Este guia descreve como pode realizar operações comuns com a federação de identidades de força de trabalho. Para configurar a federação de identidade da força de trabalho, consulte os seguintes guias:
- Configure a federação de identidades da força de trabalho com o Microsoft Entra ID e inicie sessão nos utilizadores
- Configure a Workforce Identity Federation com o Okta e inicie sessão nos utilizadores
- Configure a federação de identidade da força de trabalho num IdP que suporte OIDC ou SAML
Antes de começar
Tem de ter uma Google Cloud organização configurada.
Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando:
gcloud initSe estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.
Faça a gestão de pools
Esta secção mostra como gerir os grupos de identidades da força de trabalho.
Crie um grupo
Para criar um conjunto de trabalhadores, execute o seguinte comando:
gcloud
Para criar o Workforce Identity Pool, execute o seguinte comando:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Substitua o seguinte:
WORKFORCE_POOL_ID: um ID que escolhe para representar o seu conjunto de trabalhadores Google Cloud . Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Google Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workforce Identity Pool.DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado coms, por exemplo,3600s. A duração da sessão determina durante quanto tempo os tokens de acesso, as sessões de início de sessão da consola (federadas) e as sessões de início de sessão da CLI gcloud deste grupo de colaboradores são válidos. Google Cloud A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).
Consola
Para criar o Workforce Identity Pool, faça o seguinte:
Na Google Cloud consola, aceda à página Workforce Identity Pools:
Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar conjunto e faça o seguinte:
No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.
Opcional: em Descrição, introduza uma descrição do conjunto.
Para criar o Workforce Identity Pool, clique em Seguinte.
A duração da sessão do Workload Identity Pool é de uma hora (3600 s) por predefinição. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, a consola (federada) e as sessões de início de sessão da CLI gcloud deste conjunto de trabalhadores são válidos. Depois de criar o conjunto, pode atualizar o conjunto para definir uma duração da sessão personalizada. A duração da sessão tem de ser entre 15 minutos (900 s) e 12 horas (43 200 s).
Descreva uma piscina
gcloud
Para descrever um conjunto de trabalhadores específico através da CLI gcloud, execute o seguinte comando:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do conjunto de trabalhadores
que escolheu quando criou o conjunto.
Consola
Para descrever um conjunto de colaboradores específico através da Google Cloud consola, faça o seguinte:
Aceda à página Workforce Identity Pools:
Em Grupos de trabalhadores, selecione o grupo
Listar grupos
gcloud
Para apresentar uma lista dos conjuntos de trabalhadores na organização, execute o seguinte comando:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Substitua ORGANIZATION_ID pelo ID da sua organização.
Consola
Para apresentar uma lista de grupos de trabalhadores através da Google Cloud consola, faça o seguinte:
Aceda à página Workforce Identity Pools:
Na tabela, veja a lista de conjuntos.
Atualize um grupo
gcloud
Para atualizar um grupo de trabalhadores específico, execute o seguinte comando:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Substitua o seguinte:
WORKFORCE_POOL_ID: o ID do conjunto de trabalhadoresDESCRIPTION: a descrição da piscina
Consola
Para atualizar um conjunto de colaboradores específico através da Google Cloud consola, faça o seguinte:
Aceda à página Workforce Identity Pools:
Na tabela, selecione o conjunto.
Atualize os parâmetros do conjunto.
Clique em Guardar conjunto.
Elimine um grupo
gcloud
Para eliminar um grupo de identidades da força de trabalho, execute o seguinte comando:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do conjunto de trabalhadores.
Consola
Para eliminar um grupo de trabalhadores específico através da Google Cloud consola, faça o seguinte:
Aceda à página Workforce Identity Pools:
Em Conjuntos de trabalhadores, clique em Eliminar no conjunto que quer eliminar.
Siga as instruções adicionais.
Anule a eliminação de um grupo
Pode anular a eliminação de um pool de identidades da força de trabalho que foi eliminado nos últimos 30 dias.
Para anular a eliminação de um conjunto, execute o seguinte comando:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do conjunto de trabalhadores.
Configure um fornecedor no Workforce Pool
Esta secção explica como pode usar comandos gcloud para configurar fornecedores do grupo de identidades da força de trabalho:
Crie um fornecedor de OIDC
Esta secção descreve como criar um fornecedor do Workforce Identity Pool para um IdP OIDC.
gcloud
Fluxo de código
Para criar um fornecedor OIDC que use o fluxo de código de autorização para o início de sessão na Web, execute o seguinte comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \
--web-sso-response-type="code" \
--web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Substitua o seguinte:
WORKFORCE_PROVIDER_ID: um ID exclusivo do fornecedor do Workload Identity Pool. O prefixogcp-está reservado e não pode ser usado num Workload Identity Pool nem num ID do fornecedor do Workload Identity Pool.WORKFORCE_POOL_ID: o ID do conjunto de identidades de trabalhadores para associar o seu IdP.DISPLAY_NAME: um nome a apresentar opcional e fácil de usar para o fornecedor; por exemplo,idp-eu-employees.DESCRIPTION: uma descrição opcional do fornecedor de mão de obra; por exemplo,IdP for Partner Example Organization employees.ISSUER_URI: O URI do emissor OIDC, num formato de URI válido, que começa comhttps; por exemplo,https://example.com/oidc. Nota: por motivos de segurança,ISSUER_URItem de usar o esquema HTTPS.OIDC_CLIENT_ID: O ID de cliente do OIDC que está registado no seu IDP do OIDC; o ID tem de corresponder à reivindicaçãoauddo JWT emitido pelo seu IDP.OIDC_CLIENT_SECRET: O segredo do cliente OIDC.WEB_SSO_ADDITIONAL_SCOPES: Âmbitos adicionais opcionais a enviar para o IdP OIDC para início de sessão baseado no navegador da consola (federado) ou da CLI gcloud.ATTRIBUTE_MAPPING: um mapeamento de atributos. Segue-se um exemplo de um mapeamento de atributos:google.subject=assertion.sub, google.groups=assertion.groups, attribute.costcenter=assertion.costcentersubject,groupsecostcenterna declaração OIDC para os atributosgoogle.subject,google.groupseattribute.costcenter, respetivamente.ATTRIBUTE_CONDITION: uma condição de atributo; por exemplo,assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a funçãogcp-userspodem iniciar sessão através deste fornecedor.JWK_JSON_PATH: um caminho opcional para um JWKs OIDC carregado localmente. Se este parâmetro não for fornecido, Google Cloud usa o caminho do seu IdP para obter os JWKs que contêm as chaves públicas./.well-known/openid-configurationPara mais informações sobre os JWKs OIDC carregados localmente, consulte o artigo Faça a gestão dos JWKs OIDC.-
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
locations/global/workforcePools/enterprise-example-organization-employees.Fluxo implícito
Para criar um fornecedor do Workload Identity Pool da OIDC que use o fluxo implícito para o início de sessão na Web, execute o seguinte comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--web-sso-response-type="id-token" \
--web-sso-assertion-claims-behavior="only-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Substitua o seguinte:
WORKFORCE_PROVIDER_ID: um ID exclusivo do fornecedor do Workload Identity Pool. O prefixogcp-está reservado e não pode ser usado num Workload Identity Pool nem num ID do fornecedor do Workload Identity Pool.WORKFORCE_POOL_ID: o ID do conjunto de identidades de trabalhadores para associar o seu IdP.DISPLAY_NAME: um nome a apresentar opcional e fácil de usar para o fornecedor; por exemplo,idp-eu-employees.DESCRIPTION: uma descrição opcional do fornecedor de mão de obra; por exemplo,IdP for Partner Example Organization employees.ISSUER_URI: O URI do emissor OIDC, num formato de URI válido, que começa comhttps; por exemplo,https://example.com/oidc. Nota: por motivos de segurança,ISSUER_URItem de usar o esquema HTTPS.OIDC_CLIENT_ID: O ID de cliente do OIDC que está registado no seu IDP do OIDC; o ID tem de corresponder à reivindicaçãoauddo JWT emitido pelo seu IDP.WEB_SSO_ADDITIONAL_SCOPES: Âmbitos adicionais opcionais a enviar para o IdP do OIDC para início de sessão baseado no navegador da consola (federado) ou da CLI gcloud.ATTRIBUTE_MAPPING: um mapeamento de atributos. Segue-se um exemplo de um mapeamento de atributos:google.subject=assertion.sub, google.groups=assertion.groups, attribute.costcenter=assertion.costcentersubject,groupsecostcenterna declaração OIDC para os atributosgoogle.subject,google.groupseattribute.costcenter, respetivamente.ATTRIBUTE_CONDITION: uma condição de atributo; por exemplo,assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a funçãogcp-userspodem iniciar sessão através deste fornecedor.JWK_JSON_PATH: um caminho opcional para um JWKs OIDC carregado localmente. Se este parâmetro não for fornecido, Google Cloud usa o caminho do seu IdP para obter os JWKs que contêm as chaves públicas./.well-known/openid-configurationPara mais informações sobre os JWKs OIDC carregados localmente, consulte o artigo Faça a gestão dos JWKs OIDC.-
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
locations/global/workforcePools/enterprise-example-organization-employees.Consola
Fluxo de código
Na Google Cloud consola, aceda à página Workforce Identity Pools:
Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na secção Fornecedores, clique em Adicionar fornecedor.
Na lista Selecionar um fornecedor do fornecedor, selecione o seu IdP.
Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.
Em Selecione um protocolo de autenticação, selecione OpenID Connect (OIDC).
Na secção Crie um fornecedor, faça o seguinte:
- Em Nome, introduza o nome do fornecedor.
- Em Descrição, introduza a descrição do fornecedor.
- Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por
https; por exemplo,https://example.com/oidc. - Em ID de cliente, introduza o ID de cliente OIDC registado
no seu IdP OIDC. O ID tem de corresponder à reivindicação
auddo JWT emitido pelo seu IdP. Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.
- Clique em Continuar.
Na secção Partilhe as informações do seu fornecedor com o IdP, copie o URL. No IdP, configure este URL como o URI de redirecionamento, que informa o IdP para onde enviar o token de afirmação após iniciar sessão.
Clique em Continuar.
Na secção Configurar início de sessão na Web OIDC, faça o seguinte:
- Na lista Tipo de fluxo, selecione Código.
Na lista Comportamento das reivindicações de declaração, selecione uma das seguintes opções:
- Informações do utilizador e token de ID
- Apenas token de ID
No campo Segredo do cliente, introduza o segredo do cliente do seu IdP.
Opcional: se selecionou Okta como o seu IdP, adicione quaisquer âmbitos OIDC adicionais no campo Âmbitos adicionais além de openid, profile e email.
Clique em Continuar.
Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.
Obrigatório: no OIDC 1, introduza o assunto do IdP, por exemplo,
assertion.sub.Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:
- Clique em Adicionar mapeamento.
- No Google n, onde n é um número, introduza uma das teclas suportadas.Google Cloud
- No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.
Se selecionou o Microsoft Entra ID como IdP, pode aumentar o número de grupos.
- Selecione Usar atributos adicionais.
- No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
- No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
- No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
- Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
- No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a API Microsoft Graph para grupos.
Para criar uma condição de atributo, faça o seguinte:
- Clique em Adicionar condição.
- No campo Condições de atributos, introduza uma condição no formato CEL;
por exemplo,
assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a funçãogcp-userspodem iniciar sessão através deste fornecedor.
Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo de auditoria de valores de atributos.
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Para criar o fornecedor, clique em Enviar.
Fluxo implícito
Na Google Cloud consola, aceda à página Workforce Identity Pools:
Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na secção Fornecedores, clique em Adicionar fornecedor.
Na lista Selecionar um fornecedor do fornecedor, selecione o seu IdP.
Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.
Em Selecione um protocolo de autenticação, selecione OpenID Connect (OIDC).
Na secção Crie um fornecedor, faça o seguinte:
- Em Nome, introduza o nome do fornecedor.
- Em Descrição, introduza a descrição do fornecedor.
- Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por
https; por exemplo,https://example.com/oidc. - Em ID de cliente, introduza o ID de cliente OIDC registado
no seu IdP OIDC. O ID tem de corresponder à reivindicação
auddo JWT emitido pelo seu IdP. - Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.
- Clique em Continuar.
Na secção Partilhe as informações do seu fornecedor com o IdP, copie o URL. No IdP, configure este URL como o URI de redirecionamento, que informa o IdP para onde enviar o token de afirmação após iniciar sessão.
Clique em Continuar.
Na secção Configurar início de sessão na Web OIDC, faça o seguinte:
Na lista Tipo de fluxo, selecione Token de ID.
Na lista Comportamento das reivindicações de asserção, a opção Token de ID está selecionada.
Opcional: se selecionou Okta como o seu IdP, adicione quaisquer âmbitos OIDC adicionais no campo Âmbitos adicionais além de openid, profile e email.
Clique em Continuar.
Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.
Obrigatório: no OIDC 1, introduza o assunto do IdP; por exemplo,
assertion.sub.Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:
- Clique em Adicionar mapeamento.
- No Google n, onde n é um número, introduza uma das teclas suportadas.Google Cloud
- No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.
Se selecionou o Microsoft Entra ID como IdP, pode aumentar o número de grupos.
- Selecione Usar atributos adicionais.
- No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
- No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
- No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
- Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
- No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a API Microsoft Graph para grupos.
Para criar uma condição de atributo, faça o seguinte:
- Clique em Adicionar condição.
- No campo Condições de atributos, introduza uma condição no formato CEL;
por exemplo,
assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a funçãogcp-userspodem iniciar sessão através deste fornecedor.
Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo de auditoria de valores de atributos.
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Para criar o fornecedor, clique em Enviar.
Crie um fornecedor SAML
Esta secção descreve como criar um fornecedor do Workforce Identity Pool para um IdP SAML.
gcloud
Para criar o fornecedor, execute o seguinte comando:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--detailed-audit-logging \
--location="global"
Substitua o seguinte:
WORKFORCE_PROVIDER_ID: o ID do fornecedor de força de trabalhoWORKFORCE_POOL_ID: o ID do conjunto de trabalhadoresATTRIBUTE_MAPPING: um mapeamento de atributos; por exemplo, para mapear um assunto, o mapeamento de atributos é o seguinte:google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]ATTRIBUTE_CONDITION: uma condição de atributo opcional; por exemplo,assertion.subject.endsWith("@example.com")XML_METADATA_PATH: o caminho para o ficheiro de metadados em formato XML do seu IdP
O prefixo gcp- está reservado e não pode ser usado num Workload Identity Pool nem num ID do fornecedor do Workload Identity Pool.
Este comando atribui o assunto e o departamento na declaração SAML aos atributos google.subject e attribute.department, respetivamente.
Além disso, a condição do atributo garante que apenas os utilizadores com um assunto que termine em @example.com podem iniciar sessão através deste fornecedor de força de trabalho.
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Consola
Para configurar o fornecedor de SAML através da Google Cloud consola, faça o seguinte:
Na Google Cloud consola, aceda à página Workforce Identity Pools:
Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na secção Fornecedores, clique em Adicionar fornecedor.
Na lista Selecionar um fornecedor do fornecedor, selecione o seu IdP.
Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.
Em Selecionar um protocolo de autenticação, selecione SAML.
Na secção Crie um fornecedor, faça o seguinte:
Em Nome, introduza um nome para o fornecedor.
Opcional: em Descrição, introduza uma descrição do fornecedor.
Em Ficheiro de metadados do IDP (XML), selecione o ficheiro XML de metadados que gerou anteriormente neste guia.
Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.
Clique em Continuar.
Na secção Partilhe as informações do seu fornecedor, copie os URLs. No seu IdP, configure o primeiro URL como o ID da entidade, que identifica a sua aplicação ao IdP. Configure o outro URL como o URI de redirecionamento, que informa o IdP para onde enviar o token de afirmação após iniciar sessão.
Clique em Continuar.
Na secção Configurar fornecedor, faça o seguinte:
Em Mapeamento de atributos, introduza uma expressão CEL para
google.subject.Opcional: para introduzir outros mapeamentos, clique em Adicionar mapeamento e introduza outros mapeamentos, por exemplo:
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]assertion.subject,assertion.attributes['https://example.com/aliases']eassertion.attributes.costcenter[0]para os atributos Google Cloudgoogle.subject,google.groupsegoogle.costcenter, respetivamente.Se selecionou o Microsoft Entra ID como o seu IdP, pode aumentar o número de grupos fazendo o seguinte:
- Selecione Usar atributos adicionais.
- No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
- No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
- No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
- Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
- No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a API Microsoft Graph para grupos.
Opcional: para adicionar uma condição de atributo, clique em Adicionar condição e introduza uma expressão CEL que represente uma condição de atributo. Por exemplo, para limitar o atributo
ipaddra um determinado intervalo de IPs, pode definir a condiçãoassertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condição de exemplo garante que apenas os utilizadores com um endereço IP que comece por98.11.12.podem iniciar sessão através deste fornecedor de força de trabalho.Clique em Continuar.
Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo de auditoria de valores de atributos.
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Para criar o fornecedor, clique em Enviar.
Descreva um fornecedor
gcloud
Para descrever um fornecedor, execute o seguinte comando:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua o seguinte:
PROVIDER_ID: o ID do fornecedorWORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
Consola
Para ver um fornecedor, faça o seguinte:
- Aceda à página Workforce Identity Pools:
Aceda aos Workforce Identity Pools
Na tabela, selecione o conjunto para o qual quer ver o fornecedor.
Na tabela Fornecedores, selecione o fornecedor.
Fornecedores de listas
gcloud
Para apresentar uma lista de fornecedores, execute o seguinte comando:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do conjunto de trabalhadores.
Consola
Para ver um fornecedor, faça o seguinte:
- Aceda à página Workforce Identity Pools:
Aceda aos Workforce Identity Pools
Na tabela, selecione o conjunto para o qual quer apresentar a lista de fornecedores.
Na tabela Fornecedores, pode ver uma lista de fornecedores.
Atualize um fornecedor
gcloud
Para atualizar um fornecedor de OIDC após a criação, execute o seguinte comando:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--detailed-audit-logging \
--location=global
Substitua o seguinte:
PROVIDER_ID: o ID do fornecedorWORKFORCE_POOL_ID: o ID do conjunto de trabalhadoresDESCRIPTION: a descrição-
Para ativar o registo de auditoria detalhado, adicione a sinalização
--detailed-audit-loggingagcloud iam workforce-pools providers update. Para desativar o registo de auditoria detalhado, adicione o sinalizador--no-detailed-audit-loggingao comando de atualização.
Consola
Para ver um fornecedor, faça o seguinte:
- Aceda à página Workforce Identity Pools:
Aceda aos Workforce Identity Pools
Na tabela, selecione o conjunto para o qual quer ver o fornecedor.
Na tabela Fornecedores, clique em Editar.
Atualize o fornecedor.
Para guardar o fornecedor atualizado, clique em Guardar.
Elimine um fornecedor
Para eliminar um fornecedor, execute o seguinte comando:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua o seguinte:
PROVIDER_ID: o ID do fornecedorWORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
Anule a eliminação de um fornecedor
Para anular a eliminação de um fornecedor eliminado nos últimos 30 dias, execute o seguinte comando:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua o seguinte:
PROVIDER_ID: o ID do fornecedorWORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
Faça a gestão de JWKs OIDC
Esta secção mostra como gerir JWKs OIDC em fornecedores do conjunto de utilizadores.
Crie um fornecedor e carregue JWKs do OIDC
Para criar JWKs OIDC, consulte Implementações de JWT, JWS, JWE, JWK e JWA.
Para carregar um ficheiro JWK OIDC quando cria um fornecedor do Workforce Pool,
execute o comando gcloud iam workforce-pools providers create-oidc com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para o ficheiro JSON de JWKs.
Esta operação carrega as chaves do ficheiro.
Atualize os JWKs do OIDC
Para atualizar os JWKs de OIDC, execute o comando gcloud iam workforce-pools providers update-oidc com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para o ficheiro JSON JWKs.
Esta operação substitui todas as chaves carregadas existentes pelas chaves no ficheiro.
Elimine todos os JWKs OIDC carregados
Para eliminar todos os JWKs OIDC carregados e, em alternativa, usar o URI do emissor para obter as chaves, execute o comando gcloud iam workforce-pools providers update-oidc com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para um ficheiro vazio.
Use a flag --issuer-uri para definir o URI do emissor.
Esta operação elimina todas as chaves carregadas existentes.
O que se segue?
- Configure a federação de identidades da força de trabalho com o Microsoft Entra ID e inicie sessão nos utilizadores
- Configure a Workforce Identity Federation com o Okta e inicie sessão nos utilizadores
- Elimine utilizadores da Workforce Identity Federation e os respetivos dados
- Saiba que Google Cloud produtos suportam a federação de identidade da força de trabalho