Configura la federazione delle identità della forza lavoro con Microsoft Entra ID e fai accedere gli utenti

Questo documento mostra come configurare la federazione delle identità per la forza lavoro con il provider di identità (IdP) Microsoft Entra ID e gestire l'accesso aGoogle Cloud. Gli utenti federati possono quindi accedere ai servizi Google Cloud che supportano la federazione delle identità per la forza lavoro. Puoi utilizzare il protocollo OIDC o SAML 2.0 per federare le identità.

Prima di iniziare

1. Assicurati di aver configurato un'organizzazione Google Cloud .

2. Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:

   gcloud init

   Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

3. In Microsoft Entra ID, assicurati che i token ID siano abilitati per il flusso implicito. Per maggiori informazioni, vedi Abilitare la concessione implicita del token ID.
4. Per l'accesso, l'IdP deve fornire informazioni di autenticazione firmate: gli IdP OIDC devono fornire un JWT e le risposte degli IdP SAML devono essere firmate.
5. Per ricevere informazioni importanti sulle modifiche apportate alla tua organizzazione o ai prodottiGoogle Cloud , devi fornire i contatti essenziali. Per ulteriori informazioni, consulta la panoramica della federazione delle identità per la forza lavoro.

Costi

La federazione delle identità per la forza lavoro è disponibile come funzionalità senza costi. Tuttavia, l'audit logging dettagliato della federazione delle identità della forza lavoro utilizza Cloud Logging. Per informazioni sui prezzi di Logging, consulta Prezzi di Google Cloud Observability.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare la federazione delle identità della forza lavoro, chiedi all'amministratore di concederti il ruolo IAM IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Se stai configurando le autorizzazioni in un ambiente di sviluppo o di test, ma non in un ambiente di produzione, puoi concedere il ruolo di base Proprietario IAM (roles/owner), che include anche le autorizzazioni per la federazione delle identità della forza lavoro.

Crea un'applicazione Microsoft Entra ID

I pool di identità della forza lavoro supportano la federazione utilizzando i protocolli OIDC e SAML.

Crea un pool di identità per la forza lavoro

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Crea il provider del pool di identità per la forza lavoro Microsoft Entra ID

Questa sezione descrive come creare un provider del pool di identità per la forza lavoro per consentire agli utenti IdP di accedere a Google Cloud. Puoi configurare il provider in modo che utilizzi il protocollo OIDC o SAML.

Crea un provider di pool di identità per la forza lavoro OIDC

Per creare un provider del pool di identità per la forza lavoro per l'integrazione dell'applicazione Microsoft Entra ID utilizzando il protocollo OIDC, segui questi passaggi:

1. Per ottenere l'URI dell'emittente per l'applicazione Microsoft Entra ID:

   1. Vai alla registrazione dell'applicazione Microsoft Entra ID.
   2. Fai clic su Endpoint.
   3. Apri il documento di metadati OpenID Connect in una nuova scheda.
   4. Nel codice JSON, copia il valore di issuer.

2. Per ottenere l'ID client per l'applicazione Microsoft Entra ID:

   1. Vai alla registrazione dell'applicazione Microsoft Entra ID.
   2. In ID applicazione (client), copia il valore.

3. Per creare un provider di pool di identità per la forza lavoro OIDC per l'accesso basato sul web, svolgi le seguenti operazioni:

   gcloud

   Per creare un provider che supporti il protocollo OIDC:

   Flusso codice

   Per creare un provider OIDC che utilizza il flusso del codice di autorizzazione per l'accesso basato sul web, segui questi passaggi:

   1. Nella tua applicazione Microsoft Entra ID, per ottenere il client secret:

      1. Vai alla registrazione dell'app Microsoft Entra ID.

      2. In Certificates & secrets (Certificati e secret), fai clic sulla scheda Client secrets (Client secret).

      3. Per aggiungere un client secret, fai clic su + Nuovo client secret.

      4. Nella finestra di dialogo Aggiungi un client secret, inserisci le informazioni necessarie.

      5. Per creare il client secret, fai clic su Aggiungi.

      6. Nella scheda Client secret, trova il nuovo client secret.

      7. Nella colonna Valore del nuovo client secret, fai clic su content_copy Copia.

   2. Nella console Google Cloud , per creare un provider OIDC che utilizza il flusso di codice, segui questi passaggi:

      gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --display-name="DISPLAY_NAME" \
          --description="DESCRIPTION" \
          --issuer-uri="ISSUER_URI" \
          --client-id="OIDC_CLIENT_ID" \
          --client-secret-value="OIDC_CLIENT_SECRET" \
          --web-sso-response-type="code" \
          --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
          --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
          --attribute-mapping="ATTRIBUTE_MAPPING" \
          --attribute-condition="ATTRIBUTE_CONDITION" \
          --jwk-json-path="JWK_JSON_PATH" \
          --detailed-audit-logging \
          --location=global
      

      Sostituisci quanto segue:

      • WORKFORCE_PROVIDER_ID: un ID provider del pool di identità forza lavoro univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.
      • WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui connettere il tuo IdP.
      • DISPLAY_NAME: Un nome visualizzato facoltativo e intuitivo per il fornitore, ad esempio idp-eu-employees.
      • DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempio IdP for Partner Example Organization employees.
      • ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia con https; ad esempio, https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.
      • OIDC_CLIENT_ID: l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
      • OIDC_CLIENT_SECRET: il client secret OIDC.
      • WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato sul browser alla console (federata) o a gcloud CLI.
      • ATTRIBUTE_MAPPING: una mappatura degli attributi. Per Microsoft Entra ID con autenticazione OIDC, consigliamo i seguenti mapping degli attributi:

        google.subject=assertion.sub,
        google.groups=assertion.groups,
        google.display_name=assertion.preferred_username
        

        Questo esempio mappa gli attributi IdP subject, groups e preferred_username agli attributi Google Cloud google.subject, google.groups e google.display_name, rispettivamente.

      • ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.ipaddr.startsWith('98.11.12.') .
      • JWK_JSON_PATH: un percorso facoltativo per un JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sulle chiavi JWK OIDC caricate localmente, consulta Gestisci le chiavi JWK OIDC.

      • La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

        Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

      Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio, locations/global/workforcePools/enterprise-example-organization-employees.

   Flusso implicito

   Per creare un provider OIDC che utilizza il flusso implicito per l'accesso web:

   1. Per attivare il token ID nell'applicazione Microsoft Entra ID, procedi nel seguente modo:

      1. Vai alla registrazione dell'applicazione Microsoft Entra ID.
      2. In Autenticazione, seleziona la casella di controllo Token ID.
      3. Fai clic su Salva.

   2. Per creare il provider, esegui questo comando:

      gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --display-name="DISPLAY_NAME" \
          --description="DESCRIPTION" \
          --issuer-uri="ISSUER_URI" \
          --client-id="OIDC_CLIENT_ID" \
          --web-sso-response-type="id-token" \
          --web-sso-assertion-claims-behavior="only-id-token-claims" \
          --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
          --attribute-mapping="ATTRIBUTE_MAPPING" \
          --attribute-condition="ATTRIBUTE_CONDITION" \
          --jwk-json-path="JWK_JSON_PATH" \
          --detailed-audit-logging \
          --location=global
      

      Sostituisci quanto segue:

      • WORKFORCE_PROVIDER_ID: un ID provider del pool di identità forza lavoro univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.
      • WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui connettere il tuo IdP.
      • DISPLAY_NAME: Un nome visualizzato facoltativo e intuitivo per il fornitore, ad esempio idp-eu-employees.
      • DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempio IdP for Partner Example Organization employees.
      • ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia con https; ad esempio, https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.
      • OIDC_CLIENT_ID: l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
      • WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato sul browser alla console (federata) o a gcloud CLI.
      • ATTRIBUTE_MAPPING: una mappatura degli attributi. Per Microsoft Entra ID con autenticazione OIDC, consigliamo i seguenti mapping degli attributi:

        google.subject=assertion.sub,
        google.groups=assertion.groups,
        google.display_name=assertion.preferred_username
        

        Questo esempio mappa gli attributi IdP subject, groups e preferred_username agli attributi Google Cloud google.subject, google.groups e google.display_name, rispettivamente.

      • ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.ipaddr.startsWith('98.11.12.') .
      • JWK_JSON_PATH: un percorso facoltativo per un JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sulle chiavi JWK OIDC caricate localmente, consulta Gestisci le chiavi JWK OIDC.

      • La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

        Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

      Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio, locations/global/workforcePools/enterprise-example-organization-employees.

   Console

   Flusso codice

   Per creare un provider OIDC che utilizza il flusso di concessione del codice di autorizzazione per l'accesso basato sul web, segui questi passaggi:

   1. Per ottenere il client secret di Microsoft Entra ID:

      1. Vai alla registrazione dell'app Microsoft Entra ID.

      2. In Certificates & secrets (Certificati e secret), fai clic sulla scheda Client secrets (Client secret).

      3. Per aggiungere un client secret, fai clic su + Nuovo client secret.

      4. Nella finestra di dialogo Aggiungi un client secret, inserisci le informazioni necessarie.

      5. Per creare il client secret, fai clic su Aggiungi.

      6. Nella scheda Client secret, trova il nuovo client secret.

      7. Nella colonna Valore del nuovo client secret, fai clic su content_copy Copia.

   2. Nella console Google Cloud , per creare un provider OIDC che utilizza il flusso del codice di autorizzazione, segui questi passaggi:

      1. Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

         Vai a Pool di identità per la forza lavoro

      2. Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.

      3. Nella sezione Provider, fai clic su addAggiungi provider.

      4. Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

         Se il tuo IdP non è elencato, seleziona Provider di identità generico.

      5. In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).

      6. Nella sezione Crea un fornitore, segui questi passaggi:

         1. In Nome, inserisci il nome del provider.
         2. In Descrizione, inserisci la descrizione del fornitore.
         3. In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.
         4. In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.

         5. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attivata.

         6. Fai clic su Continua.

      7. Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nel tuo IdP, configura questo URL come URI di reindirizzamento, che comunica all'IdP dove inviare il token di asserzione dopo l'accesso.

      8. Fai clic su Continua.

      9. Nella sezione Configura l'accesso web OIDC, segui questi passaggi:

         1. Nell'elenco Tipo di flusso, seleziona Codice.

         2. Nell'elenco Comportamento delle rivendicazioni di asserzione, seleziona una delle seguenti opzioni:

            • Informazioni utente e token ID
            • Solo token ID

         3. Nel campo Client secret, inserisci il client secret del tuo IdP.

         4. (Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.

      10. Fai clic su Continua.

      11. In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi, svolgi i seguenti passaggi. Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.

          1. Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.

             Per Microsoft Entra ID con autenticazione OIDC, consigliamo i seguenti mapping degli attributi:

             google.subject=assertion.sub,
             google.groups=assertion.groups,
             google.display_name=assertion.preferred_username
             

             Questo esempio mappa gli attributi IdP subject, groups e preferred_username agli attributi Google Cloud google.subject, google.groups e google.display_name, rispettivamente.

          2. (Facoltativo) Per aggiungere altre mappature degli attributi:

             1. Fai clic su Aggiungi mappatura.
             2. In Google n, dove n è un numero, inserisci uno dei tasti supportati daGoogle Cloud.
             3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare, in formato CEL.

          3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.

             1. Seleziona Usa attributi aggiuntivi.
             2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
             3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
             4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
             5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
             6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.

          4. Per creare una condizione dell'attributo:

             1. Fai clic su Aggiungi condizione.
             2. Nel campo Condizioni degli attributi, inserisci una condizione in formato CEL; ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.ipaddr.startsWith('98.11.12.') .

          5. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.

             La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

             Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

      12. Per creare il fornitore, fai clic su Invia.

   Flusso implicito

   Per creare un provider OIDC che utilizza il flusso implicito per l'accesso basato sul web, segui questi passaggi:

   1. Per attivare il token ID nell'applicazione Microsoft Entra ID, procedi nel seguente modo:

      1. Vai alla registrazione dell'applicazione Microsoft Entra ID.
      2. In Autenticazione, seleziona la casella di controllo Token ID.
      3. Fai clic su Salva.

   1. Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

      Vai a Pool di identità per la forza lavoro

   2. Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.

   3. Nella sezione Provider, fai clic su add Aggiungi provider.

   4. Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

      Se il tuo IdP non è elencato, seleziona Provider di identità generico.

   5. In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).

   6. Nella sezione Crea un fornitore, segui questi passaggi:

      1. In Nome, inserisci il nome del provider.
      2. In Descrizione, inserisci la descrizione del fornitore.
      3. In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.
      4. In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
      5. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attiva.
      6. Fai clic su Continua.

   7. Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nel tuo IdP, configura questo URL come URI di reindirizzamento, che comunica all'IdP dove inviare il token di asserzione dopo l'accesso.

   8. Fai clic su Continua.

   9. Nella sezione Configura l'accesso web OIDC, segui questi passaggi:

      1. Nell'elenco Tipo di flusso, seleziona Token ID.

      2. Nell'elenco Comportamento delle rivendicazioni di asserzione, è selezionato Token ID.

      3. (Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.

   10. Fai clic su Continua.

   11. In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi, svolgi i seguenti passaggi. Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.

       1. Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.

          Per Microsoft Entra ID con autenticazione OIDC, consigliamo i seguenti mapping degli attributi:

          google.subject=assertion.sub,
          google.groups=assertion.groups,
          google.display_name=assertion.preferred_username
          

          Questo esempio mappa gli attributi IdP subject, groups e preferred_username agli attributi Google Cloud google.subject, google.groups e google.display_name, rispettivamente.

       2. (Facoltativo) Per aggiungere altre mappature degli attributi:

          1. Fai clic su Aggiungi mappatura.
          2. In Google n, dove n è un numero, inserisci uno dei tasti supportati daGoogle Cloud.
          3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare, in formato CEL.

       3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.

          1. Seleziona Usa attributi aggiuntivi.
          2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
          3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
          4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
          5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
          6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.

       4. Per creare una condizione dell'attributo:

          1. Fai clic su Aggiungi condizione.
          2. Nel campo Condizioni degli attributi, inserisci una condizione in formato CEL; ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.ipaddr.startsWith('98.11.12.') .

       5. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.

          La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

          Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

   12. Per creare il fornitore, fai clic su Invia.

Crea un provider di pool di identità per la forza lavoro SAML 2.0

1. Nel tuo IdP SAML, registra una nuova applicazione per la federazione delle identità per la forza lavoro Google Cloud.

2. Imposta il pubblico per le asserzioni SAML. Di solito è il campo SP Entity ID nella configurazione dell'IdP. Devi impostarlo sul seguente URL:

   https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

3. Imposta l'URL di reindirizzamento, noto anche come URL Assertion Consumer Service (ACS). Per impostare l'URL di reindirizzamento, individua il campo dell'URL di reindirizzamento nel tuo IdP SAML ed esegui una delle seguenti operazioni:

   • Per configurare l'accesso basato sul browser tramite la console Google Cloud o un altro metodo di accesso basato sul browser, inserisci il seguente URL:

     https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
     

     Sostituisci quanto segue:

     • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro

     • WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità forza lavoro che crei più avanti in questo documento.

   • Per configurare l'accesso programmatico tramite l'IdP, inserisci il seguente URL:

     localhost
     

   Per ulteriori dettagli sulla configurazione dell'accesso alla console, consulta Configurare l'accesso utente alla console.

4. In Google Cloud, crea un provider di pool di identità della forza lavoro SAML utilizzando il documento dei metadati SAML del tuo IdP. Puoi scaricare il documento XML dei metadati SAML dal tuo IdP. Il documento deve includere almeno quanto segue:

   • Un ID entità SAML per il tuo IdP.
   • L'URL Single Sign-On per l'IdP.
   • Almeno una chiave pubblica di firma. Per informazioni dettagliate sulle chiavi di firma, consulta la sezione Requisiti delle chiavi più avanti in questa guida.

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --detailed-audit-logging \
    --location=global

gcloud iam workforce-pools providers keys create KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --use encryption \
    --spec KEY_SPECIFICATION

gcloud iam workforce-pools providers keys describe KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --format "value(keyData.key)" \
    > CERTIFICATE_PATH

  gcloud iam workforce-pools providers keys delete KEY_ID \
      --workforce-pool WORKFORCE_POOL_ID \
      --provider WORKFORCE_PROVIDER_ID \
      --location global

Gestire l'accesso alle risorse Google Cloud

Questa sezione fornisce un esempio che mostra come gestire l'accesso alle risorseGoogle Cloud da parte degli utenti della federazione delle identità per la forza lavoro.

In questo esempio, concedi un ruolo Identity and Access Management (IAM) a un progetto di esempio. Gli utenti possono quindi accedere e utilizzare questo progetto per accedere ai prodotti Google Cloud .

Puoi gestire i ruoli IAM per singole identità, un gruppo di identità o un intero pool. Per ulteriori informazioni, consulta Rappresenta gli utenti del pool di identità della forza lavoro nelle policy IAM.

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"

Accedi e verifica l'accesso

In questa sezione, accedi come utente del pool di identità per la forza lavoro e verifica di avere accesso alle risorse Google Cloud .

Accedi

Questa sezione mostra come accedere come utente federato e accedere Google Cloud alle risorse.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Testa l'accesso

Ora hai accesso ai prodotti Google Cloud che supportano la federazione delle identità della forza lavoro e a cui ti è stato concesso l'accesso. In precedenza in questo documento, hai concesso il ruolo Amministratore Storage (roles/storage.admin) a tutte le identità all'interno dell'identificatore di gruppo che hai specificato in gcloud projects add-iam-policy-binding per il progetto TEST_PROJECT_ID.

Ora puoi verificare di avere accesso elencando i bucket Cloud Storage.

gcloud storage ls --project="TEST_PROJECT_ID"

Eliminare utenti

La federazione delle identità della forza lavoro crea metadati e risorse utente per le identità utente federate. Se scegli di eliminare gli utenti nel tuo IdP, devi eliminare esplicitamente anche queste risorse in Google Cloud. Per farlo, consulta Eliminare gli utenti della federazione delle identità per la forza lavoro e i relativi dati.

Potresti notare che le risorse continuano a essere associate a un utente eliminato. Questo perché l'eliminazione dei metadati e delle risorse utente richiede un'operazione di lunga durata. Dopo aver avviato l'eliminazione dell'identità di un utente, i processi che l'utente ha avviato prima dell'eliminazione possono continuare a essere eseguiti fino al completamento o all'annullamento.

Configurare SCIM

Questa sezione descrive come configurare un tenant SCIM in un pool di identità della forza lavoro.

Ogni pool di identità della forza lavoro supporta un solo tenant SCIM. Per configurare un nuovo tenant SCIM in un pool che ne ha già uno, devi prima eliminare definitivamente il tenant esistente.

Il flag --claim-mapping per un tenant SCIM può contenere solo espressioni CEL (Common Expression Language) specifiche. Per scoprire quali espressioni sono supportate, consulta Mappare token e attributi SCIM.

• Configurare un tenant e un token SCIM in Google Cloud
• Configurare SCIM nel tuo IdP

Configurare un tenant e un token SCIM in Google Cloud

Per configurare un tenant SCIM in Google Cloud:

1. Crea un tenant SCIM.

       gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
           --workforce-pool="WORKFORCE_POOL_ID" \
           --provider="PROVIDER_ID" \
           --display-name="SCIM_TENANT_DISPLAY_NAME" \
           --description="SCIM_TENANT_DESCRIPTION" \
           --claim-mapping="CLAIM_MAPPING" \
           --location="global"
       

   Sostituisci quanto segue:

   • SCIM_TENANT_ID: un ID per il tuo tenant SCIM.
   • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro che hai creato in precedenza in questo documento.
   • PROVIDER_ID: l'ID del fornitore del pool di identità per la forza lavoro che hai creato in precedenza in questo documento.
   • SCIM_TENANT_DISPLAY_NAME: un nome visualizzato per il tenant SCIM.
   • SCIM_TENANT_DESCRIPTION: una descrizione per il tenant SCIM.
   • CLAIM_MAPPING: un elenco separato da virgole di mappature degli attributi. Ti consigliamo di utilizzare il seguente mapping degli attributi:

     google.subject=user.externalId,google.group=group.externalId

     L'attributo google.subject che mappi nel tenant SCIM deve fare riferimento in modo univoco alle stesse identità mappate nell'attributo google.subject nel provider del pool di identità della forza lavoro utilizzando il flag --attribute-mapping. Una volta creato il tenant SCIM, non puoi aggiornare il mapping delle rivendicazioni. Per sostituirlo, puoi eliminare definitivamente il tenant SCIM e crearne immediatamente uno nuovo. Per scoprire di più sulle considerazioni per l'utilizzo di SCIM, consulta Supporto SCIM.

2. Al termine del comando, esegui le seguenti operazioni:

   1. Nel campo baseUri dell'output, salva l'intero URI, formattato come https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Devi fornire questo URI al tuo IdP.
   2. Inoltre, dall'URI salva solo SCIM_TENANT_UID. Ti servirà questo UID per impostare i criteri IAM sul tenant SCIM, più avanti in questo documento.

3. Crea un token SCIM:

       gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
           --display-name DISPLAY_NAME \
           --scim-tenant SCIM_TENANT_ID \
           --workforce-pool WORKFORCE_POOL_ID \
           --provider PROVIDER_ID \
           --location global
       

   Sostituisci quanto segue:

   • SCIM_TOKEN_ID: un ID per il token SCIM
   • DISPLAY_NAME: il nome visualizzato del token SCIM
   • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
   • SCIM_TENANT_ID: l'ID del tenant SCIM
   • PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro

4. Al termine del comando gcloud iam workforce-pools providers scim-tenants tokens create, procedi nel seguente modo:

   1. Nell'output, salva il valore di SCIM_TOKEN nel campo securityToken. Devi fornire questo token di sicurezza al tuo IdP. Il token di sicurezza viene visualizzato solo in questo output e, se lo perdi, devi crearne uno nuovo.
   2. Per verificare se SCIM_TOKEN viene rifiutato dalla policy dell'organizzazione, esegui questo comando:

      curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users

      Se il comando non va a buon fine e viene visualizzato un errore relativo alle autorizzazioni, esegui gcloud organizations add-iam-policy-binding, descritto in un passaggio successivo. Se il comando ha esito positivo, puoi saltare questo passaggio.

5. Imposta i criteri IAM sul tenant e sul token SCIM. Se il comando curl in un passaggio precedente non è andato a buon fine a causa di un errore relativo alle autorizzazioni, devi eseguire il seguente comando:

       gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
           --member=serviceAccount:SERVICE_AGENT_EMAIL \
           --role roles/iam.scimSyncer
       

   Sostituisci quanto segue:

   • ORGANIZATION_ID: l'ID dell'organizzazione.
   • SERVICE_AGENT_EMAIL: l'indirizzo email dell'agente del servizio. L'indirizzo email ha il seguente formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID viene restituito quando crei il tenant SCIM.

Quando esegui il provisioning dei gruppi nel tuo IdP, assicurati che il nome visualizzato di ogni gruppo, come fornito nel campo displayName, sia univoco all'interno di un tenant SCIM. Per saperne di più sui gruppi e SCIM in Microsoft Entra ID, consulta Gruppi.

Configurare SCIM in Microsoft Entra ID

Per configurare SCIM in Microsoft Entra ID:

1. Apri il portale Azure e accedi come utente con privilegi di amministratore globale.
2. Seleziona Microsoft Entra ID > App aziendali.
3. Fai clic su Nuova applicazione.
4. In Sfoglia la galleria di app Microsoft Entra, fai clic su Crea la tua applicazione.
5. Nel riquadro Crea la tua applicazione visualizzato, segui questi passaggi:
   1. In Qual è il nome della tua app?, inserisci il nome dell'app.
   2. Seleziona Integra qualsiasi altra applicazione che non trovi nella galleria (non galleria).
   3. Per creare l'app, fai clic su Crea.
6. Nella tua applicazione, procedi nel seguente modo:
   1. Nella sezione Gestisci, fai clic su Provisioning.
   2. Nel riquadro a destra visualizzato, fai clic su Nuova configurazione.

   3. In Credenziali amministratore, nel campo URL tenant, inserisci l'URL SCIM ottenuto quando hai creato il tenant SCIM, a cui è stato aggiunto ?aadOptscim062020. Devi aggiungere ?aadOptscim062020 alla fine dell'URI di base.

      Questo parametro di query è richiesto da Microsoft Entra ID per garantire che le richieste SCIM PATCH siano conformi agli standard SCIM RFC. Per maggiori dettagli, consulta la documentazione di Microsoft.

      L'URL tenant finale in Microsoft Entra ID deve essere nel seguente formato:

      https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020

      Sostituisci SCIM_TENANT_UID con l'UID tenant SCIM.

   4. In Secret token, inserisci il token segreto che hai ottenuto quando hai creato il tenant SCIM.
   5. Per testare la configurazione SCIM con la federazione delle identità per la forza lavoro, fai clic su Prova connessione.
   6. Per salvare la configurazione, fai clic su Crea.
7. Nella sezione Gestisci, segui questi passaggi:
   1. Fai clic su Mappatura attributi.
   2. Fai clic su Provision Microsoft Entra ID Users (Esegui il provisioning degli utenti di Microsoft Entra ID).
   3. Nella pagina Mappatura attributi, procedi nel seguente modo:
      1. Nella tabella Mappature degli attributi, trova la riga relativa a externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi, segui questi passaggi:
         1. In Corrispondenza oggetti utilizzando questo attributo, seleziona Yes.
         2. In Precedenza della corrispondenza, inserisci 2.
         3. Nell'elenco a discesa Attributo origine, seleziona objectId.
         4. Per salvare la mappatura degli attributi, fai clic su Ok.
      2. Nella tabella Mappature degli attributi, trova la riga relativa a userName e fai clic su Modifica in quella riga. Nella pagina Modifica attributi:
         1. In Corrispondenza oggetti utilizzando questo attributo, seleziona No.
         2. Per salvare la mappatura degli attributi, fai clic su Ok.
      3. Nella tabella Mappature degli attributi, trova la riga per externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi:
         1. In Precedenza della corrispondenza, inserisci 1.
         2. Per salvare la mappatura degli attributi, fai clic su Ok.
   4. Fai clic su Provisioning dei gruppi Microsoft Entra ID.
   5. Nella pagina Mappatura attributi, procedi nel seguente modo:
      1. Nella tabella Mappature degli attributi, trova la riga relativa a externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi, segui questi passaggi:
         1. In Corrispondenza oggetti utilizzando questo attributo, seleziona Yes.
         2. In Precedenza della corrispondenza, inserisci 2.
         3. Nell'elenco a discesa Attributo origine, seleziona objectId.
         4. Per salvare la mappatura degli attributi, fai clic su Ok.
      2. Nella tabella Mappature degli attributi, trova la riga relativa a displayName e fai clic su Modifica in quella riga. Nella pagina Modifica attributi, segui questi passaggi:
         1. In Corrispondenza oggetti utilizzando questo attributo, seleziona No.
         2. Per salvare la mappatura degli attributi, fai clic su Ok.
      3. Nella tabella Mappature degli attributi, trova la riga relativa a externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi:
         1. In Precedenza della corrispondenza, inserisci 1.
         2. Per salvare la mappatura degli attributi, fai clic su Ok.

Aggiorna il provider per attivare SCIM

Per abilitare SCIM per un provider:

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups
    

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups
    

Mappare token e attributi SCIM

Devi mappare gli attributi in modo coerente sia nel provider del pool di identità del personale sia nel tenant SCIM configurato per il provider. Per il provider del pool di identità per la forza lavoro, utilizzi il flag --attribute-mapping, mentre per il tenant SCIM, utilizzi il flag --claim-mapping. L'attributo IdP mappato a google.subject per gli utenti deve fare riferimento in modo univoco alla stessa identità, indipendentemente dal fatto che sia definita in un token o in una mappatura SCIM. Per saperne di più sulla mappatura degli attributi quando utilizzi SCIM, consulta la sezione Supporto di SCIM. La tabella seguente mostra come mappare gli attributi nelle rivendicazioni dei token e negli attributi SCIM:

Forzare l'eliminazione di un tenant SCIM

Per forzare l'eliminazione di un tenant SCIM:

1. Se --scim-usage=enabled-for-groups è impostato per il tuo provider, disattivalo dalla configurazione del provider:

             gcloud iam workforce-pools providers update-oidc
             --provider=PROVIDER_ID \
             --workforce-pool=WORKFORCE_POOL_ID \
             --location= global
             --scim-usage=SCIM_USAGE_UNSPECIFIED
           

   Sostituisci quanto segue:

   • PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
   • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro

2. Elimina il tenant SCIM:

     gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
         --workforce-pool=WORKFORCE_POOL_ID \
         --provider=PROVIDER_ID \
         --hard-delete \
         --location=global
   

   Sostituisci quanto segue:

   • SCIM_TENANT_ID: l'ID del tenant SCIM da eliminare
   • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
   • PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
   Per saperne di più su SCIM, inclusa l'eliminazione dei tenant SCIM, consulta Supporto di SCIM.

Passaggi successivi

• Eliminare gli utenti della federazione delle identità per la forza lavoro e i relativi dati
• Scopri quali Google Cloud prodotti supportano la federazione delle identità per la forza lavoro
• Configurare l'accesso degli utenti alla console (federato)