Questa pagina descrive i modi in cui puoi configurare le identità per gli utenti della tua organizzazione in modo che possano accedere a Google Cloud. Non vengono discusse le identità utilizzate dai clienti per autenticarsi nella tua applicazione. Per scoprire come autenticare i clienti nella tua applicazione, consulta la documentazione di Identity Platform, che illustra la gestione di identità e accessi cliente (GIAC).
Affinché gli utenti possano accedere a Google Cloud, devono disporre di un'identità che Google Cloud possa riconoscere. Esistono diversi modi per configurare le identità in modo che Google Cloud possa riconoscerle:
- Crea account Cloud Identity o Google Workspace
- Configura una delle seguenti strategie di identità federata:
Account Cloud Identity o Google Workspace
Puoi utilizzare Cloud Identity o Google Workspace per creare account utente gestiti. Questi account sono chiamati account gestiti perché sei tu a controllarne il ciclo di vita e la configurazione. Gli utenti con questi account possono autenticarsi su Google Cloud ed essere autorizzati a utilizzare le risorse Google Cloud.
Cloud Identity e Google Workspace condividono una piattaforma tecnica comune. Entrambi i prodotti offrono funzionalità simili per la gestione di utenti, gruppi e autenticazione.
Solo gli account super amministratore gestiti di Cloud Identity o Google Workspace possono invitare gli utenti con account consumer non gestiti a trasferire i loro account consumer in account gestiti.
Per iniziare a utilizzare Cloud Identity o Google Workspace, puoi:
- Per scoprire di più sull'utilizzo di Cloud Identity e Google Workspace per creare identità per i tuoi utenti, consulta Google per le organizzazioni.
- Scopri come configurare Cloud Identity.
- Scopri come configurare Google Workspace.
Identità utente federate
Puoi federare le identità per consentire agli utenti di utilizzare le loro credenziali e identità esistenti per accedere ai servizi Google. Esistono diversi metodi per federare le identità in Google Cloud.
Federazione utilizzando Cloud Identity o Google Workspace
Quando esegui la federazione delle identità con Cloud Identity o Google Workspace, agli utenti non viene chiesto di inserire una password quando provano ad accedere ai servizi Google. In alternativa, puoi reindirizzarli a un provider di identità (IdP) esterno per l'autenticazione.
Per utilizzare questo tipo di federazione delle identità, un utente deve avere un'identità esterna nell'IdP esterno e un Account Google corrispondente in Cloud Identity o Google Workspace, in genere con lo stesso indirizzo email. Puoi mantenere sincronizzati questi account utilizzando uno strumento come Google Cloud Directory Sync (GCDS) o eseguendo il provisioning degli account utilizzando un'origine autorevole esterna. Ad esempio, puoi configurare il provisioning dell'account con Microsoft Entra ID o Active Directory.
Per scoprire di più sulla federazione utilizzando Cloud Identity o Google Workspace, consulta Accesso singolo.
Federazione delle identità della forza lavoro
La federazione delle identità della forza lavoro ti consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare una forza lavoro, ovvero un gruppo di utenti, come dipendenti, partner e appaltatori, utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud. Con la federazione delle identità della forza lavoro non è necessario sincronizzare le identità utente dal tuo IdP esistente alle identità di Google Cloud, come faresti con Google Cloud Directory Sync (GCDS) di Cloud Identity. La federazione delle identità della forza lavoro estende le funzionalità di identità di Google Cloud per supportare l'accesso singolo senza sincronizzazione basato sugli attributi.
Per scoprire di più sulla federazione delle identità per la forza lavoro, consulta la panoramica della federazione delle identità per la forza lavoro.
Passaggi successivi
- Scopri i modi per eseguire l'autenticazione alle API di Google con le credenziali dell'utente.
- Scopri come concedere agli utenti l'accesso alle risorse.