Attivazione di identità esterne

Questo articolo mostra come configurare Identity-Aware Proxy (IAP) per utilizzare le identità esterne. Combinando IAP e Identity Platform, puoi autenticare gli utenti con un'ampia gamma di provider di identità (ad esempio OAuth, SAML, OIDC e altri), anziché solo con gli Account Google.

Abilitazione e configurazione di Identity Platform

IAP utilizza Identity Platform per autenticare le identità esterne. Consulta la guida rapida per Identity Platform per scoprire come attivarlo.

Se vuoi utilizzare più tenant, devi anche seguire i passaggi descritti in Introduzione all'architettura multi-tenant. Se non devi isolare le risorse, puoi saltare questo passaggio e configurare tutti i provider a livello di progetto. Consulta la panoramica sulle identità esterne se non sai se devi attivare il multitenancy.

Infine, dovrai attivare i fornitori. La guida rapida mostra come utilizzare l'autenticazione semplice con nome utente e password, ma Identity Platform supporta un'ampia gamma di tipi di provider, tra cui:

• Email e password
• OAuth (come Google, Facebook, Twitter e altri)
• SAML
• OIDC
• Numero di telefono
• Anonimo

Consulta il resto della documentazione di Identity Platform per scoprire come configurare altri provider. Tieni presente che l'autenticazione tramite numero di telefono e anonima non è supportata per l'utilizzo con il multitenancy. L'accesso senza password tramite un link via email non è supportato con IAP.

Abilitare IAP per utilizzare le identità esterne

Dopo aver configurato Identity Platform, puoi configurare IAP per utilizzarlo per l'autenticazione.

1. Apri la pagina IAP nella console Google Cloud .
   Apri la pagina IAP

2. Seleziona lo stesso progetto con cui hai configurato Identity Platform. L'utilizzo di progetti diversi non è supportato.

3. Seleziona la scheda Applicazioni.

4. Individua il servizio a cui vuoi limitare l'accesso utilizzando IAP.

5. Imposta l'opzione nella colonna IAP su On.

6. Nel riquadro laterale, fai clic su Avvia nella casella con l'etichetta Utilizza identità esterne per l'autorizzazione.

7. Conferma la selezione.

8. Nel riquadro laterale di Identity Platform:

   1. Scegli se creare una pagina di accesso personalizzata o se vuoi che IAP ne crei una per te.

      Consentire a IAP di creare la pagina di accesso è il modo più veloce per iniziare. Non devi implementare servizi aggiuntivi o scrivere nuovo codice e puoi specificare personalizzazioni secondarie utilizzando JSON. Per saperne di più, consulta Ospitare un'interfaccia utente di autenticazione su Cloud Run.

      Condivisione limitata dei domini:se il progetto è soggetto al vincolo di condivisione limitata dei domini in una policy dell'organizzazione, non potrai creare servizi pubblici per impostazione predefinita. Puoi utilizzare i tag e una policy condizionale per esentare servizi specifici da questo vincolo. Per saperne di più, consulta il post del blog sulla creazione di servizi Cloud Run pubblici quando viene applicata la condivisione limitata per i domini.

      La creazione di una pagina personalizzata è più complessa, ma ti offre il controllo completo del flusso e dell'esperienza di autenticazione. Per saperne di più, consulta Creazione di un'interfaccia utente per l'autenticazione con FirebaseUI e Creazione di un'interfaccia utente per l'autenticazione personalizzata.

   2. Se hai scelto di creare la tua UI, inserisci un URL di autenticazione. IAP reindirizzerà a questo URL le richieste non autenticate che riceve.

      L'inclusione della chiave API nell'URL è facoltativa. Se non fornisci una chiave, la console Google Cloud aggiungerà automaticamente la chiave predefinita.

   3. Seleziona se utilizzare fornitori di progetti o tenant.

   4. Seleziona le caselle dei fornitori o dei tenant da attivare. Seleziona Configura fornitori se devi modificare i fornitori o i tenant.

9. Fai clic su Salva.

Complimenti! IAP è configurato per autenticare gli utenti con identità esterne.

Tornare alle identità Google

Non puoi utilizzare IAM per l'autorizzazione quando utilizzi identità esterne. Se vuoi tornare alle identità Google per poter sfruttare IAM, segui questi passaggi:

1. Torna alla pagina IAP nella console Google Cloud .
   Apri la pagina IAP

2. Seleziona la risorsa configurata per utilizzare IAP.

3. Apri il riquadro delle informazioni di Identity Platform.

4. Seleziona Utilizza IAM per gestire questa risorsa.

Tieni presente che il passaggio di nuovo alle identità Google cancellerà l'URL di autenticazione e i progetti e i tenant associati.

Passaggi successivi

• Ospita una pagina di accesso su Cloud Run.
• Crea una pagina di accesso con FirebaseUI.
• Crea una pagina di accesso personalizzata.
• Acquisisci una comprensione più approfondita di come le identità esterne funzionano con IAP.