En esta guía se describe cómo puedes realizar operaciones habituales con la federación de identidades de la fuerza de trabajo. Para configurar Workforce Identity Federation, consulta las siguientes guías:
- Configurar la federación de identidades de los empleados con Microsoft Entra ID e iniciar sesión de los usuarios
- Configurar la federación de identidades de los empleados con Okta e iniciar sesión de los usuarios
- Configurar la federación de identidades de Workforce en un IdP que admita OIDC o SAML
Antes de empezar
Debes tener una Google Cloud organización configurada.
Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initSi utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
Gestionar grupos
En esta sección se explica cómo gestionar grupos de identidades de empleados.
Crear un grupo
Para crear un grupo de trabajadores, ejecuta el siguiente comando:
gcloud
Para crear el grupo de identidades de Workforce, ejecuta el siguiente comando:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Haz los cambios siguientes:
WORKFORCE_POOL_ID: un ID que elijas para representar tu Google Cloud grupo de personal. Para obtener información sobre el formato del ID, consulte la sección Parámetros de consulta de la documentación de la API.ORGANIZATION_ID: el ID numérico de tu organización Google Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.SESSION_DURATION: opcional. La duración de la sesión, expresada como un número seguido des. Por ejemplo,3600s. La duración de la sesión determina cuánto tiempo son válidos los Google Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federada) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).
Consola
Para crear el grupo de identidades de Workforce, sigue estos pasos:
En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:
Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de los empleados están disponibles en todos los proyectos y carpetas de una organización.
Haz clic en Crear pool y sigue estos pasos:
En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.
Opcional: En Descripción, escriba una descripción del grupo.
Para crear el grupo de identidades de Workforce, haz clic en Siguiente.
La duración de la sesión del grupo de identidades de Workforce es de una hora (3600 s) de forma predeterminada. La duración de la sesión determina cuánto tiempo son válidas las sesiones de inicio de sesión de los tokens de acceso, la consola (federada) y la CLI de gcloud de este grupo de empleados. Google Cloud Una vez que hayas creado el grupo, podrás actualizarlo para definir una duración de sesión personalizada. La duración de la sesión debe ser de entre 15 minutos (900 segundos) y 12 horas (43.200 segundos).
Describe un grupo
gcloud
Para describir un grupo de trabajadores específico con gcloud CLI, ejecuta el siguiente comando:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Sustituye WORKFORCE_POOL_ID por el ID del grupo de Workforce que elegiste al crear el grupo.
Consola
Para describir un grupo de personal específico mediante la consola Google Cloud , sigue estos pasos:
Ve a la página Grupos de identidades de Workforce:
En Grupos de trabajadores, selecciona el grupo.
Mostrar grupos
gcloud
Para enumerar los grupos de trabajadores de la organización, ejecuta el siguiente comando:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Sustituye ORGANIZATION_ID por el ID de tu organización.
Consola
Para enumerar los grupos de trabajadores con la consola de Google Cloud , haz lo siguiente:
Ve a la página Grupos de identidades de Workforce:
En la tabla, consulta la lista de grupos.
Actualizar un grupo
gcloud
Para actualizar un grupo de trabajadores específico, ejecuta el siguiente comando:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Haz los cambios siguientes:
WORKFORCE_POOL_ID: el ID del grupo de personalDESCRIPTION: la descripción de la piscina
Consola
Para actualizar un grupo de personal específico mediante la consola Google Cloud , sigue estos pasos:
Ve a la página Grupos de identidades de Workforce:
En la tabla, selecciona el grupo.
Actualiza los parámetros del grupo.
Haz clic en Guardar grupo.
Eliminar un grupo
gcloud
Para eliminar un grupo de identidades de la fuerza de trabajo, ejecuta el siguiente comando:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Sustituye WORKFORCE_POOL_ID por el ID del grupo de Workforce.
Consola
Para eliminar un grupo de trabajadores específico mediante la Google Cloud consola, sigue estos pasos:
Ve a la página Grupos de identidades de Workforce:
En Grupos de usuarios, haga clic en Eliminar en el grupo que quiera eliminar.
Sigue las instrucciones adicionales.
Deshacer la eliminación de un grupo
Puedes restaurar un grupo de identidades de la fuerza de trabajo que se haya eliminado en los últimos 30 días.
Para restaurar un grupo, ejecuta el siguiente comando:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Sustituye WORKFORCE_POOL_ID por el ID del grupo de Workforce.
Configurar un proveedor en el grupo de empleados
En esta sección se explica cómo puedes usar los comandos gcloud para configurar proveedores de grupos de identidades de la fuerza de trabajo:
Crear un proveedor de OIDC
En esta sección se describe cómo crear un proveedor de grupo de identidades de la fuerza de trabajo para un IdP de OIDC.
gcloud
Flujo de código
Para crear un proveedor de OIDC que utilice el flujo de código de autorización para iniciar sesión en la Web, ejecuta el siguiente comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \
--web-sso-response-type="code" \
--web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Haz los cambios siguientes:
WORKFORCE_PROVIDER_ID: ID único del proveedor de grupos de identidades de Workforce. El prefijogcp-está reservado y no se puede usar en un ID de grupo de identidades de Workforce ni en un ID de proveedor de grupos de identidades de Workforce.WORKFORCE_POOL_ID: ID del grupo de identidades de Workforce para conectar tu IdP.DISPLAY_NAME: nombre visible opcional para el proveedor. Por ejemplo,idp-eu-employees.DESCRIPTION: descripción opcional del proveedor de mano de obra. Por ejemplo,IdP for Partner Example Organization employees.ISSUER_URI: el URI del emisor de OIDC, en un formato de URI válido, que empieza porhttps; por ejemplo,https://example.com/oidc. Nota: Por motivos de seguridad,ISSUER_URIdebe usar el esquema HTTPS.OIDC_CLIENT_ID: el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamaciónauddel JWT emitido por tu proveedor de identidades.OIDC_CLIENT_SECRET: el secreto de cliente de OIDC.WEB_SSO_ADDITIONAL_SCOPES: ámbitos adicionales opcionales que se enviarán al proveedor de identidades OIDC para iniciar sesión en la consola (federada) o en la CLI de gcloud basada en navegador.ATTRIBUTE_MAPPING: una asignación de atributos. A continuación, se muestra un ejemplo de asignación de atributos:google.subject=assertion.sub, google.groups=assertion.groups, attribute.costcenter=assertion.costcentersubject,groupsycostcenterdel proveedor de identidades en la aserción OIDC a los atributosgoogle.subject,google.groupsyattribute.costcenter, respectivamente.ATTRIBUTE_CONDITION: una condición de atributo; por ejemplo,assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rolgcp-userspuedan iniciar sesión con este proveedor.JWK_JSON_PATH: ruta opcional a un archivo JWK de OIDC subido localmente. Si no se proporciona este parámetro, Google Cloud se utiliza la ruta/.well-known/openid-configurationde tu IdP para obtener los JWKs que contienen las claves públicas. Para obtener más información sobre los JWKs de OIDC subidos localmente, consulta Gestionar JWKs de OIDC.-
La federación de identidades de Workforce registra auditorías detalladas con la información recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
locations/global/workforcePools/enterprise-example-organization-employees.Flujo implícito
Para crear un proveedor de grupos de identidades de fuerza de trabajo de OIDC que use el flujo implícito para el inicio de sesión web, ejecuta el siguiente comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--web-sso-response-type="id-token" \
--web-sso-assertion-claims-behavior="only-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Haz los cambios siguientes:
WORKFORCE_PROVIDER_ID: ID único del proveedor de grupos de identidades de Workforce. El prefijogcp-está reservado y no se puede usar en un ID de grupo de identidades de Workforce ni en un ID de proveedor de grupos de identidades de Workforce.WORKFORCE_POOL_ID: ID del grupo de identidades de Workforce para conectar tu IdP.DISPLAY_NAME: nombre visible opcional para el proveedor. Por ejemplo,idp-eu-employees.DESCRIPTION: descripción opcional del proveedor de mano de obra. Por ejemplo,IdP for Partner Example Organization employees.ISSUER_URI: el URI del emisor de OIDC, en un formato de URI válido, que empieza porhttps; por ejemplo,https://example.com/oidc. Nota: Por motivos de seguridad,ISSUER_URIdebe usar el esquema HTTPS.OIDC_CLIENT_ID: el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamaciónauddel JWT emitido por tu proveedor de identidades.WEB_SSO_ADDITIONAL_SCOPES: ámbitos adicionales opcionales que se enviarán al proveedor de identidades OIDC para iniciar sesión en la consola (federada) o en la CLI de gcloud basada en navegador.ATTRIBUTE_MAPPING: una asignación de atributos. A continuación, se muestra un ejemplo de asignación de atributos:google.subject=assertion.sub, google.groups=assertion.groups, attribute.costcenter=assertion.costcentersubject,groupsycostcenterdel proveedor de identidades en la aserción OIDC a los atributosgoogle.subject,google.groupsyattribute.costcenter, respectivamente.ATTRIBUTE_CONDITION: una condición de atributo; por ejemplo,assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rolgcp-userspuedan iniciar sesión con este proveedor.JWK_JSON_PATH: ruta opcional a un archivo JWK de OIDC subido localmente. Si no se proporciona este parámetro, Google Cloud se utiliza la ruta/.well-known/openid-configurationde tu IdP para obtener los JWKs que contienen las claves públicas. Para obtener más información sobre los JWKs de OIDC subidos localmente, consulta Gestionar JWKs de OIDC.-
La federación de identidades de Workforce registra auditorías detalladas con la información recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
locations/global/workforcePools/enterprise-example-organization-employees.Consola
Flujo de código
En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:
En la tabla Grupos de identidades de Workforce, seleccione el grupo para el que quiera crear el proveedor.
En la sección Proveedores, haz clic en Añadir proveedor.
En la lista Select a Provider vendor (Seleccionar un proveedor), elija su IdP.
Si tu IdP no aparece en la lista, selecciona Proveedor de identidades genérico.
En Seleccionar un protocolo de autenticación, selecciona OpenID Connect (OIDC).
En la sección Crear un proveedor, haga lo siguiente:
- En Name (Nombre), escribe el nombre del proveedor.
- En Descripción, escriba la descripción del proveedor.
- En Emisor (URL), introduzca el URI del emisor. El URI del emisor de OIDC debe tener un formato de URI válido y empezar por
https. Por ejemplo,https://example.com/oidc. - En ID de cliente, introduce el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación
auddel JWT emitido por tu proveedor de identidades. Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
- Haz clic en Continuar.
En la sección Share your provider information with IdP (Comparte la información de tu proveedor con el proveedor de identidades), copia la URL. En tu proveedor de identidades, configura esta URL como URI de redirección, que indica a tu proveedor de identidades dónde enviar el token de aserción después de iniciar sesión.
Haz clic en Continuar.
En la sección Configurar inicio de sesión web OIDC, haz lo siguiente:
- En la lista Tipo de flujo, selecciona Código.
En la lista Comportamiento de las reclamaciones de aserción, seleccione una de las siguientes opciones:
- Información del usuario y token de ID
- Solo token de ID
En el campo Secreto de cliente, introduce el secreto de cliente de tu proveedor de identidades.
Opcional: Si has seleccionado Okta como proveedor de identidades, añade los ámbitos de OIDC adicionales en el campo Ámbitos adicionales más allá de openid, profile y email.
Haz clic en Continuar.
En Configurar proveedor, puede configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, sigue estos pasos. Puedes proporcionar el nombre del campo del proveedor de identidades o una expresión con formato CEL que devuelva una cadena.
Obligatorio: en OIDC 1, introduce el asunto del proveedor de identidades. Por ejemplo,
assertion.sub.Opcional: Para añadir más asignaciones de atributos, haz lo siguiente:
- Haz clic en Añadir asignación.
- En Google n, donde n es un número, introduce una de las teclas compatibles conGoogle Cloud.
- En el campo OIDC n correspondiente, introduce el nombre del campo específico del IdP que quieras asignar, en formato CEL.
Si has seleccionado Microsoft Entra ID como proveedor de identidades, puedes aumentar el número de grupos.
- Selecciona Usar atributos adicionales.
- En el campo URI del emisor de atributos adicionales, introduzca la URL del emisor.
- En el campo ID de cliente de atributos adicionales, introduce el ID de cliente.
- En el campo Extra Attributes Client Secret (Secreto de cliente de atributos adicionales), introduce el secreto de cliente.
- En la lista Tipo de atributos adicionales, selecciona un tipo de atributo para los atributos adicionales.
- En el campo Filtro de atributos adicionales, introduzca una expresión de filtro que se use al consultar la API Microsoft Graph para obtener grupos.
Para crear una condición de atributo, siga estos pasos:
- Haz clic en Añadir condición.
- En el campo Attribute Conditions (Condiciones de atributo), introduce una condición en formato CEL;
por ejemplo,
assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rolgcp-userspuedan iniciar sesión con este proveedor.
Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro de auditoría de valores de atributos.
La federación de identidades de Workforce registra auditorías detalladas con la información recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.
Flujo implícito
En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:
En la tabla Grupos de identidades de Workforce, seleccione el grupo para el que quiera crear el proveedor.
En la sección Proveedores, haz clic en Añadir proveedor.
En la lista Select a Provider vendor (Seleccionar un proveedor), elija su IdP.
Si tu IdP no aparece en la lista, selecciona Proveedor de identidades genérico.
En Seleccionar un protocolo de autenticación, selecciona OpenID Connect (OIDC).
En la sección Crear un proveedor, haga lo siguiente:
- En Name (Nombre), escribe el nombre del proveedor.
- En Descripción, escriba la descripción del proveedor.
- En Emisor (URL), introduzca el URI del emisor. El URI del emisor de OIDC debe tener un formato de URI válido y empezar por
https. Por ejemplo,https://example.com/oidc. - En ID de cliente, introduce el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación
auddel JWT emitido por tu proveedor de identidades. - Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
- Haz clic en Continuar.
En la sección Share your provider information with IdP (Comparte la información de tu proveedor con el proveedor de identidades), copia la URL. En tu proveedor de identidades, configura esta URL como URI de redirección, que indica a tu proveedor de identidades dónde enviar el token de aserción después de iniciar sesión.
Haz clic en Continuar.
En la sección Configurar inicio de sesión web OIDC, haz lo siguiente:
En la lista Tipo de flujo, selecciona Token de ID.
En la lista Comportamiento de las reclamaciones de aserción, se selecciona Token de ID.
Opcional: Si has seleccionado Okta como proveedor de identidades, añade los ámbitos de OIDC adicionales en el campo Ámbitos adicionales más allá de openid, profile y email.
Haz clic en Continuar.
En Configurar proveedor, puede configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, sigue estos pasos. Puedes proporcionar el nombre del campo del proveedor de identidades o una expresión con formato CEL que devuelva una cadena.
Obligatorio: en OIDC 1, introduce el asunto del proveedor de identidades. Por ejemplo:
assertion.sub.Opcional: Para añadir más asignaciones de atributos, haz lo siguiente:
- Haz clic en Añadir asignación.
- En Google n, donde n es un número, introduce una de las teclas compatibles conGoogle Cloud.
- En el campo OIDC n correspondiente, introduce el nombre del campo específico del IdP que quieras asignar, en formato CEL.
Si has seleccionado Microsoft Entra ID como proveedor de identidades, puedes aumentar el número de grupos.
- Selecciona Usar atributos adicionales.
- En el campo URI del emisor de atributos adicionales, introduzca la URL del emisor.
- En el campo ID de cliente de atributos adicionales, introduce el ID de cliente.
- En el campo Extra Attributes Client Secret (Secreto de cliente de atributos adicionales), introduce el secreto de cliente.
- En la lista Tipo de atributos adicionales, selecciona un tipo de atributo para los atributos adicionales.
- En el campo Filtro de atributos adicionales, introduzca una expresión de filtro que se use al consultar la API Microsoft Graph para obtener grupos.
Para crear una condición de atributo, siga estos pasos:
- Haz clic en Añadir condición.
- En el campo Attribute Conditions (Condiciones de atributo), introduce una condición en formato CEL;
por ejemplo,
assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rolgcp-userspuedan iniciar sesión con este proveedor.
Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro de auditoría de valores de atributos.
La federación de identidades de Workforce registra auditorías detalladas con la información recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.
Crear un proveedor de SAML
En esta sección se describe cómo crear un proveedor de grupo de identidades de personal para un IdP de SAML.
gcloud
Para crear el proveedor, ejecuta el siguiente comando:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--detailed-audit-logging \
--location="global"
Haz los cambios siguientes:
WORKFORCE_PROVIDER_ID: el ID del proveedor de personalWORKFORCE_POOL_ID: el ID del grupo de personalATTRIBUTE_MAPPING: una asignación de atributos. Por ejemplo, para asignar un asunto, la asignación de atributos es la siguiente:google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]ATTRIBUTE_CONDITION: una condición de atributo opcional; por ejemplo,assertion.subject.endsWith("@example.com")XML_METADATA_PATH: la ruta al archivo de metadatos en formato XML de tu proveedor de identidades
El prefijo gcp- está reservado y no se puede usar en un ID de grupo de identidades de Workforce ni en un ID de proveedor de grupos de identidades de Workforce.
Este comando asigna el asunto y el departamento de la aserción SAML a los atributos google.subject y attribute.department, respectivamente.
Además, la condición del atributo asegura que solo los usuarios cuyo asunto termine en @example.com puedan iniciar sesión con este proveedor de la plantilla.
La federación de identidades de Workforce registra auditorías detalladas con la información recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Consola
Para configurar el proveedor de SAML mediante la consola Google Cloud , haz lo siguiente:
En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:
En la tabla Grupos de identidades de Workforce, seleccione el grupo para el que quiera crear el proveedor.
En la sección Proveedores, haz clic en Añadir proveedor.
En la lista Select a Provider vendor (Seleccionar un proveedor), elija su IdP.
Si tu IdP no aparece en la lista, selecciona Proveedor de identidad genérico.
En Seleccionar un protocolo de autenticación, selecciona SAML.
En la sección Crear un proveedor, haga lo siguiente:
En Name (Nombre), escribe el nombre del proveedor.
Opcional: En Descripción, escribe una descripción del proveedor.
En Archivo de metadatos del IdP (XML), selecciona el archivo XML de metadatos que has generado anteriormente en esta guía.
Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
Haz clic en Continuar.
En la sección Comparte la información de tu proveedor, copia las URLs. En tu proveedor de identidades, configura la primera URL como ID de entidad, que identifica tu aplicación en el proveedor de identidades. Configura la otra URL como URI de redirección, que indica a tu proveedor de identidades dónde enviar el token de aserción después de iniciar sesión.
Haz clic en Continuar.
En la sección Configurar proveedor, haga lo siguiente:
En Asignación de atributos, introduce una expresión CEL para
google.subject.Opcional: Para introducir otras asignaciones, haz clic en Añadir asignación e introduce otras asignaciones. Por ejemplo:
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]assertion.subject,assertion.attributes['https://example.com/aliases']yassertion.attributes.costcenter[0]a los atributos Google Cloudgoogle.subject,google.groupsygoogle.costcenter, respectivamente.Si has seleccionado Microsoft Entra ID como proveedor de identidades, puedes aumentar el número de grupos haciendo lo siguiente:
- Selecciona Usar atributos adicionales.
- En el campo URI del emisor de atributos adicionales, introduzca la URL del emisor.
- En el campo ID de cliente de atributos adicionales, introduce el ID de cliente.
- En el campo Extra Attributes Client Secret (Secreto de cliente de atributos adicionales), introduce el secreto de cliente.
- En la lista Tipo de atributos adicionales, selecciona un tipo de atributo para los atributos adicionales.
- En el campo Filtro de atributos adicionales, introduzca una expresión de filtro que se use al consultar la API Microsoft Graph para obtener grupos.
Opcional: Para añadir una condición de atributo, haga clic en Añadir condición e introduzca una expresión CEL que represente una condición de atributo. Por ejemplo, para limitar el atributo
ipaddra un intervalo de IPs determinado, puedes definir la condiciónassertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo asegura que solo los usuarios con una dirección IP que empiece por98.11.12.puedan iniciar sesión con este proveedor de la plantilla.Haz clic en Continuar.
Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro de auditoría de valores de atributos.
La federación de identidades de Workforce registra auditorías detalladas con la información recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.
Describir un proveedor
gcloud
Para describir un proveedor, ejecuta el siguiente comando:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Haz los cambios siguientes:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personal
Consola
Para ver un proveedor, siga estos pasos:
- Ve a la página Grupos de identidades de Workforce:
Ir a Grupos de identidades de Workforce
En la tabla, seleccione el grupo del que quiera ver el proveedor.
En la tabla Proveedores, seleccione el proveedor.
Mostrar proveedores
gcloud
Para enumerar los proveedores, ejecuta el siguiente comando:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Sustituye WORKFORCE_POOL_ID por el ID del grupo de Workforce.
Consola
Para ver un proveedor, siga estos pasos:
- Ve a la página Grupos de identidades de Workforce:
Ir a Grupos de identidades de Workforce
En la tabla, selecciona el grupo del que quieras mostrar los proveedores.
En la tabla Proveedores, puede ver una lista de proveedores.
Actualizar un proveedor
gcloud
Para actualizar un proveedor de OIDC después de crearlo, ejecuta el siguiente comando:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--detailed-audit-logging \
--location=global
Haz los cambios siguientes:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personalDESCRIPTION: la descripción-
Para habilitar el registro de auditoría detallado, añade la marca
--detailed-audit-loggingagcloud iam workforce-pools providers update. Para inhabilitar el registro de auditoría detallado, añade la marca--no-detailed-audit-loggingal comando de actualización.
Consola
Para ver un proveedor, siga estos pasos:
- Ve a la página Grupos de identidades de Workforce:
Ir a Grupos de identidades de Workforce
En la tabla, seleccione el grupo del que quiera ver el proveedor.
En la tabla Proveedores, haz clic en Editar.
Actualiza el proveedor.
Para guardar el proveedor actualizado, haga clic en Guardar.
Eliminar un proveedor
Para eliminar un proveedor, ejecuta el siguiente comando:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Haz los cambios siguientes:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personal
Restaurar un proveedor
Para restaurar un proveedor eliminado en los últimos 30 días, ejecuta el siguiente comando:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Haz los cambios siguientes:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personal
Gestionar JWKs de OIDC
En esta sección se explica cómo gestionar las JWKs de OIDC en proveedores de grupos de identidades de empleados.
Crear un proveedor y subir JWKs de OIDC
Para crear JWKs de OIDC, consulta Implementaciones de JWT, JWS, JWE, JWK y JWA.
Para subir un archivo JWK de OIDC al crear un proveedor de grupos de empleados, ejecuta el comando gcloud iam workforce-pools providers create-oidc con --jwk-json-path="JWK_JSON_PATH".
Sustituye JWK_JSON_PATH por la ruta al archivo JSON de JWKs.
Esta operación sube las claves del archivo.
Actualizar JWKs de OIDC
Para actualizar las JWKs de OIDC, ejecuta el comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH".
Sustituye JWK_JSON_PATH por la ruta al archivo JSON de JWKs.
Esta operación sustituye las claves subidas por las del archivo.
Eliminar todos los JWKs de OIDC subidos
Para eliminar todos los JWKs de OIDC subidos y usar el URI del emisor para obtener las claves, ejecuta el comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH".
Sustituye JWK_JSON_PATH por la ruta a un archivo vacío.
Usa la marca --issuer-uri para definir el URI del emisor.
Con esta operación se eliminarán todas las llaves que hayas subido.
Siguientes pasos
- Configurar la federación de identidades de los empleados con Microsoft Entra ID e iniciar sesión de los usuarios
- Configurar la federación de identidades de los empleados con Okta e iniciar sesión de los usuarios
- Eliminar usuarios de la federación de identidades de la plantilla y sus datos
- Consulta qué Google Cloud productos son compatibles con Workforce Identity Federation.