Configure o acesso dos utilizadores à consola (federado)

Este guia mostra como configurar o acesso à Google Cloud consola da Federação de identidades da força de trabalho, também conhecida como consola (federada), a partir do seu fornecedor de identidade (IdP) e mostra como fornecer instruções de acesso aos seus utilizadores.

Antes de começar

1. Configure a federação de identidade da força de trabalho na sua Google Cloud organização, incluindo um Workload Identity Pool e um fornecedor do Workload Identity Pool. Em alternativa, se usar um dos seguintes IdPs, consulte os guias específicos do IdP para mais informações:

   • Configure a federação de identidades da força de trabalho baseada no Microsoft Entra ID
   • Configure a federação de identidades de força de trabalho baseada na Okta

2. Tome nota do nome do fornecedor do conjunto de identidades do grupo de trabalhadores, que vai usar mais tarde neste guia.

Configure URLs de redirecionamento no seu IdP

Pode configurar o seu IdP para publicar uma resposta do IdP e redirecionar o utilizador para a consola (federada) depois de o utilizador se autenticar. Para isso, tem de configurar um URL de redirecionamento e defini-lo na configuração do IdP.

Para criar o URL de redirecionamento, faça o seguinte:

1. Partilhe o nome do fornecedor do Workforce Identity Pool com os seus utilizadores. Está formatado da seguinte forma:

   locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   Substitua o seguinte:

   • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool.
   • WORKFORCE_PROVIDER_ID: o ID do fornecedor de identidade da força de trabalho.

2. Crie o URL de redirecionamento. Está formatado da seguinte forma:

   https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

3. Configure o IdP com o URL de redirecionamento.

   No IdP, introduza o URL de redirecionamento. O campo no qual introduz o URL pode variar.

   OIDC

   No IdP, o campo pode ter a denominação Redirect URL ou Callback URL.

   O IdP envia a resposta e o token de nome para este URL.

   SAML

   No IdP, o campo pode ter a denominação Single sign-on URL ou SAML assertion consumer service (ACS) URL.

   O IdP publica a declaração SAML neste URL.

   Se quiser ativar o início de sessão iniciado pelo IdP com o seu fornecedor SAML, introduza o seguinte URL na definição Default RelayState ou no respetivo equivalente. O IdP redireciona o utilizador para este URL depois de o utilizador se autenticar com êxito:

   https://console.cloud.google/
   

Informe os seus utilizadores sobre como iniciar sessão

Esta secção descreve as diferentes formas como os seus utilizadores podem iniciar sessão na consola (federada).

Inicie o processo de início de sessão através de um link de SSO

Para iniciar o processo de início de sessão com o seu IdP, pode partilhar um link com os seus utilizadores que os redireciona para o seu IdP sem lhes pedir o nome do fornecedor. Depois de os utilizadores iniciarem sessão com êxito, são automaticamente redirecionados para a consola (federada).

Para usar este método, envie o seguinte link de início de sessão aos seus utilizadores:

https://auth.cloud.google/signin/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID?continueUrl=https://console.cloud.google/

Inicie o processo de início de sessão através da consola (federado)

Para iniciar o processo de início de sessão na consola (federado), faça o seguinte:

1. Faculte aos seus utilizadores o nome do fornecedor do Workload Identity Pool descrito anteriormente neste documento.

2. Forneça aos seus utilizadores o seguinte link para a consola (federada):

   https://console.cloud.google/
   

Quando os utilizadores acedem pela primeira vez à consola (federada), é-lhes pedido que introduzam o nome do fornecedor do pool de identidades da força de trabalho. Em seguida, são redirecionados para o seu IdP para autenticação. Após a autenticação, o utilizador é redirecionado de volta para a consola (federada).

Use o início de sessão iniciado pelo IdP SAML

A especificação SAML define um fluxo denominado início de sessão iniciado pelo IdP, no qual os utilizadores iniciam o processo de início de sessão no IdP. Se o seu IdP suportar este fluxo, pode partilhar os detalhes com os seus utilizadores.

Usar a consola (federada) vs. a Google Cloud consola

A consola (federada) oferece acesso limitado apenas aos Google Cloud produtos que suportam a federação de identidade da força de trabalho. Por este motivo, quando usa a consola (federada), vê um número limitado de Google Cloud produtos, e as IU dos produtos podem ter mais limitações quando são vistas na consola (federada).

Para saber mais sobre os produtos que suportam a federação de identidades da força de trabalho e as limitações relacionadas, consulte o artigo Federação de identidades: produtos suportados e limitações.

A Google Cloud consola, em comparação, pode fornecer acesso total a todos os produtos e funcionalidades, consoante as funções concedidas aos utilizadores.

O que se segue?

• Federação de identidades: produtos suportados e limitações