SCIM-Bereitstellung für Workforce Identity-Föderation

Wenn Ihr Identitätsanbieter (IdP) System for Cross-domain Identity Management (SCIM) unterstützt, können Sie ihn so konfigurieren, dass Gruppen in Google Cloudbereitgestellt und verwaltet werden.

Leistungsspektrum

Die SCIM-Unterstützung für die Workforce Identity-Föderation bietet folgende Möglichkeiten:

  • Identitätssynchronisierung: Sie können schreibgeschützte Kopien von Nutzerdaten von Ihrem IdP synchronisieren, um einen umfassenden Überblick über Nutzerattribute und Mitgliedschaften in zu erhalten Google Cloud.

  • Gruppenabflachung: SCIM verarbeitet Gruppen von Ihrem IdP so, dass alle direkten und indirekten (verschachtelten) Mitgliedschaften für einen Nutzer abgeflacht und mit dem Google Cloud Group Membership Service (GMS) synchronisiert werden. IAM verwendet diese abgeflachten Gruppen dann für Richtlinienprüfungen, wodurch die Größenbeschränkungen umgangen werden, die häufig in IdP-Tokens auftreten.

  • Gemini Enterprise-Integration:SCIM-Mandanten unterstützen die Freigabe in Gemini Enterprise. Der SCIM-Mandant ermöglicht zwei Funktionen im Zusammenhang mit der Freigabe von Notebooks in NotebookLM Enterprise:

    • Automatische Vervollständigung für E-Mail-Adressen und Gruppen

    • Verwendung des Gruppennamens anstelle der Objekt-ID (UUID)

    Weitere Informationen finden Sie unter Notebook für eine Gruppefreigeben.

Hinweise

Bei Verwendung der SCIM-Unterstützung für die Workforce Identity-Föderation sind folgende Punkte zu beachten:

  • Sie müssen einen Workforce Identity-Pool und einen Anbieter einrichten, bevor Sie einen SCIM-Mandanten konfigurieren.
  • Jeder Workforce Identity-Pool unterstützt nur einen SCIM-Mandanten. Wenn Sie einen neuen SCIM-Mandanten im selben Workforce Identity-Pool konfigurieren möchten, müssen Sie zuerst den vorhandenen löschen. Beim Löschen eines SCIM-Mandanten haben Sie zwei Möglichkeiten:
    • Vorläufiges Löschen (Standard) : Wenn Sie einen SCIM-Mandanten löschen, wird ein Zeitraum von 30 Tagen für das vorläufige Löschen eingeleitet. In dieser Zeit ist der Mandant ausgeblendet und kann nicht verwendet werden. Außerdem können Sie im selben Workforce Identity-Pool keinen neuen SCIM-Mandanten erstellen.
    • Endgültiges Löschen:Wenn Sie einen SCIM-Mandanten endgültig und sofort löschen möchten, verwenden Sie das Flag --hard-delete mit dem Befehl `delete`. Diese Aktion kann nicht rückgängig gemacht werden. Sie können sofort nach Abschluss des Löschvorgangs einen neuen SCIM-Mandanten im selben Workforce Identity-Pool erstellen. Alternativ können Sie einen neuen Workforce Identity-Pool und einen neuen SCIM-Mandanten erstellen oder einen Workforce Identity-Pool verwenden, der noch nicht mit einem SCIM-Mandanten konfiguriert wurde.
  • Wenn Sie SCIM verwenden, ordnen Sie Attribute sowohl im Anbieter des Workforce Identity-Pools als auch im SCIM-Mandanten zu. Das Attribut google.subject muss eindeutig auf dieselben Identitäten verweisen. Sie geben google.subject im Anbieter des Workforce Identity-Pools mit dem Flag --attribute-mapping und im SCIM-Mandanten mit dem Flag --claim-mapping an. Wenn Sie nicht eindeutige Identitätswerte zuordnen, kann es passieren, Google Cloud dass verschiedene IdP-Identitäten als dieselbe Identität behandelt werden. Daher kann sich der Zugriff, der einer Nutzer- oder Gruppenidentität gewährt wird, auf andere erstrecken. Wenn Sie den Zugriff für eine Identität widerrufen, wird er möglicherweise nicht für alle entfernt.
  • Wenn Sie SCIM zum Zuordnen von Gruppen verwenden möchten, legen Sie --scim-usage=enabled-for-groups fest. Wenn Sie Gruppen mit SCIM zuordnen, wird jede im Anbieter des Workforce Identity-Pools definierte Gruppenzuordnung ignoriert. Wenn Sie auf SCIM-verwaltete Gruppen verweisen, ist das zugeordnete Attribut google.group und nicht google.groups. google.groups bezieht sich nur auf Token-zugeordnete Gruppen.
  • Bei Verwendung von SCIM können Token-basierte Attribute, die mit --attribute-mapping zugeordnet sind, weiterhin für die Authentifizierung und in Prinzipal-IDs verwendet werden.
  • Wenn Sie Microsoft Entra ID konfigurieren und in Gemini Enterprise lesbare Gruppennamen verwenden möchten, verwenden Sie SCIM.

OIDC- und SAML-Anbieter der SCIM-Konfiguration zuordnen

Die Attributzuordnung in der Konfiguration des Anbieters des Workforce Identity-Pools (--attribute-mapping) und die Zuordnungen von Ansprüchen im SCIM-Mandanten (--claim-mapping) müssen konsistent sein. Das zugrunde liegende IdP-Attribut, das zum Ausfüllen von google.subject (für Nutzer) verwendet wird, muss dasselbe sein, unabhängig davon, ob es aus einem Token-Anspruch oder einem SCIM-Attribut gelesen wird.

Wenn diese Zuordnungen nicht konsistent sind, können sich Nutzer möglicherweise anmelden, werden aber nicht als Mitglieder ihrer SCIM-bereitgestellten Gruppen erkannt. Wenn der Anbieter beispielsweise assertion.email für google.subject verwendet, muss der SCIM-Mandant auch das entsprechende SCIM-Attribut (z. B. user.emails[0].value) für google.subject verwenden.

In der folgenden Tabelle sind die Zuordnungen zwischen Token-Anspruchsattributen und SCIM-Attributen aufgeführt:

Google-Attribut Zuordnung des Anbieters des Workforce Identity-Pools Zuordnung des SCIM-Mandanten (SCIM)
google.subject assertion.oid (EntraId) user.externalId
google.subject assertion.sub (Okta) user.externalId
google.subject assertion.preferred_username user.userName
google.subject assertion.preferred_username.lowerAscii() user.userName.lowerAscii()
google.subject assertion.email user.emails[0].value
google.subject assertion.email.lowerAscii() user.emails[0].value.lowerAscii()
google.group – (mit SCIM zugeordnet) group.externalId

Unterstützte und nicht unterstützte Endpunkte

Die folgenden Standard-SCIM-Protokollendpunkte werden unterstützt:

  • /Users: Nutzerressourcen verwalten. Unterstützte Vorgänge: Create, Get, Update, Delete, Patch und Put.

  • /Groups: Gruppenressourcen verwalten. Unterstützte Vorgänge: Create, Get, Update, Delete und Patch. Die Methode PUT wird für Gruppen nicht unterstützt.

  • /Schemas: Schemainformationen abrufen.

  • /ServiceProviderConfig: Konfiguration des Dienstanbieters abrufen.

Die folgenden SCIM-Protokollendpunkte werden nicht unterstützt:

  • /Me

  • /Bulk

  • /Search

  • /ResourceTypes

Beschränkungen

In den folgenden Abschnitten werden die Einschränkungen und Abweichungen der SCIM-Implementierung der Workforce Identity-Föderation von den SCIM-Spezifikationen (RFC 7643 und 7644) beschrieben.

Einschränkungen der Protokollfunktionen

  • Filterunterstützung:Wenn Sie Nutzer oder Gruppen mit den Endpunkten /Users oder /Groups auflisten, unterstützen Filterausdrücke nur den Operator eq (gleich). Sie können mehrere eq-Filter mit and kombinieren. Andere SCIM-Filteroperatoren wie co (enthält) oder sw (beginnt mit) werden nicht unterstützt.

  • Paginierung:Die IAM SCIM API unterstützt keine Standardpaginierung für das Auflisten von Nutzern oder Gruppen.

    • startIndex: Dieser Parameter ist immer 1. Die API gibt unabhängig vom Wert, den Sie für startIndex angeben, bis zu 100 Ergebnisse zurück.

    • itemsPerPage: Die maximale Anzahl von Ressourcen, die in einer einzelnen Antwort zurückgegeben werden, beträgt 100.

    • totalResults: Die API gibt nicht die tatsächliche Gesamtzahl der übereinstimmenden Ressourcen zurück. Das Feld totalResults in der Antwort entspricht immer der Anzahl der Elemente, die in dieser Antwort zurückgegeben werden, maximal 100.

  • Gruppe abrufen und Gruppen ohne Filter auflisten:Die APIs GetGroup und ListGroups geben eine leere Mitgliederliste zurück. Wenn Sie Mitglieder für eine bestimmte Gruppe abrufen möchten, verwenden Sie die API ListGroups mit einem Mitgliederfilter.

  • Nicht konforme JSON-Antwort mit ungültigen Tokens: APIs, die ungültige API-Tokens enthalten, führen zu einem 401 HTTP error von Google Cloud. Die Antwort ist keine JSON-Struktur, wie in den Spezifikationen gefordert.

Einschränkungen des SCIM-Verhaltens

  • Unveränderliche IDs: Die Werte von SCIM-Attributen, die google.subject oder google.group zugeordnet sind, werden in als unveränderliche IDs behandelt Google Cloud. Wenn Sie diese Werte ändern möchten, müssen Sie den Nutzer oder die Gruppe endgültig aus Ihrem IdP löschen und dann mit dem neuen Wert neu erstellen.

  • Anforderung einer einzelnen E-Mail-Adresse:Für eine erfolgreiche SCIM-Synchronisierung muss jeder Nutzer genau eine E-Mail-Adresse vom Typ work haben. Die Bereitstellung oder Aktualisierung schlägt fehl, wenn Ihr IdP mehrere E-Mail-Adressen sendet oder wenn die angegebene einzelne E-Mail-Adresse nicht als work gekennzeichnet ist.

  • Transformationen ohne Berücksichtigung der Groß-/Kleinschreibung:Für SCIM-Anspruchszuordnungen werden eingeschränkte CEL-Transformationen (Common Expression Language) unterstützt. Für Vergleiche ohne Berücksichtigung der Groß-/Kleinschreibung für user.userName und user.emails[0].value wird nur .lowerAscii() unterstützt.

Einschränkungen für Attribute

In den folgenden Abschnitten wird die Attributunterstützung für Nutzer, Gruppen und die Schemaserweiterung für Unternehmensnutzer beschrieben.

Nutzerattribute

In der folgenden Tabelle wird die Unterstützung für Nutzerattribute beschrieben:

Attribut Unterattribute Unterstützt Einschränkungen
userName Ja
name formatted, familyName, givenName, middleName, honorificPrefix, honorificSuffix Ja
displayName Ja
nickName Ja
profileUrl Ja
title Ja
userType Ja
preferredLanguage Ja
locale Ja
timezone Ja
active Ja
password Nein
emails display, type, value, primary Ja Nur der E-Mail-Typ work wird unterstützt.
phoneNumbers display, type, value, primary Ja
ims display, type, value Ja
photos display, type, value Ja
addresses formatted, streetAddress, locality, region, postalCode, country Ja
groups Nein
entitlements display, type, value Ja
roles type, value Ja display wird nicht unterstützt.
x509Certificates type, value Ja display wird nicht unterstützt.

Gruppenattribute

In der folgenden Tabelle wird die Unterstützung für Gruppenattribute beschrieben:

Attribut Unterstützte Unterattribute
displayName
externalId
members value, type, $ref, display

Attribute der Schemaserweiterung für Unternehmensnutzer

In der folgenden Tabelle wird die Unterstützung für die Schemaserweiterung für Unternehmensnutzer beschrieben:

Attribut Unterstützte Unterattribute
employeeNumber
costCenter
organization
division
department
manager value, $ref, displayName

Nächste Schritte