Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire i provider di pool di identità per la forza lavoro

Questa guida descrive come eseguire operazioni comuni con la federazione delle identità per la forza lavoro. Per configurare la federazione delle identità per la forza lavoro, consulta le seguenti guide:

Configurare la federazione delle identità per la forza lavoro con Microsoft Entra ID e accedere agli utenti
Configurare la federazione delle identità per la forza lavoro con Okta e accedere agli utenti
Configurare la federazione delle identità per la forza lavoro su un IdP che supporta OIDC o SAML

Prima di iniziare

Devi aver configurato un'organizzazione Google Cloud .
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
```
gcloud init
```
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Nota:se hai installato gcloud CLI in precedenza, assicurati di avere l'ultima versione eseguendo gcloud components update.

Gestisci i pool

Questa sezione mostra come gestire i pool di identità della forza lavoro.

Creare un pool

Per creare un pool di forza lavoro, esegui questo comando:

gcloud

Per creare il pool di identità per la forza lavoro, esegui questo comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Sostituisci quanto segue:

WORKFORCE_POOL_ID: un ID che scegli per rappresentare il tuo pool di forza lavoro Google Cloud . Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
ORGANIZATION_ID: l'ID numerico dell'organizzazione della tua organizzazione Google Cloud per il pool di identità della forza lavoro. I pool di identità della forza lavoro sono disponibili in tutti i progetti e nelle cartelle dell'organizzazione.
DISPLAY_NAME: (Facoltativo) Un nome visualizzato per il tuo pool di identità della forza lavoro.
DESCRIPTION: (Facoltativo) Una descrizione del pool di identità della forza lavoro.
SESSION_DURATION: (Facoltativo) La durata della sessione, espressa come numero a cui è aggiunto s, ad esempio 3600s. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e le sessioni di accesso a gcloud CLI di questo pool di forza lavoro. Per impostazione predefinita, la durata della sessione è di un'ora (3600 secondi). Il valore della durata della sessione deve essere compreso tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Console

Per creare il pool di identità per la forza lavoro:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Seleziona l'organizzazione per il tuo pool di identità della forza lavoro. I pool di identità del personale sono disponibili in tutti i progetti e le cartelle di un'organizzazione.
Fai clic su Crea pool e segui questi passaggi:
1. Nel campo Nome, inserisci il nome visualizzato del pool. L'ID pool viene derivato automaticamente dal nome durante la digitazione e viene visualizzato sotto il campo Nome. Puoi aggiornare l'ID pool facendo clic su Modifica accanto all'ID pool.
2. (Facoltativo) In Descrizione, inserisci una descrizione del pool.
3. Per creare il pool di identità per la forza lavoro, fai clic su Avanti.

La durata della sessione del pool di identità della forza lavoro è impostata su un'ora (3600 secondi) per impostazione predefinita. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e a gcloud CLI da questo pool di forza lavoro. Dopo aver creato il pool, puoi aggiornarlo per impostare una durata della sessione personalizzata. La durata della sessione deve essere compresa tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Descrivi un pool

gcloud

Per descrivere un pool di workforce specifico utilizzando gcloud CLI, esegui il seguente comando:

gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
    --location=global

Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro che hai scelto quando hai creato il pool.

Console

Per descrivere un pool di forza lavoro specifico utilizzando la console Google Cloud , svolgi le seguenti operazioni:

Vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
In Pool di forza lavoro, seleziona il pool.

Elenco pool

gcloud

Per elencare i pool di forza lavoro nell'organizzazione, esegui questo comando:

gcloud iam workforce-pools list \
    --organization=ORGANIZATION_ID \
    --location=global

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Console

Per elencare i pool di forza lavoro utilizzando la console Google Cloud , segui questi passaggi:

Vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Nella tabella, visualizza l'elenco dei pool.

Aggiorna un pool

gcloud

Per aggiornare un pool di forza lavoro specifico, esegui questo comando:

gcloud iam workforce-pools update WORKFORCE_POOL_ID \
    --description=DESCRIPTION \
    --location=global

Sostituisci quanto segue:

WORKFORCE_POOL_ID: l'ID pool di forza lavoro
DESCRIPTION: la descrizione del pool

Console

Per aggiornare un pool di forza lavoro specifico utilizzando la console Google Cloud , segui questi passaggi:

Vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Nella tabella, seleziona il pool.
Aggiorna i parametri del pool.
Fai clic su Save pool (Salva pool).

Eliminare un pool

gcloud

Per eliminare un pool di identità della forza lavoro, esegui questo comando:

gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
    --location=global

Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro.

Console

Per eliminare un pool di forza lavoro specifico utilizzando la console Google Cloud , procedi nel seguente modo:

Vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
In Pool di forza lavoro, fai clic su Elimina nel pool che vuoi eliminare.
Segui le istruzioni aggiuntive.

Annullare l'eliminazione di un pool

Puoi annullare l'eliminazione di un pool di identità della forza lavoro eliminato negli ultimi 30 giorni.

Per ripristinare un pool, esegui questo comando:

gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
    --location=global

Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro.

Configurare un provider all'interno del pool di forza lavoro

Questa sezione spiega come utilizzare i comandi gcloud per configurare i provider di pool di identità per la forza lavoro:

Crea un provider OIDC

Questa sezione descrive come creare un provider del pool di identità per la forza lavoro per un IdP OIDC.

gcloud

Flusso codice

Per creare un provider OIDC che utilizzi il flusso del codice di autorizzazione per l'accesso web, esegui il seguente comando:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: un ID provider del pool di identità forza lavoro univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.
WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui connettere il tuo IdP.
DISPLAY_NAME: Un nome visualizzato facoltativo e intuitivo per il fornitore, ad esempio idp-eu-employees.
DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempio IdP for Partner Example Organization employees.
ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia con https; ad esempio, https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.
OIDC_CLIENT_ID: l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
OIDC_CLIENT_SECRET: il client secret OIDC.
WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato sul browser alla console (federata) o a gcloud CLI.
ATTRIBUTE_MAPPING: una mappatura degli attributi. Di seguito è riportato un esempio di mapping degli attributi:
```
google.subject=assertion.sub,
google.groups=assertion.groups,
attribute.costcenter=assertion.costcenter
```
Questo esempio mappa gli attributi IdP subject, groups e costcenter nell'asserzione OIDC agli attributi google.subject, google.groups e attribute.costcenter, rispettivamente.
ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio, assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
JWK_JSON_PATH: un percorso facoltativo per un JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sulle chiavi JWK OIDC caricate localmente, consulta Gestisci le chiavi JWK OIDC.
Nota:i JWK OIDC locali possono essere caricati tramite flusso implicito o flusso di codice, ma possono essere utilizzati solo nel flusso programmatico, in cui chiami direttamente l'endpoint STS /token con una credenziale dell'IdP di terze parti da scambiare con un Google Cloud token di accesso per il tuo pool di forza lavoro. Non puoi utilizzare JWK OIDC locali quando accedi alla console (federata).
La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio, locations/global/workforcePools/enterprise-example-organization-employees.

Flusso implicito

Per creare un provider di pool di identità della forza lavoro OIDC che utilizza il flusso implicito per l'accesso web, esegui questo comando:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: un ID provider del pool di identità forza lavoro univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.
WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui connettere il tuo IdP.
DISPLAY_NAME: Un nome visualizzato facoltativo e intuitivo per il fornitore, ad esempio idp-eu-employees.
DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempio IdP for Partner Example Organization employees.
ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia con https; ad esempio, https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.
OIDC_CLIENT_ID: l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato sul browser alla console (federata) o a gcloud CLI.
ATTRIBUTE_MAPPING: una mappatura degli attributi. Di seguito è riportato un esempio di mapping degli attributi:
```
google.subject=assertion.sub,
google.groups=assertion.groups,
attribute.costcenter=assertion.costcenter
```
Questo esempio mappa gli attributi IdP subject, groups e costcenter nell'asserzione OIDC agli attributi google.subject, google.groups e attribute.costcenter, rispettivamente.
ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio, assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
JWK_JSON_PATH: un percorso facoltativo per un JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sulle chiavi JWK OIDC caricate localmente, consulta Gestisci le chiavi JWK OIDC.
Nota:i JWK OIDC locali possono essere caricati tramite flusso implicito o flusso di codice, ma possono essere utilizzati solo nel flusso programmatico, in cui chiami direttamente l'endpoint STS /token con una credenziale dell'IdP di terze parti da scambiare con un Google Cloud token di accesso per il tuo pool di forza lavoro. Non puoi utilizzare JWK OIDC locali quando accedi alla console (federata).
La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio, locations/global/workforcePools/enterprise-example-organization-employees.

Console

Flusso codice

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella sezione Provider, fai clic su Aggiungi provider.
Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

Se il tuo IdP non è elencato, seleziona Provider di identità generico.
In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).
Nella sezione Crea un fornitore, segui questi passaggi:
1. In Nome, inserisci il nome del provider.
2. In Descrizione, inserisci la descrizione del fornitore.
3. In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.
4. In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
5. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attivata.
6. Fai clic su Continua.
Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nel tuo IdP, configura questo URL come URI di reindirizzamento, che comunica all'IdP dove inviare il token di asserzione dopo l'accesso.
Fai clic su Continua.
Nella sezione Configura l'accesso web OIDC, segui questi passaggi:
1. Nell'elenco Tipo di flusso, seleziona Codice.
2. Nell'elenco Comportamento delle rivendicazioni di asserzione, seleziona una delle seguenti opzioni:
  - Informazioni utente e token ID
  - Solo token ID
3. Nel campo Client secret, inserisci il client secret del tuo IdP.
4. (Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.
Fai clic su Continua.
In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi, svolgi i seguenti passaggi. Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.
1. Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.
2. (Facoltativo) Per aggiungere altre mappature degli attributi:
  1. Fai clic su Aggiungi mappatura.
  2. In Google n, dove n è un numero, inserisci uno dei tasti supportati daGoogle Cloud.
  3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare, in formato CEL.
3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.
  1. Seleziona Usa attributi aggiuntivi.
  2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
  3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
  4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
  5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
  6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.
4. Per creare una condizione dell'attributo:
  
  Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
  1. Fai clic su Aggiungi condizione.
  2. Nel campo Attribute Conditions (Condizioni attributo), inserisci una condizione in formato CEL; ad esempio, assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
5. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
  La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.
  
  Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.
Per creare il fornitore, fai clic su Invia.

Flusso implicito

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella sezione Provider, fai clic su Aggiungi provider.
Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

Se il tuo IdP non è elencato, seleziona Provider di identità generico.
In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).
Nella sezione Crea un fornitore, segui questi passaggi:
1. In Nome, inserisci il nome del provider.
2. In Descrizione, inserisci la descrizione del fornitore.
3. In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.
4. In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
5. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attiva.
6. Fai clic su Continua.
Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nel tuo IdP, configura questo URL come URI di reindirizzamento, che comunica all'IdP dove inviare il token di asserzione dopo l'accesso.
Fai clic su Continua.
Nella sezione Configura l'accesso web OIDC, segui questi passaggi:
1. Nell'elenco Tipo di flusso, seleziona Token ID.
2. Nell'elenco Comportamento delle rivendicazioni di asserzione, è selezionato Token ID.
3. (Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.
Fai clic su Continua.
In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi, svolgi i seguenti passaggi. Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.
1. Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.
2. (Facoltativo) Per aggiungere altre mappature degli attributi:
  1. Fai clic su Aggiungi mappatura.
  2. In Google n, dove n è un numero, inserisci uno dei tasti supportati daGoogle Cloud.
  3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare, in formato CEL.
3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.
  1. Seleziona Usa attributi aggiuntivi.
  2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
  3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
  4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
  5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
  6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.
4. Per creare una condizione dell'attributo:
  
  Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
  1. Fai clic su Aggiungi condizione.
  2. Nel campo Attribute Conditions (Condizioni attributo), inserisci una condizione in formato CEL; ad esempio, assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
5. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
  La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.
  
  Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.
Per creare il fornitore, fai clic su Invia.

Crea un provider SAML

Questa sezione descrive come creare un provider del pool di identità per la forza lavoro per un IdP SAML.

gcloud

Per creare il provider, esegui questo comando:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --detailed-audit-logging \
    --location="global"

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: l'ID del provider di forza lavoro
WORKFORCE_POOL_ID: l'ID pool di forza lavoro

ATTRIBUTE_MAPPING: una mappatura degli attributi; ad esempio, per mappare un oggetto, la mappatura degli attributi è la seguente:


google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.department=assertion.attributes.department[0]

ATTRIBUTE_CONDITION: una condizione dell'attributo facoltativa; ad esempio, assertion.subject.endsWith("@example.com")
XML_METADATA_PATH: il percorso del file di metadati in formato XML del tuo IdP

Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.

Questo comando assegna l'oggetto e il reparto nell'asserzione SAML agli attributi google.subject e attribute.department, rispettivamente. Inoltre, la condizione dell'attributo garantisce che solo gli utenti con un oggetto che termina con @example.com possano accedere utilizzando questo provider di forza lavoro.

La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Console

Per configurare il provider SAML utilizzando la console Google Cloud , procedi nel seguente modo:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella sezione Fornitori, fai clic su Aggiungi fornitore.
Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

Se il tuo IdP non è elencato, seleziona Provider di identità generico.
In Seleziona un protocollo di autenticazione, seleziona SAML.
Nella sezione Crea un fornitore, segui questi passaggi:
1. In Nome, inserisci un nome per il provider.
2. (Facoltativo) In Descrizione, inserisci una descrizione del fornitore.
3. In IDP metadata file (XML) (File di metadati IDP (XML)), seleziona il file XML di metadati che hai generato in precedenza in questa guida.
4. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attiva.
5. Fai clic su Continua.
Nella sezione Condividi le informazioni del provider, copia gli URL. Nel tuo IdP, configura il primo URL come ID entità, che identifica la tua applicazione per l'IdP. Configura l'altro URL come URI di reindirizzamento, che indica all'IdP dove inviare il token di asserzione dopo l'accesso.
Fai clic su Continua.
Nella sezione Configura provider, segui questi passaggi:
1. In Mappatura degli attributi, inserisci un'espressione CEL per google.subject.
2. (Facoltativo) Per inserire altre mappature, fai clic su Aggiungi mappatura e inserisci altre mappature, ad esempio:
```
google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
```
  Questo esempio mappa gli attributi IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] agli attributi Google Cloud google.subject, google.groups e google.costcenter, rispettivamente.
3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi nel seguente modo:
  1. Seleziona Usa attributi aggiuntivi.
  2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
  3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
  4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
  5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
  6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.
4. (Facoltativo) Per aggiungere una condizione dell'attributo, fai clic su Aggiungi condizione e inserisci un'espressione CEL che rappresenta una condizione dell'attributo. Ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con 98.11.12. possano accedere utilizzando questo provider di forza lavoro.
  
  Avviso:se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
5. Fai clic su Continua.
6. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
  La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.
  
  Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.
Per creare il fornitore, fai clic su Invia.

Descrivere un fornitore

gcloud

Per descrivere un provider, esegui questo comando:

gcloud iam workforce-pools providers describe PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: l'ID fornitore
WORKFORCE_POOL_ID: l'ID pool di forza lavoro

Console

Per visualizzare un fornitore:

Vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro

Nella tabella, seleziona il pool per cui vuoi visualizzare il fornitore.
Nella tabella Fornitori, seleziona il fornitore.

Elenca provider

gcloud

Per elencare i provider, esegui questo comando:

gcloud iam workforce-pools providers list \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro.

Console

Per visualizzare un fornitore:

Vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro

Nella tabella, seleziona il pool per cui vuoi elencare i fornitori.
Nella tabella Fornitori puoi visualizzare un elenco dei fornitori.

Aggiornare un fornitore

gcloud

Per aggiornare un provider OIDC dopo la creazione, esegui questo comando:

gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --description="DESCRIPTION" \
    --detailed-audit-logging \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: l'ID fornitore
WORKFORCE_POOL_ID: l'ID pool di forza lavoro
DESCRIPTION: la descrizione
Per attivare il logging di controllo dettagliato, aggiungi il flag --detailed-audit-logging a gcloud iam workforce-pools providers update. Per disattivare la registrazione dettagliata degli audit, aggiungi il flag --no-detailed-audit-logging al comando di aggiornamento.

Console

Per visualizzare un fornitore:

Vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro

Nella tabella, seleziona il pool per cui vuoi visualizzare il fornitore.
Nella tabella Provider, fai clic su Modifica.
Aggiorna il fornitore.
Per salvare il fornitore aggiornato, fai clic su Salva.

Eliminare un fornitore

Per eliminare un fornitore, esegui questo comando:

gcloud iam workforce-pools providers delete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: l'ID fornitore
WORKFORCE_POOL_ID: l'ID pool di forza lavoro

Recuperare un fornitore

Per annullare l'eliminazione di un fornitore eliminato negli ultimi 30 giorni, esegui questo comando:

gcloud iam workforce-pools providers undelete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: l'ID fornitore
WORKFORCE_POOL_ID: l'ID pool di forza lavoro

Gestisci i JWK OIDC

Questa sezione mostra come gestire i JWK OIDC nei provider di pool di forza lavoro.

Crea un provider e carica le JWK OIDC

Per creare JWK OIDC, consulta Implementazioni di JWT, JWS, JWE, JWK e JWA.

Per caricare un file JWK OIDC quando crei un provider di pool di forza lavoro, esegui il comando gcloud iam workforce-pools providers create-oidc con --jwk-json-path="JWK_JSON_PATH". Sostituisci JWK_JSON_PATH con il percorso del file JSON JWKs.

Questa operazione carica le chiavi dal file.

Aggiorna JWK OIDC

Per aggiornare le JWK OIDC, esegui il comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH". Sostituisci JWK_JSON_PATH con il percorso del file JSON JWK.

Questa operazione sostituisce le chiavi caricate esistenti con quelle nel file.

Elimina tutti i JWK OIDC caricati

Per eliminare tutte le JWK OIDC caricate e utilizzare invece l'URI dell'emittente per recuperare le chiavi, esegui il comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH". Sostituisci JWK_JSON_PATH con il percorso di un file vuoto. Utilizza il flag --issuer-uri per impostare l'URI dell'emittente.

Questa operazione elimina tutte le chiavi caricate esistenti.

Gestire i provider di pool di identità per la forza lavoro Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Gestisci i pool

Creare un pool

gcloud

Console

Descrivi un pool

gcloud

Console

Elenco pool

gcloud

Console

Aggiorna un pool

gcloud

Console

Eliminare un pool

gcloud

Console

Annullare l'eliminazione di un pool

Configurare un provider all'interno del pool di forza lavoro

Crea un provider OIDC

gcloud

Flusso codice

Flusso implicito

Console

Flusso codice

Flusso implicito

Crea un provider SAML

gcloud

Console

Descrivere un fornitore

gcloud

Console

Elenca provider

gcloud

Console

Aggiornare un fornitore

gcloud

Console

Eliminare un fornitore

Recuperare un fornitore

Gestisci i JWK OIDC

Crea un provider e carica le JWK OIDC

Aggiorna JWK OIDC

Elimina tutti i JWK OIDC caricati

Passaggi successivi

Gestire i provider di pool di identità per la forza lavoro