Esta página se ha traducido con Cloud Translation API.

Conectar un proveedor de identidades

En esta página se explica cómo conectar el dispositivo aislado de Google Distributed Cloud (GDC) al proveedor de identidades (IdP) de tu organización. Un IdP es un sistema que gestiona y protege de forma centralizada las identidades de los usuarios, y proporciona servicios de autenticación. Al conectarse a un proveedor de identidades, los usuarios pueden acceder a GDC con las credenciales de su organización sin tener que crear ni gestionar cuentas independientes en GDC. Este proceso garantiza una experiencia de inicio de sesión fluida y segura. Como un IdP es un recurso global, los usuarios pueden acceder a GDC a través del mismo IdP independientemente de la zona en la que trabajen.

Una vez que se haya configurado el proveedor de identidades inicial y se haya conectado a un proveedor de identidades, podrá conectar otros proveedores de identidades con la consola de GDC.

Puede conectarse a un proveedor de identidades que ya tenga mediante una de las siguientes opciones:

OpenID Connect (OIDC)
Lenguaje de marcado para confirmaciones de seguridad (SAML)

Antes de empezar

Para obtener los permisos que necesitas para conectar un proveedor de identidades, pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de administrador de gestión de identidades y accesos de la organización. El administrador inicial que especifiques al conectar el proveedor de identidades también debe tener asignado el rol de administrador de gestión de identidades y accesos de la organización.

Conectarse a un proveedor de identidades

Para conectar el proveedor de identidades, debes tener un único ID de cliente y un secreto de tu proveedor de identidades. Puedes conectarte a un proveedor de OIDC o SAML que ya tengas mediante la consola.

Conectarse a un proveedor de OIDC

Inicia sesión en la consola de GDC. En el siguiente ejemplo se muestra la consola después de iniciar sesión en una organización llamada org-1:
En el menú de navegación, haz clic en Identidad y acceso > Identidad.
Haz clic en Configurar nuevo proveedor de identidades.
En la sección Configurar proveedor de identidades, sigue estos pasos y haz clic en Siguiente:
1. En la lista Proveedor de identidad, selecciona OpenID Connect (OIDC).
2. Introduce un nombre del proveedor de identidades.
3. En el campo URL de Google Distributed Cloud, introduce la URL que usas para acceder a GDC.
4. En el campo URI del emisor, introduce la URL a la que se envían las solicitudes de autorización a tu proveedor de identidades. El servidor de la API de Kubernetes usa esta URL para descubrir las claves públicas con las que verificar los tokens. La URL debe usar HTTPS.
5. En el campo Client ID (ID de cliente), introduce el ID de la aplicación cliente que envía solicitudes de autenticación al proveedor de identidades.
  1. En la sección Secreto de cliente, selecciona Configurar secreto de cliente (recomendado).
  2. En el campo Secreto de cliente, introduce el secreto de cliente, que es un secreto compartido entre tu proveedor de identidades y el dispositivo aislado de GDC.
6. Opcional: En el campo Prefijo, introduce un prefijo. El prefijo es el prefijo del proveedor de identidad. Introduce un prefijo. El prefijo se añade al principio de las reclamaciones de usuario y de grupo. Los prefijos se usan para distinguir entre diferentes configuraciones de proveedores de identidades. Por ejemplo, si defines el prefijo myidp, una reclamación de usuario podría ser myidpusername@example.com y una reclamación de grupo podría ser myidpgroup@example.com. El prefijo también debe incluirse al asignar permisos de control de acceso basado en roles (RBAC) a los grupos.
  
  Nota: El dispositivo aislado de GDC no inserta un separador entre el prefijo y el nombre del grupo. Inserta un separador, como "-" o ":", al final del prefijo para facilitar la lectura. De lo contrario, prefix y kiran@example.com se identifican como prefixkiran@example.com.
7. Opcional: En la sección Cifrado, selecciona Habilitar tokens cifrados.
  
  Para habilitar los tokens de cifrado, debes tener el rol de administrador de federación de IdPs. Pídele al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de administrador de federación de IdPs (idp-federation-admin).
  1. En el campo ID de clave, introduce el ID de tu clave. El ID de clave es una clave pública de un token de cifrado web JSON (JWT). Tu proveedor de OIDC configura y aprovisiona un ID de clave.
  2. En el campo Clave de descifrado, introduce la clave de descifrado en formato PEM. La clave de desencriptado es una clave asimétrica que desencripta una encriptación. Tu proveedor de OIDC configura y proporciona una clave de descifrado.
En la sección Configurar atributos, siga estos pasos y haga clic en Siguiente:
1. En el campo Autoridad de certificación del proveedor de OIDC, introduce un certificado codificado en PEM y en Base64 del proveedor de identidades. Para obtener más información, consulta https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
  1. Para crear la cadena, codifica el certificado, incluidos los encabezados, en base64.
  2. Incluye la cadena resultante en una sola línea. Ejemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
2. En el campo Reclamación de grupo, introduce el nombre de la reclamación en el token del proveedor de identidades que contiene la información del grupo del usuario.
3. En el campo Reclamación de usuario, introduce la reclamación para identificar a cada usuario. La reclamación predeterminada de muchos proveedores es sub. Puedes elegir otras reclamaciones, como email o name, en función del proveedor de identidad. Las reclamaciones que no sean email tienen el prefijo de la URL del emisor para evitar conflictos de nombres.
4. Opcional: Si tu proveedor de identidades usa el servicio de identidad de GKE, en la sección Atributos personalizados, haz clic en Añadir e introduce pares clave-valor para añadir reclamaciones sobre un usuario, como su departamento o la URL de su imagen de perfil.
5. Si tu proveedor de identidades requiere ámbitos adicionales, en el campo Scopes (Ámbitos), introduce los ámbitos separados por comas que se enviarán al proveedor de identidades. Por ejemplo, Microsoft Azure y Okta requieren el permiso offline_access.
6. En la sección Extra parameters (Parámetros adicionales), introduce los pares clave-valor adicionales (separados por comas) que requiera tu proveedor de identidades. Si vas a autorizar un grupo, introduce resource=token-groups-claim. Si tu servidor de autorización solicita el consentimiento para la autenticación con Microsoft Azure y Okta, define prompt=consent. En Cloud Identity, define prompt=consent,access_type=offline.
En la sección Especificar administradores iniciales, sigue estos pasos y haz clic en Siguiente:
1. Elige si quieres añadir usuarios concretos o grupos como administradores iniciales.
2. En el campo Nombre de usuario o alias de grupo, introduce la dirección de correo del usuario o del grupo para acceder a la organización. Si eres el administrador, introduce tu dirección de correo electrónico, por ejemplo, sally@example.com. El prefijo se añade antes del nombre de usuario, como myidp-sally@example.com.
Revisa las opciones que has seleccionado y haz clic en Configurar.

El nuevo perfil de proveedor de identidades está disponible en la lista de perfiles de identidad.

Conectarse a un proveedor de SAML

Inicia sesión en la consola de GDC.
En el menú de navegación, haz clic en Identidad y acceso > Identidad.
En la sección Configurar proveedor de identidades, sigue estos pasos y haz clic en Siguiente:
1. En el menú desplegable Proveedor de identidades, selecciona Lenguaje de marcado para confirmaciones de seguridad (SAML).
2. Introduce un nombre del proveedor de identidades.
3. En el campo Identity ID (ID de identidad), introduce el ID de la aplicación cliente que envía solicitudes de autenticación al proveedor de identidades.
4. En el campo URI de SSO, introduce la URL del endpoint de inicio de sesión único del proveedor. Por ejemplo: https://www.idp.com/saml/sso.
5. En el campo Prefijo del proveedor de identidades, introduce un prefijo. El prefijo se añade al principio de las reclamaciones de usuarios y grupos. Los prefijos distinguen entre diferentes configuraciones de proveedores de identidades. Por ejemplo, si defines el prefijo myidp, una reclamación de usuario podría mostrarse como myidpusername@example.com y una reclamación de grupo podría mostrarse como myidpgroup@example.com. También debe incluir el prefijo al asignar permisos de RBAC a grupos.
  
  Nota: El dispositivo aislado de GDC no inserta un separador entre el prefijo y el nombre del grupo. Inserta un separador, como - o :, al final del prefijo para que sea más fácil de leer. De lo contrario, prefix y kiran@example.com se identifican como prefixkiran@example.com.
6. Opcional: En la sección Aserciones SAML, selecciona Habilitar aserciones SAML cifradas.
  
  Para habilitar las aserciones SAML cifradas, debes tener el rol de administrador de federación de proveedores de identidades. Pide al administrador de IAM de tu organización que te conceda el rol Administrador de federación de IdPs (idp-federation-admin).
  1. En el campo Encryption certificate (Certificado de cifrado), introduce tu certificado de cifrado en formato PEM. Recibirás el certificado de cifrado después de generar el proveedor de SAML.
  2. En el campo Clave de descifrado, introduce tu clave de descifrado. Recibirás la clave de descifrado después de generar el proveedor de SAML.
7. Opcional: En la sección SAML Signed requests (Solicitudes firmadas de SAML), marca la opción Enable signed SAML requests (Habilitar solicitudes de SAML firmadas).
  1. En el campo Signing certificate (Certificado de firma), introduce tu certificado de firma en formato de archivo PEM. Tu proveedor de SAML configura y genera un certificado de firma.
  2. En el campo Clave de firma, introduce tu clave de firma en formato de archivo PEM. Tu proveedor de SAML configura y genera una clave de firma.
En la página Configurar atributos, sigue estos pasos y haz clic en Siguiente:
1. En el campo IDP certificate (Certificado de IdP), introduce un certificado codificado en PEM y en Base64 para el proveedor de identidades. Para obtener más información, consulta https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
  1. Para crear la cadena, codifica el certificado, incluidos los encabezados, en base64.
  2. Incluye la cadena resultante en una sola línea. Por ejemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==.
2. Introduce los certificados adicionales en el campo Certificado de IdP adicional.
3. En el campo Atributo de usuario, introduzca el atributo para identificar a cada usuario. El atributo predeterminado de muchos proveedores es sub. Puede elegir otros atributos, como email o name, en función del proveedor de identidad. Los atributos que no sean email tienen el prefijo de la URL del emisor para evitar conflictos de nombres.
4. En el campo Atributo de grupo, introduce el nombre del atributo del token del proveedor de identidades que contiene la información del grupo del usuario.
5. Opcional: Si tu proveedor de identidades usa Identity Service para GKE, en el área Asignación de atributos, haz clic en Añadir e introduce pares clave-valor para añadir atributos sobre un usuario, como su departamento o la URL de su imagen de perfil.
En la sección Especificar administradores iniciales, sigue estos pasos y haz clic en Siguiente:
1. Elige si quieres añadir usuarios concretos o grupos como administradores iniciales.
2. En el campo Nombre de usuario, introduce la dirección de correo del usuario o del grupo para acceder a la organización. Si eres el administrador, introduce tu dirección de correo electrónico, por ejemplo, kiran@example.com. El prefijo se añade antes del nombre de usuario, como myidp-kiran@example.com.
En la página Revisar, comprueba todos los valores de cada configuración de identidad antes de continuar. Haz clic en Atrás para volver a las páginas anteriores y hacer las correcciones necesarias. Cuando haya configurado todos los valores según sus especificaciones, haga clic en Configuración.