En esta página se enumeran algunos casos prácticos habituales de autenticación y autorización, con enlaces a más información sobre cómo implementar cada caso práctico.
Para obtener una descripción general de la autenticación en Google, consulta el artículo Autenticación en Google.
Autenticar en las APIs de Google
Las APIs de Google requieren un token de acceso o una clave de API válidos en cada solicitud. La forma de proporcionar estas credenciales obligatorias depende de dónde se ejecute el código y de los tipos de credenciales que acepte la API.
Usar las bibliotecas de cliente y las credenciales predeterminadas de la aplicación
La forma recomendada de usar las APIs de Google es utilizar una biblioteca de cliente y las credenciales predeterminadas de la aplicación (ADC). Application Default Credentials (ADC) es una estrategia que usan las bibliotecas de autenticación para buscar automáticamente las credenciales en función del entorno de la aplicación. Las bibliotecas de autenticación ponen esas credenciales a disposición de las bibliotecas de cliente de Cloud y de las bibliotecas de cliente de las APIs de Google. Cuando usas ADC, tu código puede ejecutarse en un entorno de desarrollo o de producción sin cambiar la forma en que tu aplicación se autentica en los Google Cloud servicios y las APIs.
La forma de configurar ADC depende de dónde se ejecute el código. ADC admite tanto la autenticación como cuenta de servicio como la autenticación como usuario.
Autenticar desde Google Kubernetes Engine (GKE)
Puedes usar Workload Identity Federation para GKE para permitir que tus cargas de trabajo que se ejecutan en GKE accedan de forma segura a las APIs de Google. Workload Identity Federation para GKE permite que una cuenta de servicio de GKE de tu clúster de GKE actúe como una cuenta de servicio de gestión de identidades y accesos (IAM).
Autenticar desde Knative serving
Para autenticar tus servicios de Knative Serving, usa Workload Identity Federation for GKE, que te permite acceder a las APIs de Google.
Usar una API que acepte claves de API
Si una API admite claves de API, se puede proporcionar una clave de API con una solicitud en lugar del token de acceso. Las claves de API asocian la solicitud a un Google Cloud proyecto con fines de facturación y de cuota.
Para determinar si una API admite claves de API, consulta la documentación de la API en cuestión.
Usar JSON Web Tokens (JWTs) autofirmados
Algunas APIs de Google admiten JSON Web Tokens (JWTs) autofirmados en lugar de tokens de acceso. Si usas un JWT autofirmado, no tendrás que enviar una solicitud de red al servidor de autorización de Google. Para usar este método, debes crear tu propio JWT firmado. Para obtener más información sobre los tokens, consulta el artículo Introducción a los tokens.
Usar las bibliotecas y los paquetes de autenticación
Si ADC y la implementación de OAuth proporcionada por las bibliotecas de cliente de Cloud o las bibliotecas de cliente de la API de Google no están disponibles en tu entorno, puedes usar las bibliotecas y los paquetes de autenticación.
Están disponibles las siguientes bibliotecas y paquetes de autenticación:
También puedes implementar el flujo de OAuth 2.0 mediante los endpoints de OAuth 2.0 de Google. Este método requiere un conocimiento más detallado de cómo funcionan OAuth 2.0 y OpenID Connect. Para obtener más información, consulta el artículo sobre cómo se usa OAuth 2.0 en las aplicaciones de servidor web.
Google Cloud Casos prácticos específicos de un servicio
Algunos Google Cloud servicios admiten flujos de autenticación específicos de ese servicio.
Proporcionar acceso a un recurso de Cloud Storage durante un tiempo limitado mediante URLs firmadas
Las URLs firmadas proporcionan acceso por tiempo limitado a un recurso específico de Cloud Storage.
Autenticarse en clústeres de GKE Enterprise
Puedes autenticarte en clústeres de GKE Enterprise mediante Google Cloudidentidades o con un proveedor de identidades de terceros:
- Autentica con Google Cloud identidades mediante la pasarela Connect.
- Autenticarse con un proveedor de identidades de terceros que admita OIDC o LDAP mediante Identity Service para GKE.
Configurar una API desplegada con API Gateway o Cloud Endpoints para la autenticación
API Gateway y Cloud Endpoints admiten la autenticación de servicio a servicio y la autenticación de usuarios con Firebase, tokens de ID firmados por Google, Okta, Auth0 y JWTs.
Para obtener información, consulta la documentación del producto:
- Elegir un método de autenticación para API Gateway
- Elegir un método de autenticación para Cloud Endpoints
Autenticación de aplicaciones alojadas en Cloud Run o Cloud Run Functions
Las aplicaciones alojadas en Cloud Run y Cloud Run Functions requieren tokens de ID para la autenticación.
Para obtener información sobre otras formas de adquirir un token de ID, consulta Obtener un token de ID. Para obtener más información sobre los tokens de ID, consulta Tokens de identidad.
Cloud Run
Hay varias formas de configurar un servicio de Cloud Run, según cómo se invoque el servicio. También es posible que tengas que autenticarte en otros servicios desde un servicio de Cloud Run, lo que requiere un token de ID de OIDC.
Para autenticar a los usuarios en tu servicio desde una aplicación web o móvil, usa Identity Platform o Firebase Authentication. También puedes usar Identity-Aware Proxy (IAP) para autenticar a usuarios internos.
Cloud Run Functions
Cuando invocas una función, debes autenticar la invocación. Puedes usar las credenciales de usuario o un token de ID de OIDC.
Autenticar usuarios de aplicaciones
Hay varias opciones para autenticar a los usuarios finales de tu aplicación, en función del resto del entorno de la aplicación. Consulta las siguientes descripciones para saber qué opción se adapta mejor a tu aplicación.
| Servicio de autenticación | Descripción |
|---|---|
| Servicios de Identidad de Google |
Servicios de Identidad de Google incluye Iniciar sesión con Google, el botón de inicio de sesión de usuario de Google y las APIs y el SDK de Servicios de Identidad. Los servicios de identidad de Google se basan en los protocolos OAuth 2.0 y OpenID Connect (OIDC). Si estás creando una aplicación móvil y quieres autenticar a los usuarios con cuentas de Gmail y Google Workspace, la opción Iniciar sesión con Google puede ser una buena opción. Iniciar sesión con Google también permite usar cuentas de Google con un sistema de inicio de sesión ya existente. Más información La función Iniciar sesión con Google permite iniciar sesión con cuentas de Gmail y Google Workspace, y admite contraseñas de un solo uso. Iniciar sesión con Google está orientado a cuentas exclusivas de Google o cuentas de Google en un sistema de inicio de sesión ya existente para aplicaciones móviles. Iniciar sesión con Google está disponible para iOS, Android y aplicaciones web. |
| Firebase Authentication |
Firebase Authentication proporciona servicios y bibliotecas de autenticación para autenticar a los usuarios de tu aplicación con una amplia variedad de tipos de cuentas de usuario. Si quieres aceptar inicios de sesión de usuarios desde varias plataformas, Firebase Authentication puede ser una buena opción. Más información Firebase Authentication ofrece compatibilidad con la autenticación de muchos tipos de cuentas de usuario. Firebase Authentication admite la autenticación con contraseña y el inicio de sesión federado con Google, Facebook, Twitter y otras plataformas. Tanto Identity Platform como Firebase Authentication se basan en Google Identity Services. Firebase Authentication está orientado a aplicaciones de consumo. Identity Platform es ideal para los usuarios que quieren ser su propio proveedor de identidades o que necesitan las funciones de nivel empresarial que ofrece Identity Platform. Para obtener más información sobre las diferencias entre estos productos, consulta Diferencias entre Identity Platform y Firebase Authentication. En los siguientes enlaces encontrará más información:
|
| Identity Platform |
Identity Platform es una plataforma de gestión de identidades y accesos de clientes (CIAM) que ayuda a las organizaciones a añadir funciones de gestión de identidades y accesos de nivel empresarial a sus aplicaciones. Si vas a crear una aplicación para usarla con un proveedor de identidades de Google, como Google Workspace, o con tu propio servicio de gestión de identidades y accesos, Identity Platform puede ser una buena opción. Más información Identity Platform ofrece un servicio de identidad y autenticación directo y personalizable para el registro y el inicio de sesión de los usuarios. Identity Platform admite varios métodos de autenticación: SAML, OIDC, correo electrónico y contraseña, redes sociales, teléfono y opciones personalizadas. Tanto Identity Platform como Firebase Authentication se basan en Google Identity Services. Firebase Authentication está orientado a aplicaciones de consumo. Identity Platform es ideal para los usuarios que quieren ser su propio proveedor de identidades o que necesitan las funciones de nivel empresarial que ofrece Identity Platform. Para obtener más información sobre las diferencias entre estos productos, consulta Diferencias entre Identity Platform y Firebase Authentication. |
| OAuth 2.0 y OpenID Connect |
OpenID Connect te permite gestionar y usar tokens de autenticación con la mayor personalización. Si quieres tener el máximo control sobre tu implementación de OAuth 2.0 y te sientes cómodo implementando flujos de OAuth 2.0, te recomendamos esta opción. Más información La implementación de OAuth 2.0 de Google cumple con la especificación OpenID Connect y está certificada por OpenID. OpenID Connect es una capa de identidad que se basa en el protocolo OAuth 2.0. Tu aplicación puede usar OpenID Connect para validar el token de ID y recuperar información del perfil de usuario. OAuth 2.0 se puede usar para implementar la autenticación programática en un recurso protegido con Identity-Aware Proxy. |
| Identity‑Aware Proxy |
IAP te permite controlar el acceso a tu aplicación antes de que las solicitudes lleguen a los recursos de la aplicación. A diferencia de los demás servicios de autenticación de esta tabla, que se implementan en tu aplicación, la compra en la aplicación realiza la autenticación antes de que se pueda acceder a tu aplicación. Más información Con IAP, puedes establecer una capa de autorización central para las aplicaciones y usar encabezados firmados para proteger tu aplicación. Solo pueden acceder a las aplicaciones protegidas por IAP las entidades que tengan el rol de gestión de identidades y accesos correcto. Cuando un usuario final intenta acceder a un recurso protegido con IAP, IAP realiza comprobaciones de autenticación y autorización. IAP no protege contra la actividad dentro de un proyecto, como otro servicio del mismo proyecto. En el caso de las identidades de Google, IAP usa tokens de ID. Para obtener más información, consulta Autenticación programática. Para obtener información sobre cómo protege IAP los recursos de tu aplicación, consulta la descripción general de IAP. Los siguientes tutoriales específicos de idiomas están disponibles para las compras en aplicaciones: |
| API Users de App Engine | En las aplicaciones que se ejecutan en el entorno estándar de App Engine, la API Users está disponible para proporcionar autenticación de usuarios en algunos idiomas. |
| Autorizar el acceso a recursos de usuario final | Si tu aplicación accede a recursos que son propiedad de tu usuario final, debes obtener su permiso para hacerlo. Este caso práctico se denomina a veces OAuth de tres pasos o 3LO, porque hay tres entidades implicadas: la aplicación, el servidor de autorización y el usuario. |
Opciones de autenticación y autorización para Google Cloud y Google Workspace
Google Cloud y Google Workspace ofrecen varias opciones para configurar el acceso, mejorar la seguridad de las cuentas y administrarlas.
Conceder acceso a Google Cloud recursos para cargas de trabajo externas
Workload Identity Federation te permite conceder acceso a recursos a cargas de trabajo locales o multinube. Google CloudAntes, para este caso práctico era necesario usar claves de cuentas de servicio, pero la federación de identidades de carga de trabajo evita la carga de mantenimiento y seguridad que supone usar claves de cuentas de servicio. La federación de identidades de carga de trabajo admite proveedores de identidades compatibles con OIDC o SAML 2.0.
Configurar un proveedor de identidades
Puedes usar Google como proveedor de identidades con Cloud Identity o Google Workspace. También puedes federar una cuenta de Cloud Identity o Google Workspace con un proveedor de identidades externo. Este método usa SAML, lo que permite a tus empleados usar su identidad y sus credenciales para iniciar sesión en los servicios de Google.
Configurar la autenticación de dos factores
Requerir la autenticación de dos factores es una práctica recomendada que ayuda a evitar que los agentes malintencionados accedan a una cuenta cuando han obtenido las credenciales de esa cuenta. Con la autenticación de dos factores, se requiere una segunda información o identificación del usuario antes de que se autentique. Google ofrece varias soluciones que admiten el estándar FIDO (Fast IDentity Online).
Identity Platform admite la autenticación de dos factores en aplicaciones web, iOS y Android.
Los Servicios de Identidad de Google admiten la autenticación FIDO (Fast IDentity Online).
Google admite varias soluciones de hardware para la autenticación de dos factores, como las llaves Titan.
Configurar el acceso basado en certificados
La solución de confianza cero de Chrome Enterprise Premium incluye el acceso basado en certificados, que limita el acceso únicamente a los usuarios autenticados en un dispositivo de confianza e identifica los dispositivos mediante sus certificados X.509. El acceso basado en certificados también se conoce como Seguridad en la capa de transporte mutua (mTLS).
Información general de la cuenta y de autenticación
Obtener ayuda para acceder a una cuenta de Google
Si necesitas ayuda para acceder a una cuenta de Google o gestionarla, consulta la página de asistencia de Cuenta de Google.
Gestionar credenciales vulneradas
Si crees que tus credenciales se han visto comprometidas, hay medidas que puedes tomar tú o tu administrador para mitigar la situación. Para obtener más información, consulta Gestionar credenciales Google Cloud comprometidas.
Obtener ayuda con problemas de la autoridad de certificación
Si ves errores relacionados con un problema con tu certificado o con la autoridad de certificación (CA), incluida tu CA raíz, consulta las preguntas frecuentes de Google Trust Services para obtener más información.