Configurare SCIM in Microsoft Entra ID

Questo documento descrive come configurare un tenant SCIM in un pool di identità della forza lavoro. Per saperne di più su SCIM, consulta Provisioning SCIM per la federazione delle identità per la forza lavoro.

Ogni pool di identità della forza lavoro supporta un solo tenant SCIM. Per configurare un nuovo tenant SCIM in un pool che ne ha già uno, devi prima eliminare definitivamente il tenant esistente.

Il flag --claim-mapping per un tenant SCIM può contenere solo espressioni Common Expression Language (CEL) specifiche. Per scoprire quali espressioni sono supportate, consulta Mappare token e attributi SCIM.

Per configurare System for Cross-domain Identity Management (SCIM), segui questi passaggi:
  1. Configurare un tenant e un token SCIM in Google Cloud
  2. Configurare SCIM in Microsoft Entra ID
  3. Aggiornare il provider per attivare SCIM
  4. Verificare la sincronizzazione SCIM

Configurare un tenant e un token SCIM in Google Cloud

Per configurare un tenant SCIM in Google Cloud:

  1. Crea un tenant SCIM. 

        gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"

    Sostituisci quanto segue:

    • SCIM_TENANT_ID: un ID per il tuo tenant SCIM.
    • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro che hai creato in precedenza in questo documento.
    • PROVIDER_ID: l'ID del fornitore del pool di identità della forza lavoro creato in precedenza in questo documento.
    • SCIM_TENANT_DISPLAY_NAME: un nome visualizzato per il tenant SCIM.
    • SCIM_TENANT_DESCRIPTION: una descrizione per il tenant SCIM.
    • CLAIM_MAPPING: un elenco separato da virgole di mappature degli attributi. Per l'elenco esteso degli attributi di mappatura, consulta Mappare token e attributi SCIM. Per Gemini Enterprise è consigliata la seguente mappatura: 
      google.subject=user.emails[0].value.lowerAscii(),google.group=group.externalId

      L'attributo google.subject che mappi nel tenant SCIM deve fare riferimento in modo univoco alle stesse identità mappate nell'attributo google.subject nel provider del pool di identità della forza lavoro utilizzando il flag --attribute-mapping. Una volta creato il tenant SCIM, non puoi aggiornare il mapping delle rivendicazioni. Per sostituirlo, puoi eliminare definitivamente il tenant SCIM e crearne immediatamente uno nuovo. Per scoprire di più sulle considerazioni per l'utilizzo di SCIM, consulta Supporto SCIM.

  2. Al termine del comando, procedi nel seguente modo:

    1. Nel campo baseUri dell'output, salva l'intero URI, formattato come https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Devi fornire questo URI al tuo IdP.
    2. Inoltre, dall'URI salva solo SCIM_TENANT_UID. Hai bisogno di questo UID per impostare un criterio IAM di autorizzazione sul tenant SCIM più avanti in questo documento.

  3. Crea un token SCIM: 

        gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

    Sostituisci quanto segue:

    • SCIM_TOKEN_ID: un ID per il token SCIM
    • DISPLAY_NAME: il nome visualizzato del token SCIM
    • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
    • SCIM_TENANT_ID: l'ID del tenant SCIM
    • PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro

  4. Al termine del comando gcloud iam workforce-pools providers scim-tenants tokens create, procedi nel seguente modo:

    1. Nell'output, salva il valore di SCIM_TOKEN nel campo securityToken. Devi fornire questo token di sicurezza al tuo IdP. Il token di sicurezza viene visualizzato solo in questo output. Se lo perdi, devi creare un nuovo token SCIM.

    2. Per verificare se SCIM_TOKEN viene rifiutato dalla policy dell'organizzazione, esegui questo comando:

      curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users

      Se il comando non va a buon fine e viene visualizzato un errore relativo alle autorizzazioni, esegui gcloud organizations add-iam-policy-binding, descritto in un passaggio successivo. Se il comando ha esito positivo, puoi saltare questo passaggio.

  5. Imposta una policy di autorizzazione IAM sul tenant e sul token SCIM. Se il curl comando in un passaggio precedente non è andato a buon fine a causa di un errore relativo alle autorizzazioni, devi eseguire il seguente comando: 

        gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID dell'organizzazione.
    • SERVICE_AGENT_EMAIL: l'indirizzo email del service agent. L'indirizzo email è nel seguente formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID viene restituito quando crei il tenant SCIM.

Quando esegui il provisioning dei gruppi nel tuo IdP, assicurati che il nome visualizzato di ogni gruppo, come fornito nel campo displayName, sia univoco all'interno di un tenant SCIM. Per saperne di più sui gruppi e SCIM in Microsoft Entra ID, consulta Gruppi.

Configurare SCIM in Microsoft Entra ID

Per configurare SCIM in Microsoft Entra ID:

  1. Apri il portale Azure e accedi come utente con privilegi di amministratore globale.
  2. Seleziona Microsoft Entra ID > App aziendali.
  3. Fai clic su Nuova applicazione.
  4. In Sfoglia la galleria di app Microsoft Entra, fai clic su Crea la tua applicazione.
  5. Nel riquadro Crea la tua applicazione visualizzato, procedi nel seguente modo:
    1. In Qual è il nome della tua app?, inserisci il nome dell'app.
    2. Seleziona Integra qualsiasi altra applicazione che non trovi nella galleria (non galleria).
    3. Per creare l'app, fai clic su Crea.
  6. Nella tua applicazione, procedi nel seguente modo:
    1. Nella sezione Gestisci, fai clic su Provisioning.
    2. Nel riquadro a destra visualizzato, fai clic su Nuova configurazione.

    3. In Credenziali amministratore, nel campo URL tenant, inserisci l'URL SCIM che hai ottenuto quando hai creato il tenant SCIM, a cui è stato aggiunto ?aadOptscim062020. Devi aggiungere ?aadOptscim062020 alla fine dell'URI di base.

      Questo parametro di query è richiesto da Microsoft Entra ID per garantire che le richieste SCIM PATCH siano conformi agli standard SCIM RFC. Per maggiori dettagli, consulta la documentazione di Microsoft.

      L'URL tenant finale in Microsoft Entra ID deve essere nel seguente formato: 

      https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020

      Sostituisci SCIM_TENANT_UID con l'UID tenant SCIM.

    4. In Secret token (Token segreto), inserisci il token segreto che hai ottenuto quando hai creato il token SCIM.
    5. Per testare la configurazione SCIM con la federazione delle identità per la forza lavoro, fai clic su Prova connessione.
    6. Per salvare la configurazione, fai clic su Crea.
  7. Nella sezione Gestisci, segui questi passaggi:
    1. Fai clic su Mappatura attributi.
    2. Fai clic su Provision Microsoft Entra ID Users (Esegui il provisioning degli utenti di Microsoft Entra ID).
    3. Nella pagina Mappatura attributi, procedi nel seguente modo:
      1. Nella tabella Mappature degli attributi, trova la riga relativa a externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi, segui questi passaggi:
        1. Nell'elenco a discesa Attributo origine, seleziona objectId.
        2. Fai clic su Ok.
      2. Per salvare la mappatura degli attributi, fai clic su Salva.

Aggiorna il provider per attivare SCIM

Per abilitare SCIM per un provider:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Sostituisci quanto segue:

  • PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
  • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
  • LOCATION: la posizione del pool di forza lavoro

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Sostituisci quanto segue:

  • PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
  • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
  • LOCATION: la posizione del pool di forza lavoro

Per verificare la sincronizzazione SCIM, vedi Verificare la sincronizzazione SCIM.

Mappare token e attributi SCIM

Devi mappare gli attributi in modo coerente sia nel provider del pool di identità della forza lavoro sia nel tenant SCIM configurato per il provider. Per il provider del pool di identità della forza lavoro, utilizzi il flag --attribute-mapping, mentre per il tenant SCIM, utilizzi il flag --claim-mapping. L'attributo IdP mappato a google.subject per gli utenti deve fare riferimento in modo univoco alla stessa identità, indipendentemente dal fatto che sia definita in un token o in una mappatura SCIM. Per saperne di più sulla mappatura degli attributi quando utilizzi SCIM, consulta la sezione Supporto di SCIM. La tabella seguente mostra come mappare gli attributi nelle rivendicazioni dei token e negli attributi SCIM:

Attributo Google Mappatura del provider di pool di identità della forza lavoro Mappatura tenant SCIM
google.subject assertion.oid user.externalId
google.subject assertion.attributes['http://schemas.microsoft.com/identity/claims/objectidentifier'][0] user.externalId
google.subject assertion.email user.emails[0].value
google.subject assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0] user.emails[0].value
google.subject assertion.email.lowerAscii() user.emails[0].value.lowerAscii()
google.subject assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii() user.emails[0].value.lowerAscii()
google.subject assertion.preferred_username user.userName
google.subject assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0] user.userName
google.subject assertion.preferred_username.lowerAscii() user.userName.lowerAscii()
google.subject assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0].lowerAscii() user.userName.lowerAscii()
google.group assicurati di aggiornare il tuo fornitore con --scim-usage=enabled-for-groups N/A group.externalId

Verificare la sincronizzazione SCIM

Dopo aver configurato SCIM, puoi utilizzare curl per verificare che utenti e gruppi vengano sincronizzati correttamente con Google Cloud. Questi comandi richiedono un token SCIM valido e l'ID tenant SCIM.

Verificare la sincronizzazione degli utenti

Per verificare che un utente sia stato sincronizzato correttamente, cerca il suo userName utilizzando il seguente filtro:

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users?filter=userName%20eq%20%22USER_NAME%22"

Esempio di risposta:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "USER_ID",
      "userName": "USER_NAME",
      ...
    }
  ]
}

Verificare la sincronizzazione dei gruppi

Per verificare che un gruppo sia stato sincronizzato correttamente, cerca il displayName del gruppo utilizzando il seguente filtro:

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Groups?filter=displayName%20eq%20%22GROUP_NAME%22"

Esempio di risposta:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "GROUP_ID",
      "displayName": "GROUP_NAME",
      ...
    }
  ]
}

Verificare l'iscrizione al gruppo

Per verificare se un utente specifico è membro di un gruppo, utilizza un filtro che specifichi sia l'ID gruppo sia l'ID utente.

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Groups?filter=id%20eq%20%22GROUP_ID%22%20and%20members%20eq%20%22USER_ID%22"

Esempio di risposta se l'utente è un abbonato:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "GROUP_ID",
      "displayName": "GROUP_NAME",
      ...
    }
  ]
}

Esempio di risposta se l'utente non è abbonato:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 0,
  "Resources": []
}

Nota:per ottenere GROUP_ID e USER_ID, trova prima il gruppo e l'utente utilizzando i filtri displayName e userName. Gli ID vengono restituiti nel campo id della risposta. Sostituisci SCIM_TOKEN, SCIM_TENANT_UID, USER_NAME, GROUP_NAME, GROUP_ID e USER_ID con i tuoi valori effettivi.

Forzare l'eliminazione di un tenant SCIM

Per forzare l'eliminazione di un tenant SCIM:

  1. Se --scim-usage=enabled-for-groups è impostato per il tuo provider, disattivalo dalla configurazione del provider: 
              gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
              --workforce-pool=WORKFORCE_POOL_ID \
              --location=LOCATION \
              --scim-usage=SCIM_USAGE_UNSPECIFIED

    Sostituisci quanto segue:

    • PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
    • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
    • LOCATION: la posizione del pool di forza lavoro

  2. Elimina il tenant SCIM: 
      gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global

    Sostituisci quanto segue:

    • SCIM_TENANT_ID: l'ID del tenant SCIM da eliminare
    • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
    • PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
    Per saperne di più su SCIM, inclusa l'eliminazione dei tenant SCIM, consulta Supporto di SCIM.

Passaggi successivi