Nutzer authentifizieren

Google bietet die folgenden Methoden zum Authentifizieren von Nutzern in Google Cloud-Anwendungen:

Authentifizierungsdienst Zweck
Firebase Authentication Bietet mehrere Optionen zur Nutzerauthentifizierung, u. a. über Google, Facebook und Twitter. Sie unterstützt auch die größte Anzahl von Nutzern bei möglichst geringer Codemenge.
Google Log-in Google Log-in ermöglicht die Anmeldung bei Gmail- und Google Workspace-Konten und bietet Unterstützung für Einmalpasswörter (One-Time Passwords, OTP). Dies ist die einfachste Methode zur Unterstützung von reinen Google-Konten oder zur Unterstützung von Google-Konten in einem vorhandenen Anmeldesystem.
OAuth 2.0 und OpenID Connect Mit OpenID Connect können Sie Authentifizierungstokens von Grund auf mit den meisten Anpassungsoptionen verarbeiten und verwenden.
Google Cloud Identity Platform Identity Platform ist eine Plattform zur Identitäts- und Zugriffsverwaltung für Kunden (Customer Identity and Access Management, CIAM), mit der Organisationen ihre Anwendungen um IAM-Funktionen ergänzen können. Diese Option ist ideal für Nutzer, die ihr eigener Identitätsanbieter sein möchten.
Users API Die Users API ist einer der gebündelten Legacy-Dienste und wird zur Authentifizierung von Google- und Google Workspace-Konten verwendet. Diese integrierte API ist nur in App Engine verfügbar.
Identity-Aware Proxy (IAP) Mit IAP können Sie den Zugriff auf Ihre App Engine-Dienste steuern, bevor Anfragen Ihre Anwendungsressourcen erreichen. Mit IAP können Sie eine zentrale Autorisierungsebene für Anwendungen einrichten. Die Anwendung wird mit signierten Headern oder der Users API von App Engine geschützt. Im Gegensatz zu den anderen Authentifizierungsdiensten in dieser Tabelle führt IAP eine Authentifizierung durch, bevor Ihre Anwendung erreicht werden kann. Die anderen Optionen auf dieser Seite implementieren die Authentifizierung in Ihrer Anwendung.

Firebase Authentication

Firebase Authentication bietet Ihnen ein robustes, sicheres und sofort einsatzbereites Authentifizierungssystem, mit dem die Anmeldung mit jedem Konto unterstützt wird, das Ihre Nutzer verwenden möchten. Firebase Authentication unterstützt neben der föderierten Anmeldung mit Google, Facebook, Twitter u. a. auch die Passwortauthentifizierung. Damit können Sie Ihr Authentifizierungssystem problemlos skalieren, wenn Ihr Nutzungsvolumen auf Desktop- und Mobilgeräten zunimmt.

Firebase Authentication ist die einfachste Möglichkeit zur Einrichtung einer Benutzerauthentifizierung für eine Google App Engine-Anwendung. So erfahren Sie mehr über Firebase Authentication:

Google Log-in

Wenn Sie eine Google-Anmeldeschaltfläche auf Ihrer Website oder in Ihrer App bereitstellen oder die Admin-Konsole für Ihre Domain verwenden möchten und Nutzer sich basierend auf dieser Anmeldung authentifizieren sollen, können Sie dazu Google Log-in verwenden. Dabei handelt es sich um unsere Anmelde-Clientbibliothek, die auf der Basis von OAuth 2.0- und OpenID Connect-Protokollen erstellt wurde.

Google Log-in ist für Webanwendungen, iOS und Android verfügbar.

OAuth 2.0 und OpenID Connect

Google Log-in basiert auf der OAuth 2.0-Implementierung von Google, die der OpenID Connect-Spezifikation entspricht und OpenID-zertifiziert ist.

OpenID Connect liegt eine Identitätsebene über dem OAuth 2.0-Protokoll. Ihre Anwendung kann damit Nutzerprofilinformationen abrufen.

Identity Platform

Identity Platform bietet einen anpassbaren Drop-in-Identitäts- und Authentifizierungsdienst für die Nutzerregistrierung und -anmeldung. Identity Platform unterstützt verschiedene Authentifizierungsmethoden (SAML, OIDC, E-Mail-Adresse/Passwort, über soziale Netzwerke, Telefon oder eine benutzerdefinierte Authentifizierung) und bietet so flexible Integrationsoptionen für jede Identitätslösung. Identity Platform basiert auf der globalen Größenordnung, der Leistung, dem Netzwerk und der Sicherheit von Google Cloud und erfüllt durch den Support für Unternehmen und sein SLA die Anforderungen praktisch jeder Anwendung und jedes Dienstes.

Identity Platform bietet ein eigenes Nutzeridentitätssystem. Wenn Sie Google Workspace bereits für Ihre Domain verwenden und Nutzer basierend auf dieser Anmeldung authentifizieren möchten, sollten Sie Google Log-in verwenden.

Informationen zur Einbindung von Identity Platform in App Engine finden Sie in der Anleitung Nutzer in App Engine anmelden.

Users API

Mit der Users API kann eine Anwendung folgende Aufgaben ausführen:

  • Ermitteln, ob der aktuelle Nutzer angemeldet ist
  • Nutzer zur Anmeldung an die entsprechende Anmeldeseite weiterleiten
  • Nutzer dazu auffordern, ein neues Google-Konto zu erstellen, falls noch keines vorhanden ist

Wenn ein Nutzer angemeldet ist, kann die Anwendung auf seine E-Mail-Adresse zugreifen. Außerdem kann die Anwendung ermitteln, ob es sich bei dem aktuellen Nutzer um einen Administrator handelt. Dies erleichtert die Implementierung von Anwendungsbereichen, die nur für Administratoren zugänglich sind.

Weitere Informationen finden Sie unter Users API.

Identity-Aware Proxy (IAP)

IAP schützt und sichert Ihre Anwendung durch Hinzufügen einer Authentifizierungs- und Autorisierungsschicht vor Ihren Ressourcen für eingehende externe Anfragen. IAP schützt nicht vor Aktivitäten innerhalb eines Projekts, z. B. einem anderen App Engine-Dienst innerhalb desselben Projekts. Nutzer ohne autorisierten Zugriff auf Ihre Anwendung haben keinen Zugriff auf Ihre App Engine-Anwendung.

Auf IAP-geschützte Dienste oder Anwendungen können nur Hauptkonten zugreifen, die über die richtige IAM-Rolle (Identity and Access Management) verfügen. Versucht ein Nutzer, auf eine mit IAP gesicherte Ressource zuzugreifen, führt IAP Authentifizierungs- und Autorisierungsprüfungen für Sie aus. Informationen zum Schutz Ihrer Anwendungsressourcen durch IAP finden Sie unter IAP-Übersicht.

Sie können IAP für Ihre gesamte Anwendung oder für bestimmte Dienste oder Versionen Ihrer Anwendung aktivieren. Informationen zum Konfigurieren von IAP für Ihre App Engine-Ressourcen finden Sie in der IAP-Kurzanleitung.