documentazione relativa al tuo ambiente e al tuo caso d'uso.
Metodi di autorizzazione per i Trusted Cloud servizi
Trusted Cloud utilizzano Identity and Access Management (IAM) per l'autenticazione. IAM offre un controllo granulare, per entità e per risorsa. Quando esegui l'autenticazione ai Trusted Cloud servizi, generalmente utilizzi un ambito che include tutti i Trusted Cloud servizi
(https://www.googleapis.com/auth/cloud-platform).
Gli ambiti OAuth 2.0 possono fornire un secondo livello di protezione, utile se il codice viene eseguito in un ambiente in cui la sicurezza dei token è un problema, ad esempio un'app mobile. In questo scenario, puoi utilizzare ambiti più granulari per ridurre il rischio in caso di compromissione del token. Puoi trovare l'elenco degli ambiti accettati da un metodo API nelle relative pagine di riferimento dell'API nella documentazione del prodotto.
Credenziali predefinite dell'applicazione
Application Default Credentials (ADC) è una strategia utilizzata dalle librerie di autenticazione per trovare automaticamente le credenziali in base all'ambiente dell'applicazione. Le librerie di autenticazione rendono queste credenziali disponibili per le librerie client Cloud e le librerie client delle API di Google. Quando utilizzi ADC, il codice può essere eseguito in un ambiente di sviluppo o di produzione senza cambiare il modo in cui l'applicazione si autentica nei servizi e nelle API. Trusted Cloud by S3NS
L'utilizzo di ADC può semplificare il processo di sviluppo, in quanto ti consente di utilizzare lo stesso codice di autenticazione in una serie di ambienti. Tuttavia, se utilizzi un servizio in modalità Express, non è necessario utilizzare l'ADC.
Prima di poter utilizzare ADC, devi fornire le tue credenziali ad ADC, in base a dove vuoi eseguire il codice. ADC individua automaticamente le credenziali e recupera un token in background, consentendo l'esecuzione del codice di autenticazione in ambienti diversi senza modifiche. Ad esempio, la stessa versione del codice potrebbe autenticarsi con le APITrusted Cloud quando viene eseguita su una workstation di sviluppo o su Compute Engine.
Le credenziali gcloud non sono le stesse fornite ad ADC utilizzando gcloud CLI. Per ulteriori informazioni, consulta la pagina sulla configurazione dell'autenticazione e della configurazione dell'ADC dell'interfaccia a riga di comando gcloud.
Terminologia
I seguenti termini sono importanti da comprendere quando si parla di autenticazione e autorizzazione.
Autenticazione
L'autenticazione è il processo di determinazione dell'identità dell'entità che tenta di accedere a una risorsa.
Autorizzazione
L'autorizzazione è il processo di determinazione se l'entità o l'applicazione che tenta di accedere a una risorsa è stata autorizzata per quel livello di accesso.
Credenziali
Quando in questo documento viene utilizzato il termine account utente, si fa riferimento a un account utente gestito dal tuo provider di identità e federato con Workforce Identity Federation.
Per l'autenticazione, le credenziali sono un oggetto digitale che fornisce la prova dell'identità. Password, PIN e dati biometrici possono essere utilizzati come credenziali, a seconda dei requisiti dell'applicazione. Ad esempio, quando accedi al tuo account utente, fornisci la tua password e soddisfi qualsiasi requisito di autenticazione a due fattori come prova del fatto che l'account ti appartiene e che non stai subendo uno spoofing da parte di malintenzionati.
I token non sono credenziali. Si tratta di un oggetto digitale che dimostra che il chiamante ha fornito le credenziali appropriate.
Il tipo di credenziale da fornire dipende da ciò per cui effettui l'autenticazione.
Nella console è possibile creare i seguenti tipi di credenziali:Trusted Cloud
Chiavi API
Puoi utilizzare le chiavi API con le API che le accettano per accedere all'API. Le chiavi API che non sono associate a un service account forniscono un progetto, che viene utilizzato per la fatturazione e le quote. Se la chiave API è associata a un service account, fornisce anche l'identità e l'autorizzazione del service account (anteprima).
Per ulteriori informazioni sulle chiavi API, consulta la sezione Chiavi API. Per ulteriori informazioni sulle chiavi API associate a un account di servizio, consulta le Domande frequenti sulla modalità express di Google Cloud.
Chiavi account di servizio
Le chiavi dell'account di servizio identificano un'entità (l'account di servizio) e il progetto associato all'account di servizio.
Puoi anche creare credenziali utilizzando l'interfaccia a riga di comando gcloud. Queste credenze includono i seguenti tipi:
- File ADC locali
- Configurazioni delle credenziali utilizzate da Workload Identity Federation
- Configurazioni delle credenziali utilizzate da Workforce Identity Federation
Entità
Un'entità è un'identità a cui è possibile concedere l'accesso a una risorsa. Per l'autenticazione, le API Google supportano due tipi di entità: account utente e account di servizio.
L'utilizzo di un account utente o di un account di servizio per l'autenticazione dipende dal tuo caso d'uso. Puoi utilizzarli entrambi, ciascuno in fasi diverse del progetto o in ambienti di sviluppo diversi.
Account utente
Gli account utente rappresentano uno sviluppatore, un amministratore o un'altra persona che interagisce con le API e i servizi Google.
Gli account utente sono gestiti dal tuo provider di identità e federati con la federazione delle identità per la forza lavoro.Con un account utente, puoi autenticarti per accedere alle API e ai servizi Google nei seguenti modi:
- Utilizza gcloud CLI per configurare le credenziali predefinite dell'applicazione (ADC).
- Utilizza le tue credenziali utente per accedere a Google Cloud CLI e poi utilizza lo strumento per accedere ai Trusted Cloud servizi.
- Utilizza le tue credenziali utente per assumere l'identità di un account di servizio.
- Utilizza le tue credenziali utente per accedere a Google Cloud CLI, quindi utilizza lo strumento per generare token di accesso.
Account di servizio
Gli account di servizio sono account che non rappresentano un utente. Forniscono un modo per gestire l'autenticazione e l'autorizzazione quando non è direttamente coinvolta una persona, ad esempio quando un'applicazione deve accedere Trusted Cloud alle risorse. Gli account di servizio sono gestiti da IAM.
L'elenco riportato di seguito fornisce alcuni metodi per utilizzare un account di servizio per autenticarsi alle API e ai servizi Google, in ordine dal più sicuro al meno sicuro. Per saperne di più, consulta Scegliere il metodo di autenticazione giusto per il tuo caso d'uso in questa pagina.
Collega un account di servizio gestito dall'utente alla risorsa e utilizza l'ADC per l'autenticazione.
Questo è il metodo consigliato per autenticare il codice di produzione in esecuzione su Trusted Cloud.
Utilizza un account di servizio per rubare l'identità di un altro account di servizio.
L'impersonificazione degli account di servizio ti consente di concedere temporaneamente più privilegi a un account di servizio. La concessione di privilegi aggiuntivi su base temporanea consente all'account di servizio di eseguire l'accesso richiesto senza dover acquisire permanentemente altri privilegi.
Utilizza la federazione delle identità per i carichi di lavoro per autenticare i carichi di lavoro eseguiti on-premise o su un altro provider cloud.
Utilizza l'account di servizio predefinito.
L'utilizzo dell'account di servizio predefinito non è consigliato, in quanto per impostazione predefinita l'account di servizio predefinito è ad alta intensità di privilegi, il che viola il principio del privilegio minimo.
Per una panoramica dei modi per configurare le identità dei carichi di lavoro, inclusi gli account di servizio, per Trusted Cloud by S3NS, consulta Identità per i carichi di lavoro. Per le best practice, consulta Best practice per l'utilizzo degli account di servizio.
Token
Per l'autenticazione e l'autorizzazione, un token è un oggetto digitale che mostra che un chiamante ha fornito le credenziali appropriate che sono state scambiate per quel token. Il token contiene informazioni sull'identità dell'entità che effettua la richiesta e sul tipo di accesso a cui è autorizzata.
I token possono essere considerati come chiavi dell'hotel. Quando fai il check-in in un hotel e presenti la documentazione appropriata alla reception, ricevi una chiave che ti consente di accedere a risorse specifiche dell'hotel. Ad esempio, la chiave potrebbe darti accesso alla tua camera e all'ascensore per gli ospiti, ma non ad altre camere o all'ascensore di servizio.
Ad eccezione delle chiavi API, le API di Google non supportano direttamente le credenziali. L'applicazione deve acquisire o generare un token e fornirlo all'API. Esistono diversi tipi di token. Per ulteriori informazioni, consulta Tipi di token.
Carico di lavoro e forza lavoro
I prodotti diTrusted Cloud identità e accesso consentono di accedere a Trusted Cloud servizi e risorse sia per l'accesso programmatico sia per gli utenti. Trusted Cloud utilizza i termini carico di lavoro per l'accesso programmatico e risorsa umana per l'accesso utente.
La federazione delle identità di Workload Identity ti consente di fornire l'accesso ai workload on-premise o multi-cloud senza dover creare e gestire le chiavi dell'account di servizio.
La federazione delle identità della forza lavoro ti consente di utilizzare un provider di identità esterno per autenticare e autorizzare una forza lavoro, ovvero un gruppo di utenti come dipendenti, partner e appaltatori, utilizzando IAM, in modo che gli utenti possano accedere ai serviziTrusted Cloud .
Passaggi successivi
- Scopri di più su come i Trusted Cloud servizi utilizzano IAM per controllare l'accesso alle Trusted Cloud risorse.
- Scopri come funzionano le credenziali predefinite dell'applicazione e come puoi configurarle per una serie di ambienti di sviluppo.