ניהול ספקים של מאגרי זהויות של כוח עבודה

במדריך הזה מוסבר איך מבצעים פעולות נפוצות בעזרת איחוד שירותי אימות הזהות של כוח העבודה. כדי להגדיר את איחוד שירותי אימות הזהויות של כוח העבודה, אפשר לעיין במדריכים הבאים:

לפני שמתחילים

  1. צריך להגדיר ארגון ב- Google Cloud .

  2. התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

    gcloud init

    אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

ניהול מאגרים

בקטע הזה מוסבר איך לנהל מאגרי זהויות של כוח העבודה.

יצירת מאגר

כדי ליצור מאגר של כוח העבודה, מפעילים את הפקודה הבאה:

gcloud

כדי ליצור את מאגר הזהויות של כוח העבודה, מריצים את הפקודה הבאה:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_POOL_ID: המזהה שבחרתם כדי לייצג את Google Cloud מאגר כוח העבודה. המזהה של המאגר חייב להיות ייחודי באופן גלובלי בכל מאגרי הזהויות של כוח העבודה ב- Google Cloud. מידע על הפורמט של המזהה מופיע בקטע פרמטרים של שאילתה במאמרי העזרה של ה-API.
  • ORGANIZATION_ID: מזהה הארגון (מספרי) של Google Cloud הארגון שלכם במאגר הזהויות של כוח העבודה. מאגרי זהויות של כוח עבודה זמינים בכל הפרויקטים והתיקיות בארגון.
  • DISPLAY_NAME: אופציונלי. השם המוצג של מאגר הזהויות של כוח העבודה.
  • DESCRIPTION: אופציונלי. תיאור של מאגר הזהויות של כוח העבודה.
  • SESSION_DURATION: אופציונלי. משך הסשן, שמוצג כמספר עם התוספת s—לדוגמה, 3600s. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד), החיבור לסשן והחיבור ל-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud משך הסשן מוגדר כברירת מחדל לשעה אחת (3,600 שניות). ערך משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

המסוף

כדי ליצור את מאגר הזהויות של כוח העבודה:

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בוחרים את הארגון שרוצים ליצור בו מאגר זהויות של כוח העבודה. מאגרי זהויות של כוח עבודה זמינים בכל הפרויקטים והתיקיות בארגון.

  3. לוחצים על Create pool ומבצעים את הפעולות הבאות:

    1. בשדה Name, מזינים את שם התצוגה של המאגר. מזהה המאגר נוצר אוטומטית מהשם בזמן ההקלדה, והוא מוצג מתחת לשדה שם. כדי לעדכן את מזהה המאגר, לוחצים על עריכה לצד מזהה המאגר.

    2. אופציונלי: בשדה Description (תיאור), מזינים תיאור של המאגר.

    3. כדי ליצור את מאגר הזהויות של כוח העבודה, לוחצים על Next.

משך הסשן במאגר הזהויות של כוח העבודה הוא שעה (3,600 שניות) כברירת מחדל. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד) והחיבור לסשן והחיבור ל-ה-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud אחרי שיוצרים את המאגר, אפשר לעדכן את המאגר כדי להגדיר משך סשן בהתאמה אישית. משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

תיאור מאגר

gcloud

כדי לתאר מאגר מסוים של כוח העבודה באמצעות ה-CLI של gcloud, מפעילים את הפקודה הבאה:

gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
    --location=global

מחליפים את WORKFORCE_POOL_ID במזהה מאגר כוח העבודה שנבחר כשהמאגר נוצר.

המסוף

כדי לתאר מאגר מסוים של כוח העבודה באמצעות המסוף Google Cloud :

  1. עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בקטע מאגרי כוח עבודה, בוחרים את המאגר.

הצגת רשימה של מאגרים

gcloud

כדי להציג את רשימת מאגרי כוח העבודה בארגון, מריצים את הפקודה הבאה:

gcloud iam workforce-pools list \
    --organization=ORGANIZATION_ID \
    --location=global

מחליפים את ORGANIZATION_ID במזהה הארגון.

המסוף

כדי להציג את רשימת מאגרי כוח העבודה באמצעות המסוף Google Cloud , מבצעים את הפעולות הבאות:

  1. עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בטבלה, מעיינים ברשימת המאגרים.

עדכון מאגר

gcloud

כדי לעדכן מאגר כוח עבודה ספציפי, מריצים את הפקודה הבאה:

gcloud iam workforce-pools update WORKFORCE_POOL_ID \
    --description=DESCRIPTION \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_POOL_ID: מזהה מאגר כוח העבודה
  • DESCRIPTION: תיאור המאגר

המסוף

כדי לעדכן מאגר כוח עבודה ספציפי באמצעות מסוף Google Cloud :

  1. עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בטבלה, בוחרים את המאגר.

  3. מעדכנים את הפרמטרים של המאגר.

  4. לוחצים על שמירת המאגר.

מחיקת מאגר

gcloud

כדי למחוק מאגר זהויות של כוח עבודה, מריצים את הפקודה הבאה:

gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
    --location=global

מחליפים את WORKFORCE_POOL_ID במזהה מאגר כוח העבודה.

המסוף

כדי למחוק מאגר מסוים של כוח העבודה באמצעות מסוף Google Cloud :

  1. עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בקטע Workforce pools, לוחצים על Delete במאגר שרוצים למחוק.

  3. פועלים לפי ההוראות הנוספות.

ביטול מחיקת מאגר

אפשר לבטל מחיקה של מאגר זהויות של כוח עבודה שנמחק במהלך 30 הימים האחרונים.

כדי לבטל מחיקה של מאגר, מפעילים את הפקודה הבאה:

gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
    --location=global

מחליפים את WORKFORCE_POOL_ID במזהה מאגר כוח העבודה.

הגדרת ספק במאגר כוח העבודה

כאן מוסבר איך משתמשים בפקודות gcloud כדי להגדיר ספקי מאגר זהויות של כוח עבודה:

יצירת ספק OIDC

כאן מוסבר איך ליצור ספק מאגר זהויות של כוח עבודה ב-OIDC IdP.

gcloud

זרימת קוד

כדי ליצור ספק OIDC שמשתמש בהרשאה באמצעות קוד לצורך כניסה לאינטרנט, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_PROVIDER_ID: מזהה ייחודי של ספק מאגר הזהויות של כוח העבודה. התוספת לשם המאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של מאגר זהויות של כוח עבודה או של ספק מאגר זהויות של כוח עבודה.
  • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה שאליו רוצים לחבר את ה-IdP.
  • DISPLAY_NAME: שם תצוגה ידידותי למשתמש בשביל הספק (לא חובה); לדוגמה, idp-eu-employees.
  • DESCRIPTION: תיאור של ספק כוח העבודה (לא חובה), לדוגמה, IdP for Partner Example Organization employees.
  • ISSUER_URI: ה-URI של מנפיק OIDC, בפורמט URI תקין שמתחיל ב-https. לדוגמה: https://example.com/oidc. הערה: מטעמי אבטחה, ISSUER_URI צריך להשתמש בסכמת HTTPS.
  • OIDC_CLIENT_ID: מזהה הלקוח ב-OIDC שרשום ב-IdP של OIDC. המזהה צריך להיות תואם להצהרת aud של ה-JWT שמונפקת על ידי ה-IdP.
  • OIDC_CLIENT_SECRET: סוד הלקוח ב-OIDC.
  • WEB_SSO_ADDITIONAL_SCOPES: היקפי הרשאות אופציונליים לשליחה ל-IdP של OIDC בשביל המסוף (איחוד) או בשביל כניסה באמצעות הדפדפן ל-CLI של gcloud.
  • ATTRIBUTE_MAPPING: מיפוי מאפיינים. דוגמה למיפוי מאפיינים: 
    google.subject=assertion.oid
google.groups=assertion.groups,
attribute.costcenter=assertion.costcenter
     בדוגמה הזו, מאפייני ה-IdP‏ assertion.oid,‏ assertion.groups ו-assertion.costcenter בטענת הנכונות (assertion) של OIDC ממופים למאפיינים Google Cloud ‏ google.subject,‏ google.groups ו-attribute.costcenter בהתאמה.
  • ATTRIBUTE_CONDITION: תנאי של מאפיין, לדוגמה assertion.role == 'gcp-users'. התנאי הזה מבטיח שרק משתמשים עם התפקיד gcp-users יוכלו להיכנס באמצעות הספק הזה.
  • JWK_JSON_PATH: נתיב אופציונלי למפתחות JWK ב-OIDC שהועלו באופן מקומי. אם לא מוסיפים את הפרמטר הזה,המערכת של Google Cloud תשתמש בנתיב /.well-known/openid-configuration של ה-IdP כדי למצוא את מפתחות ה-JWK שמכילים את המפתחות הציבוריים. למידע נוסף על מפתחות JWK של OIDC שהועלו באופן מקומי, אפשר לעיין במאמר בנושא ניהול מפתחות JWK של OIDC.

  • איחוד שירותי אימות הזהות של כוח עבודה יוצר יומני ביקורת מפורטים שכוללים מידע שהתקבל מ-IdP ב-Logging. רישום מפורט ביומן הביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

    כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

בתשובה לפקודה, POOL_RESOURCE_NAME הוא שם המאגר. לדוגמה: locations/global/workforcePools/enterprise-example-organization-employees.

זרם הענקת גישה משתמע

כדי ליצור ספק זהויות של כוח עבודה ב-OIDC שמשתמש בזרם הענקת גישה משתמע בשביל כניסה לאינטרנט, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_PROVIDER_ID: מזהה ייחודי של ספק מאגר הזהויות של כוח העבודה. התוספת לשם המאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של מאגר זהויות של כוח עבודה או של ספק מאגר זהויות של כוח עבודה.
  • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה שאליו רוצים לחבר את ה-IdP.
  • DISPLAY_NAME: שם תצוגה ידידותי למשתמש בשביל הספק (לא חובה); לדוגמה, idp-eu-employees.
  • DESCRIPTION: תיאור של ספק כוח העבודה (לא חובה), לדוגמה, IdP for Partner Example Organization employees.
  • ISSUER_URI: ה-URI של מנפיק OIDC, בפורמט URI תקין שמתחיל ב-https. לדוגמה: https://example.com/oidc. הערה: מטעמי אבטחה, ISSUER_URI צריך להשתמש בסכמת HTTPS.
  • OIDC_CLIENT_ID: מזהה הלקוח ב-OIDC שרשום ב-IdP של OIDC. המזהה צריך להיות תואם להצהרת aud של ה-JWT שמונפקת על ידי ה-IdP.
  • WEB_SSO_ADDITIONAL_SCOPES: היקפי הרשאות אופציונליים לשליחה ל-IdP של OIDC בשביל המסוף (איחוד) או בשביל כניסה באמצעות הדפדפן ל-CLI של gcloud.
  • ATTRIBUTE_MAPPING: מיפוי מאפיינים. דוגמה למיפוי מאפיינים: 
    google.subject=assertion.oid
google.groups=assertion.groups,
attribute.costcenter=assertion.costcenter
     בדוגמה הזו, מאפייני ה-IdP‏ assertion.oid,‏ assertion.groups ו-assertion.costcenter בטענת הנכונות (assertion) של OIDC ממופים למאפיינים Google Cloud ‏ google.subject,‏ google.groups ו-attribute.costcenter בהתאמה.
  • ATTRIBUTE_CONDITION: תנאי של מאפיין, לדוגמה assertion.role == 'gcp-users'. התנאי הזה מבטיח שרק משתמשים עם התפקיד gcp-users יוכלו להיכנס באמצעות הספק הזה.
  • JWK_JSON_PATH: נתיב אופציונלי למפתחות JWK ב-OIDC שהועלו באופן מקומי. אם לא מוסיפים את הפרמטר הזה,המערכת של Google Cloud תשתמש בנתיב /.well-known/openid-configuration של ה-IdP כדי למצוא את מפתחות ה-JWK שמכילים את המפתחות הציבוריים. למידע נוסף על מפתחות JWK של OIDC שהועלו באופן מקומי, אפשר לעיין במאמר בנושא ניהול מפתחות JWK של OIDC.

  • איחוד שירותי אימות הזהות של כוח עבודה יוצר יומני ביקורת מפורטים שכוללים מידע שהתקבל מ-IdP ב-Logging. רישום מפורט ביומן הביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

    כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

בתשובה לפקודה, POOL_RESOURCE_NAME הוא שם המאגר. לדוגמה: locations/global/workforcePools/enterprise-example-organization-employees.

המסוף

זרימת קוד

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בטבלה Workforce Identity Pools (מאגרי זהויות של כוח עבודה), בוחרים את המאגר שעבורו רוצים ליצור את הספק.

  3. בקטע ספקים, לוחצים על הוספת ספק.

  4. ברשימה Select a Provider vendor בוחרים את ספק ה-IdP.

    אם ספק הזהויות שלכם לא מופיע ברשימה, בוחרים באפשרות ספק זהויות כללי.

  5. בקטע Select an authentication protocol, בוחרים באפשרות OpenID Connect (OIDC).

  6. בקטע Create a provider (יצירת ספק), מבצעים את הפעולות הבאות:

    1. בקטע שם, מזינים את שם הספק.
    2. בשדה תיאור, מזינים את התיאור של הספק.
    3. בקטע מנפיק (כתובת URL), מזינים את ה-URI של המנפיק. ה-URI של מנפיק OIDC צריך להיות בפורמט URI תקין ולהתחיל ב-https. לדוגמה: https://example.com/oidc.
    4. בקטע מזהה לקוח, מזינים את מזהה הלקוח ב-OIDC שרשום ב-IdP של OIDC. המזהה צריך להיות תואם להצהרת aud של ה-JWT שמונפקת על ידי ה-IdP.

    5. כדי ליצור ספק שמופעל, מוודאים שהאפשרות הפעלת הספק מופעלת.

    6. לוחצים על Continue.

  7. בקטע Share your provider information with IdP (שיתוף פרטי הספק עם IdP), מעתיקים את כתובת ה-URL. ב-IdP, מגדירים את כתובת ה-URL הזו כ-URI להפניה אוטומטית, כדי שה-IdP יידע לאן לשלוח את אסימון טענת הנכוֹנוּת (assertion) אחרי הכניסה לחשבון.

  8. לוחצים על Continue.

  9. בקטע Configure OIDC Web Sign-in (הגדרת כניסה לאינטרנט באמצעות OIDC), מבצעים את הפעולות הבאות:

    1. ברשימה סוג הזרימה, בוחרים באפשרות קוד.

    2. ברשימה Assertion claims behavior, בוחרים באחת מהאפשרויות הבאות:

      • פרטי משתמש ואסימון מזהה
      • אסימון מזהה בלבד

    3. בשדה Client secret (סוד הלקוח), מזינים את סוד הלקוח מספק ה-IdP.

    4. אופציונלי: אם בחרתם ב-Okta כספק הזהויות, מוסיפים היקפי הרשאות נוספים של OIDC בשדה Additional scopes beyond openid, profile, and email (היקפי הרשאות נוספים מעבר ל-openid, לפרופיל ולאימייל).

  10. לוחצים על Continue.

  11. בקטע Configure provider, אפשר להגדיר מיפוי מאפיינים ותנאי מאפיינים. כדי ליצור מיפוי מאפיינים, מבצעים את הפעולות הבאות. אפשר לציין את שם השדה של IdP או ביטוי בפורמט CEL שמחזיר מחרוזת.

    1. חובה: בשדה OIDC 1, מזינים את הנושא מ-IdP – לדוגמה, assertion.sub.

    2. אופציונלי: כדי להוסיף מיפויים נוספים של מאפיינים:

      1. לוחצים על הוספת מיפוי.
      2. ב-Google n, כאשר n הוא מספר, מזינים אחד מהמקשים הנתמכים ב-Google Cloud.
      3. בשדה המתאים OIDC n, מזינים את השם של השדה הספציפי ל-IdP שרוצים למפות, בפורמט CEL.

    3. אם בחרתם ב-Microsoft Entra ID כספק הזהויות, אתם יכולים להגדיל את מספר הקבוצות.

      1. בוחרים באפשרות שימוש במאפיינים נוספים.
      2. בשדה Extra Attributes Issuer URI (מזהה URI של מנפיק מאפיינים נוספים), מזינים את כתובת ה-URL של המנפיק.
      3. בשדה מזהה לקוח של מאפיינים נוספים, מזינים את מזהה הלקוח.
      4. בשדה Extra Attributes Client Secret (סוד לקוח של מאפיינים נוספים), מזינים את סוד הלקוח.
      5. ברשימה Extra Attributes Type, בוחרים סוג מאפיין למאפיינים נוספים.
      6. בשדה Extra Attributes Filter, מזינים ביטוי סינון שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות.

    4. כדי ליצור תנאי מאפיין:

      1. לוחצים על הוספת תנאי.
      2. בשדה Attribute Conditions, מזינים תנאי בפורמט CEL. לדוגמה: assertion.role == 'gcp-users'. התנאי הזה מבטיח שרק משתמשים עם התפקיד gcp-users יוכלו להיכנס באמצעות הספק הזה.

    5. כדי להפעיל רישום מפורט ביומן הביקורת, בקטע רישום מפורט, לוחצים על המתג הפעלת רישום ביומן הביקורת של ערכי מאפיינים.

      איחוד שירותי אימות הזהות של כוח עבודה יוצר יומני ביקורת מפורטים שכוללים מידע שהתקבל מ-IdP ב-Logging. רישום מפורט ביומן הביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

      כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

  12. כדי ליצור את הספק, לוחצים על Submit (שליחה).

זרם הענקת גישה משתמע

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בטבלה Workforce Identity Pools (מאגרי זהויות של כוח עבודה), בוחרים את המאגר שעבורו רוצים ליצור את הספק.

  3. בקטע ספקים, לוחצים על הוספת ספק.

  4. ברשימה Select a Provider vendor בוחרים את ספק ה-IdP.

    אם ספק הזהויות שלכם לא מופיע ברשימה, בוחרים באפשרות ספק זהויות כללי.

  5. בקטע Select an authentication protocol, בוחרים באפשרות OpenID Connect (OIDC).

  6. בקטע Create a provider (יצירת ספק), מבצעים את הפעולות הבאות:

    1. בקטע שם, מזינים את שם הספק.
    2. בשדה תיאור, מזינים את התיאור של הספק.
    3. בקטע מנפיק (כתובת URL), מזינים את ה-URI של המנפיק. ה-URI של מנפיק OIDC צריך להיות בפורמט URI תקין ולהתחיל ב-https. לדוגמה: https://example.com/oidc.
    4. בקטע מזהה לקוח, מזינים את מזהה הלקוח ב-OIDC שרשום ב-IdP של OIDC. המזהה צריך להיות תואם להצהרת aud של ה-JWT שמונפקת על ידי ה-IdP.
    5. כדי ליצור ספק שמופעל, מוודאים שהאפשרות הפעלת הספק מופעלת.
    6. לוחצים על Continue.

  7. בקטע Share your provider information with IdP (שיתוף פרטי הספק עם IdP), מעתיקים את כתובת ה-URL. ב-IdP, מגדירים את כתובת ה-URL הזו ככתובת ה-URI להפניה אוטומטית, שמציינת ל-IdP לאן לשלוח את אסימון הנכוֹנוּת אחרי הכניסה לחשבון.

  8. לוחצים על Continue.

  9. בקטע Configure OIDC Web Sign-in (הגדרת כניסה לאינטרנט באמצעות OIDC), מבצעים את הפעולות הבאות:

    1. ברשימה סוג התהליך, בוחרים באפשרות ID Token.

    2. ברשימה Assertion claims behavior (התנהגות של הצהרות על טענות), האפשרות ID token (טוקן מזהה) מסומנת.

    3. אופציונלי: אם בחרתם ב-Okta כספק הזהויות, מוסיפים היקפי הרשאות נוספים של OIDC בשדה Additional scopes beyond openid, profile, and email (היקפי הרשאות נוספים מעבר ל-openid, לפרופיל ולאימייל).

  10. לוחצים על Continue.

  11. בקטע Configure provider, אפשר להגדיר מיפוי מאפיינים ותנאי מאפיינים. כדי ליצור מיפוי מאפיינים, מבצעים את הפעולות הבאות. אפשר לציין את שם השדה של IdP או ביטוי בפורמט CEL שמחזיר מחרוזת.

    1. חובה: ב-OIDC 1, מזינים את הנושא מ-IdP. לדוגמה, assertion.sub.

    2. אופציונלי: כדי להוסיף מיפויים נוספים של מאפיינים:

      1. לוחצים על הוספת מיפוי.
      2. ב-Google n, כאשר n הוא מספר, מזינים אחד מהמקשים הנתמכים ב-Google Cloud.
      3. בשדה המתאים OIDC n, מזינים את השם של השדה הספציפי ל-IdP שרוצים למפות, בפורמט CEL.

    3. אם בחרתם ב-Microsoft Entra ID כספק הזהויות, אתם יכולים להגדיל את מספר הקבוצות.

      1. בוחרים באפשרות שימוש במאפיינים נוספים.
      2. בשדה Extra Attributes Issuer URI (מזהה URI של מנפיק מאפיינים נוספים), מזינים את כתובת ה-URL של המנפיק.
      3. בשדה מזהה לקוח של מאפיינים נוספים, מזינים את מזהה הלקוח.
      4. בשדה Extra Attributes Client Secret (סוד לקוח של מאפיינים נוספים), מזינים את סוד הלקוח.
      5. ברשימה Extra Attributes Type, בוחרים סוג מאפיין למאפיינים נוספים.
      6. בשדה Extra Attributes Filter, מזינים ביטוי סינון שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות.

    4. כדי ליצור תנאי מאפיין:

      1. לוחצים על הוספת תנאי.
      2. בשדה Attribute Conditions, מזינים תנאי בפורמט CEL. לדוגמה: assertion.role == 'gcp-users'. התנאי הזה מבטיח שרק משתמשים עם התפקיד gcp-users יוכלו להיכנס באמצעות הספק הזה.

    5. כדי להפעיל רישום מפורט ביומן הביקורת, בקטע רישום מפורט, לוחצים על המתג הפעלת רישום ביומן הביקורת של ערכי מאפיינים.

      איחוד שירותי אימות הזהות של כוח עבודה יוצר יומני ביקורת מפורטים שכוללים מידע שהתקבל מ-IdP ב-Logging. רישום מפורט ביומן הביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

      כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

  12. כדי ליצור את הספק, לוחצים על Submit (שליחה).

יצירת ספק SAML

כאן מוסבר איך ליצור ספק מאגר זהויות של כוח עבודה בספק זהויות ב-SAML.

gcloud

כדי ליצור את הספק, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --detailed-audit-logging \
    --location="global"

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_PROVIDER_ID: המזהה של ספק כוח העבודה
  • WORKFORCE_POOL_ID: מזהה מאגר כוח העבודה

  • ATTRIBUTE_MAPPING: מיפוי מאפיינים. לדוגמה, כדי למפות נושא, מיפוי המאפיין מתבצע כך:

    
google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.department=assertion.attributes.department[0]

  • ATTRIBUTE_CONDITION: תנאי של מאפיין (לא חובה); לדוגמה, assertion.subject.endsWith("@example.com")

  • XML_METADATA_PATH: הנתיב לקובץ המטא-נתונים בפורמט XML מה-IdP

התוספת לשם המאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של מאגר זהויות של כוח עבודה או של ספק מאגר זהויות של כוח עבודה.

הפקודה הזו מקצה את הנושא ואת המחלקה בטענת הנכונות (assertion) של SAML למאפיינים google.subject ו-attribute.department, בהתאמה. בנוסף, התנאי של המאפיין מבטיח שרק משתמשים עם נושא שמסתיים ב-@example.com יוכלו להיכנס באמצעות ספק כוח העבודה הזה.

איחוד שירותי אימות הזהות של כוח עבודה יוצר יומני ביקורת מפורטים שכוללים מידע שהתקבל מ-IdP ב-Logging. רישום מפורט ביומן הביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

המסוף

כדי להגדיר ספק שתומך ב-SAML באמצעות מסוף Google Cloud :

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בטבלה Workforce Identity Pools (מאגרי זהויות של כוח עבודה), בוחרים את המאגר שרוצים ליצור לו את הספק.

  3. בקטע ספקים, לוחצים על הוספת ספק.

  4. ברשימה Select a Provider vendor בוחרים את ספק ה-IdP.

    אם ספק ה-IdP שלכם לא מופיע ברשימה, בוחרים באפשרות ספק זהויות כללי.

  5. בקטע Select an authentication protocol (בחירת פרוטוקול אימות), בוחרים באפשרות SAML.

  6. בקטע Create a provider (יצירת ספק), מבצעים את הפעולות הבאות:

    1. בשדה שם, מזינים שם לספק.

    2. אופציונלי: בשדה Description, מזינים תיאור של הספק.

    3. בקטע IDP metadata file (XML) (קובץ מטא-נתונים של ספק הזהויות (XML)), בוחרים את קובץ ה-XML של המטא-נתונים שיצרתם קודם במדריך הזה.

    4. כדי ליצור ספק שמופעל, מוודאים שהאפשרות הפעלת הספק מופעלת.

    5. לוחצים על Continue.

  7. בקטע Share your provider information, מעתיקים את כתובות ה-URL. ב-IdP, מגדירים את כתובת ה-URL הראשונה כמזהה ישות ב-SAML, שמזהה את האפליקציה שלכם ב-IdP. מגדירים את כתובת ה-URL השנייה כמזהה ה-URI להפניה אוטומטית, שמציין ל-IdP לאן לשלוח את אסימון האישור אחרי הכניסה.

  8. לוחצים על Continue.

  9. בקטע Configure provider (הגדרת ספק), מבצעים את הפעולות הבאות:

    1. בקטע מיפוי מאפיינים, מזינים ביטוי CEL עבור google.subject.

    2. אופציונלי: כדי להזין מיפויים אחרים, לוחצים על הוספת מיפוי ומזינים מיפויים אחרים – לדוגמה:

      google.subject=assertion.oid
attribute.costcenter=assertion.attributes.costcenter[0]
       בדוגמה הזו, מאפייני ה-IdP‏ assertion.oid ו-assertion.attributes.costcenter[0] ממופים למאפיינים Google Cloud ‏ google.subject ו-attribute.costcenter, בהתאמה.

    3. אם בחרתם ב-Microsoft Entra ID כספק הזהויות שלכם, אתם יכולים להגדיל את מספר הקבוצות על ידי ביצוע הפעולות הבאות:

      1. בוחרים באפשרות שימוש במאפיינים נוספים.
      2. בשדה Extra Attributes Issuer URI (מזהה URI של מנפיק מאפיינים נוספים), מזינים את כתובת ה-URL של המנפיק.
      3. בשדה מזהה לקוח של מאפיינים נוספים, מזינים את מזהה הלקוח.
      4. בשדה Extra Attributes Client Secret (סוד לקוח של מאפיינים נוספים), מזינים את סוד הלקוח.
      5. ברשימה Extra Attributes Type, בוחרים סוג מאפיין למאפיינים נוספים.
      6. בשדה Extra Attributes Filter, מזינים ביטוי סינון שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות.

    4. אופציונלי: כדי להוסיף תנאי של מאפיין, לוחצים על הוספת תנאי ומזינים ביטוי CEL שמייצג תנאי של מאפיין. לדוגמה, כדי להגביל את המאפיין ipaddr לטווח מסוים של כתובות IP, אפשר ליצור את התנאי assertion.attributes.ipaddr.startsWith('98.11.12.'). התנאי הזה מבטיח שרק משתמשים עם כתובת IP שמתחילה ב-98.11.12. יוכלו להיכנס באמצעות ספק הזהויות הזה לכוח העבודה.

    5. לוחצים על Continue.

    6. כדי להפעיל רישום מפורט ביומן הביקורת, בקטע רישום מפורט, לוחצים על המתג הפעלת רישום ביומן הביקורת של ערכי מאפיינים.

      איחוד שירותי אימות הזהות של כוח עבודה יוצר יומני ביקורת מפורטים שכוללים מידע שהתקבל מ-IdP ב-Logging. רישום מפורט ביומן הביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

      כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

  10. כדי ליצור את הספק, לוחצים על Submit (שליחה).

תיאור ספק

gcloud

כדי לתאר ספק, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers describe PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • PROVIDER_ID: מזהה הספק
  • WORKFORCE_POOL_ID: מזהה מאגר כוח העבודה

המסוף

כדי להציג ספק:

  1. עוברים לדף Workforce Identity Pools:

כניסה לדף Workforce Identity Pools

  1. בטבלה, בוחרים את המאגר שרוצים לראות את הספק שלו.

  2. בטבלה ספקים, בוחרים את הספק.

הצגת רשימה של ספקים

gcloud

כדי להציג רשימת ספקים, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers list \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

מחליפים את WORKFORCE_POOL_ID במזהה מאגר כוח העבודה.

המסוף

כדי להציג ספק:

  1. עוברים לדף Workforce Identity Pools:

כניסה לדף Workforce Identity Pools

  1. בטבלה, בוחרים את מאגר הערוצים שרוצים לראות את הרשימה של הספקים שלו.

  2. בטבלה ספקים אפשר לראות רשימה של ספקים.

עדכון ספק

gcloud

כדי לעדכן ספק OIDC לאחר היצירה, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --description="DESCRIPTION" \
    --detailed-audit-logging \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • PROVIDER_ID: מזהה הספק
  • WORKFORCE_POOL_ID: מזהה מאגר כוח העבודה
  • DESCRIPTION: התיאור
  • כדי להפעיל רישום מפורט ביומן הביקורת, מוסיפים את הדגל --detailed-audit-logging ל-gcloud iam workforce-pools providers update. כדי להשבית את הרישום המפורט ביומני הביקורת, מוסיפים את הדגל --no-detailed-audit-logging לפקודת העדכון.

המסוף

כדי להציג ספק:

  1. עוברים לדף Workforce Identity Pools:

כניסה לדף Workforce Identity Pools

  1. בטבלה, בוחרים את המאגר שרוצים לראות את הספק שלו.

  2. בטבלה ספקים, לוחצים על עריכה.

  3. מעדכנים את הספק.

  4. כדי לשמור את הספק המעודכן, לוחצים על שמירה.

מחיקת ספק

כדי למחוק ספק, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers delete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • PROVIDER_ID: מזהה הספק
  • WORKFORCE_POOL_ID: מזהה מאגר כוח העבודה

ביטול מחיקת ספק

כדי לבטל מחיקה של ספק שנמחק במהלך 30 הימים האחרונים, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers undelete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • PROVIDER_ID: מזהה הספק
  • WORKFORCE_POOL_ID: מזהה מאגר כוח העבודה

ניהול מפתחות JWK של OIDC

בקטע הזה מוסבר איך לנהל מפתחות JWKS של OIDC עבור ספקים של מאגר זהויות של כוח עבודה.

יצירת הספק והעלאה של מפתחות JWKs של OIDC

כדי ליצור מפתחות JWK של OIDC, יש לעיין במאמר הטמעה של JWT,‏ JWS,‏ JWE,‏ JWK ו-JWA.

כדי להעלות קובץ מפתח JWK ב-OIDC כשיוצרים ספק של מאגר זהויות של כוח עבודה, מריצים את הפקודה gcloud iam workforce-pools providers create-oidc עם הפרמטרים --jwk-json-path="JWK_JSON_PATH". מחליפים את הערך של JWK_JSON_PATH בנתיב שלכם לקובץ מפתחות ה-JWK ב-JSON.

הפעולה הזו מעלה את המפתחות מהקובץ.

עדכון מפתחות JWK ב-OIDC

כדי לעדכן את מפתחות JWK ב-OIDC, מפעילים את הפקודה gcloud iam workforce-pools providers update-oidc עם הפרמטרים --jwk-json-path="JWK_JSON_PATH". מחליפים את הערך של JWK_JSON_PATH בנתיב שלכם לקובץ מפתחות ה-JWK ב-JSON.

הפעולה הזו מחליפה מפתחות העלאה קיימים עם המפתחות שבקובץ.

מחיקה של כל מפתחות ה-JWK של OIDC שהועלו

כדי למחוק את כל מפתחות ה-JWK של OIDC שהועלו ולחזור להשתמש ב-URI של המוסד המנפיק כדי לאחזר את המפתחות, מריצים את הפקודה gcloud iam workforce-pools providers update-oidc עם הפרמטרים --jwk-json-path="JWK_JSON_PATH". מחליפים את הערך ב-JWK_JSON_PATH בנתיב לקובץ ריק. משתמשים בדגל --issuer-uri כדי להגדיר את ה-URI של המנפיק.

הפעולה הזו תמחק את כל מפתחות ההעלאה הקיימים.

המאמרים הבאים