Configura SCIM in Okta

Questo documento descrive come configurare un tenant SCIM in un pool di identità della forza lavoro. Per saperne di più su SCIM, consulta Provisioning SCIM per la federazione delle identità per la forza lavoro.

Ogni pool di identità della forza lavoro supporta un solo tenant SCIM. Per configurare un nuovo tenant SCIM in un pool che ne ha già uno, devi prima eliminare definitivamente il tenant esistente.

Il flag --claim-mapping per un tenant SCIM può contenere solo espressioni Common Expression Language (CEL) specifiche. Per scoprire quali espressioni sono supportate, consulta Mappare token e attributi SCIM.

1. Configura un tenant e un token SCIM in Google Cloud
2. Configura SCIM in Okta
3. Aggiorna il provider per abilitare SCIM
4. Verifica la sincronizzazione SCIM

Configura un tenant e un token SCIM in Google Cloud

Per configurare un tenant SCIM in Google Cloud:

1. Crea un tenant SCIM.

       gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
           --workforce-pool="WORKFORCE_POOL_ID" \
           --provider="PROVIDER_ID" \
           --display-name="SCIM_TENANT_DISPLAY_NAME" \
           --description="SCIM_TENANT_DESCRIPTION" \
           --claim-mapping="CLAIM_MAPPING" \
           --location="global"
       

   Sostituisci quanto segue:

   • SCIM_TENANT_ID: un ID per il tenant SCIM.
   • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro che hai creato in precedenza in questo documento.
   • PROVIDER_ID: l'ID del provider di pool di identità della forza lavoro che hai creato in precedenza in questo documento.
   • SCIM_TENANT_DISPLAY_NAME: un nome visualizzato per il tenant SCIM.
   • SCIM_TENANT_DESCRIPTION: una descrizione per il tenant SCIM.
   • CLAIM_MAPPING: un elenco di mapping degli attributi separati da virgole. Per l'elenco esteso degli attributi di mapping, consulta Mappare token e attributi SCIM. Il seguente mapping è consigliato per Gemini Enterprise:

     google.subject=user.emails[0].value.lowerAscii(),google.group=group.displayName

     L'attributo google.subject che mappi nel tenant SCIM deve fare riferimento in modo univoco alle stesse identità mappate nell'attributo google.subject nel provider di pool di identità della forza lavoro utilizzando il flag --attribute-mapping. Dopo aver creato il tenant SCIM, non puoi aggiornare il mapping delle attestazioni. Per sostituirlo, puoi eliminare definitivamente il tenant SCIM e crearne immediatamente uno nuovo. Per saperne di più sulle considerazioni relative all'utilizzo di SCIM, consulta Supporto SCIM.

2. Al termine del comando:

   1. Nel campo baseUri dell'output, salva l'intero URI, formattato come https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Devi fornire questo URI all'IdP.
   2. Inoltre, dall'URI, salva solo SCIM_TENANT_UID. Avrai bisogno di questo UID per impostare un criterio di autorizzazione IAM sul tenant SCIM più avanti in questo documento.

3. Crea un token SCIM:

       gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
           --display-name DISPLAY_NAME \
           --scim-tenant SCIM_TENANT_ID \
           --workforce-pool WORKFORCE_POOL_ID \
           --provider PROVIDER_ID \
           --location global
       

   Sostituisci quanto segue:

   • SCIM_TOKEN_ID: un ID per il token SCIM
   • DISPLAY_NAME: il nome visualizzato del token SCIM
   • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
   • SCIM_TENANT_ID: l'ID del tenant SCIM
   • PROVIDER_ID: l'ID del provider di pool di identità della forza lavoro

4. Al termine del comando gcloud iam workforce-pools providers scim-tenants tokens create:

   1. Nell'output, salva il valore di SCIM_TOKEN nel securityToken campo. Devi fornire questo token di sicurezza all'IdP. Il token di sicurezza viene visualizzato solo in questo output, e se lo perdi, devi creare un nuovo token SCIM.

   2. Per verificare se SCIM_TOKEN è rifiutato dalla policy dell'organizzazione, esegui questo comando:

      curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users

      Se il comando non riesce a causa di un errore relativo alle autorizzazioni, esegui gcloud organizations add-iam-policy-binding, descritto in un passaggio successivo. Se il comando ha esito positivo, puoi saltare questo passaggio.

5. Imposta un criterio di autorizzazione IAM sul tenant e sul token SCIM. Se il curl comando in un passaggio precedente non è riuscito a causa di un errore relativo alle autorizzazioni, devi eseguire questo comando:

       gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
           --member=serviceAccount:SERVICE_AGENT_EMAIL \
           --role roles/iam.scimSyncer
       

   Sostituisci quanto segue:

   • ORGANIZATION_ID: l'ID dell'organizzazione.
   • SERVICE_AGENT_EMAIL: l'indirizzo email del service agent. L'indirizzo email ha il seguente formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID viene restituito quando crei il tenant SCIM.

Quando esegui il provisioning dei gruppi nell'IdP, assicurati che il nome visualizzato di ogni gruppo, come indicato in nel displayName campo, sia univoco all'interno di un tenant SCIM. Per saperne di più sui gruppi e su SCIM in Microsoft Entra ID, consulta Gruppi.

Configura SCIM in Okta

Per configurare SCIM in Okta, nell'applicazione Okta esistente:

1. Accedi alla console di amministrazione Okta.
2. Vai ad Applicazioni > Applicazioni.

3. Seleziona o crea l'applicazione:

   • Se vuoi selezionare un'applicazione esistente:

     1. Fai clic sul nome dell'applicazione che hai creato utilizzando il modello di federazione delle identità per la forza lavoro di Google Cloud.

     2. Nella scheda Generale:

        1. Nel riquadro Impostazioni app, fai clic su Modifica.
        2. Nel campo Tenant, inserisci l'ID tenant ottenuto dalla gcloud CLI.
        3. Fai clic su Fine.

   • Se vuoi creare una nuova applicazione:

     1. Fai clic su Sfoglia catalogo app.
     2. Nel campo Cerca, inserisci Federazione delle identità per la forza lavoro di Google Cloud, quindi seleziona l'integrazione Federazione delle identità per la forza lavoro di Google Cloud dai risultati.

     3. Fai clic su Aggiungi integrazione.

        1. Nel campo Applicazione, inserisci un nome per l'app.
        2. Nel campo Tenant, inserisci l'ID tenant ottenuto dalla gcloud CLI.
        3. Fai clic su Fine.

4. Nella scheda Provisioning:

   1. Nel riquadro Integrazione, fai clic su Modifica.

      1. Nel campo Token API, inserisci il token SCIM che hai ottenuto da Google Cloud.
      2. Per confermare la validità del token API, fai clic su Testa credenziali.
      3. Seleziona Importa gruppi.
      4. Fai clic su Salva.

   2. Nel riquadro A app, fai clic su Modifica.

      1. Seleziona Crea utenti, Aggiorna attributi utente e Disattiva utenti.
      2. Fai clic su Salva.

Aggiorna il provider per abilitare SCIM

Per abilitare SCIM per un provider:

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups
    

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups
    

Per verificare la sincronizzazione SCIM, consulta Verificare la sincronizzazione SCIM.

Mappare token e attributi SCIM

Devi mappare gli attributi in modo coerente, sia nel provider di pool di identità della forza lavoro sia nel tenant SCIM configurato per il provider. Per il provider di pool di identità della forza lavoro, utilizzi il flag --attribute-mapping, mentre per il tenant SCIM utilizzi il flag --claim-mapping. L'attributo IdP mappato a google.subject per gli utenti deve fare riferimento in modo univoco alla stessa identità, sia che sia definita in un token sia in un mapping SCIM. Per saperne di più sulla mappatura degli attributi quando utilizzi SCIM, consulta la sezione Supporto SCIM. La tabella seguente mostra come mappare gli attributi nelle attestazioni dei token e negli attributi SCIM:

Verifica la sincronizzazione SCIM

Dopo aver configurato SCIM, puoi utilizzare curl per verificare che utenti e gruppi vengano sincronizzati correttamente con Google Cloud. Questi comandi richiedono un token SCIM valido e l'ID tenant SCIM.

Verificare la sincronizzazione degli utenti

Per verificare che un utente sia stato sincronizzato correttamente, cerca il userName dell'utente utilizzando il seguente filtro:

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users?filter=userName%20eq%20%22USER_NAME%22"

Esempio di risposta:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "USER_ID",
      "userName": "USER_NAME",
      ...
    }
  ]
}

Verificare la sincronizzazione dei gruppi

Per verificare che un gruppo sia stato sincronizzato correttamente, cerca il displayName del gruppo utilizzando il seguente filtro:

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Groups?filter=displayName%20eq%20%22GROUP_NAME%22"

Esempio di risposta:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "GROUP_ID",
      "displayName": "GROUP_NAME",
      ...
    }
  ]
}

Verificare l'iscrizione al gruppo

Per verificare se un utente specifico è membro di un gruppo, utilizza un filtro che specifichi sia l'ID gruppo sia l'ID utente.

curl -H "Authorization: Bearer SCIM_TOKEN" \
  "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Groups?filter=id%20eq%20%22GROUP_ID%22%20and%20members%20eq%20%22USER_ID%22"

Esempio di risposta se l'utente è membro:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 1,
  "Resources": [
    {
      "id": "GROUP_ID",
      "displayName": "GROUP_NAME",
      ...
    }
  ]
}

Esempio di risposta se l'utente non è membro:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
  "totalResults": 0,
  "Resources": []
}

Nota: per ottenere GROUP_ID e USER_ID, devi prima trovare il gruppo e l'utente utilizzando i filtri displayName e userName. Gli ID vengono restituiti nel campo id della risposta. Sostituisci SCIM_TOKEN, SCIM_TENANT_UID, USER_NAME, GROUP_NAME, GROUP_ID e USER_ID con i valori effettivi.

Eliminare forzatamente un tenant SCIM

Per eliminare forzatamente un tenant SCIM:

1. Se --scim-usage=enabled-for-groups è impostato per il provider, disattivalo dalla configurazione del provider:

             gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
                 --workforce-pool=WORKFORCE_POOL_ID \
                 --location=LOCATION \
                 --scim-usage=SCIM_USAGE_UNSPECIFIED
           

   Sostituisci quanto segue:

   • PROVIDER_ID: l'ID del provider di pool di identità della forza lavoro
   • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
   • LOCATION: la località del pool di forza lavoro

2. Elimina il tenant SCIM:

     gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
         --workforce-pool=WORKFORCE_POOL_ID \
         --provider=PROVIDER_ID \
         --hard-delete \
         --location=global
   

   Sostituisci quanto segue:

   • SCIM_TENANT_ID: l'ID del tenant SCIM da eliminare
   • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
   • PROVIDER_ID: l'ID del provider di pool di identità della forza lavoro
   Per saperne di più su SCIM, inclusa l'eliminazione dei tenant SCIM, consulta Supporto SCIM.

Passaggi successivi

• Eliminare gli utenti della federazione delle identità per la forza lavoro e i relativi dati
• Scopri quali Google Cloud prodotti supportano la federazione delle identità per la forza lavoro
• Configurare l'accesso utente alla console (federata)