SCIM-Bereitstellung für Workforce Identity-Föderation

Wenn Ihr Identitätsanbieter (IdP) System for Cross-domain Identity Management (SCIM) unterstützt, können Sie ihn so konfigurieren, dass Gruppen in Google Cloudbereitgestellt und verwaltet werden.

Leistungsspektrum

Die SCIM-Unterstützung für die Mitarbeiteridentitätsföderation bietet die folgenden Funktionen:

Identitätssynchronisierung:Synchronisieren Sie schreibgeschützte Kopien von Nutzerdaten von Ihrem IdP, um einen ganzheitlichen Überblick über Nutzerattribute und Mitgliedschaften in Google Cloudzu erhalten.
Gruppen zusammenführen:SCIM verarbeitet Gruppen von Ihrem IdP so, dass alle direkten und indirekten (verschachtelten) Mitgliedschaften für einen Nutzer zusammengeführt und mit demGoogle Cloud Group Membership Service (GMS) synchronisiert werden. IAM verwendet diese vereinfachten Gruppen dann für Richtlinienprüfungen und umgeht so die Größenbeschränkungen, die häufig in IdP-Tokens auftreten.
Gemini Enterprise-Integration:SCIM-Mandanten unterstützen die Freigabe in Gemini Enterprise. Nutzer können NotebookLM-Notebooks für eine Gruppe freigeben, indem sie den Namen der Gruppe anstelle der Objekt-ID (UUID) verwenden. Weitere Informationen finden Sie unter Notebook für eine Gruppe freigeben.

Hinweise

Wenn Sie die SCIM-Unterstützung für die Mitarbeiteridentitätsföderation verwenden, gelten die folgenden Überlegungen:

Sie müssen einen Workforce Identity-Pool und einen Anbieter einrichten, bevor Sie einen SCIM-Mandanten konfigurieren.
Jeder Mitarbeiteridentitätspool unterstützt nur einen SCIM-Mandanten. Wenn Sie einen neuen SCIM-Mandanten im selben Workforce Identity-Pool konfigurieren möchten, müssen Sie zuerst den vorhandenen Mandanten löschen. Wenn Sie einen SCIM-Mandanten löschen, haben Sie zwei Möglichkeiten:
- Vorläufiges Löschen (Standard): Wenn Sie einen SCIM-Mandanten löschen, beginnt ein Zeitraum von 30 Tagen für das vorläufige Löschen. Während dieser Zeit ist der Mandant ausgeblendet und kann nicht verwendet werden. Außerdem können Sie keinen neuen SCIM-Mandanten im selben Personalidentitätspool erstellen.
- Endgültiges Löschen:Wenn Sie einen SCIM-Mandanten dauerhaft und sofort löschen möchten, verwenden Sie das Flag --hard-delete mit dem Befehl „delete“. Diese Aktion ist irreversibel. Sie können jedoch sofort nach Abschluss des Löschvorgangs einen neuen SCIM-Mandanten im selben Workforce Identity-Pool erstellen. Alternativ können Sie einen neuen Workforce Identity-Pool und einen neuen SCIM-Mandanten erstellen oder einen Workforce Identity-Pool verwenden, der noch nicht mit einem SCIM-Mandanten konfiguriert wurde.
Wenn Sie SCIM verwenden, ordnen Sie Attribute sowohl im Mitarbeiteridentitäts-Poolanbieter als auch im SCIM-Mandanten zu. Das Attribut google.subject muss eindeutig auf dieselben Identitäten verweisen. Sie geben die google.subject im Workforce Identity Pool-Anbieter mit dem Flag --attribute-mapping und im SCIM-Mandanten mit dem Flag --claim-mapping an. Wenn Sie nicht eindeutige Identitätswerte zuordnen, kann es passieren, dass in Google Cloud unterschiedliche IdP-Identitäten als dieselbe Identität behandelt werden. Daher kann sich der Zugriff, der einer Nutzer- oder Gruppenidentität gewährt wird, auf andere ausweiten. Wenn Sie den Zugriff für eine Identität widerrufen, wird er möglicherweise nicht für alle entfernt.
Wenn Sie SCIM zum Zuordnen von Gruppen verwenden möchten, legen Sie --scim-usage=enabled-for-groups fest. Wenn Sie Gruppen mit SCIM zuordnen, wird jede Gruppenzuordnung, die im Mitarbeiteridentitätspool-Anbieter definiert ist, ignoriert. Bei SCIM-verwalteten Gruppen ist das zugeordnete Attribut google.group und nicht google.groups. google.groups bezieht sich nur auf Gruppen, die Token zugeordnet sind.
Bei Verwendung von SCIM können tokenbasierte Attribute, die mit --attribute-mapping zugeordnet sind, weiterhin für die Authentifizierung und in Prinzipal-IDs verwendet werden.
Bei der Microsoft Entra ID-Konfiguration sollten Sie beim Erstellen des Workforce Identity-Pool-Anbieters keine --extended-attributes-Flags verwenden.

OIDC- und SAML-Anbieter der SCIM-Konfiguration zuordnen

Die Attributzuordnung in der Konfiguration des Anbieters für den Workforce Identity-Pool (--attribute-mapping) muss mit den Anspruchszuordnungen im SCIM-Mandanten (--claim-mapping) übereinstimmen. Das zugrunde liegende IdP-Attribut, das zum Ausfüllen von google.subject (für Nutzer) verwendet wird, muss dasselbe sein, unabhängig davon, ob es aus einem Tokenanspruch oder einem SCIM-Attribut gelesen wird.

Wenn diese Zuordnungen nicht konsistent sind, können sich Nutzer möglicherweise anmelden, werden aber nicht als Mitglieder ihrer per SCIM bereitgestellten Gruppen erkannt. Wenn der Anbieter beispielsweise assertion.email für google.subject verwendet, muss der SCIM-Mandant auch das entsprechende SCIM-Attribut (z. B. user.emails[0].value) für google.subject verwenden.

In der folgenden Tabelle finden Sie Referenzbeispiele für die Zuordnung von gängigen IdP-Token-Claims zu SCIM-Attributen:

Google-Attribut	Zuordnung von Anbietern von Workforce Identity-Pools (Token)	SCIM-Mandantenzuordnung (SCIM)
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.subject`	`assertion.sub`	Nicht kompatibel
`google.group`	– (über SCIM zugeordnet)	`group.externalId`

Unterstützte und nicht unterstützte Endpunkte

Die folgenden Standard-SCIM-Protokollendpunkte werden unterstützt:

/Users: Nutzerressourcen verwalten. Unterstützte Vorgänge: Create, Get, Update, Delete, Patch und Put.
/Groups: Gruppenressourcen verwalten. Unterstützte Vorgänge: Create, Get, Update, Delete und Patch. Die PUT-Methode wird für Gruppen nicht unterstützt.
/Schemas: Schemainformationen abrufen.
/ServiceProviderConfig: Ruft die Konfiguration des Dienstanbieters ab.

Die folgenden SCIM-Protokollendpunkte werden nicht unterstützt:

/Me
/Bulk
/Search
/ResourceTypes

Beschränkungen

In den folgenden Abschnitten werden die Einschränkungen und Abweichungen der SCIM-Implementierung für die Workforce Identity Federation von den SCIM-Spezifikationen (RFC 7643 und 7644) beschrieben.

Einschränkungen der Protokollfunktionen

Filterunterstützung:Wenn Sie Nutzer oder Gruppen mit den Endpunkten /Users oder /Groups auflisten, unterstützen Filterausdrücke nur den Operator eq (gleich). Sie können mehrere eq-Filter mit and kombinieren. Andere SCIM-Filteroperatoren wie co (enthält) oder sw (beginnt mit) werden nicht unterstützt.
Paginierung:Die IAM SCIM API unterstützt keine Standardpaginierung für das Auflisten von Nutzern oder Gruppen.
- startIndex: Dieser Parameter ist immer 1. Die API gibt unabhängig vom Wert, den Sie für startIndex angeben, bis zu 100 Ergebnisse zurück.
- itemsPerPage: Die maximale Anzahl von Ressourcen, die in einer einzelnen Antwort zurückgegeben werden, beträgt 100.
- totalResults: Die API gibt nicht die tatsächliche Gesamtzahl der übereinstimmenden Ressourcen zurück. Das Feld totalResults in der Antwort entspricht immer der Anzahl der Elemente, die in dieser Antwort zurückgegeben werden, maximal 100.

Einschränkungen beim SCIM-Verhalten

Unveränderliche Kennzeichnungen:Die Werte von SCIM-Attributen, die google.subject oder google.group zugeordnet sind, werden in Google Cloudals unveränderliche Kennzeichnungen behandelt. Wenn Sie diese Werte ändern möchten, müssen Sie den Nutzer oder die Gruppe dauerhaft aus Ihrem IdP löschen und dann mit dem neuen Wert neu erstellen.
Anforderung für einzelne E‑Mail-Adressen:Für eine erfolgreiche SCIM-Synchronisierung muss jeder Nutzer genau eine E‑Mail-Adresse vom Typ work haben. Die Bereitstellung oder Aktualisierung schlägt fehl, wenn Ihr Identitätsanbieter mehrere E-Mail-Adressen sendet oder die angegebene einzelne E-Mail-Adresse nicht als work eingegeben wird.
Nicht berücksichtigte Transformationen: Für SCIM-Anspruchszuordnungen werden nur eingeschränkte CEL-Transformationen (Common Expression Language) unterstützt. Für Vergleiche ohne Berücksichtigung der Groß-/Kleinschreibung für user.userName und user.emails[0].value wird nur .lowerAscii() unterstützt.

Attributeinschränkungen

In den folgenden Abschnitten wird die Attributunterstützung für Nutzer, Gruppen und die Schemaerweiterung für Unternehmensnutzer beschrieben.

Nutzerattribute

In der folgenden Tabelle wird die Unterstützung für Nutzerattribute beschrieben:

Attribut	Unterattribute	Unterstützt	Beschränkungen
`userName`	–	Ja	–
`name`	`formatted`, `familyName`, `givenName`, `middleName`, `honorificPrefix`, `honorificSuffix`	Ja	–
`displayName`	–	Ja	–
`nickName`	–	Ja	–
`profileUrl`	–	Ja	–
`title`	–	Ja	–
`userType`	–	Ja	–
`preferredLanguage`	–	Ja	–
`locale`	–	Ja	–
`timezone`	–	Ja	–
`active`	–	Ja	–
`password`	–	Nein	–
`emails`	`display`, `type`, `value`, `primary`	Ja	Nur der E‑Mail-Typ `work` wird unterstützt.
`phoneNumbers`	`display`, `type`, `value`, `primary`	Ja	–
`ims`	`display`, `type`, `value`	Ja	–
`photos`	`display`, `type`, `value`	Ja	–
`addresses`	`formatted`, `streetAddress`, `locality`, `region`, `postalCode`, `country`	Ja	–
`groups`	–	Nein	–
`entitlements`	`display`, `type`, `value`	Ja	–
`roles`	`type`, `value`	Ja	`display` wird nicht unterstützt
`x509Certificates`	`type`, `value`	Ja	`display` wird nicht unterstützt

Gruppenattribute

In der folgenden Tabelle wird die Unterstützung für Gruppenattribute beschrieben:

Attribut	Unterstützte Unterattribute
`displayName`	–
`externalId`	–
`members`	`value`, `type`, `$ref`, `display`

Attribute für die Erweiterung des Nutzerschemas für Unternehmen

In der folgenden Tabelle wird die Unterstützung für die Erweiterung des Unternehmensnutzerschemas beschrieben:

Attribut	Unterstützte Unterattribute
`employeeNumber`	–
`costCenter`	–
`organization`	–
`division`	–
`department`	–
`manager`	`value`, `$ref`, `displayName`