Se il tuo provider di identità (IdP) supporta System for Cross-domain Identity Management (SCIM), puoi configurare l'IdP per eseguire il provisioning e gestire i gruppi in Google Cloud.
Funzionalità
Il supporto SCIM della federazione delle identità per la forza lavoro offre le seguenti funzionalità:
Sincronizzazione delle identità:sincronizza copie di sola lettura dei dati utente dal tuo IdP per ottenere una visione olistica delle proprietà e delle appartenenze degli utenti in Google Cloud.
Appiattimento dei gruppi:SCIM elabora i gruppi dal tuo IdP in modo che tutte le appartenenze dirette e indirette (nidificate) per un utente vengano appiattite e sincronizzate con ilGoogle Cloud Group Membership Service (GMS). IAM utilizza questi gruppi appiattiti per i controlli delle policy, superando i vincoli di dimensione spesso presenti nei token IdP.
Integrazione di Gemini Enterprise: i tenant SCIM supportano la condivisione in Gemini Enterprise. Gli utenti possono condividere i notebook NotebookLM con un gruppo utilizzando il nome del gruppo anziché il relativo ID oggetto (UUID). Per saperne di più, vedi Condividere un blocco note con un gruppo.
Considerazioni
Quando utilizzi il supporto SCIM della federazione delle identità per la forza lavoro, si applicano le seguenti considerazioni:
- Prima di configurare un tenant SCIM, devi configurare un fornitore e un pool di identità del workforce.
- Ogni pool di identità della forza lavoro supporta un solo tenant SCIM. Per configurare un
nuovo tenant SCIM nello stesso pool di identità della forza lavoro, devi prima eliminare
quello esistente. Quando elimini un tenant SCIM, hai due opzioni:
- Eliminazione temporanea (impostazione predefinita): l'eliminazione di un tenant SCIM avvia un periodo di eliminazione temporanea di 30 giorni. Durante questo periodo, il tenant è nascosto e non può essere utilizzato e non puoi creare un nuovo tenant SCIM nello stesso pool di identità della forza lavoro.
- Eliminazione definitiva:per eliminare in modo permanente e immediato un tenant SCIM,
utilizza il flag
--hard-deletecon il comando di eliminazione. Questa azione è irreversibile e ti consente di creare un nuovo tenant SCIM nello stesso pool di identità per la forza lavoro immediatamente dopo il completamento dell'eliminazione. In alternativa, puoi creare un nuovo pool di identità per la forza lavoro e un nuovo tenant SCIM oppure utilizzare un pool di identità per la forza lavoro che non è stato configurato in precedenza con un tenant SCIM.
- Quando utilizzi SCIM, mappi gli attributi sia nel provider del pool di identità per la forza lavoro sia nel tenant SCIM. L'attributo
google.subjectdeve fare riferimento in modo univoco alle stesse identità. Specifichigoogle.subjectnel provider del pool di identità per la forza lavoro utilizzando il flag--attribute-mappinge nel tenant SCIM utilizzando il flag--claim-mapping. La mappatura di valori di identità non univoci può indurre Google Cloud a trattare identità IdP diverse come la stessa identità. Di conseguenza, l'accesso concesso a un'identità utente o gruppo può estendersi ad altri, ma la revoca dell'accesso a un'identità potrebbe non rimuoverlo da tutte. - Per utilizzare SCIM per mappare i gruppi, imposta
--scim-usage=enabled-for-groups. Quando mappi i gruppi utilizzando SCIM, qualsiasi mappatura dei gruppi definita nel provider del pool di identità della forza lavoro viene ignorata. Quando fai riferimento ai gruppi gestiti da SCIM, l'attributo mappato ègoogle.group, nongoogle.groups.google.groupssi riferisce solo ai gruppi mappati con token. - Quando utilizzi SCIM, gli attributi basati su token mappati con
--attribute-mappingpossono comunque essere utilizzati per l'autenticazione e negli identificatori principali. - Per la configurazione di Microsoft Entra ID, non devi utilizzare i flag
--extended-attributesquando crei il provider del pool di identità per la forza lavoro.
Mappatura dei provider OIDC e SAML alla configurazione SCIM
Deve esserci coerenza tra la mappatura degli attributi nella configurazione del provider del pool di identità della forza lavoro (--attribute-mapping) e le mappature delle rivendicazioni nel tenant SCIM (--claim-mapping). L'attributo IdP sottostante utilizzato per compilare google.subject (per gli utenti) deve essere lo stesso, indipendentemente dal fatto che venga letto da una rivendicazione del token o da un attributo SCIM.
Se questi mapping non sono coerenti, gli utenti potrebbero riuscire ad accedere, ma non verranno
riconosciuti come membri dei gruppi di cui è stato eseguito il provisioning SCIM. Ad esempio, se il
provider utilizza assertion.email per google.subject, il
tenant SCIM deve utilizzare anche l'attributo SCIM equivalente
(ad esempio, user.emails[0].value) per google.subject.
La tabella seguente fornisce esempi di riferimento per la mappatura delle rivendicazioni dei token IdP comuni agli attributi SCIM:
| Attributo Google | Mappatura del provider di pool di identità della forza lavoro (token) | Mappatura tenant SCIM (SCIM) |
|---|---|---|
google.subject |
assertion.oid |
user.externalId |
google.subject |
assertion.email |
user.emails[0].value |
google.subject |
assertion.email.lowerAscii() |
user.emails[0].value.lowerAscii() |
google.subject |
assertion.preferred_username |
user.userName |
google.subject |
assertion.sub |
Non compatibile |
google.group |
N/A (mappato utilizzando SCIM) | group.externalId |
Endpoint supportati e non supportati
Sono supportati i seguenti endpoint del protocollo SCIM standard:
/Users: gestisci le risorse utente. Operazioni supportate:Create,Get,Update,Delete,PatchePut./Groups: gestisci le risorse del gruppo. Operazioni supportate:Create,Get,Update,DeleteePatch. Il metodoPUTnon è supportato per i gruppi./Schemas: recupera le informazioni sullo schema./ServiceProviderConfig: recupera la configurazione del service provider.
I seguenti endpoint del protocollo SCIM non sono supportati:
/Me/Bulk/Search/ResourceTypes
Limitazioni
Le sezioni seguenti descrivono le limitazioni e le deviazioni dell'implementazione SCIM della federazione delle identità per la forza lavoro rispetto alle specifiche SCIM (RFC 7643 e 7644).
Limitazioni delle funzionalità del protocollo
Supporto dei filtri:quando elenchi utenti o gruppi utilizzando gli endpoint
/Userso/Groups, le espressioni di filtro supportano solo l'operatoreeq(uguale a). Puoi combinare più filtrieqconand. Altri operatori di filtro SCIM, comeco(contiene) osw(inizia con), non sono supportati.Impaginazione:l'API IAM SCIM non supporta l'impaginazione standard per elencare utenti o gruppi.
startIndex: questo parametro è sempre1. L'API restituisce fino a 100 risultati indipendentemente dal valore fornito perstartIndex.itemsPerPage: il numero massimo di risorse restituite in una singola risposta è 100.totalResults: l'API non restituisce il conteggio totale effettivo delle risorse corrispondenti. Il campototalResultsnella risposta è sempre uguale al numero di elementi restituiti in quella risposta, con un massimo di 100.
Limitazioni del comportamento di SCIM
Identificatori immutabili: i valori degli attributi SCIM mappati a
google.subjectogoogle.groupvengono trattati come identificatori immutabili all'interno di Google Cloud. Se devi modificare questi valori, devi eliminare definitivamente l'utente o il gruppo dal tuo IdP e poi ricrearlo con il nuovo valore.Requisito di un singolo indirizzo email:per una sincronizzazione SCIM riuscita, ogni utente deve avere esattamente un indirizzo email di tipo
work. Il provisioning o gli aggiornamenti non andranno a buon fine se il tuo IdP invia più email o se l'unica email fornita non è digitata comework.Trasformazioni senza distinzione tra maiuscole e minuscole: sono supportate trasformazioni limitate di Common Expression Language (CEL) per i mapping delle rivendicazioni SCIM. Per i confronti senza distinzione tra maiuscole e minuscole per
user.userNameeuser.emails[0].valueè supportato solo.lowerAscii().
Limitazioni degli attributi
Le sezioni seguenti descrivono il supporto degli attributi per utenti, gruppi e l'estensione dello schema utente aziendale.
Attributi utente
La seguente tabella descrive in dettaglio il supporto per gli attributi utente:
| Attributo | Attributi secondari | Supportato | Limitazioni |
|---|---|---|---|
userName |
N/D | Sì | N/D |
name |
formatted, familyName, givenName, middleName, honorificPrefix, honorificSuffix |
Sì | N/A |
displayName |
N/D | Sì | N/A |
nickName |
N/D | Sì | N/A |
profileUrl |
N/D | Sì | N/A |
title |
N/D | Sì | N/A |
userType |
N/D | Sì | N/A |
preferredLanguage |
N/D | Sì | N/A |
locale |
N/D | Sì | N/A |
timezone |
N/D | Sì | N/A |
active |
N/D | Sì | N/A |
password |
N/D | No | N/D |
emails |
display, type, value, primary |
Sì | È supportato solo il tipo di email work. |
phoneNumbers |
display, type, value, primary |
Sì | N/D |
ims |
display, type, value |
Sì | N/D |
photos |
display, type, value |
Sì | N/D |
addresses |
formatted, streetAddress, locality, region, postalCode, country |
Sì | N/A |
groups |
N/D | No | N/D |
entitlements |
display, type, value |
Sì | N/D |
roles |
type, value |
Sì | display non è supportato. |
x509Certificates |
type, value |
Sì | display non è supportato. |
Attributi del gruppo
La tabella seguente mostra in dettaglio il supporto per gli attributi di gruppo:
| Attributo | Attributi secondari supportati |
|---|---|
displayName |
N/D |
externalId |
N/D |
members |
value, type, $ref, display |
Attributi di estensione dello schema utente aziendale
La tabella seguente descrive in dettaglio il supporto per l'estensione dello schema utente aziendale:
| Attributo | Attributi secondari supportati |
|---|---|
employeeNumber |
N/D |
costCenter |
N/D |
organization |
N/D |
division |
N/D |
department |
N/D |
manager |
value, $ref, displayName |
Passaggi successivi
- Configurare il supporto SCIM per la federazione delle identità per la forza lavoro
- Audit logging di IAM SCIM