Questa pagina è stata tradotta dall'API Cloud Translation.

Autentica gli utenti con identità esterne

Questa guida rapida mostra come proteggere un'app utilizzando Identity-Aware Proxy (IAP) e le identità esterne. Combinando IAP e Identity Platform, puoi autenticare gli utenti con una vasta gamma di provider di identità, come OAuth, SAML e OIDC, oltre agli Account Google.

In questa guida rapida, proteggerai un'applicazione App Engine di esempio utilizzando l'autenticazione Facebook.

Prima di iniziare

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Make sure that billing is enabled for your Google Cloud project.
Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Inizializza App Engine per il tuo progetto:
```
gcloud app create --project=project-id
```
Installa Git.
Installa una versione aggiornata di Node.js.
Installa lo strumento a riga di comando Firebase:
```
npm install -g firebase-tools
```

Abilita le API

Innanzitutto, abilita Identity Platform:

Vai alla pagina Marketplace di Identity Platform nella console Google Cloud.

Vai alla pagina Marketplace di Identity Platform
Fai clic su Abilita Identity Platform. Nella console Google Cloud viene visualizzata la pagina Identity Platform.

Quindi, abilita IAP:

Vai alla pagina IAP nella console Google Cloud.

Vai alla pagina IAP
Seleziona lo stesso progetto utilizzato per Identity Platform. L'utilizzo di progetti diversi non è supportato.
Fai clic su Abilita API.

Scarica ed esegui il deployment del codice campione

Il codice di questa guida rapida è composto da due componenti: un'app client e un'app di autenticazione.

L'app client è protetta da IAP. Quando riceve una richiesta da un utente non autenticato, questa viene reindirizzata all'app di autenticazione per verificare l'identità dell'utente. Se l'utente accede correttamente, l'app di autenticazione risponde con un token JWT (JSON Web Token). Per scopi dimostrativi, l'app client mostra il JWT.

Per prima cosa, scarica il codice ed esegui il deployment dell'app client:

Scarica il codice di esempio:

git clone https://github.com/GoogleCloudPlatform/iap-gcip-web-toolkit.git

Passa alla directory dell'app client:
```
cd iap-gcip-web-toolkit/sample/app
```
Installa le dipendenze:
```
npm install
```
Esegui il deployment dell'app client in App Engine:
```
npm run deploy
```
L'app client viene avviata all'URL:
```
https://[PROJECT-ID].appspot.com
```

Poi esegui il deployment dell'app di autenticazione:

Passa alla directory dell'app di autenticazione:
```
cd ../authui-firebaseui
```
Installa le dipendenze:
```
npm install
```
Configura l'app di autenticazione in modo da utilizzare Firebase Hosting. Specifica l'ID progetto Google Cloud del progetto Google Cloud contenente l'app client protetta da IAP:
```
firebase use project-id
```
Esegui il deployment dell'app:
```
npm run deploy
```
L'app di autenticazione viene avviata all'URL:
```
https://[PROJECT-ID].firebaseapp.com
```

Hai eseguito il deployment delle app client e di autenticazione. Il passaggio successivo consiste nel configurare Identity Platform e IAP.

Configurare Identity Platform

IAP utilizza Identity Platform per autenticare le identità esterne. Questa guida rapida utilizza Facebook come esempio, ma Identity Platform supporta un'ampia gamma di provider di identità.

Creare un'app Facebook

Per autenticare gli utenti con Facebook, devi disporre di un ID app e di un app secret.

Accedi a Facebook for Developers. Se non hai ancora un account Facebook, dovrai crearne uno.
Vai alla pagina App di Facebook.
Fai clic su Aggiungi una nuova app.
Nel menu a sinistra, seleziona Impostazioni > Di base.
Nella casella URL delle norme sulla privacy, inserisci un URL valido. Se esegui il deployment dell'app in produzione in un secondo momento, puoi aggiornare l'URL in modo che rimandi alle tue norme sulla privacy.
Prendi nota dell'ID app e del secret dell'app. Ti serviranno nella sezione successiva.

Aggiungere Facebook come provider di identità

Configura Identity Platform in modo da utilizzare Facebook per l'autenticazione:

Vai alla pagina Provider di identità nella console Google Cloud.

Vai alla pagina Provider di identità
Fai clic su Aggiungi un fornitore.
Seleziona Facebook dall'elenco dei fornitori.
Inserisci l'ID app e il secret dell'app che hai ottenuto nella sezione precedente.
Fai clic su Salva.

Configurare l'URI di reindirizzamento OAuth

Quando Facebook termina l'elaborazione di una richiesta dall'app di autenticazione, ha bisogno di un URI a cui reindirizzare.

Torna alla pagina App di Facebook e seleziona la tua app.
Nel menu a sinistra, fai clic su Prodotti.
Individua il prodotto Accesso Facebook e fai clic su Configura.
Nel menu di navigazione a sinistra, seleziona Impostazioni (non è necessario completare il flusso di avvio guidato).
Nella casella URI di reindirizzamento OAuth validi, inserisci l'URI di reindirizzamento:
```
https://project-id.firebaseapp.com/__/auth/handler
```
Puoi trovare questo URI anche nella pagina di configurazione del provider Identity Platform.
Fai clic su Salva modifiche.

Hai completato la configurazione di Identity Platform. Ora puoi configurare IAP per utilizzarlo per l'autenticazione.

Abilita IAP per utilizzare le identità esterne

Vai alla pagina IAP nella console Google Cloud.

Vai alla pagina IAP
Fai clic sulla scheda APPLICAZIONI.
Seleziona l'app App Engine di esempio di cui hai eseguito il deployment in precedenza. L'URL nella categoria Pubblicata dovrebbe avere il seguente aspetto:
```
https://project-id.appspot.com
```
Nella colonna IAP, imposta l'opzione su On.
Nel riquadro laterale, fai clic su Avvia in Utilizza identità esterne per l'autorizzazione.
In Pagina di accesso, seleziona Fornirò il mio URL.

Nota: IAP può anche creare una pagina di accesso per te. Questa guida rapida fornisce app client e di autenticazione di esempio, ma se stai creando le tue app da zero, lasciare che sia IAP a creare la pagina di accesso può aiutarti a iniziare più velocemente.
Nel campo Authentication URL (URL di autenticazione), inserisci l'URL dell'app di autenticazione. Dovrebbe avere il seguente aspetto:
```
https://project-id.firebaseapp.com/
```
Dopo aver inserito l'URL, la console Google Cloud aggiunge automaticamente la chiave API.
Seleziona la casella con il nome del progetto. Facebook deve essere indicato come fornitore di identità.
Fai clic su Salva.

Hai completato la configurazione di IAP.

Testare l'autenticazione utente

Per verificare che IAP proteggano la tua app e autentichino gli utenti con Facebook:

Vai all'app App Engine client nel browser:
```
https://project-id.appspot.com
```
Dopo una breve schermata di caricamento, viene visualizzata la pagina di accesso di Identity Platform.
Segui le istruzioni sullo schermo per autenticarti con Facebook.
Dovresti essere reindirizzato all'app client, che mostrerà il JWT restituito da Identity Platform.

Per uscire completamente, devi uscire dall'app di esempio che hai creato e da Facebook. Devi uscire da entrambe le app perché Firebase stabilisce una sessione con Facebook valida per un'ora. Per ulteriori informazioni, vedi Gestire le sessioni degli utenti.

Complimenti! Hai eseguito correttamente il deployment di un'app in App Engine e la hai protetta con IAP e identità esterne.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

Attenzione: l'eliminazione di un progetto ha i seguenti effetti:

L'intero contenuto del progetto viene eliminato. Se hai utilizzato un progetto esistente per le attività descritte in questo documento, quando lo elimini elimini anche tutto il lavoro svolto nel progetto.
Gli ID progetto personalizzati non sono più disponibili. Quando hai creato questo progetto, potresti aver creato un ID progetto personalizzato che vuoi utilizzare in futuro. Per conservare gli URL che utilizzano l'ID progetto, ad esempio un URL appspot.com, elimina le risorse selezionate all'interno del progetto anziché eliminare l'intero progetto.

Se intendi esplorare più architetture, tutorial o guide rapide, il riuso dei progetti può aiutarti a non superare i limiti di quota.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Inoltre, ti consigliamo di eliminare l'app Facebook che hai creato.

Passaggi successivi

Personalizza l'interfaccia utente di autenticazione con FirebaseUI o crea un'interfaccia utente personalizzata da zero.
Scopri di più sulla configurazione dei provider di identità con Identity Platform.
Scopri come creare silos univoci di utenti e configurazioni con la multitenancy di Identity Platform.