Configure a federação de identidade da força de trabalho

Este guia descreve como configurar a federação de identidades da força de trabalho com um fornecedor de identidade (IdP) que suporte OIDC ou SAML 2.0.

Para instruções específicas do IdP, consulte o seguinte:

Antes de começar

  1. Certifique-se de que tem uma organização do Google Cloud configurada.

  2. Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando: 

    gcloud init

    Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  3. Enable the Identity and Access Management (IAM) and Resource Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  4. Para iniciar sessão, o seu IDP tem de fornecer informações de autenticação assinadas: os IDPs OIDC têm de fornecer um JWT e as respostas do IDP SAML têm de ser assinadas.
  5. Para receber informações importantes sobre alterações à sua organização ou aos seus Google Cloud produtos, tem de indicar contactos essenciais. Para mais informações, consulte a vista geral da federação de identidades da força de trabalho.

Custos

A federação de identidade da força de trabalho está disponível como uma funcionalidade sem custos. No entanto, o registo de auditoria detalhado da federação de identidades da força de trabalho usa o Cloud Logging. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

Funções necessárias

Para receber as autorizações de que precisa para configurar a federação de identidade da força de trabalho, peça ao seu administrador para lhe conceder a função da IAM de administrador do Workload Identity Pool (roles/iam.workforcePoolAdmin) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Em alternativa, a função básica de proprietário (roles/owner) também inclui autorizações para configurar a federação de identidade da força de trabalho. Não deve conceder funções básicas num ambiente de produção, mas pode concedê-las num ambiente de desenvolvimento ou de teste.

Configure a federação de identidade da força de trabalho

Para configurar a federação de identidade da força de trabalho, crie um Workload Identity Pool e um fornecedor do Workload Identity Pool.

Crie um Workforce Identity Pool

Para criar o conjunto, execute o seguinte comando:

gcloud

Para criar o Workforce Identity Pool, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua o seguinte:

Consola

Para criar o Workforce Identity Pool, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Workforce Identity Pools:

    Aceda aos Workforce Identity Pools

  2. Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.

  3. Clique em Criar conjunto e faça o seguinte:

    1. No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.

    2. Opcional: em Descrição, introduza uma descrição do conjunto.

    3. Para criar o Workforce Identity Pool, clique em Seguinte.

A duração da sessão do Workload Identity Pool é de uma hora (3600 s) por predefinição. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, a consola (federada) e as sessões de início de sessão da CLI gcloud deste conjunto de trabalhadores são válidos. Depois de criar o conjunto, pode atualizar o conjunto para definir uma duração da sessão personalizada. A duração da sessão tem de ser entre 15 minutos (900 s) e 12 horas (43 200 s).

Crie um fornecedor do Workforce Identity Pool

Esta secção descreve como criar um fornecedor do pool de identidades da força de trabalho para permitir que os utilizadores do IdP acedam ao Google Cloud. Pode configurar o fornecedor para usar o protocolo OIDC ou SAML.

Crie um fornecedor do conjunto de trabalhadores OIDC

Para criar um fornecedor do Workforce Identity Pool através do protocolo OIDC, faça o seguinte:

  1. No seu IdP de OIDC, registe uma nova aplicação para a Google Cloud Workforce Identity Federation. Tome nota do ID de cliente e do URI do emissor fornecidos pelo IdP. As usa neste documento.

  2. Se planeia configurar o acesso dos utilizadores à consola, adicione o seguinte URL de redirecionamento ao seu IdP OIDC:

    https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Substitua o seguinte:

    • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool

    • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool que cria mais tarde neste documento.

    Para saber como configurar o início de sessão na consola (federado), consulte o artigo Configure o acesso do utilizador à consola (federado).

  3. Em Google Cloud, para criar o fornecedor, faça o seguinte:

    gcloud

    Fluxo de código

    Para criar um fornecedor OIDC que use o fluxo de código de autorização para o início de sessão na Web, execute o seguinte comando:

    gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
        --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

    Substitua o seguinte:

    • WORKFORCE_PROVIDER_ID: um ID exclusivo do fornecedor do Workload Identity Pool. O prefixo gcp- está reservado e não pode ser usado num Workload Identity Pool nem num ID do fornecedor do Workload Identity Pool.
    • WORKFORCE_POOL_ID: o ID do conjunto de identidades de trabalhadores para associar o seu IdP.
    • DISPLAY_NAME: um nome a apresentar opcional e fácil de usar para o fornecedor; por exemplo, idp-eu-employees.
    • DESCRIPTION: uma descrição opcional do fornecedor de mão de obra; por exemplo, IdP for Partner Example Organization employees.
    • ISSUER_URI: O URI do emissor OIDC, num formato de URI válido, que começa com https; por exemplo, https://example.com/oidc. Nota: por motivos de segurança, ISSUER_URI tem de usar o esquema HTTPS.
    • OIDC_CLIENT_ID: O ID de cliente do OIDC que está registado no seu IDP do OIDC; o ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IDP.
    • OIDC_CLIENT_SECRET: O segredo do cliente OIDC.
    • WEB_SSO_ADDITIONAL_SCOPES: Âmbitos adicionais opcionais a enviar para o IdP do OIDC para início de sessão baseado no navegador da consola (federado) ou da CLI gcloud.
    • ATTRIBUTE_MAPPING: um mapeamento de atributos. Segue-se um exemplo de um mapeamento de atributos: 
      google.subject=assertion.sub,
google.groups=assertion.groups,
attribute.costcenter=assertion.costcenter
       Este exemplo mapeia os atributos do IdP subject, groups e costcenter na declaração OIDC para os atributos google.subject, google.groups e attribute.costcenter, respetivamente.
    • ATTRIBUTE_CONDITION: uma condição de atributo; por exemplo, assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a função gcp-users podem iniciar sessão através deste fornecedor.
    • JWK_JSON_PATH: um caminho opcional para um JWKs OIDC carregado localmente. Se este parâmetro não for fornecido, Google Cloud usa o caminho do seu IdP para obter os JWKs que contêm as chaves públicas./.well-known/openid-configuration Para mais informações sobre os JWKs OIDC carregados localmente, consulte o artigo Faça a gestão dos JWKs OIDC.

    • A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

      Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

    Na resposta ao comando, POOL_RESOURCE_NAME é o nome do conjunto; por exemplo, locations/global/workforcePools/enterprise-example-organization-employees.

    Fluxo implícito

    Para criar um fornecedor OIDC que use o fluxo implícito para o início de sessão na Web, execute o seguinte comando:

    gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

    Substitua o seguinte:

    • WORKFORCE_PROVIDER_ID: um ID exclusivo do fornecedor do Workload Identity Pool. O prefixo gcp- está reservado e não pode ser usado num Workload Identity Pool nem num ID do fornecedor do Workload Identity Pool.
    • WORKFORCE_POOL_ID: o ID do conjunto de identidades de trabalhadores para associar o seu IdP.
    • DISPLAY_NAME: um nome a apresentar opcional e fácil de usar para o fornecedor; por exemplo, idp-eu-employees.
    • DESCRIPTION: uma descrição opcional do fornecedor de mão de obra; por exemplo, IdP for Partner Example Organization employees.
    • ISSUER_URI: O URI do emissor OIDC, num formato de URI válido, que começa com https; por exemplo, https://example.com/oidc. Nota: por motivos de segurança, ISSUER_URI tem de usar o esquema HTTPS.
    • OIDC_CLIENT_ID: O ID de cliente do OIDC que está registado no seu IDP do OIDC; o ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IDP.
    • WEB_SSO_ADDITIONAL_SCOPES: Âmbitos adicionais opcionais a enviar para o IdP do OIDC para início de sessão baseado no navegador da consola (federado) ou da CLI gcloud.
    • ATTRIBUTE_MAPPING: um mapeamento de atributos. Segue-se um exemplo de um mapeamento de atributos: 
      google.subject=assertion.sub,
google.groups=assertion.groups,
attribute.costcenter=assertion.costcenter
       Este exemplo mapeia os atributos do IdP subject, groups e costcenter na declaração OIDC para os atributos google.subject, google.groups e attribute.costcenter, respetivamente.
    • ATTRIBUTE_CONDITION: uma condição de atributo; por exemplo, assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a função gcp-users podem iniciar sessão através deste fornecedor.
    • JWK_JSON_PATH: um caminho opcional para um JWKs OIDC carregado localmente. Se este parâmetro não for fornecido, Google Cloud usa o caminho do seu IdP para obter os JWKs que contêm as chaves públicas./.well-known/openid-configuration Para mais informações sobre os JWKs OIDC carregados localmente, consulte o artigo Faça a gestão dos JWKs OIDC.

    • A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

      Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

    Na resposta ao comando, POOL_RESOURCE_NAME é o nome do conjunto; por exemplo, locations/global/workforcePools/enterprise-example-organization-employees.

    O prefixo gcp- está reservado e não pode ser usado num Workload Identity Pool nem num ID do fornecedor do Workload Identity Pool.

    Para a federação OIDC, pode usar assertion.NAME: uma string igual ao valor da reivindicação com o mesmo nome na carga útil do token de ID.

    Consola

    Fluxo de código

    Na Google Cloud consola, para criar um fornecedor OIDC que use o fluxo de código de autorização, faça o seguinte:

    1. Na Google Cloud consola, aceda à página Workforce Identity Pools:

      Aceda aos Workforce Identity Pools

    2. Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.

    3. Na secção Fornecedores, clique em Adicionar fornecedor.

    4. Na lista Selecionar um fornecedor do fornecedor, selecione o seu IdP.

      Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.

    5. Em Selecione um protocolo de autenticação, selecione OpenID Connect (OIDC).

    6. Na secção Crie um fornecedor, faça o seguinte:

      1. Em Nome, introduza o nome do fornecedor.
      2. Em Descrição, introduza a descrição do fornecedor.
      3. Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por https; por exemplo, https://example.com/oidc.
      4. Em ID de cliente, introduza o ID de cliente OIDC registado no seu IdP OIDC. O ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IdP.

      5. Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.

      6. Clique em Continuar.

    7. Na secção Partilhe as informações do seu fornecedor com o IdP, copie o URL. No IdP, configure este URL como o URI de redirecionamento, que informa o IdP para onde enviar o token de afirmação após iniciar sessão.

    8. Clique em Continuar.

    9. Na secção Configurar início de sessão na Web OIDC, faça o seguinte:

      1. Na lista Tipo de fluxo, selecione Código.

      2. Na lista Comportamento das reivindicações de declaração, selecione uma das seguintes opções:

        • Informações do utilizador e token de ID
        • Apenas token de ID

      3. No campo Segredo do cliente, introduza o segredo do cliente do seu IdP.

      4. Opcional: se selecionou Okta como o seu IdP, adicione quaisquer âmbitos OIDC adicionais no campo Âmbitos adicionais além de openid, profile e email.

    10. Clique em Continuar.

    11. Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.

      1. Obrigatório: no OIDC 1, introduza o assunto do IdP, por exemplo, assertion.sub.

      2. Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:

        1. Clique em Adicionar mapeamento.
        2. No Google n, onde n é um número, introduza uma das teclas suportadas.Google Cloud
        3. No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.

      3. Se selecionou o Microsoft Entra ID como IdP, pode aumentar o número de grupos.

        1. Selecione Usar atributos adicionais.
        2. No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
        3. No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
        4. No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
        5. Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
        6. No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a API Microsoft Graph para grupos.

      4. Para criar uma condição de atributo, faça o seguinte:

        1. Clique em Adicionar condição.
        2. No campo Condições de atributos, introduza uma condição no formato CEL; por exemplo, assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a função gcp-users podem iniciar sessão através deste fornecedor.

      5. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo de auditoria de valores de atributos.

        A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

        Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

    12. Para criar o fornecedor, clique em Enviar.

    Fluxo implícito

    Na Google Cloud consola, para criar um fornecedor OIDC que use o fluxo implícito, faça o seguinte:

    1. Na Google Cloud consola, aceda à página Workforce Identity Pools:

      Aceda aos Workforce Identity Pools

    2. Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.

    3. Na secção Fornecedores, clique em Adicionar fornecedor.

    4. Na lista Selecionar um fornecedor do fornecedor, selecione o seu IdP.

      Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.

    5. Em Selecione um protocolo de autenticação, selecione OpenID Connect (OIDC).

    6. Na secção Crie um fornecedor, faça o seguinte:

      1. Em Nome, introduza o nome do fornecedor.
      2. Em Descrição, introduza a descrição do fornecedor.
      3. Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por https; por exemplo, https://example.com/oidc.
      4. Em ID de cliente, introduza o ID de cliente OIDC registado no seu IdP OIDC. O ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IdP.
      5. Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.
      6. Clique em Continuar.

    7. Na secção Partilhe as informações do seu fornecedor com o IdP, copie o URL. No IdP, configure este URL como o URI de redirecionamento, que informa o IdP para onde enviar o token de afirmação após iniciar sessão.

    8. Clique em Continuar.

    9. Na secção Configurar início de sessão na Web OIDC, faça o seguinte:

      1. Na lista Tipo de fluxo, selecione Token de ID.

      2. Na lista Comportamento das reivindicações de asserção, a opção Token de ID está selecionada.

      3. Opcional: se selecionou Okta como o seu IdP, adicione quaisquer âmbitos OIDC adicionais no campo Âmbitos adicionais além de openid, profile e email.

    10. Clique em Continuar.

    11. Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.

      1. Obrigatório: no OIDC 1, introduza o assunto do IdP; por exemplo, assertion.sub.

      2. Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:

        1. Clique em Adicionar mapeamento.
        2. No Google n, onde n é um número, introduza uma das teclas suportadas.Google Cloud
        3. No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.

      3. Se selecionou o Microsoft Entra ID como IdP, pode aumentar o número de grupos.

        1. Selecione Usar atributos adicionais.
        2. No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
        3. No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
        4. No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
        5. Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
        6. No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a API Microsoft Graph para grupos.

      4. Para criar uma condição de atributo, faça o seguinte:

        1. Clique em Adicionar condição.
        2. No campo Condições de atributos, introduza uma condição no formato CEL; por exemplo, assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a função gcp-users podem iniciar sessão através deste fornecedor.

      5. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo de auditoria de valores de atributos.

        A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

        Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

    12. Para criar o fornecedor, clique em Enviar.

Crie um fornecedor do Workforce Pool SAML

  1. No seu IdP SAML, registe uma nova aplicação para a Google Cloud federação de identidade da força de trabalho.

  2. Defina o público-alvo para as afirmações SAML. Normalmente, é o campo SP Entity ID na configuração do IdP. Tem de definir o URL seguinte:

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

  3. Defina o URL de redirecionamento, também conhecido como URL do serviço de consumo de declarações (ACS). Para definir o URL de redirecionamento, localize o campo do URL de redirecionamento no seu IdP de SAML e faça uma das seguintes ações:

    • Para configurar o início de sessão baseado no navegador através da Google Cloud consola ou de outro método de início de sessão baseado no navegador, introduza o seguinte URL:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Substitua o seguinte:

      • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool

      • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool que cria mais tarde neste documento.

    • Para configurar o início de sessão programático através do seu IdP, introduza o seguinte URL:

      localhost

    Consulte o artigo Configure o acesso dos utilizadores à consola para ver mais detalhes sobre a configuração do início de sessão na consola.

  4. No Google Cloud, crie um fornecedor do Workload Identity Pool SAML com o documento de metadados SAML do seu IdP. Pode transferir o documento XML de metadados SAML do seu IdP. O documento tem de incluir, pelo menos, o seguinte:

    • Um ID da entidade SAML para o seu IdP.
    • O URL de Início de sessão único do seu IdP.
    • Pelo menos, uma chave pública de assinatura. Consulte os requisitos principais mais adiante neste guia para ver detalhes sobre as chaves de assinatura.

gcloud

Para configurar o fornecedor de SAML através da CLI gcloud, faça o seguinte:

  gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --display-name="DISPLAY_NAME" \
      --description="DESCRIPTION" \
      --idp-metadata-path=METADATA_FILE_PATH \
      --attribute-mapping="ATTRIBUTE_MAPPING" \
      --attribute-condition="ATTRIBUTE_CONDITION" \
      --location=global

Substitua o seguinte:

  • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool.
  • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool.
  • DISPLAY_NAME O nome a apresentar do fornecedor; por exemplo, idp-eu-employees.
  • DESCRIPTION: a descrição do fornecedor do conjunto de identidades de trabalhadores; por exemplo, IdP for Partner Example Organization EU employees.
  • METADATA_FILE_PATH: o caminho do ficheiro de metadados SAML.

  • ATTRIBUTE_MAPPING: o mapeamento de atributos; por exemplo:

    google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
     Este exemplo mapeia os atributos do IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] para os atributos Google Cloud google.subject, google.groups e google.costcenter, respetivamente.

  • ATTRIBUTE_CONDITION: Uma condição de atributo. Por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IPs, pode definir a condição assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condição de exemplo garante que apenas os utilizadores com um endereço IP que comece por 98.11.12. podem iniciar sessão através deste fornecedor de força de trabalho.

O fornecedor pode demorar alguns minutos a começar a aceitar pedidos.

Para a federação SAML, pode usar as seguintes palavras-chave em mapeamentos de atributos e condições:

  • assertion.subject: uma string igual ao atributo NameID na declaração SAML.
  • assertion.attributes.NAME: uma lista de strings igual aos valores dos atributos com o mesmo nome na declaração SAML.

Opcional: aceite afirmações SAML encriptadas do seu IdP

Para permitir que o seu IdP SAML 2.0 produza afirmações SAML encriptadas que podem ser aceites pela federação de identidade da força de trabalho, faça o seguinte:

  • Na federação de identidade da força de trabalho, faça o seguinte:
    • Crie um par de chaves assimétricas para o fornecedor do Workforce Identity Pool.
    • Transfira um ficheiro de certificado que contém a chave pública.
    • Configure o seu IdP SAML para usar a chave pública para encriptar as afirmações SAML que emite.
  • No IdP, faça o seguinte:
    • Ative a encriptação de afirmações, também conhecida como encriptação de tokens.
    • Carregue a chave pública que criou na federação de identidade da força de trabalho.
    • Confirme que o seu IdP produz afirmações SAML encriptadas.
Tenha em atenção que, mesmo com as chaves do fornecedor de encriptação SAML configuradas, a federação de identidade da força de trabalho ainda pode processar uma afirmação de texto simples.

Crie chaves de encriptação de afirmações SAML de federação de identidade da força de trabalho

Esta secção explica como criar um par de chaves assimétricas que permite à federação de identidade da força de trabalho aceitar afirmações SAML encriptadas.

Google Cloud usa a chave privada para desencriptar as afirmações SAML que o seu IdP emite. Para criar um par de chaves assimétricas para utilização com a encriptação SAML, execute o seguinte comando. Para saber mais, consulte o artigo Algoritmos de encriptação SAML suportados. 

gcloud iam workforce-pools providers keys create KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --use encryption \
    --spec KEY_SPECIFICATION

Substitua o seguinte:

  • KEY_ID: um nome de chave à sua escolha
  • WORKFORCE_POOL_ID: o ID do conjunto
  • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool
  • KEY_SPECIFICATION: a especificação principal, que pode ser uma das seguintes: rsa-2048, rsa-3072 e rsa-4096.

Depois de criar o par de chaves, para transferir a chave pública para um ficheiro de certificado, execute o seguinte comando. Apenas a federação de identidade da força de trabalho tem acesso à chave privada. 

gcloud iam workforce-pools providers keys describe KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --format "value(keyData.key)" \
    > CERTIFICATE_PATH

Substitua o seguinte:

  • KEY_ID: o nome da chave
  • WORKFORCE_POOL_ID: o ID do conjunto
  • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool
  • CERTIFICATE_PATH: o caminho para escrever o certificado, por exemplo, saml-certificate.cer ou saml-certificate.pem

Configure o seu IdP compatível com SAML 2.0 para emitir afirmações SAML encriptadas

Configure o seu IdP SAML para usar o certificado público transferido no passo anterior para encriptar as afirmações SAML que emite. Consulte a sua equipa de IdP para receber instruções específicas.

Depois de configurar o IdP para encriptar as afirmações SAML, recomendamos que verifique se as afirmações que gera estão realmente encriptadas. Mesmo com a encriptação de afirmações SAML configurada, a federação de identidade da força de trabalho pode continuar a processar afirmações de texto simples.

Elimine as chaves de encriptação da federação de identidade da força de trabalho

Para eliminar chaves de encriptação SAML, execute o seguinte comando: 
  gcloud iam workforce-pools providers keys delete KEY_ID \
      --workforce-pool WORKFORCE_POOL_ID \
      --provider WORKFORCE_PROVIDER_ID \
      --location global

Substitua o seguinte:

  • KEY_ID: o nome da chave
  • WORKFORCE_POOL_ID: o ID do conjunto
  • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool

Algoritmos de encriptação SAML suportados

A federação de identidade da força de trabalho suporta os seguintes algoritmos de transporte de chaves:

A federação de identidade da força de trabalho suporta os seguintes algoritmos de encriptação de blocos:

Requisitos da chave de assinatura X.509 de SAML

As seguintes especificações de chaves aplicam-se às chaves de assinatura X.509 de SAML:

  • Uma chave pública RSA envolvida num certificado X.509 v3.

  • Requisitos de validade do certificado:

    • notBefore: uma indicação de tempo que não esteja mais de 7 dias no futuro
    • notAfter: uma data/hora que não seja superior a 25 anos no futuro

  • Algoritmos recomendados:

Um fornecedor do Workforce Identity Pool pode ser configurado com, no máximo, três chaves de assinatura num determinado momento. Quando existem várias chaves, Google Cloud itera por elas e tenta usar cada chave não expirada para satisfazer um pedido de troca de tokens.

Como prática recomendada de segurança, recomendamos vivamente que não reutilize o mesmo par de chaves com outros serviços.

Gestão de chaves

Para atualizar as chaves de assinatura do IdP, faça o seguinte:

  1. Crie um novo par de chaves assimétricas e configure o fornecedor de identidade SAML com o par de chaves. Inicialmente, marca-o como inativo antes de o ativar num passo posterior.

  2. Transfira um documento XML de metadados SAML do seu IdP.

  3. Atualize o recurso do fornecedor do Workforce Identity Pool com o documento de metadados SAML. Quando existem várias chaves, Google Cloud itera por cada chave não expirada e tenta usar cada uma para satisfazer um pedido de troca de tokens.

    Para atualizar o fornecedor do Workload Identity Pool com os metadados SAML, execute o seguinte comando.

    gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --idp-metadata-path=SAML_METADATA_FILE_PATH \
    --location=global

    Substitua o seguinte:

    • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
    • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool
    • SAML_METADATA_FILE_PATH: o caminho para o ficheiro de metadados SAML

  4. Aguarde que a operação devolvida no passo anterior seja concluída (a operação está marcada como concluída) e, em seguida, no IdP SAML, ative a nova chave de assinatura. A chave de assinatura antiga está marcada como inativa. As afirmações emitidas pelo seu IdP são assinadas com a nova chave.

Os passos seguintes são opcionais, mas recomendamos que os execute como prática recomendada:

  1. Elimine a chave de assinatura antiga, agora inativa, do seu IdP.
  2. Transfira o documento XML de metadados SAML do seu IdP.

  3. Atualize o recurso do fornecedor do Workload Identity Pool com o documento de metadados SAML. Google Cloud Recusa afirmações assinadas com a chave de assinatura expirada. Para atualizar o documento, execute o seguinte comando:

    gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --idp-metadata-path=SAML_METADATA_FILE_PATH \
    --location=global

    Substitua o seguinte:

    • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
    • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool
    • SAML_METADATA_FILE_PATH: o caminho dos metadados SAML

Restrição de eliminação de chaves

Google Cloud recusa afirmações assinadas com uma chave eliminada.

Consola

Para configurar o fornecedor de SAML através da Google Cloud consola, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Workforce Identity Pools:

    Aceda aos Workforce Identity Pools

  2. Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.

  3. Na secção Fornecedores, clique em Adicionar fornecedor.

  4. Na lista Selecionar um fornecedor do fornecedor, selecione o seu IdP.

    Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.

  5. Em Selecionar um protocolo de autenticação, selecione SAML.

  6. Na secção Crie um fornecedor, faça o seguinte:

    1. Em Nome, introduza um nome para o fornecedor.

    2. Opcional: em Descrição, introduza uma descrição do fornecedor.

    3. Em Ficheiro de metadados do IDP (XML), selecione o ficheiro XML de metadados que gerou anteriormente neste guia.

    4. Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.

    5. Clique em Continuar.

  7. Na secção Partilhe as informações do seu fornecedor, copie os URLs. No seu IdP, configure o primeiro URL como o ID da entidade, que identifica a sua aplicação ao IdP. Configure o outro URL como o URI de redirecionamento, que informa o IdP para onde enviar o token de afirmação após iniciar sessão.

  8. Clique em Continuar.

  9. Na secção Configurar fornecedor, faça o seguinte:

    1. Em Mapeamento de atributos, introduza uma expressão CEL para google.subject.

    2. Opcional: para introduzir outros mapeamentos, clique em Adicionar mapeamento e introduza outros mapeamentos, por exemplo:

      google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
       Este exemplo mapeia os atributos do IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] para os atributos Google Cloud google.subject, google.groups e google.costcenter, respetivamente.

    3. Se selecionou o Microsoft Entra ID como o seu IdP, pode aumentar o número de grupos fazendo o seguinte:

      1. Selecione Usar atributos adicionais.
      2. No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
      3. No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
      4. No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
      5. Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
      6. No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a API Microsoft Graph para grupos.

    4. Opcional: para adicionar uma condição de atributo, clique em Adicionar condição e introduza uma expressão CEL que represente uma condição de atributo. Por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IPs, pode definir a condição assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condição de exemplo garante que apenas os utilizadores com um endereço IP que comece por 98.11.12. podem iniciar sessão através deste fornecedor de força de trabalho.

    5. Clique em Continuar.

    6. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo de auditoria de valores de atributos.

      A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

      Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

  10. Para criar o fornecedor, clique em Enviar.

Identificadores principais do conjunto de trabalhadores para políticas IAM

A tabela seguinte mostra os identificadores principais que pode usar para conceder funções a utilizadores individuais e grupos de utilizadores.

Identidades Formato do identificador
Identidade única num Workload Identity Pool principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
Todas as identidades da força de trabalho num grupo principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
Todas as identidades da força de trabalho com um valor de atributo específico principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Todas as identidades num Workload Identity Pool principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*

Para ver uma lista completa de identificadores principais, consulte o artigo Identificadores principais.

Conceda funções de IAM a principais

Pode conceder funções a responsáveis, como identidades únicas, grupos de identidades ou um conjunto completo.

Para conceder uma função num projeto a um principal, execute o seguinte comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="ROLE" \
    --member="PRINCIPAL"

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto
  • ROLE: a função a conceder
  • PRINCIPAL: o principal; consulte Identificadores principais para a federação de identidade da força de trabalho.

No exemplo seguinte, o comando concede a função de administrador do armazenamento (roles/storage.admin) a todas as identidades no grupo GROUP_ID:

gcloud projects add-iam-policy-binding my-project \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Para mais informações sobre o formato principal, consulte o artigo Identificadores principais para a federação de identidades da força de trabalho.

Eliminar utilizadores

A federação de identidade da força de trabalho cria metadados e recursos do utilizador para identidades de utilizadores federadas. Se optar por eliminar utilizadores no seu IdP, também tem de eliminar explicitamente estes recursos no Google Cloud. Para o fazer, consulte o artigo Elimine utilizadores da Federação de identidades da força de trabalho e os respetivos dados.

Pode ver que os recursos continuam associados a um utilizador que foi eliminado. Isto deve-se ao facto de a eliminação dos metadados e dos recursos do utilizador exigir uma operação de longa duração. Depois de iniciar a eliminação da identidade de um utilizador, os processos que o utilizador iniciou antes da eliminação podem continuar a ser executados até que os processos sejam concluídos ou cancelados.

Configure o SCIM

Esta secção descreve como configurar um inquilino SCIM num conjunto de identidades da força de trabalho.

Cada Workforce Identity Pool suporta apenas um inquilino SCIM. Para configurar um novo inquilino SCIM num conjunto que já tenha um, primeiro tem de eliminar permanentemente o inquilino existente.

A flag --claim-mapping para um inquilino SCIM só pode conter expressões específicas do Idioma de expressão comum (IEC). Para saber que expressões são suportadas, consulte o artigo Mapeie atributos SCIM e tokens.

Para configurar o System for Cross-domain Identity Management (SCIM), tem de fazer o seguinte:

Configure um inquilino e um token SCIM em Google Cloud

Para configurar um inquilino SCIM em Google Cloud, faça o seguinte:

  1. Crie um inquilino SCIM. 

        gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"

    Substitua o seguinte:

    • SCIM_TENANT_ID: um ID para o seu inquilino SCIM.
    • WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores que criou anteriormente neste documento.
    • PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool que criou anteriormente neste documento.
    • SCIM_TENANT_DISPLAY_NAME: um nome a apresentar para o seu inquilino SCIM.
    • SCIM_TENANT_DESCRIPTION: uma descrição para o seu inquilino SCIM.
    • CLAIM_MAPPING: uma lista separada por vírgulas de mapeamentos de atributos. Recomendamos que use o seguinte mapeamento de atributos: 
      google.subject=user.externalId,google.group=group.externalId
       O atributo google.subject que mapeia no inquilino SCIM tem de se referir exclusivamente às mesmas identidades mapeadas no atributo google.subject no fornecedor do conjunto de identidades da força de trabalho através da flag --attribute-mapping. Depois de criar o inquilino SCIM, não pode atualizar o mapeamento de reivindicações. Para o substituir, pode eliminar permanentemente o inquilino SCIM e criar imediatamente um novo. Para saber mais sobre as considerações para usar o SCIM, consulte o artigo Compatibilidade com o SCIM.

  2. Quando o comando for concluído, faça o seguinte:

    1. No campo baseUri no resultado, guarde o URI completo, que está formatado como https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Tem de fornecer este URI ao seu IdP.
    2. Além disso, a partir do URI, guarde apenas o SCIM_TENANT_UID. Precisa deste UID para definir políticas IAM no inquilino SCIM, mais tarde neste documento.

  3. Crie um token SCIM: 

        gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

    Substitua o seguinte:

    • SCIM_TOKEN_ID: um ID para o token SCIM
    • DISPLAY_NAME: o nome a apresentar do token SCIM
    • WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
    • SCIM_TENANT_ID: o ID do inquilino SCIM
    • PROVIDER_ID: o ID do fornecedor do Workload Identity Pool

  4. Quando o comando gcloud iam workforce-pools providers scim-tenants tokens create estiver concluído, faça o seguinte:

    1. No resultado, guarde o valor de SCIM_TOKEN no campo securityToken. Tem de fornecer este token de segurança ao seu IdP. O token de segurança é apresentado apenas neste resultado e, se o perder, tem de criar um novo token SCIM.
    2. Para verificar se SCIM_TOKEN é rejeitado pela política da sua organização, execute o seguinte comando: 
      curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
       Se o comando falhar com um erro relacionado com autorizações, execute gcloud organizations add-iam-policy-binding, descrito num passo posterior. Se o comando for bem-sucedido, pode ignorar esse passo.

  5. Defina políticas IAM no inquilino e token SCIM. Se o curl comando num passo anterior falhou com um erro relacionado com autorizações, tem de executar o seguinte comando: 

        gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer

    Substitua o seguinte:

    • ORGANIZATION_ID: o ID da organização.
    • SERVICE_AGENT_EMAIL: o endereço de email do agente do serviço. O endereço de email está no seguinte formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID é devolvido quando cria o inquilino SCIM.

Quando aprovisiona grupos no seu IdP, certifique-se de que o nome a apresentar de cada grupo, conforme indicado no campo displayName, é exclusivo num inquilino SCIM. Para saber mais acerca dos grupos e do SCIM no Microsoft Entra ID, consulte Grupos.

Configure o SCIM no seu IdP OIDC ou SAML

No seu IdP, configure o SCIM conforme descrito na documentação do IdP. Use o URL SCIM e o token SCIM obtidos no passo anterior.

Atualize o fornecedor para ativar o SCIM

Para ativar o SCIM para um fornecedor, faça o seguinte:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Substitua o seguinte:

  • PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
  • WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
  • LOCATION: a localização do conjunto de trabalhadores

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Substitua o seguinte:

  • PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
  • WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
  • LOCATION: a localização do conjunto de trabalhadores

Mapeie atributos de SCIM e tokens

Tem de mapear os atributos de forma consistente, tanto no fornecedor do Workforce Identity Pool como no inquilino SCIM configurado para o fornecedor. Para o fornecedor do Workload Identity Pool, usa a flag --attribute-mapping e, para o inquilino SCIM, usa a flag --claim-mapping. O atributo do IdP mapeado para google.subject para os utilizadores tem de referir-se exclusivamente à mesma identidade, quer esteja definido num token ou num mapeamento SCIM. Para saber mais sobre o mapeamento de atributos quando usa o SCIM, consulte a secção Suporte do SCIM. A tabela seguinte mostra como mapear atributos em reivindicações de tokens e atributos SCIM:

Atributo Google Mapeamento do fornecedor do Workforce Identity Pool Mapeamento de inquilinos SCIM
google.subject assertion.oid user.externalId
google.subject assertion.email user.emails[0].value
google.subject assertion.email.lowerAscii() user.emails[0].value.lowerAscii()
google.subject assertion.preferred_username user.userName
google.group certifique-se de que atualiza o seu fornecedor com --scim-usage=enabled-for-groups N/A group.externalId

Force a eliminação de um inquilino SCIM

Para forçar a eliminação de um inquilino SCIM, faça o seguinte:

  1. Se a opção --scim-usage=enabled-for-groups estiver definida para o seu fornecedor, desative-a na configuração do fornecedor: 
              gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED

    Substitua o seguinte:

    • PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
    • WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores

  2. Elimine o inquilino SCIM: 
      gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global

    Substitua o seguinte:

    • SCIM_TENANT_ID: o ID do inquilino SCIM a eliminar
    • WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
    • PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
    Para saber mais sobre o SCIM, incluindo a eliminação de inquilinos SCIM, consulte o artigo Suporte do SCIM.

O que se segue?