Questa pagina è stata tradotta dall'API Cloud Translation.

Configura la federazione delle identità per la forza lavoro

Questa guida descrive come configurare la federazione delle identità per la forza lavoro con un provider di identità (IdP) che supporta OIDC o SAML 2.0.

Per istruzioni specifiche per il provider di identità, consulta quanto segue:

Configurare la federazione delle identità per la forza lavoro basata su Microsoft Entra ID
Configurare la federazione delle identità per la forza lavoro basata su Okta

Prima di iniziare

Assicurati di aver configurato un'organizzazione Google Cloud .
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
```
gcloud init
```
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Nota: se hai installato gcloud CLI in precedenza, assicurati di avere l'ultima versione eseguendo gcloud components update.
Enable the Identity and Access Management (IAM) and Resource Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the APIs
Per l'accesso, l'IdP deve fornire informazioni di autenticazione firmate: gli IdP OIDC devono fornire un JWT e le risposte degli IdP SAML devono essere firmate.
Per ricevere informazioni importanti sulle modifiche apportate alla tua organizzazione o ai prodottiGoogle Cloud , devi fornire i contatti essenziali. Per ulteriori informazioni, consulta la panoramica della federazione delle identità per la forza lavoro.

Costi

La federazione delle identità per la forza lavoro è disponibile come funzionalità senza costi. Tuttavia, l'audit logging dettagliato della federazione delle identità della forza lavoro utilizza Cloud Logging. Per informazioni sui prezzi di Logging, consulta Prezzi di Google Cloud Observability.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare la federazione delle identità della forza lavoro, chiedi all'amministratore di concederti il ruolo IAM Amministratore pool di identità della forza lavoro (roles/iam.workforcePoolAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

In alternativa, il ruolo di base Proprietario (roles/owner) include anche le autorizzazioni per configurare la federazione delle identità per la forza lavoro. Non devi concedere ruoli di base in un ambiente di produzione, ma puoi concederli in un ambiente di sviluppo o di test.

Configura la federazione delle identità per la forza lavoro

Per configurare la federazione delle identità per la forza lavoro, crea un pool di identità per la forza lavoro e un provider del pool di identità per la forza lavoro.

Crea un pool di identità per la forza lavoro

Per creare il pool, esegui questo comando:

gcloud

Per creare il pool di identità per la forza lavoro, esegui questo comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Sostituisci quanto segue:

WORKFORCE_POOL_ID: un ID che scegli per rappresentare il tuo pool di forza lavoro Google Cloud . Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
ORGANIZATION_ID: l'ID numerico dell'organizzazione della tua organizzazione Google Cloud per il pool di identità della forza lavoro. I pool di identità della forza lavoro sono disponibili in tutti i progetti e nelle cartelle dell'organizzazione.
DISPLAY_NAME: (Facoltativo) Un nome visualizzato per il tuo pool di identità della forza lavoro.
DESCRIPTION: (Facoltativo) Una descrizione del pool di identità della forza lavoro.
SESSION_DURATION: (Facoltativo) La durata della sessione, espressa come numero a cui è aggiunto s, ad esempio 3600s. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e le sessioni di accesso a gcloud CLI di questo pool di forza lavoro. Per impostazione predefinita, la durata della sessione è di un'ora (3600 secondi). Il valore della durata della sessione deve essere compreso tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Console

Per creare il pool di identità per la forza lavoro:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Seleziona l'organizzazione per il tuo pool di identità della forza lavoro. I pool di identità del personale sono disponibili in tutti i progetti e le cartelle di un'organizzazione.
Fai clic su Crea pool e segui questi passaggi:
1. Nel campo Nome, inserisci il nome visualizzato del pool. L'ID pool viene derivato automaticamente dal nome durante la digitazione e viene visualizzato sotto il campo Nome. Puoi aggiornare l'ID pool facendo clic su Modifica accanto all'ID pool.
2. (Facoltativo) In Descrizione, inserisci una descrizione del pool.
3. Per creare il pool di identità per la forza lavoro, fai clic su Avanti.

La durata della sessione del pool di identità della forza lavoro è impostata su un'ora (3600 secondi) per impostazione predefinita. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e a gcloud CLI da questo pool di forza lavoro. Dopo aver creato il pool, puoi aggiornarlo per impostare una durata della sessione personalizzata. La durata della sessione deve essere compresa tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Crea un provider di pool di identità per la forza lavoro

Questa sezione descrive come creare un provider del pool di identità per la forza lavoro per consentire agli utenti IdP di accedere a Google Cloud. Puoi configurare il provider in modo che utilizzi il protocollo OIDC o SAML.

Crea un provider di pool di forza lavoro OIDC

Per creare un provider del pool di identità per la forza lavoro utilizzando il protocollo OIDC:

Nel tuo IdP OIDC, registra una nuova applicazione per Google Cloud la federazione delle identità per la forza lavoro. Prendi nota dell'ID client e dell'URI emittente forniti dall'IdP. Li utilizzi in questo documento.
Se prevedi di configurare l'accesso degli utenti alla console, aggiungi il seguente URL di reindirizzamento al tuo IdP OIDC:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
Sostituisci quanto segue:
- WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
- WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità forza lavoro che crei più avanti in questo documento.
Per scoprire come configurare l'accesso alla console (federato), consulta Configurare l'accesso degli utenti alla console (federato).
In Google Cloud, per creare il provider:
gcloud
Flusso codice
Per creare un provider OIDC che utilizzi il flusso del codice di autorizzazione per l'accesso web, esegui questo comando:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --display-name="DISPLAY_NAME" \ --description="DESCRIPTION" \ --issuer-uri="ISSUER_URI" \ --client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \ --web-sso-response-type="code" \ --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --detailed-audit-logging \ --location=global

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: un ID provider del pool di identità forza lavoro univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.

WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui connettere il tuo IdP.

DISPLAY_NAME: Un nome visualizzato facoltativo e intuitivo per il fornitore, ad esempio idp-eu-employees.

DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempio IdP for Partner Example Organization employees.

ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia con https; ad esempio, https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.

OIDC_CLIENT_ID: l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.

OIDC_CLIENT_SECRET: il client secret OIDC.

WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato sul browser alla console (federata) o a gcloud CLI.

ATTRIBUTE_MAPPING: una mappatura degli attributi. Di seguito è riportato un esempio di mapping degli attributi:
google.subject=assertion.sub, google.groups=assertion.groups, attribute.costcenter=assertion.costcenter
Questo esempio mappa gli attributi IdP subject, groups e costcenter nell'asserzione OIDC agli attributi google.subject, google.groups e attribute.costcenter, rispettivamente.

ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio, assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.

JWK_JSON_PATH: un percorso facoltativo per un JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sulle chiavi JWK OIDC caricate localmente, consulta Gestisci le chiavi JWK OIDC.
Nota:i JWK OIDC locali possono essere caricati tramite flusso implicito o flusso di codice, ma possono essere utilizzati solo nel flusso programmatico, in cui chiami direttamente l'endpoint STS /token con una credenziale dell'IdP di terze parti da scambiare con un Google Cloud token di accesso per il tuo pool di forza lavoro. Non puoi utilizzare JWK OIDC locali quando accedi alla console (federata).

La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio, locations/global/workforcePools/enterprise-example-organization-employees.
Flusso implicito
Per creare un provider OIDC che utilizzi il flusso implicito per l'accesso web, esegui questo comando:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --display-name="DISPLAY_NAME" \ --description="DESCRIPTION" \ --issuer-uri="ISSUER_URI" \ --client-id="OIDC_CLIENT_ID" \ --web-sso-response-type="id-token" \ --web-sso-assertion-claims-behavior="only-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --detailed-audit-logging \ --location=global

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: un ID provider del pool di identità forza lavoro univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.

WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui connettere il tuo IdP.

DISPLAY_NAME: Un nome visualizzato facoltativo e intuitivo per il fornitore, ad esempio idp-eu-employees.

DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempio IdP for Partner Example Organization employees.

ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia con https; ad esempio, https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.

OIDC_CLIENT_ID: l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.

WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato sul browser alla console (federata) o a gcloud CLI.

ATTRIBUTE_MAPPING: una mappatura degli attributi. Di seguito è riportato un esempio di mapping degli attributi:
google.subject=assertion.sub, google.groups=assertion.groups, attribute.costcenter=assertion.costcenter
Questo esempio mappa gli attributi IdP subject, groups e costcenter nell'asserzione OIDC agli attributi google.subject, google.groups e attribute.costcenter, rispettivamente.

ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio, assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.

JWK_JSON_PATH: un percorso facoltativo per un JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sulle chiavi JWK OIDC caricate localmente, consulta Gestisci le chiavi JWK OIDC.
Nota:i JWK OIDC locali possono essere caricati tramite flusso implicito o flusso di codice, ma possono essere utilizzati solo nel flusso programmatico, in cui chiami direttamente l'endpoint STS /token con una credenziale dell'IdP di terze parti da scambiare con un Google Cloud token di accesso per il tuo pool di forza lavoro. Non puoi utilizzare JWK OIDC locali quando accedi alla console (federata).

La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio, locations/global/workforcePools/enterprise-example-organization-employees.
Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.

Per il federazione OIDC, puoi utilizzare assertion.NAME: una stringa uguale al valore dell'attestazione con lo stesso nome nel payload del token ID.
Console
Flusso codice
Nella console Google Cloud , per creare un provider OIDC che utilizza il flusso del codice di autorizzazione, segui questi passaggi:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro

Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.

Nella sezione Provider, fai clic su Aggiungi provider.

Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

Se il tuo IdP non è elencato, seleziona Provider di identità generico.

In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).

Nella sezione Crea un fornitore, segui questi passaggi:

In Nome, inserisci il nome del provider.

In Descrizione, inserisci la descrizione del fornitore.

In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.

In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.

Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attivata.

Fai clic su Continua.

Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nel tuo IdP, configura questo URL come URI di reindirizzamento, che comunica all'IdP dove inviare il token di asserzione dopo l'accesso.

Fai clic su Continua.

Nella sezione Configura l'accesso web OIDC, segui questi passaggi:

Nell'elenco Tipo di flusso, seleziona Codice.

Nell'elenco Comportamento delle rivendicazioni di asserzione, seleziona una delle seguenti opzioni:

Informazioni utente e token ID

Solo token ID

Nel campo Client secret, inserisci il client secret del tuo IdP.

(Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.

Fai clic su Continua.

In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi, svolgi i seguenti passaggi. Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.

Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.

(Facoltativo) Per aggiungere altre mappature degli attributi:

Fai clic su Aggiungi mappatura.

In Google n, dove n è un numero, inserisci uno dei tasti supportati daGoogle Cloud.

Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare, in formato CEL.

Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.

Seleziona Usa attributi aggiuntivi.

Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.

Nel campo ID client attributi aggiuntivi, inserisci l'ID client.

Nel campo Client secret attributi aggiuntivi, inserisci il client secret.

Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.

Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.

Per creare una condizione dell'attributo:

Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.

Fai clic su Aggiungi condizione.

Nel campo Attribute Conditions (Condizioni attributo), inserisci una condizione in formato CEL; ad esempio, assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.

Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Per creare il fornitore, fai clic su Invia.
Flusso implicito
Nella console Google Cloud , per creare un provider OIDC che utilizza il flusso implicito, segui questi passaggi:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro

Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.

Nella sezione Provider, fai clic su Aggiungi provider.

Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

Se il tuo IdP non è elencato, seleziona Provider di identità generico.

In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).

Nella sezione Crea un fornitore, segui questi passaggi:

In Nome, inserisci il nome del provider.

In Descrizione, inserisci la descrizione del fornitore.

In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.

In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.

Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attiva.

Fai clic su Continua.

Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nel tuo IdP, configura questo URL come URI di reindirizzamento, che comunica all'IdP dove inviare il token di asserzione dopo l'accesso.

Fai clic su Continua.

Nella sezione Configura l'accesso web OIDC, segui questi passaggi:

Nell'elenco Tipo di flusso, seleziona Token ID.

Nell'elenco Comportamento delle rivendicazioni di asserzione, è selezionato Token ID.

(Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.

Fai clic su Continua.

In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi, svolgi i seguenti passaggi. Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.

Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.

(Facoltativo) Per aggiungere altre mappature degli attributi:

Fai clic su Aggiungi mappatura.

In Google n, dove n è un numero, inserisci uno dei tasti supportati daGoogle Cloud.

Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare, in formato CEL.

Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.

Seleziona Usa attributi aggiuntivi.

Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.

Nel campo ID client attributi aggiuntivi, inserisci l'ID client.

Nel campo Client secret attributi aggiuntivi, inserisci il client secret.

Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.

Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.

Per creare una condizione dell'attributo:

Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.

Fai clic su Aggiungi condizione.

Nel campo Attribute Conditions (Condizioni attributo), inserisci una condizione in formato CEL; ad esempio, assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.

Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Per creare il fornitore, fai clic su Invia.

Crea un provider di pool di forza lavoro SAML

Nel tuo IdP SAML, registra una nuova applicazione per la federazione delle identità per la forza lavoro Google Cloud.
Imposta il pubblico per le asserzioni SAML. Di solito è il campo SP Entity ID nella configurazione dell'IdP. Devi impostarlo sul seguente URL:
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
Imposta l'URL di reindirizzamento, noto anche come URL Assertion Consumer Service (ACS). Per impostare l'URL di reindirizzamento, individua il campo dell'URL di reindirizzamento nel tuo IdP SAML ed esegui una delle seguenti operazioni:
- Per configurare l'accesso basato sul browser tramite la console Google Cloud o un altro metodo di accesso basato sul browser, inserisci il seguente URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Sostituisci quanto segue:
  - WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
  - WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità forza lavoro che crei più avanti in questo documento.
- Per configurare l'accesso programmatico tramite l'IdP, inserisci il seguente URL:
```
localhost
```
Per ulteriori dettagli sulla configurazione dell'accesso alla console, consulta Configurare l'accesso utente alla console.
In Google Cloud, crea un provider di pool di identità della forza lavoro SAML utilizzando il documento dei metadati SAML del tuo IdP. Puoi scaricare il documento XML dei metadati SAML dal tuo IdP. Il documento deve includere almeno quanto segue:
- Un ID entità SAML per il tuo IdP.
- L'URL Single Sign-On per l'IdP.
- Almeno una chiave pubblica di firma. Per informazioni dettagliate sulle chiavi di firma, consulta la sezione Requisiti delle chiavi più avanti in questa guida.

gcloud

Per configurare il provider SAML utilizzando gcloud CLI, procedi nel seguente modo:

  gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --display-name="DISPLAY_NAME" \
      --description="DESCRIPTION" \
      --idp-metadata-path=METADATA_FILE_PATH \
      --attribute-mapping="ATTRIBUTE_MAPPING" \
      --attribute-condition="ATTRIBUTE_CONDITION" \
      --location=global

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità forza lavoro.
WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro.
DISPLAY_NAME Il nome visualizzato del fornitore; ad esempio, idp-eu-employees.
DESCRIPTION: la descrizione del provider del pool di identità per la forza lavoro; ad esempio, IdP for Partner Example Organization EU employees.
METADATA_FILE_PATH: il percorso del file di metadati SAML.
ATTRIBUTE_MAPPING: la mappatura degli attributi; ad esempio:
```
google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
```
Questo esempio mappa gli attributi IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] agli attributi Google Cloud google.subject, google.groups e google.costcenter, rispettivamente.
ATTRIBUTE_CONDITION: una condizione dell'attributo. Ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con 98.11.12. possano accedere utilizzando questo provider di forza lavoro.

Potrebbero essere necessari alcuni minuti prima che il fornitore inizi ad accettare le richieste.

Per la federazione SAML, puoi utilizzare le seguenti parole chiave nelle mappature degli attributi e nelle condizioni:

assertion.subject: una stringa uguale all'attributo NameID nell'asserzione SAML.
assertion.attributes.NAME: un elenco di stringhe uguale ai valori degli attributi con lo stesso nome nell'asserzione SAML.

(Facoltativo) Accetta le asserzioni SAML criptate dal tuo IdP

Per consentire al tuo IdP SAML 2.0 di produrre asserzioni SAML criptate che possono essere accettate dalla federazione delle identità per la forza lavoro, procedi nel seguente modo:

Nella federazione delle identità per la forza lavoro, procedi nel seguente modo:

Crea una coppia di chiavi asimmetriche per il provider di pool di identità per la forza lavoro.
Scarica un file di certificato contenente la chiave pubblica.
Configura l'IdP SAML in modo che utilizzi la chiave pubblica per criptare le asserzioni SAML che emette.

Nel tuo IdP:

Attiva la crittografia delle asserzioni, nota anche come crittografia dei token.
Carica la chiave pubblica che hai creato nella federazione delle identità per la forza lavoro.
Conferma che il tuo IdP produce asserzioni SAML criptate.

Tieni presente che, anche con le chiavi del fornitore di crittografia SAML configurate, la federazione delle identità per la forza lavoro può comunque elaborare un'asserzione in testo non crittografato.

Crea chiavi di crittografia dell'asserzione SAML della federazione delle identità per la forza lavoro

Questa sezione ti guida nella creazione di una coppia di chiavi asimmetriche che consente alla federazione delle identità per la forza lavoro di accettare asserzioni SAML criptate.

Google Cloud utilizza la chiave privata per decriptare le asserzioni SAML emesse dal tuo IdP. Per creare una coppia di chiavi asimmetriche da utilizzare con la crittografia SAML, esegui il seguente comando. Per saperne di più, consulta Algoritmi di crittografia SAML supportati.

gcloud iam workforce-pools providers keys create KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --use encryption \
    --spec KEY_SPECIFICATION

Sostituisci quanto segue:

KEY_ID: un nome della chiave a tua scelta
WORKFORCE_POOL_ID: l'ID pool
WORKFORCE_PROVIDER_ID: l'ID provider del pool di identità della forza lavoro
KEY_SPECIFICATION: la specifica della chiave, che può essere rsa-2048, rsa-3072 e rsa-4096.

Dopo aver creato la coppia di chiavi, esegui il seguente comando per scaricare la chiave pubblica in un file di certificato. Solo la federazione delle identità per la forza lavoro ha accesso alla chiave privata.

gcloud iam workforce-pools providers keys describe KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --format "value(keyData.key)" \
    > CERTIFICATE_PATH

Sostituisci quanto segue:

KEY_ID: il nome della chiave
WORKFORCE_POOL_ID: l'ID pool
WORKFORCE_PROVIDER_ID: l'ID provider del pool di identità della forza lavoro
CERTIFICATE_PATH: il percorso in cui scrivere il certificato, ad esempio saml-certificate.cer o saml-certificate.pem

Configurare l'IdP conforme a SAML 2.0 per l'emissione di asserzioni SAML criptate

Configura il tuo IdP SAML in modo che utilizzi il certificato pubblico scaricato dall'ultimo passaggio per criptare le asserzioni SAML che emette. Per istruzioni specifiche, rivolgiti al team del tuo IdP.

Dopo aver configurato l'IdP per criptare le asserzioni SAML, ti consigliamo di verificare che le asserzioni generate siano effettivamente criptate. Anche con la crittografia delle asserzioni SAML configurata, la federazione delle identità per la forza lavoro può comunque elaborare le asserzioni in testo normale.

Elimina le chiavi di crittografia della federazione delle identità per la forza lavoro

Per eliminare le chiavi di crittografia SAML, esegui questo comando:

  gcloud iam workforce-pools providers keys delete KEY_ID \
      --workforce-pool WORKFORCE_POOL_ID \
      --provider WORKFORCE_PROVIDER_ID \
      --location global

Sostituisci quanto segue:

KEY_ID: il nome della chiave
WORKFORCE_POOL_ID: l'ID pool
WORKFORCE_PROVIDER_ID: l'ID provider del pool di identità della forza lavoro

Algoritmi di crittografia SAML supportati

La federazione delle identità per la forza lavoro supporta i seguenti algoritmi di trasporto delle chiavi:

La federazione delle identità per la forza lavoro supporta i seguenti algoritmi di crittografia a blocchi:

Requisiti della chiave di firma X.509 SAML

Le seguenti specifiche delle chiavi si applicano alle chiavi di firma X.509 SAML:

Una chiave pubblica RSA inserita in un certificato X.509 v3.
Requisiti di validità del certificato:
- notBefore: un timestamp non più di 7 giorni nel futuro
- notAfter: un timestamp non più lontano di 25 anni nel futuro
Algoritmi consigliati:
- RSAwithSHA256 (dimensioni della chiave supportate (bit): 2048, 3072, 4096)
- ECDSAwithSHA256

Un provider di pool di identità per la forza lavoro può essere configurato con al massimo tre chiavi di firma in un determinato momento. Quando esistono più chiavi, Google Cloud le scorre e tenta di utilizzare ogni chiave non scaduta per soddisfare una richiesta di scambio di token.

Come best practice per la sicurezza, ti consigliamo vivamente di non riutilizzare la stessa coppia di chiavi con altri servizi.

Gestione delle chiavi

Per aggiornare le chiavi di firma del tuo IdP:

Crea una nuova coppia di chiavi asimmetriche e configura il provider di identità SAML con la coppia di chiavi. Inizialmente lo contrassegni come inattivo prima di attivarlo in un passaggio successivo.
Scarica un documento XML dei metadati SAML dal tuo IdP.
Aggiorna la risorsa del provider di pool di identità del workforce utilizzando il documento dei metadati SAML. Quando esistono più chiavi, Google Cloud itera su ogni chiave non scaduta e tenta di utilizzarne una per soddisfare una richiesta di scambio di token.

Per aggiornare il provider del pool di identità della forza lavoro con i metadati SAML, esegui questo comando.
```
gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --idp-metadata-path=SAML_METADATA_FILE_PATH \
    --location=global
```
Sostituisci quanto segue:
- WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità forza lavoro
- WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
- SAML_METADATA_FILE_PATH: il percorso del file di metadati SAML
Attendi il completamento dell'operazione restituita dal passaggio precedente (l'operazione è contrassegnata come completata), quindi nel tuo IdP SAML attiva la nuova chiave di firma. La vecchia chiave di firma è contrassegnata come inattiva. Le asserzioni emesse dal tuo IdP vengono firmate utilizzando la nuova chiave.

I seguenti passaggi sono facoltativi, ma ti consigliamo di eseguirli come best practice:

Elimina la vecchia chiave di firma, ora inattiva, dal tuo IdP.
Scarica dal tuo IdP il documento XML dei metadati SAML.
Aggiorna la risorsa del provider del pool di identità della forza lavoro utilizzando il documento dei metadati SAML. Google Cloud rifiuta le asserzioni firmate con la chiave di firma scaduta. Per aggiornare il documento, esegui il comando seguente:
```
gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --idp-metadata-path=SAML_METADATA_FILE_PATH \
    --location=global
```
Sostituisci quanto segue:
- WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità forza lavoro
- WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
- SAML_METADATA_FILE_PATH: il percorso dei metadati SAML

Vincolo di eliminazione della chiave

Google Cloud rifiuta le asserzioni firmate con una chiave eliminata.

Console

Per configurare il provider SAML utilizzando la console Google Cloud , procedi nel seguente modo:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella sezione Fornitori, fai clic su Aggiungi fornitore.
Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

Se il tuo IdP non è elencato, seleziona Provider di identità generico.
In Seleziona un protocollo di autenticazione, seleziona SAML.
Nella sezione Crea un fornitore, segui questi passaggi:
1. In Nome, inserisci un nome per il provider.
2. (Facoltativo) In Descrizione, inserisci una descrizione del fornitore.
3. In IDP metadata file (XML) (File di metadati IDP (XML)), seleziona il file XML di metadati che hai generato in precedenza in questa guida.
4. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attiva.
5. Fai clic su Continua.
Nella sezione Condividi le informazioni del provider, copia gli URL. Nel tuo IdP, configura il primo URL come ID entità, che identifica la tua applicazione per l'IdP. Configura l'altro URL come URI di reindirizzamento, che indica all'IdP dove inviare il token di asserzione dopo l'accesso.
Fai clic su Continua.
Nella sezione Configura provider, segui questi passaggi:
1. In Mappatura degli attributi, inserisci un'espressione CEL per google.subject.
2. (Facoltativo) Per inserire altre mappature, fai clic su Aggiungi mappatura e inserisci altre mappature, ad esempio:
```
google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
```
  Questo esempio mappa gli attributi IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] agli attributi Google Cloud google.subject, google.groups e google.costcenter, rispettivamente.
3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi nel seguente modo:
  1. Seleziona Usa attributi aggiuntivi.
  2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
  3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
  4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
  5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
  6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.
4. (Facoltativo) Per aggiungere una condizione dell'attributo, fai clic su Aggiungi condizione e inserisci un'espressione CEL che rappresenta una condizione dell'attributo. Ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con 98.11.12. possano accedere utilizzando questo provider di forza lavoro.
  
  Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
5. Fai clic su Continua.
6. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
  La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.
  
  Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.
Per creare il fornitore, fai clic su Invia.

Identificatori delle entità di forza lavoro per i criteri IAM

La seguente tabella mostra gli identificatori principali che puoi utilizzare per concedere ruoli a singoli utenti e gruppi di utenti.

Identità	Formato dell'identificatore
Singola identità in un pool di identità della forza lavoro	`principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE`
Tutte le identità della forza lavoro in un gruppo	`principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID`
Tutte le identità della forza lavoro con un valore di attributo specifico	`principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE`
Tutte le identità in un pool di identità della forza lavoro	`principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*`

Per un elenco completo degli identificatori delle entità, consulta Identificatori delle entità.

Concedi ruoli IAM alle entità

Puoi concedere ruoli a entità, ad esempio singole identità, gruppi di identità o un intero pool.

Per concedere un ruolo su un progetto a un principal, esegui questo comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="ROLE" \
    --member="PRINCIPAL"

Sostituisci quanto segue:

PROJECT_ID: l'ID progetto
ROLE: il ruolo da concedere
PRINCIPAL: l'entità. Per la federazione delle identità per la forza lavoro, consulta Identificatori di entità.

Nell'esempio seguente, il comando concede il ruolo Amministratore spazio di archiviazione (roles/storage.admin) a tutte le identità all'interno del gruppo GROUP_ID:

gcloud projects add-iam-policy-binding my-project \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Per ulteriori informazioni sul formato dell'entità, consulta Identificatori delle entità per la federazione delle identità per la forza lavoro.

Eliminare utenti

La federazione delle identità della forza lavoro crea metadati e risorse utente per le identità utente federate. Se scegli di eliminare gli utenti nel tuo IdP, devi eliminare esplicitamente anche queste risorse in Google Cloud. Per farlo, consulta Eliminare gli utenti della federazione delle identità per la forza lavoro e i relativi dati.

Potresti notare che le risorse continuano a essere associate a un utente eliminato. Questo perché l'eliminazione dei metadati e delle risorse utente richiede un'operazione di lunga durata. Dopo aver avviato l'eliminazione dell'identità di un utente, i processi che l'utente ha avviato prima dell'eliminazione possono continuare a essere eseguiti fino al completamento o all'annullamento.

Configurare SCIM

Questa sezione descrive come configurare un tenant SCIM in un pool di identità della forza lavoro.

Ogni pool di identità della forza lavoro supporta un solo tenant SCIM. Per configurare un nuovo tenant SCIM in un pool che ne ha già uno, devi prima eliminare definitivamente il tenant esistente.

Il flag --claim-mapping per un tenant SCIM può contenere solo espressioni CEL (Common Expression Language) specifiche. Per scoprire quali espressioni sono supportate, consulta Mappare token e attributi SCIM.

Importante:assicurati che l'IdP fornisca valori univoci per gli attributi che mappi a google.subject e google.group utilizzando SCIM. Per saperne di più, consulta Supporto SCIM.

Per configurare System for Cross-domain Identity Management (SCIM), devi procedere nel seguente modo:

Configurare un tenant e un token SCIM in Google Cloud
Configurare SCIM nel tuo IdP

Configurare un tenant e un token SCIM in Google Cloud

Per configurare un tenant SCIM in Google Cloud:

Crea un tenant SCIM.
```
    gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"
    
```
Sostituisci quanto segue:
- SCIM_TENANT_ID: un ID per il tuo tenant SCIM.
- WORKFORCE_POOL_ID: l'ID del pool di forza lavoro che hai creato in precedenza in questo documento.
- PROVIDER_ID: l'ID del fornitore del pool di identità per la forza lavoro che hai creato in precedenza in questo documento.
- SCIM_TENANT_DISPLAY_NAME: un nome visualizzato per il tenant SCIM.
- SCIM_TENANT_DESCRIPTION: una descrizione per il tenant SCIM.
- CLAIM_MAPPING: un elenco separato da virgole di mappature degli attributi. Ti consigliamo di utilizzare il seguente mapping degli attributi:
```
google.subject=user.externalId,google.group=group.externalId
```
  L'attributo google.subject che mappi nel tenant SCIM deve fare riferimento in modo univoco alle stesse identità mappate nell'attributo google.subject nel provider del pool di identità della forza lavoro utilizzando il flag --attribute-mapping. Una volta creato il tenant SCIM, non puoi aggiornare il mapping delle rivendicazioni. Per sostituirlo, puoi eliminare definitivamente il tenant SCIM e crearne immediatamente uno nuovo. Per scoprire di più sulle considerazioni per l'utilizzo di SCIM, consulta Supporto SCIM.
Al termine del comando, esegui le seguenti operazioni:
1. Nel campo baseUri dell'output, salva l'intero URI, formattato come https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Devi fornire questo URI al tuo IdP.
2. Inoltre, dall'URI salva solo SCIM_TENANT_UID. Ti servirà questo UID per impostare i criteri IAM sul tenant SCIM, più avanti in questo documento.

Crea un token SCIM:

    gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

Sostituisci quanto segue:

SCIM_TOKEN_ID: un ID per il token SCIM
DISPLAY_NAME: il nome visualizzato del token SCIM
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
SCIM_TENANT_ID: l'ID del tenant SCIM
PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro

Al termine del comando gcloud iam workforce-pools providers scim-tenants tokens create, procedi nel seguente modo:
1. Nell'output, salva il valore di SCIM_TOKEN nel campo securityToken. Devi fornire questo token di sicurezza al tuo IdP. Il token di sicurezza viene visualizzato solo in questo output e, se lo perdi, devi crearne uno nuovo.
2. Per verificare se SCIM_TOKEN viene rifiutato dalla policy dell'organizzazione, esegui questo comando:
```
curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
```
  Se il comando non va a buon fine e viene visualizzato un errore relativo alle autorizzazioni, esegui gcloud organizations add-iam-policy-binding, descritto in un passaggio successivo. Se il comando ha esito positivo, puoi saltare questo passaggio.
Imposta i criteri IAM sul tenant e sul token SCIM. Se il comando curl in un passaggio precedente non è andato a buon fine a causa di un errore relativo alle autorizzazioni, devi eseguire il seguente comando:
```
    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer
    
```
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID dell'organizzazione.
- SERVICE_AGENT_EMAIL: l'indirizzo email dell'agente del servizio. L'indirizzo email ha il seguente formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID viene restituito quando crei il tenant SCIM.

Quando esegui il provisioning dei gruppi nel tuo IdP, assicurati che il nome visualizzato di ogni gruppo, come fornito nel campo displayName, sia univoco all'interno di un tenant SCIM. Per saperne di più sui gruppi e SCIM in Microsoft Entra ID, consulta Gruppi.

Configura SCIM nel tuo IdP OIDC o SAML

Nel tuo IdP, configura SCIM come descritto nella documentazione dell'IdP. Utilizza l'URL SCIM e il token SCIM ottenuti nel passaggio precedente.

Aggiorna il provider per attivare SCIM

Per abilitare SCIM per un provider:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Sostituisci quanto segue:

PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
LOCATION: la posizione del pool di forza lavoro

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Sostituisci quanto segue:

PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
LOCATION: la posizione del pool di forza lavoro

Mappare token e attributi SCIM

Devi mappare gli attributi in modo coerente sia nel provider del pool di identità del personale sia nel tenant SCIM configurato per il provider. Per il provider del pool di identità per la forza lavoro, utilizzi il flag --attribute-mapping, mentre per il tenant SCIM, utilizzi il flag --claim-mapping. L'attributo IdP mappato a google.subject per gli utenti deve fare riferimento in modo univoco alla stessa identità, indipendentemente dal fatto che sia definita in un token o in una mappatura SCIM. Per saperne di più sulla mappatura degli attributi quando utilizzi SCIM, consulta la sezione Supporto di SCIM. La tabella seguente mostra come mappare gli attributi nelle rivendicazioni dei token e negli attributi SCIM:

Attributo Google	Mapping del provider di pool di identità della forza lavoro	Mappatura tenant SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.group` assicurati di aggiornare il tuo fornitore con `--scim-usage=enabled-for-groups`	`N/A`	`group.externalId`

Forzare l'eliminazione di un tenant SCIM

Per forzare l'eliminazione di un tenant SCIM:

Se --scim-usage=enabled-for-groups è impostato per il tuo provider, disattivalo dalla configurazione del provider:
```
          gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED
        
```
Sostituisci quanto segue:
- PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
- WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
Elimina il tenant SCIM:
```
  gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global
```
Sostituisci quanto segue:
- SCIM_TENANT_ID: l'ID del tenant SCIM da eliminare
- WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
- PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
Per saperne di più su SCIM, inclusa l'eliminazione dei tenant SCIM, consulta Supporto di SCIM.

Configura la federazione delle identità per la forza lavoro Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Costi

Ruoli obbligatori

Configura la federazione delle identità per la forza lavoro

Crea un pool di identità per la forza lavoro

gcloud

Console

Crea un provider di pool di identità per la forza lavoro

Crea un provider di pool di forza lavoro OIDC

gcloud

Flusso codice

Flusso implicito

Console

Flusso codice

Flusso implicito

Crea un provider di pool di forza lavoro SAML

gcloud

(Facoltativo) Accetta le asserzioni SAML criptate dal tuo IdP

Crea chiavi di crittografia dell'asserzione SAML della federazione delle identità per la forza lavoro

Configurare l'IdP conforme a SAML 2.0 per l'emissione di asserzioni SAML criptate

Elimina le chiavi di crittografia della federazione delle identità per la forza lavoro

Algoritmi di crittografia SAML supportati

Requisiti della chiave di firma X.509 SAML

Gestione delle chiavi

Vincolo di eliminazione della chiave

Console

Identificatori delle entità di forza lavoro per i criteri IAM

Concedi ruoli IAM alle entità

Eliminare utenti

Configurare SCIM

Configurare un tenant e un token SCIM in Google Cloud

Configura SCIM nel tuo IdP OIDC o SAML

Aggiorna il provider per attivare SCIM

OIDC

SAML

Mappare token e attributi SCIM

Forzare l'eliminazione di un tenant SCIM

Passaggi successivi

Configura la federazione delle identità per la forza lavoro