כדי לאמת משתמשים ב Google Cloud אפליקציות, Google מציעה את שיטות האימות הבאות:
| שירות אימות | סיכום |
|---|---|
| Identity Platform (מומלץ) | אימות משתמשים באמצעות סיסמאות, מספרי טלפון, ספקי זהויות פופולריים ומאוחדים כמו Google, Facebook, Twitter וכל ספק שתומך בפרוטוקול SAML או OpenID Connect. הוא מציע תכונות לארגונים, כולל אימות רב-שלבי, תמיכה ב-SSO ב-OIDC וב-SAML, ריבוי דיירים, הסכם רמת שירות (SLA) של 99.95% ועוד. השיטה המומלצת כשמתחילים פרויקט חדש, כדי שתוכלו להשתמש ביכולות של Identity Platform וגם בתכונות מדור קודם מאימות ב-Firebase. |
| אימות ב-Firebase | אימות משתמשים באמצעות אפשרויות אימות שונות, כולל באמצעות Google, Facebook ו-Twitter. האימות ב-Firebase תומך במספר הגדול ביותר של משתמשים, תוך שמירה על כמות קטנה של קוד. השיטה המומלצת לפריסת פתרון במספר הקטן ביותר של שלבים. |
| Google Identity Services for Web | אימות משתמשים באמצעות חשבונות משתמשים של Google מ-Gmail ומ-Google Workspace. השיטה המומלצת לתמיכה בחשבונות רק של Google או לתמיכה בחשבונות Google במערכת כניסה קיימת. |
| OAuth 2.0 ו-OpenID Connect | מספק זהות מאוחדת מהספק שתבחרו, כולל Google. השיטה המומלצת אם רוצים ליצור את פרוטוקול אימות המשתמשים בעצמכם. |
| שרת proxy לאימות זהויות (IAP) | השירות מספק אימות על ידי הוספת שכבת אימות של ניהול זהויות והרשאות גישה (IAM) מעל אפליקציית App Engine. שרת IAP מאפשר לשלוט בגישה לשירותי App Engine לפני שהבקשות מגיעות למשאבי האפליקציה. לכן, השימוש ב-IAP לא מתאים להגנה מפני פעילות באותו פרויקט. Google Cloud השיטה המומלצת אם רוצים להשתמש בחשבונות Google וב-IAM כדי לשלוט בגישת המשתמשים. |
Identity Platform
פלטפורמת Identity Platform מיועדת לניהול זהויות והרשאות של לקוחות (CIAM), ומאפשרת לארגונים להתאים אישית את הזהות והאימות של משתמשים שנרשמים לאפליקציות שלהם ונכנסים אליהן. פלטפורמת Identity Platform תומכת במספר שיטות אימות (SAML, OIDC, אימייל/סיסמה, רשתות חברתיות, טלפון ואימות בהתאמה אישית) כדי לספק אפשרויות גמישות לשילוב עם כל פתרון זהויות. Identity Platform מבוססת על הביצועים, הרשת והאבטחה שלGoogle Cloudברמה הגלובלית, ומגיעה עם תמיכה ברמת הארגון והסכם רמת שירות (SLA) כדי לעמוד בדרישות של כמעט כל אפליקציה או שירות.
הפתרון הזה מתאים לרוב המשתמשים שרוצים אפשרויות גמישות לאימות שמבוססות על תכונות אמינות ברמה ארגונית ועל הסכמי רמת שירות (SLA).
ל-Identity Platform יש מערכת משלה לזהות משתמשים. אם אתם כבר משתמשים ב-Google Workspace בדומיין שלכם ורוצים לאמת משתמשים על סמך הכניסה הזו, כדאי להשתמש ב-Google Identity Services for Web.
כדי ללמוד על שילוב של Identity Platform עם App Engine, אפשר לעיין במדריך כניסת משתמשים ל-App Engine.
אימות ב-Firebase
אימות ב-Firebase הוא שירות זהויות ואימות שאפשר לשלב ולהתאים אישית, ומיועד להרשמה ולכניסה של משתמשים. בדומה ל-Identity Platform, אימות ב-Firebase תומך במספר שיטות אימות (SAML, OIDC, אימייל/סיסמה, רשתות חברתיות, נייד ואימות בהתאמה אישית) כדי לספק אפשרויות שילוב גמישות לכל פתרון זהויות.
ההבדל בין אימות ב-Firebase לבין Identity Platform הוא שחסרים בו תכונות מסוימות שמתאימות לארגונים. מידע נוסף זמין במאמר ההבדלים בין Identity Platform לבין האימות ב-Firebase.
הפתרון הזה הוא הטוב ביותר אם אתם רוצים להגדיר אימות משתמשים באפליקציית App Engine בצורה הקלה ביותר. עבור משתמשים רבים, אימות ב-Firebase הוא הדרך המהירה ביותר להטמיע או לבדוק אימות.
כדי לקבל מידע נוסף על אימות ב-Firebase, אפשר לנסות את האפשרויות הבאות:
הדרכה בנושא Firebase לאתרים מסבירה איך להשתמש ב-Firebase באתר, כולל כניסה של משתמשים באמצעות Google בתור ספק הזהויות.
אפליקציות להפעלה מהירה של Firebase מראות איך לשלב את Firebase בפלטפורמות שונות, באמצעות דוגמאות של כניסה מאוחדת וכניסה באמצעות שם משתמש וסיסמה. בדוגמאות מוצגת אימות ב-Firebase באמצעות JavaScript SDK וגם ב-iOS וב-Android.
Google Identity Services לאינטרנט
Google Identity Services for Web היא ספריית לקוח לכניסה לחשבון Google, שמבוססת על הפרוטוקולים OAuth 2.0 ו-OpenID Connect. הכפתור 'כניסה באמצעות Google' מופיע באתר או באפליקציה ומאפשר כניסה מהירה ופשוטה.
הפתרון הזה מתאים במיוחד אם רוצים לאמת משתמשים על סמך חשבון Google שלהם, או אם משתמשים במסוף Google Admin עבור הדומיין.
OAuth 2.0 ו-OpenID Connect
OpenID Connect היא שכבת זהות שמתלבשת על פרוטוקול OAuth 2.0. Google מציעה הטמעה של OAuth 2.0 שתואמת למפרט של OpenID Connect ומאושרת על ידי OpenID. יש גם כמה ספקים אחרים.
הפתרון הזה מתאים במיוחד אם אתם רוצים התאמה אישית ושליטה מלאות בהטמעה של האימות.
מידע נוסף זמין במאמר OpenID Connect.
שרת proxy לאימות זהויות (IAP)
בניגוד לאפשרויות האימות האחרות שמטמיעות אימות בתוך האפליקציה, IAP מגן על האפליקציה ומאבטח אותה על ידי הוספת שכבת אימות והרשאה של IAM לפני המשאבים. השכבה הזו מאמתת בקשות חיצוניות נכנסות לפני שאפשר להגיע לאפליקציה. למשתמשים שלא קיבלו הרשאה לגשת לאפליקציה שלכם לא תהיה גישה לאפליקציית App Engine.
אתם יכולים להפעיל את IAP לכל האפליקציה, או לשירותים ספציפיים או לגרסאות ספציפיות של האפליקציה. רק לחשבונות משתמשים עם התפקיד הנכון ב-IAM יש גישה לשירותים או לאפליקציות שמוגנים באמצעות IAP. כשמשתמש מנסה לגשת למשאב שמאובטח באמצעות IAP, האימות ובדיקת ההרשאות מתבצעים בשבילכם על ידי IAP. בסקירה הכללית על IAP תוכלו לקרוא איך משאבי האפליקציות מאובטחים באמצעות IAP.
השימוש ב-IAP לא מגן מפני פעילות בתוך פרויקטים, כמו שירות אחד של App Engine שגורם לגישה לשירות אחר באותו פרויקט.
הפתרון הזה מתאים במיוחד אם אתם רוצים להשתמש בחשבונות משתמשים של Google וב-IAM כדי לאשר גישת משתמשים.
במדריך למתחילים בנושא IAP מוסבר איך להגדיר את IAP למשאבי App Engine.
שירותי אימות אחרים
Auth0 מספק אימות עם ספקי זהויות שונים ותכונות של כניסה יחידה (SSO).