Configurer SCIM dans un IdP OIDC ou SAML

Ce document explique comment configurer un locataire SCIM dans un pool d'identités de personnel. Pour en savoir plus sur SCIM, consultez Provisionnement SCIM pour la fédération des identités des employés.

Chaque pool d'identités de personnel n'est compatible qu'avec un seul locataire SCIM. Pour configurer un locataire SCIM dans un pool qui en possède déjà un, vous devez d'abord supprimer définitivement le locataire existent.

L'indicateur --claim-mapping d'un locataire SCIM ne peut contenir que des expressions spécifiques du langage CEL (Common Expression Language). Pour savoir quelles expressions sont acceptées, consultez Mapper des attributs de jeton et SCIM.

Pour configurer le système SCIM (System for Cross-domain Identity Management) :
  1. Configurez un locataire et un jeton SCIM dans Google Cloud
  2. Configurez SCIM dans un IdP OIDC ou SAML
  3. Mettez à jour le fournisseur pour activer SCIM
  4. Vérifiez la synchronisation SCIM

Configurez un locataire et un jeton SCIM dans Google Cloud

Pour configurer un locataire SCIM dans Google Cloud:

  1. Créez un locataire SCIM. 

        gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"

    Remplacez les éléments suivants :

    • SCIM_TENANT_ID : ID de votre locataire SCIM.
    • WORKFORCE_POOL_ID : ID du pool de personnel que vous avez créé précédemment dans ce document.
    • PROVIDER_ID : ID du fournisseur de pools d'identités de personnel que vous avez créé précédemment dans ce document.
    • SCIM_TENANT_DISPLAY_NAME : nom à afficher de votre locataire SCIM.
    • SCIM_TENANT_DESCRIPTION : description de votre locataire SCIM.
    • CLAIM_MAPPING : liste de mappages d'attributs séparés par une virgule. Pour obtenir la liste complète des attributs de mappage, consultez Mapper des attributs de jeton et SCIM. Le mappage suivant est recommandé pour Gemini Enterprise : 
      google.subject=user.emails[0].value.lowerAscii(),google.group=group.externalId

      L'attribut google.subject que vous mappez dans le locataire SCIM doit faire référence de manière unique aux mêmes identités que celles mappées dans l'attribut google.subject du fournisseur de pools d'identités de personnel à l'aide de l'indicateur --attribute-mapping. Une fois le locataire SCIM créé, vous ne pouvez plus modifier le mappage des revendications. Pour le remplacer, vous pouvez supprimer définitivement le locataire SCIM et en créer immédiatement un autre. Pour en savoir plus sur les éléments à prendre en compte lors de l'utilisation de SCIM, consultez Compatibilité avec SCIM.

  2. Une fois la commande terminée :

    1. Dans le champ baseUri du résultat, enregistrez l'URI complet, au format https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Vous devez fournir cet URI à votre IdP.
    2. Enregistrez également uniquement le SCIM_TENANT_UID de l'URI. Vous aurez besoin de cet UID pour définir une stratégie d'autorisation IAM sur le locataire SCIM plus loin dans ce document.

  3. Créez un jeton SCIM : 

        gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

    Remplacez les éléments suivants :

    • SCIM_TOKEN_ID : ID du jeton SCIM
    • DISPLAY_NAME : nom à afficher du jeton SCIM
    • WORKFORCE_POOL_ID : ID du pool de personnel
    • SCIM_TENANT_ID : ID du locataire SCIM
    • PROVIDER_ID : ID du fournisseur de pools d'identités de personnel

  4. Une fois la commande gcloud iam workforce-pools providers scim-tenants tokens create terminée :

    1. Dans le résultat, enregistrez la valeur de SCIM_TOKEN dans le securityToken champ. Vous devez fournir ce jeton de sécurité token à votre IdP. Le jeton de sécurité ne s'affiche que dans ce résultat. Si vous le perdez, vous devez créer un jeton SCIM.

    2. Pour vérifier si SCIM_TOKEN est rejeté par votre stratégie d'organisation, exécutez la commande suivante :

      curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users

      Si la commande échoue avec une erreur liée aux autorisations, exécutez gcloud organizations add-iam-policy-binding, comme décrit dans une étape ultérieure. Si la commande réussit, vous pouvez ignorer cette étape.

  5. Définissez une stratégie d'autorisation IAM sur le locataire et le jeton SCIM. Si la commande curl d'une étape précédente a échoué avec une erreur liée aux autorisations, vous devez exécuter la commande suivante : 

        gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID de l'organisation.
    • SERVICE_AGENT_EMAIL : adresse e-mail de l'agent de service. L'adresse e-mail est au format suivant : o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID est renvoyé lorsque vous créez le locataire SCIM.

Lorsque vous provisionnez des groupes dans votre IdP, assurez-vous que le nom à afficher de chaque groupe, tel qu'il est fourni dans le displayName champ, est unique au sein d'un locataire SCIM. Pour en savoir plus sur les groupes et SCIM dans Microsoft Entra ID, consultez Groupes.

Configurez SCIM dans votre IdP OIDC ou SAML

Dans votre IdP, configurez SCIM comme décrit dans la documentation de votre IdP. Utilisez l'URL et le jeton SCIM obtenus à l'étape précédente.

Mettez à jour le fournisseur pour activer SCIM

Pour activer SCIM pour un fournisseur :

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Remplacez les éléments suivants :

  • PROVIDER_ID : ID du fournisseur de pools d'identités de personnel
  • WORKFORCE_POOL_ID : ID du pool de personnel
  • LOCATION : emplacement du pool de personnel

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Remplacez les éléments suivants :

  • PROVIDER_ID : ID du fournisseur de pools d'identités de personnel
  • WORKFORCE_POOL_ID : ID du pool de personnel
  • LOCATION : emplacement du pool de personnel

Pour vérifier la synchronisation SCIM, consultez Vérifier la synchronisation SCIM.

Mapper des attributs de jeton et SCIM

Vous devez mapper les attributs de manière cohérente, à la fois dans le fournisseur de pools d'identités de personnel et dans le locataire SCIM configuré pour le fournisseur. Pour le fournisseur de pools d'identités de personnel, vous utilisez l'indicateur --attribute-mapping, et pour le locataire SCIM, vous utilisez l'indicateur --claim-mapping. L'attribut IdP mappé sur google.subject pour les utilisateurs doit faire référence de manière unique à la même identité, qu'elle soit définie dans un jeton ou un mappage SCIM. Pour en savoir plus sur le mappage des attributs lorsque vous utilisez SCIM, consultez la section Compatibilité avec SCIM. Le tableau suivant montre comment mapper des attributs dans des revendications de jeton et des attributs SCIM :

Attribut Google Mappage du fournisseur de pools d'identités de personnel Mappage du locataire SCIM
google.subject assertion.sub user.externalId
google.group assurez-vous de mettre à jour votre fournisseur avec --scim-usage=enabled-for-groups N/A group.externalId

Vérifier la synchronisation SCIM

Après avoir configuré SCIM, vous pouvez utiliser curl pour vérifier que les utilisateurs et les groupes sont correctement synchronisés avec Google Cloud. Ces commandes nécessitent un jeton SCIM valide et l'ID de votre locataire SCIM.

Vérifier la synchronisation des utilisateurs

Pour vérifier qu'un utilisateur a été correctement synchronisé, recherchez son userName à l'aide du filtre suivant :

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users?filter=userName%20eq%20%22USER_NAME%22"

Exemple de réponse :

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "USER_ID",
      "userName": "USER_NAME",
      ...
    }
  ]
}

Vérifier la synchronisation des groupes

Pour vérifier qu'un groupe a été correctement synchronisé, recherchez son displayName à l'aide du filtre suivant :

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Groups?filter=displayName%20eq%20%22GROUP_NAME%22"

Exemple de réponse :

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "GROUP_ID",
      "displayName": "GROUP_NAME",
      ...
    }
  ]
}

Vérifier l'appartenance à un groupe

Pour vérifier si un utilisateur spécifique est membre d'un groupe, utilisez un filtre qui spécifie à la fois l'ID du groupe et l'ID de l'utilisateur.

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Groups?filter=id%20eq%20%22GROUP_ID%22%20and%20members%20eq%20%22USER_ID%22"

Exemple de réponse si l'utilisateur est membre :

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "GROUP_ID",
      "displayName": "GROUP_NAME",
      ...
    }
  ]
}

Exemple de réponse si l'utilisateur n'est pas membre :

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 0,
  "Resources": []
}

Remarque : Pour obtenir le GROUP_ID et le USER_ID, commencez par rechercher le groupe et l'utilisateur à l'aide des filtres displayName et userName. Les ID sont renvoyés dans le champ id de la réponse. Remplacez SCIM_TOKEN, SCIM_TENANT_UID, USER_NAME, GROUP_NAME, GROUP_ID et USER_ID par vos valeurs réelles.

Supprimer de force un locataire SCIM

Pour supprimer de force un locataire SCIM :

  1. Si --scim-usage=enabled-for-groups est défini pour votre fournisseur, désactivez-le dans la configuration du fournisseur : 
              gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
              --workforce-pool=WORKFORCE_POOL_ID \
              --location=LOCATION \
              --scim-usage=SCIM_USAGE_UNSPECIFIED

    Remplacez les éléments suivants :

    • PROVIDER_ID : ID du fournisseur de pools d'identités de personnel
    • WORKFORCE_POOL_ID : ID du pool de personnel
    • LOCATION : emplacement du pool de personnel

  2. Supprimez le locataire SCIM : 
      gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global

    Remplacez les éléments suivants :

    • SCIM_TENANT_ID : ID du locataire SCIM à supprimer
    • WORKFORCE_POOL_ID : ID du pool de personnel
    • PROVIDER_ID : ID du fournisseur de pools d'identités de personnel
    Pour en savoir plus sur SCIM, y compris sur la suppression de locataires SCIM, consultez Compatibilité avec SCIM.

Étape suivante