Accedere agli ambienti con la federazione delle identità della forza lavoro

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Questa pagina descrive come configurare l'accesso degli utenti al tuo ambiente Cloud Composer con la federazione delle identità della forza lavoro.

Informazioni sulla federazione delle identità per la forza lavoro in Cloud Composer

La federazione delle identità per la forza lavoro ti consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare una forza lavoro, ovvero un gruppo di utenti, come dipendenti, partner e collaboratori, utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud . Per ulteriori informazioni sulla federazione delle identità per la forza lavoro, consulta Federazione delle identità per la forza lavoro.

Se la federazione delle identità della forza lavoro è configurata nel tuo progetto, puoi accedere al tuo ambiente nei seguenti modi:

• Pagina Cloud Composer nella console Google Cloud
• UI di Airflow
• Google Cloud CLI, inclusa l'esecuzione dei comandi dell'interfaccia a riga di comando Airflow
• API Cloud Composer
• API REST Airflow

Prima di iniziare

• Tutti i nuovi ambienti Cloud Composer creati a partire dalla versione 2.1.11 e dalla versione 2.4.3 di Airflow supportano la federazione delle identità per la forza lavoro. Non è necessario configurare l'ambiente in modo specifico per supportare la federazione delle identità per la forza lavoro.

• Gli ambienti creati prima della versione 2.1.11 e della versione di Airflow 2.4.3 e di cui è stato eseguito l'upgrade a versioni successive non supportano la federazione delle identità per la forza lavoro. Puoi controllare se il tuo ambiente supporta la federazione delle identità per la forza lavoro.

• Limitazioni di Cloud Storage per la federazione delle identità della forza lavoro si applicano al bucket dell'ambiente. In particolare, devi abilitare l'accesso uniforme a livello di bucket nel bucket dell'ambiente per consentire alle identità esterne di caricare i DAG e i file in questo bucket.

• Le email inviate da Airflow includono solo l'URL dell'interfaccia utente di Airflow per gli Account Google. Poiché le identità esterne possono accedere alla UI di Airflow solo tramite l'URL della UI di Airflow per le identità esterne, il link deve essere modificato (deve essere sostituito con l'URL per le identità esterne).

• Cloud Composer non supporta l'utilizzo di identità di terze parti nelle regole di ingresso e uscita per consentire le operazioni dell'interfaccia utente di Apache Airflow. Tuttavia, puoi utilizzare il tipo di identità ANY_IDENTITY nelle regole di ingresso e uscita per consentire l'accesso a tutte le identità, incluse quelle di terze parti. Per ulteriori informazioni sul tipo di identità ANY_IDENTITY, consulta Regole di ingresso e di uscita.

Configura l'accesso al tuo ambiente con la federazione delle identità della forza lavoro

Questa sezione descrive i passaggi per configurare l'accesso per le identità esterne all'ambiente Cloud Composer.

Configura il tuo provider di identità

Configura la federazione delle identità per la forza lavoro per il tuo provider di identità seguendo la guida Configurare la federazione delle identità per la forza lavoro.

Concedi ruoli IAM a identità esterne

In Identity and Access Management, concedi ruoli IAM a insiemi di identità esterne in modo che possano accedere al tuo ambiente e interagire con esso:

• Per un elenco dei ruoli specifici di Cloud Composer, vedi Concedere ruoli agli utenti. Ad esempio, il ruolo Visualizzatore utenti ambiente e oggetti Storage (composer.environmentAndStorageObjectViewer) consente a un utente di visualizzare gli ambienti, accedere all'interfaccia utente di Airflow, visualizzare e attivare i DAG dall'interfaccia utente DAG e visualizzare gli oggetti nei bucket dell'ambiente.

• Per istruzioni sull'assegnazione di questi ruoli a utenti esterni, vedi Concedere ruoli IAM ai principal.

• Per un formato di rappresentazione delle identità esterne nelle policy IAM, vedi Rappresenta gli utenti del pool di forza lavoro nelle policy IAM.

Verifica che i nuovi utenti ricevano i ruoli Airflow corretti nel controllo dell'accesso alla UI di Airflow

Cloud Composer gestisce gli utenti Airflow per le identità esterne nello stesso modo degli utenti con Account Google. Al posto di un indirizzo email, viene utilizzato un identificatore principale. Quando un'identità esterna accede per la prima volta all'interfaccia utente di Airflow, un utente Airflow viene registrato automaticamente nel sistema di controllo dell'accesso basato sui ruoli di Airflow con il ruolo predefinito.

Verifica che i nuovi utenti ricevano i ruoli Airflow corretti in Controllo dell'accesso all'interfaccia utente di Airflow. Sono disponibili due opzioni:

• Consenti alle identità esterne di ricevere il ruolo predefinito dopo aver eseguito l'accesso all'interfaccia utente di Airflow per la prima volta. Se necessario, gli utenti amministratore di Airflow possono modificare questo ruolo in un altro.

• Registra in anticipo le identità esterne con un insieme di ruoli richiesti aggiungendo record utente Airflow con i campi nome utente ed email impostati sui relativi identificatori principali. In questo modo, le identità esterne ottengono il ruolo che hai assegnato, non quello predefinito.

Controllare se un ambiente supporta la federazione delle identità della forza lavoro

Per verificare se il tuo ambiente supporta la federazione delle identità per la forza lavoro, esegui il seguente comando Google Cloud CLI. Se l'output mostra un URI, il tuo ambiente supporta la federazione delle identità della forza lavoro.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Sostituisci:

• ENVIRONMENT_NAME con il nome dell'ambiente.
• LOCATION con la regione in cui si trova l'ambiente.

Esempio:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Accedi alla pagina Cloud Composer nella console Google Cloud

La console della federazione delle identità per la forza lavoro fornisce l'accesso alla pagina Cloud Composer.Google Cloud

Dalla pagina Composer nella console Google Cloud Federazione delle identità per la forza lavoro, puoi accedere all'interfaccia utente per gestire gli ambienti, i log di Cloud Composer, il monitoraggio e l'interfaccia utente DAG.

Tutti i link all'interfaccia utente di Airflow nella console federata rimandano al punto di accesso all'interfaccia utente di Airflow per le identità esterne.

Gli ambienti nelle versioni precedenti alla 2.1.11 e/o le versioni di Airflow precedenti alla 2.4.3 potrebbero avere i link all'interfaccia utente di Airflow contrassegnati come "Non disponibile". Ciò indica che questo ambiente non supporta gli utenti della federazione delle identità per la forza lavoro nella UI di Airflow. È possibile accedere all'interfaccia utente di Airflow per questo ambiente solo con Account Google.

Accedere alla UI di Airflow

Gli ambienti Cloud Composer hanno due URL per la UI di Airflow: uno per gli account Google e un altro per le identità esterne. Le identità esterne devono accedere alla UI di Airflow tramite l'URL per le identità esterne.

• L'URL per le identità esterne è https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.

• L'URL per gli Account Google è https://<UNIQUE_ID>.composer.googleusercontent.com.

Solo gli utenti autenticati con identità esterne possono accedere all'URL per le identità esterne. Se un utente visita l'URL per le identità esterne senza aver eseguito l'accesso, viene prima reindirizzato al portale di autenticazione dove specifica il nome del provider del pool di forza lavoro, poi viene reindirizzato al suo provider di identità per accedere e infine viene reindirizzato alla UI di Airflow dell'ambiente.

Accedere all'UI DAG nella console Google Cloud

L'interfaccia utente DAG è disponibile per gli utenti con identità esterna nell'ambito della console federata. Puoi controllare l'accesso con i criteri IAM.

Viene preso in considerazione anche l'accesso basato sui ruoli di Airflow negli ambienti con supporto completo della federazione delle identità per la forza lavoro e può essere utilizzato per limitare i DAG visibili ai singoli utenti configurando i ruoli, come descritto in Utilizzo del controllo dell'accesso alla UI di Airflow.

Accedere a Google Cloud CLI

Per accedere al tuo ambiente tramite Google Cloud CLI, le identità esterne devono svolgere le seguenti operazioni:

1. Accedi con Google Cloud CLI utilizzando un'identità esterna.
2. Esegui i comandi gcloud composer environments.

Accedere all'API Cloud Composer

L'API Cloud Composer può essere utilizzata con identità esterne per gestire tutti gli ambienti Cloud Composer con i metodi di autenticazione supportati, come i token OAuth.

Accedere all'API REST Airflow

L'API REST di Airflow è disponibile all'endpoint per le identità esterne con i metodi di autenticazione supportati, come i token OAuth.

Per ottenere l'URL dell'endpoint per le identità esterne per il tuo ambiente, esegui questo comando Google Cloud CLI:

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Sostituisci:

• ENVIRONMENT_NAME con il nome dell'ambiente.
• LOCATION con la regione in cui si trova l'ambiente.

Esempio:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Passaggi successivi

• Controllo dell'accesso con IAM
• Utilizzo del controllo dell'accesso alla UI di Airflow
• Accedere alla CLI di Airflow
• Accedere all'API REST Airflow