Esta página se ha traducido con Cloud Translation API.

Configurar la federación de identidades para los trabajadores con Microsoft Entra ID

Puedes configurar la federación de identidades de Workforce con el proveedor de identidades (IdP) de Microsoft Entra ID y asignar hasta 400 grupos de Microsoft Entra ID a Google Cloud mediante Microsoft Graph. Después, puedes conceder roles de gestión de identidades y accesos a esos grupos, lo que permite que los usuarios de Microsoft Entra ID que sean miembros de los grupos inicien sesión en Google Cloud. Los usuarios pueden acceder a los productos de Google Cloud a los que se les haya concedido acceso de gestión de identidades y accesos y que también admitan la federación de identidades de Workforce.

Para asignar menos de 150 grupos de Microsoft Entra ID a Google Cloud, consulta Configurar la federación de identidades para los trabajadores con Microsoft Entra ID e iniciar sesión de los usuarios.

Conceptos clave

En esta sección se describen los conceptos que se usan para configurar la federación de identidades de los empleados, que se explican más adelante en este documento.

Atributos adicionales

Para asignar hasta 400 grupos, puedes usar atributos adicionales especificando extra-attributes marcas al crear el proveedor de identidades de la plantilla. Puede usar atributos adicionales con los siguientes protocolos:

OIDC con flujo implícito
OIDC con flujo de código
Protocolo SAML 2.0

El número de direcciones de correo electrónico de grupo que puede emitir una aplicación de Microsoft Entra ID en un token está limitado a 150 para SAML y a 200 para JWT. Para obtener más información sobre este límite, consulta Configurar reclamaciones de grupo para aplicaciones mediante Microsoft Entra ID. Para obtener más grupos, Workforce Identity Federation usa el flujo de credenciales de cliente de OAuth 2.0 de Microsoft Identity para obtener credenciales que permitan a Workforce Identity Federation consultar la API Microsoft Graph y obtener los grupos de un usuario.

Para usar atributos adicionales, debes hacer lo siguiente:

Crea una aplicación de Microsoft Entra ID o actualiza la que ya tengas para obtener las pertenencias a grupos de los usuarios desde la API Microsoft Graph. Para obtener más información sobre cómo recupera Microsoft Graph un gran número de grupos de Microsoft Entra ID, consulta Excesos de grupos.
Cuando creas el proveedor del grupo de identidades de Workforce, usas las marcas extra-attributes para configurar la federación de identidades de Workforce de forma que obtenga las direcciones de correo de los grupos de usuarios de la API Microsoft Graph.

La federación de identidades de Workforce puede recuperar un máximo de 999 grupos de la API Microsoft Graph. Si la API Microsoft Graph devuelve más de 999 grupos, se produce un error al iniciar sesión.

Para reducir el número de grupos que devuelve la API Microsoft Graph, puedes acotar la consulta de la federación de identidades de la plantilla mediante la marca --extra-attributes-filter al crear el proveedor del grupo de identidades de la plantilla.

Una vez que Workforce Identity Federation obtiene los grupos de la API Microsoft Graph, genera el token de acceso. La federación de identidades de Workforce puede añadir un máximo de 400 grupos al token de acceso. Por lo tanto, para filtrar aún más el número de grupos a 400 o menos, puedes especificar una asignación de atributos que contenga expresiones del lenguaje de expresiones comunes (CEL) al crear el proveedor de identidades de Workforce.

Atributos extendidos

Si eres usuario de Gemini Enterprise, puedes usar atributos ampliados para asignar hasta 1000 grupos de Microsoft Entra ID. Este límite es superior al de los atributos adicionales. Para usar atributos ampliados, especifica las marcas extended-attributes al crear el proveedor de grupo de identidades de la fuerza de trabajo. Al usar atributos ampliados, la federación de identidades de Workforce obtiene los IDs de grupo (UUIDs) de Microsoft Entra ID.

Para permitir que los usuarios de Gemini Enterprise introduzcan nombres de grupos legibles por humanos en lugar de UUIDs en la interfaz de usuario para compartir cuadernos de Gemini Enterprise, también debes configurar SCIM.

Configura SCIM en la federación de identidades de Workforce y en tu IdP, tal como se describe más adelante en este documento.

Para configurar atributos ampliados, utilice las siguientes marcas:

--extended-attributes-issuer-uri
--extended-attributes-client-id
--extended-attributes-client-secret-value

Cuando usas atributos extendidos, también se aplican las siguientes limitaciones:

No es necesario configurar google.groups en la asignación de atributos porque no se usan los atributos de grupo. Sin embargo, se utilizan otras asignaciones de atributos.
Puedes configurar otras marcas de proveedores de grupos de identidades de Workforce como se indica en la documentación, pero esos ajustes se aplican a productos distintos de Gemini Enterprise que admiten la federación de identidades de Workforce.
Los atributos ampliados se actualizan periódicamente en segundo plano durante la sesión, incluso después de iniciar sesión.
En Microsoft Entra ID, debes conceder el permiso de aplicación User.Read.All en lugar de User.Read, User.ReadBasic.All o GroupMember.Read.All.
La marca de tipo de atributos extendidos --extended-attributes-type solo admite el tipo azure-ad-groups-id.
Los atributos extendidos solo admiten hasta 1000 grupos. En cambio, la marca --extra-attributes admite hasta 400 grupos.
Los atributos ampliados solo se pueden usar para iniciar sesión en la Web a través de vertexaisearch.cloud.google, no para iniciar sesión en la consola ni en la CLI de gcloud.

Antes de empezar

Asegúrate de que tienes una organización de Google Cloud configurada.
Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
```
gcloud init
```
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Nota: Si ya has instalado la CLI de gcloud, asegúrate de que tienes la versión más reciente ejecutando gcloud components update.
En Microsoft Entra ID, asegúrate de que los tokens de ID estén habilitados para el flujo implícito. Para obtener más información, consulta Habilitar la concesión implícita de tokens de ID.
Para iniciar sesión, tu proveedor de identidades debe proporcionar información de autenticación firmada: los proveedores de identidades de OIDC deben proporcionar un JWT y las respuestas de los proveedores de identidades de SAML deben estar firmadas.
Para recibir información importante sobre los cambios que se produzcan en tu organización o en tusGoogle Cloud productos, debes proporcionar contactos esenciales. Para obtener más información, consulta la descripción general de la Federación de Identidades de Workforce.
Todos los grupos que quieras asignar deben estar marcados como grupos de seguridad en Microsoft Entra ID.
Importante: Se pueden obtener un máximo de 999 grupos.

Costes

La federación de identidades para los trabajadores está disponible como función gratuita. Sin embargo, el registro de auditoría detallado de la federación de identidades de Workforce usa Cloud Logging. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.

Roles obligatorios

Para obtener los permisos que necesitas para configurar la federación de identidades de Workforce, pide a tu administrador que te asigne el rol de administrador de grupos de Workforce de gestión de identidades y accesos (roles/iam.workforcePoolAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Si estás configurando permisos en un entorno de desarrollo o de prueba, pero no en un entorno de producción, puedes conceder el rol básico Propietario de gestión de identidades y accesos (roles/owner), que también incluye permisos para la federación de identidades de la plantilla.

Crear una aplicación de Microsoft Entra ID

En esta sección se explica cómo crear una aplicación de Microsoft Entra ID mediante el portal de administración de Microsoft Entra. También puedes actualizar tu aplicación. Para obtener más información, consulta el artículo Establecer aplicaciones en el ecosistema de Microsoft Entra ID.

Los grupos de identidades de Workforce admiten la federación mediante los protocolos OIDC y SAML.

OIDC

Para crear un registro de aplicación de Microsoft Entra ID que use el protocolo OIDC, haz lo siguiente:

Inicia sesión en el portal de administración de Microsoft Entra.
Ve a Identidad > Aplicaciones > Registros de aplicaciones.
Para empezar a configurar el registro de la aplicación, haz lo siguiente:
1. Haz clic en Nuevo registro.
2. Escribe el nombre de la aplicación.
3. En Tipos de cuenta admitidos, selecciona una opción.
4. En la sección URI de redirección, en la lista desplegable Seleccionar una plataforma, selecciona Web.
5. En el campo de texto, introduce una URL de redirección. Se redirige a los usuarios a esta URL después de que hayan iniciado sesión correctamente. Si vas a configurar el acceso a la consola (federada), usa el siguiente formato de URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Haz los cambios siguientes:
  - WORKFORCE_POOL_ID: un ID de grupo de identidades de Workforce que usarás al crear el grupo de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID: un ID de proveedor de grupo de identidades de Workforce que usarás cuando crees el proveedor de grupo de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-oidc-pool-provider
    
    Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.
6. Para crear el registro de la aplicación, haz clic en Registrar.
7. Para usar la asignación de atributos de ejemplo que se proporciona más adelante en este documento, debe crear un atributo department personalizado.

SAML

Para crear un registro de aplicación de Microsoft Entra ID que use el protocolo SAML, haz lo siguiente:

Inicia sesión en el portal de administración de Microsoft Entra.
En el menú de navegación de la izquierda, ve a Entra ID > Aplicaciones empresariales.
Para empezar a configurar la aplicación empresarial, haz lo siguiente:
1. Haz clic en Nueva aplicación > Crea tu propia aplicación.
2. En el panel Crea tu propia aplicación que aparece, introduce un nombre para la aplicación.
3. Haz clic en Crear.
4. Ve a Inicio de sesión único > SAML.
5. Actualiza la sección Configuración básica de SAML de la siguiente manera:
  1. En el campo Identifier (Entity ID) (Identificador [ID de entidad]), introduce el siguiente valor:
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Haz los cambios siguientes:
    - WORKFORCE_POOL_ID: un ID de grupo de identidades de Workforce que usarás al crear el grupo de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID: un ID de proveedor de grupos de identidades de Workforce que usarás cuando crees el proveedor de grupos de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-saml-pool-provider
      
      Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.
  2. En el campo URL de respuesta (URL del servicio de consumidor de aserciones), introduce una URL de redirección. Se redirige a los usuarios a esta URL después de que hayan iniciado sesión correctamente. Si vas a configurar el acceso a la consola (federada), usa el siguiente formato de URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Haz los cambios siguientes:
    - WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce
    - WORKFORCE_PROVIDER_ID: el ID del proveedor de identidades del personal
  3. Para habilitar el inicio de sesión iniciado por el IdP, asigna el siguiente valor al campo Relay State:
```
https://console.cloud.google/
```
  4. Para guardar la configuración de la aplicación SAML, haz clic en Guardar.
6. Para usar la asignación de atributos de ejemplo que se proporciona más adelante en este documento, debe crear un atributo department personalizado.

Configurar un gran número de grupos con Microsoft Entra ID

En esta sección se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de trabajo mediante los protocolos OIDC y SAML.

Configurar un gran número de grupos con Microsoft Entra ID mediante el flujo implícito de OIDC

En esta sección se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de Workforce mediante el protocolo OpenID Connect (OIDC) con flujo implícito.

Configurar la aplicación de Microsoft Entra ID

Puedes configurar una aplicación de Microsoft Entra ID que ya tengas o crear una. Para configurar tu aplicación, haz lo siguiente:

En el portal de Microsoft Entra ID, haz lo siguiente:
- Para registrar una aplicación nueva, sigue las instrucciones que se indican en el artículo Registrar una aplicación nueva.
- Para actualizar una aplicación, sigue estos pasos:
  - Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
  - Selecciona la aplicación que quieras actualizar.
Crea un secreto de cliente en la aplicación siguiendo las instrucciones de Certificados y secretos. Asegúrate de anotar el valor del secreto de cliente, ya que solo se muestra una vez.
Anota los siguientes valores de la aplicación que has creado o actualizado. Proporcionará los valores cuando configure el proveedor de grupos de identidades de la fuerza de trabajo más adelante en este documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para obtener los grupos de Microsoft Entra ID, añade el permiso de API para que la federación de identidades de los empleados pueda acceder a la información de los usuarios de Microsoft Entra ID mediante la API Microsoft Graph y concede el consentimiento de administrador. En Microsoft Entra ID, haz lo siguiente:
1. Ve a Permisos de API.
2. Haz clic en Añadir un permiso.
3. Selecciona API de Microsoft.
4. Selecciona Permisos de aplicaciones.
5. En el campo de búsqueda, escribe User.ReadBasic.All.
6. Haz clic en Añadir permisos.
Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objeto de grupo (ID) o como dirección de correo de grupo para los grupos habilitados para correo.

Si eliges recuperar los grupos como direcciones de correo electrónico de grupo, debes seguir el paso siguiente.
Para obtener los grupos de Microsoft Entra ID como direcciones de correo de grupo, haz lo siguiente. Si recuperas los grupos como identificadores de objetos de grupo, sáltate este paso.
1. En el campo de búsqueda, introduce GroupMember.Read.All.
2. Haz clic en Añadir permisos.
3. Haz clic en Conceder consentimiento de administrador para el nombre de tu dominio.
4. En el cuadro de diálogo que aparece, haz clic en Sí.
5. Ve a la página Información general de la aplicación Microsoft Entra ID que has creado o actualizado anteriormente.
6. Haz clic en Puntos de conexión.
El URI del emisor es el URI del documento de metadatos de OIDC, sin la ruta /.well-known/openid-configuration.

Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crear un grupo de identidades de Workforce

gcloud

Para crear el grupo de identidades de la fuerza de trabajo, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Haz los cambios siguientes:

WORKFORCE_POOL_ID: un ID que elijas para representar tu Google Cloud grupo de personal. Para obtener información sobre el formato del ID, consulte la sección Parámetros de consulta de la documentación de la API.
ORGANIZATION_ID: el ID numérico de tu organización Google Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.
DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.
DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.
SESSION_DURATION: opcional. Duración de la sesión, expresada como un número seguido de s, por ejemplo, 3600s. La duración de la sesión determina cuánto tiempo son válidos los Google Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federada) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).

Consola

Para crear el grupo de identidades de Workforce, sigue estos pasos:

En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

Ir a Grupos de identidades de Workforce
Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de la fuerza de trabajo están disponibles en todos los proyectos y carpetas de una organización.
Haz clic en Crear pool y sigue estos pasos:
1. En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.
2. Opcional: En Descripción, escriba una descripción del grupo.
3. Para crear el grupo de identidades de Workforce, haz clic en Siguiente.

La duración de la sesión del grupo de identidades de Workforce es de una hora (3600 s) de forma predeterminada. La duración de la sesión determina cuánto tiempo son válidas las sesiones de inicio de sesión de los tokens de acceso, la consola (federada) y la CLI de gcloud de este grupo de empleados. Google Cloud Una vez que hayas creado el grupo, podrás actualizarlo para definir una duración de sesión personalizada. La duración de la sesión debe ser de entre 15 minutos (900 segundos) y 12 horas (43.200 segundos).

Configurar el proveedor de grupos de identidades de empleados de flujo implícito de OIDC

gcloud

Para crear el proveedor de grupos de identidades de empleados de OIDC, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Haz los cambios siguientes:

PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de proveedor o de grupo.
WORKFORCE_POOL_ID: el ID del grupo de personal.
DISPLAY_NAME: nombre visible del proveedor.
ISSUER_URI: el URI del emisor de la aplicación de Microsoft Entra ID que has creado anteriormente en este documento.
CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
ATTRIBUTE_MAPPING: la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar los atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para obtener más información, consulta Asignación de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: el URI del emisor de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: el secreto de cliente adicional de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: usa azure-ad-groups-mail para obtener las direcciones de correo de los grupos. Usa azure-ad-groups-id para obtener los IDs de los grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Una expresión de filtro que se usa al consultar la API Microsoft Graph para obtener grupos. Puedes usar este parámetro para asegurarte de que el número de grupos obtenidos del IdP no supere el límite de 400 grupos.
En el siguiente ejemplo, se obtienen los grupos que tienen el prefijo sales en su ID de correo:
```
--extra-attributes-filter='"mail:sales"'
```
La siguiente expresión obtiene los grupos cuyo nombre visible contiene la cadena sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de grupos de identidades de la fuerza de trabajo. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Consola

En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

Ir a Grupos de identidades de Workforce

En la tabla Grupos de identidades de Workforce, selecciona el grupo para el que quieras crear el proveedor.
En la sección Proveedores, haz clic en Añadir proveedor.
En la lista Select a Provider vendor (Seleccionar un proveedor), elija su proveedor de identidades (IdP).
Si tu IdP no aparece en la lista, selecciona Proveedor de identidades genérico.
En Seleccionar un protocolo de autenticación, selecciona OpenID Connect (OIDC).
En la sección Crear un proveedor, haga lo siguiente:
1. En Name (Nombre), escribe el nombre del proveedor.
2. En Descripción, escriba la descripción del proveedor.
3. En Emisor (URL), introduzca el URI del emisor. El URI del emisor de OIDC debe tener un formato de URI válido y empezar por https. Por ejemplo, https://example.com/oidc.
4. En ID de cliente, introduce el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación aud del JWT emitido por tu proveedor de identidades.
5. Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
6. Haz clic en Continuar.
En la sección Comparte la información de tu proveedor con el proveedor de identidades, copia la URL. En tu proveedor de identidades, configura esta URL como URI de redirección, que indica a tu proveedor de identidades dónde enviar el token de aserción después de iniciar sesión.
Haz clic en Continuar.
En la sección Configurar inicio de sesión web con OIDC, haz lo siguiente:
En la lista Tipo de flujo, selecciona Token de ID.
En la lista Comportamiento de las reclamaciones de aserción, se selecciona Token de ID.
Opcional: Si has seleccionado Okta como proveedor de identidades, añade cualquier ámbito OIDC adicional en el campo Ámbitos adicionales además de openid, profile y email.

Haz clic en Continuar.

En Configurar proveedor, puede configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, siga estos pasos. Puedes proporcionar el nombre del campo del proveedor de identidades o una expresión con formato CEL que devuelva una cadena.

Obligatorio: En OIDC 1, introduce el asunto del IdP. Por ejemplo, assertion.sub.
Opcional: Para añadir más asignaciones de atributos, sigue estos pasos:
1. Haz clic en Añadir asignación.
2. En Google n, donde n es un número, introduce una de las teclas admitidas porGoogle Cloud.
3. En el campo OIDC n correspondiente, introduce el nombre del campo específico del IdP que quieras asignar en formato CEL.
Si has seleccionado Microsoft Entra ID como proveedor de identidades, puedes aumentar el número de grupos.
1. Selecciona Usar atributos adicionales.
2. En el campo URI del emisor de atributos adicionales, introduce la URL del emisor.
3. En el campo Extra Attributes Client ID (ID de cliente de atributos adicionales), introduce el ID de cliente.
4. En el campo Extra Attributes Client Secret (Secreto de cliente de atributos adicionales), introduzca el secreto de cliente.
5. En la lista Tipo de atributos adicionales, seleccione un tipo de atributo para los atributos adicionales.
6. En el campo Extra Attributes Filter (Filtro de atributos adicionales), introduzca una expresión de filtro que se use al consultar la API Microsoft Graph para obtener grupos.
Para crear una condición de atributo, siga estos pasos:
1. Haz clic en Añadir condición.
2. En el campo Attribute Conditions (Condiciones de atributo), introduce una condición en formato CEL. Por ejemplo, assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rol gcp-users puedan iniciar sesión con este proveedor.
3. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro de auditoría de valores de atributos.
  La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de grupos de identidades de la fuerza de trabajo. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
  
  Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Para crear el proveedor, haz clic en Enviar.

Configurar un gran número de grupos en Microsoft Entra ID con el flujo de código OIDC

En esta sección se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de Workforce mediante el protocolo OIDC con flujo de código.

Configurar la aplicación de Microsoft Entra ID

Puedes configurar una aplicación de Microsoft Entra ID que ya tengas o crear una. Para configurar tu aplicación, haz lo siguiente:

En el portal de Microsoft Entra ID, haz lo siguiente:
- Para registrar una aplicación nueva, sigue las instrucciones que se indican en el artículo Registrar una aplicación nueva.
- Para actualizar una aplicación, sigue estos pasos:
  - Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
  - Selecciona la aplicación que quieras actualizar.
Crea un secreto de cliente en la aplicación siguiendo las instrucciones de Certificados y secretos. Asegúrate de anotar el valor del secreto de cliente, ya que solo se muestra una vez.
Anota los siguientes valores de la aplicación que has creado o actualizado. Proporcionará los valores cuando configure el proveedor de grupos de identidades de la fuerza de trabajo más adelante en este documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para obtener los grupos de Microsoft Entra ID, añade el permiso de API para que la federación de identidades de los empleados pueda acceder a la información de los usuarios de Microsoft Entra ID mediante la API Microsoft Graph y concede el consentimiento de administrador. En Microsoft Entra ID, haz lo siguiente:
1. Ve a Permisos de API.
2. Haz clic en Añadir un permiso.
3. Selecciona API de Microsoft.
4. Selecciona Permisos delegados.
5. En el campo de búsqueda, escribe User.Read.
6. Haz clic en Añadir permisos.
Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objeto de grupo (ID) o como dirección de correo de grupo para los grupos habilitados para correo.

Si eliges recuperar los grupos como direcciones de correo electrónico de grupo, debes seguir el paso siguiente.
Para obtener los grupos de Microsoft Entra ID como direcciones de correo de grupo, haz lo siguiente. Si recuperas los grupos como identificadores de objetos de grupo, sáltate este paso.
1. En el campo de búsqueda, introduce GroupMember.Read.All.
2. Haz clic en Añadir permisos.
3. Haz clic en Conceder consentimiento de administrador para el nombre de tu dominio.
4. En el cuadro de diálogo que aparece, haz clic en Sí.
5. Ve a la página Información general de la aplicación Microsoft Entra ID que has creado o actualizado anteriormente.
6. Haz clic en Puntos de conexión.
El URI del emisor es el URI del documento de metadatos de OIDC, sin la ruta /.well-known/openid-configuration.

Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crear un grupo de identidades de Workforce

gcloud

Para crear el grupo de identidades de la fuerza de trabajo, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Haz los cambios siguientes:

WORKFORCE_POOL_ID: un ID que elijas para representar tu Google Cloud grupo de personal. Para obtener información sobre el formato del ID, consulte la sección Parámetros de consulta de la documentación de la API.
ORGANIZATION_ID: el ID numérico de tu organización Google Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.
DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.
DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.
SESSION_DURATION: opcional. Duración de la sesión, expresada como un número seguido de s, por ejemplo, 3600s. La duración de la sesión determina cuánto tiempo son válidos los Google Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federada) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).

Consola

Para crear el grupo de identidades de Workforce, sigue estos pasos:

En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

Ir a Grupos de identidades de Workforce
Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de la fuerza de trabajo están disponibles en todos los proyectos y carpetas de una organización.
Haz clic en Crear pool y sigue estos pasos:
1. En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.
2. Opcional: En Descripción, escriba una descripción del grupo.
3. Para crear el grupo de identidades de Workforce, haz clic en Siguiente.

Configurar el proveedor de grupos de identidades de empleados con flujo de código OIDC

gcloud

Para crear el proveedor de grupos de identidades de empleados de OIDC, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Haz los cambios siguientes:

PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de proveedor o de grupo.
WORKFORCE_POOL_ID: el ID del grupo de personal.
DISPLAY_NAME: nombre visible del proveedor.
ISSUER_URI: el URI del emisor de la aplicación de Microsoft Entra ID que has creado anteriormente en este documento.
CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
ATTRIBUTE_MAPPING: la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar los atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para obtener más información, consulta Asignación de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: el URI del emisor de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: el secreto de cliente adicional de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: usa azure-ad-groups-mail para obtener las direcciones de correo de los grupos. Usa azure-ad-groups-id para obtener los IDs de los grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Una expresión de filtro que se usa al consultar la API Microsoft Graph para obtener grupos. Puedes usar este parámetro para asegurarte de que el número de grupos obtenidos del IdP no supere el límite de 400 grupos.
En el siguiente ejemplo, se obtienen los grupos que tienen el prefijo sales en su ID de correo:
```
--extra-attributes-filter='"mail:sales"'
```
La siguiente expresión obtiene los grupos cuyo nombre visible contiene la cadena sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de grupos de identidades de la fuerza de trabajo. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Consola

En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

Ir a Grupos de identidades de Workforce

En la tabla Grupos de identidades de Workforce, selecciona el grupo para el que quieras crear el proveedor.
En la sección Proveedores, haz clic en Añadir proveedor.
En la lista Select a Provider vendor (Seleccionar un proveedor), elija su proveedor de identidades (IdP).
Si tu IdP no aparece en la lista, selecciona Proveedor de identidades genérico.
En Seleccionar un protocolo de autenticación, selecciona OpenID Connect (OIDC).
En la sección Crear un proveedor, haga lo siguiente:
1. En Name (Nombre), escribe el nombre del proveedor.
2. En Descripción, escriba la descripción del proveedor.
3. En Emisor (URL), introduzca el URI del emisor. El URI del emisor de OIDC debe tener un formato de URI válido y empezar por https. Por ejemplo, https://example.com/oidc.
4. En ID de cliente, introduce el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación aud del JWT emitido por tu proveedor de identidades.
5. Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
6. Haz clic en Continuar.
En la sección Comparte la información de tu proveedor con el proveedor de identidades, copia la URL. En tu proveedor de identidades, configura esta URL como URI de redirección, que indica a tu proveedor de identidades dónde enviar el token de aserción después de iniciar sesión.
Haz clic en Continuar.
En la sección Configurar inicio de sesión web con OIDC, haz lo siguiente:
1. En la lista Tipo de flujo, selecciona Código.
2. En la lista Comportamiento de las reclamaciones de aserción, seleccione una de las siguientes opciones:
3. En el campo Secreto de cliente, introduce el secreto de cliente de tu proveedor de identidades.
4. Opcional: Si has seleccionado Okta como proveedor de identidades, añade cualquier ámbito OIDC adicional en el campo Ámbitos adicionales además de openid, profile y email.
Haz clic en Continuar.
En Configurar proveedor, puede configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, siga estos pasos. Puedes proporcionar el nombre del campo del proveedor de identidades o una expresión con formato CEL que devuelva una cadena.
1. Obligatorio: En OIDC 1, introduce el asunto del IdP. Por ejemplo, assertion.sub.
2. Opcional: Para añadir más asignaciones de atributos, sigue estos pasos:
  1. Haz clic en Añadir asignación.
  2. En Google n, donde n es un número, introduce una de las teclas admitidas porGoogle Cloud.
  3. En el campo OIDC n correspondiente, introduce el nombre del campo específico del IdP que quieras asignar en formato CEL.
3. Si has seleccionado Microsoft Entra ID como proveedor de identidades, puedes aumentar el número de grupos.
  1. Selecciona Usar atributos adicionales.
  2. En el campo URI del emisor de atributos adicionales, introduce la URL del emisor.
  3. En el campo Extra Attributes Client ID (ID de cliente de atributos adicionales), introduce el ID de cliente.
  4. En el campo Extra Attributes Client Secret (Secreto de cliente de atributos adicionales), introduzca el secreto de cliente.
  5. En la lista Tipo de atributos adicionales, seleccione un tipo de atributo para los atributos adicionales.
  6. En el campo Extra Attributes Filter (Filtro de atributos adicionales), introduzca una expresión de filtro que se use al consultar la API Microsoft Graph para obtener grupos.
4. Para crear una condición de atributo, siga estos pasos:
  1. Haz clic en Añadir condición.
  2. En el campo Attribute Conditions (Condiciones de atributo), introduce una condición en formato CEL. Por ejemplo, assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rol gcp-users puedan iniciar sesión con este proveedor.
  3. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro de auditoría de valores de atributos.
    La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de grupos de identidades de la fuerza de trabajo. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
    
    Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.

Configurar un gran número de grupos en Microsoft Entra ID con SAML 2.0

En esta sección se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de Workforce mediante el protocolo SAML 2.0.

Configurar la aplicación de Microsoft Entra ID

Para configurar tu aplicación, haz lo siguiente:

En el portal de Microsoft Entra ID, haz lo siguiente:
- Para registrar una aplicación nueva, sigue las instrucciones que se indican en el artículo Registrar una aplicación nueva.
- Para actualizar una aplicación, sigue estos pasos:
  - Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
  - Selecciona la aplicación que quieras actualizar.
Crea un secreto de cliente en la aplicación siguiendo las instrucciones de Certificados y secretos. Asegúrate de anotar el valor del secreto de cliente, ya que solo se muestra una vez.
Anota los siguientes valores de la aplicación que has creado o actualizado. Proporcionará los valores cuando configure el proveedor de grupos de identidades de la fuerza de trabajo más adelante en este documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para obtener los grupos de Microsoft Entra ID, añade el permiso de API para que la federación de identidades de los empleados pueda acceder a la información de los usuarios de Microsoft Entra ID mediante la API Microsoft Graph y concede el consentimiento de administrador. En Microsoft Entra ID, haz lo siguiente:
1. Ve a Permisos de API.
2. Haz clic en Añadir un permiso.
3. Selecciona API de Microsoft.
4. Selecciona Permisos de aplicaciones.
5. En el campo de búsqueda, escribe User.ReadBasic.All.
6. Haz clic en Añadir permisos.
Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objeto de grupo (ID) o como dirección de correo de grupo para los grupos habilitados para correo.

Si eliges recuperar los grupos como direcciones de correo electrónico de grupo, debes seguir el paso siguiente.
Para obtener los grupos de Microsoft Entra ID como direcciones de correo de grupo, haz lo siguiente. Si recuperas los grupos como identificadores de objetos de grupo, sáltate este paso.
1. En el campo de búsqueda, introduce GroupMember.Read.All.
2. Haz clic en Añadir permisos.
3. Haz clic en Conceder consentimiento de administrador para el nombre de tu dominio.
4. En el cuadro de diálogo que aparece, haz clic en Sí.
5. Ve a la página Información general de la aplicación Microsoft Entra ID que has creado o actualizado anteriormente.
6. Haz clic en Puntos de conexión.
El URI del emisor es el URI del documento de metadatos de OIDC, sin la ruta /.well-known/openid-configuration.

Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crear un grupo de identidades de Workforce

gcloud

Para crear el grupo de identidades de la fuerza de trabajo, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Haz los cambios siguientes:

WORKFORCE_POOL_ID: un ID que elijas para representar tu Google Cloud grupo de personal. Para obtener información sobre el formato del ID, consulte la sección Parámetros de consulta de la documentación de la API.
ORGANIZATION_ID: el ID numérico de tu organización Google Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.
DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.
DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.
SESSION_DURATION: opcional. La duración de la sesión, expresada como un número seguido de s. Por ejemplo, 3600s. La duración de la sesión determina cuánto tiempo son válidos los Google Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federada) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).

Consola

Para crear el grupo de identidades de Workforce, sigue estos pasos:

En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

Ir a Grupos de identidades de Workforce
Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de la fuerza de trabajo están disponibles en todos los proyectos y carpetas de una organización.
Haz clic en Crear pool y sigue estos pasos:
1. En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.
2. Opcional: En Descripción, escriba una descripción del grupo.
3. Para crear el grupo de identidades de Workforce, haz clic en Siguiente.

Configurar el proveedor de grupos de identidades de trabajo SAML 2.0

gcloud

Para crear el proveedor de grupos de identidades de empleados SAML, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Haz los cambios siguientes:

PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de proveedor o de grupo.
WORKFORCE_POOL_ID: el ID del grupo de personal.
DISPLAY_NAME: nombre visible del proveedor.
XML_METADATA_PATH: la ruta al archivo de metadatos XML de SAML 2.0.
ATTRIBUTE_MAPPING: la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar los atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para obtener más información, consulta Asignación de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: el URI del emisor de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: el secreto de cliente adicional de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: usa azure-ad-groups-mail para obtener las direcciones de correo de los grupos. Usa azure-ad-groups-id para obtener los IDs de los grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Una expresión de filtro que se usa al consultar la API Microsoft Graph para obtener grupos. Puedes usar este parámetro para asegurarte de que el número de grupos obtenidos del IdP no supere el límite de 400 grupos.
En el siguiente ejemplo, se obtienen los grupos que tienen el prefijo sales en su ID de correo:
```
--extra-attributes-filter='"mail:sales"'
```
La siguiente expresión obtiene los grupos cuyo nombre visible contiene la cadena sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de grupos de identidades de la fuerza de trabajo. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Consola

En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

Ir a Grupos de identidades de Workforce

En la tabla Grupos de identidades de Workforce, selecciona el grupo para el que quieras crear el proveedor.
En la sección Proveedores, haz clic en Añadir proveedor.
En la lista Select a Provider vendor (Seleccionar un proveedor), elija su proveedor de identidades (IdP).
Si tu IdP no aparece en la lista, selecciona Proveedor de identidades genérico.
En Seleccionar un protocolo de autenticación, selecciona SAML.
En la sección Crear un proveedor, haga lo siguiente:
1. En Name (Nombre), escribe el nombre del proveedor.
2. Opcional: En Descripción, escribe una descripción del proveedor.
3. En Archivo de metadatos del IdP (XML), selecciona el archivo XML de metadatos que has generado anteriormente en esta guía.
4. Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
5. Haz clic en Continuar.
En la sección Share your provider information (Comparte la información de tu proveedor), copia las URLs. En tu proveedor de identidades, configura la primera URL como ID de entidad, que identifica tu aplicación en el proveedor de identidades. Configura la otra URL como URI de redirección, que indica a tu proveedor de identidades dónde enviar el token de aserción después de iniciar sesión.
Haz clic en Continuar.
En la sección Configurar proveedor, haz lo siguiente:
1. En Asignación de atributos, introduce una expresión CEL para google.subject.
2. Opcional: Para introducir otras asignaciones, haz clic en Añadir asignación e introduce otras asignaciones. Por ejemplo:
3. Si has seleccionado Microsoft Entra ID como proveedor de identidades, puedes aumentar el número de grupos.
  1. Selecciona Usar atributos adicionales.
  2. En el campo URI del emisor de atributos adicionales, introduce la URL del emisor.
  3. En el campo Extra Attributes Client ID (ID de cliente de atributos adicionales), introduce el ID de cliente.
  4. En el campo Extra Attributes Client Secret (Secreto de cliente de atributos adicionales), introduzca el secreto de cliente.
  5. En la lista Tipo de atributos adicionales, seleccione un tipo de atributo para los atributos adicionales.
  6. En el campo Extra Attributes Filter (Filtro de atributos adicionales), introduzca una expresión de filtro que se use al consultar la API Microsoft Graph para obtener grupos.
4. Opcional: Para añadir una condición de atributo, haga clic en Añadir condición e introduzca una expresión CEL que represente una condición de atributo. Por ejemplo, para limitar el atributo ipaddr a un intervalo de IPs determinado, puedes definir la condición assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo asegura que solo los usuarios con una dirección IP que empiece por 98.11.12. puedan iniciar sesión con este proveedor de la plantilla.
5. Haz clic en Continuar.
6. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro de auditoría de valores de atributos.
  La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de grupos de identidades de la fuerza de trabajo. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
  
  Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.

Otorgar roles de gestión de identidades y accesos a grupos

En esta sección, asignas roles a grupos en Google Cloud recursos. Para obtener más información sobre los identificadores principales de Workforce Identity Federation, consulta Representar usuarios del grupo de trabajo en políticas de IAM.

En el siguiente ejemplo, se asigna el rol Administrador de almacenamiento (roles/storage.admin) a los usuarios de un grupo de Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Haz los cambios siguientes:

PROJECT_ID: el ID del proyecto
WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce
GROUP_ID: el identificador del grupo, que depende del valor de --extra-attributes-type que se haya usado para crear el proveedor de identidades de Workforce, de la siguiente manera:
- azure-ad-groups-mail: el identificador del grupo es una dirección de correo electrónico. Por ejemplo: admin-group@altostrat.com
- azure-ad-groups-id: el identificador del grupo es un UUID del grupo. Por ejemplo: abcdefgh-0123-0123-abcdef

En esta sección, iniciará sesión como usuario del grupo de identidades de empleados y comprobará que tiene acceso a los recursos de Google Cloud .

En esta sección se explica cómo iniciar sesión como usuario federado y acceder a recursosGoogle Cloud .

Para iniciar sesión en la consola de federación de trabajadores de Identity, también conocida como consola (federada), sigue estos pasos: Google Cloud

Ve a la página de inicio de sesión de la consola (federada).

Ir a la consola (federada)

Introduzca el nombre del proveedor con el siguiente formato:

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Si se te pide, introduce las credenciales de usuario en Microsoft Entra ID.

Si inicias un inicio de sesión iniciado por el proveedor de identidades, usa lo siguiente para la URL de retransmisión: https://console.cloud.google/.

Para iniciar sesión en gcloud CLI mediante un flujo de inicio de sesión basado en navegador, haz lo siguiente:

Crear un archivo de configuración

Para crear el archivo de configuración de inicio de sesión, ejecuta el siguiente comando. También puedes activar el archivo como predeterminado para gcloud CLI añadiendo la marca --activate. Después, puedes ejecutar gcloud auth login sin especificar la ruta del archivo de configuración cada vez.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Haz los cambios siguientes:

WORKFORCE_POOL_ID: el ID del grupo de personal
PROVIDER_ID: el ID del proveedor
LOGIN_CONFIG_FILE_PATH: la ruta a un archivo de configuración que especifiques (por ejemplo, login.json

El archivo contiene los endpoints que usa la CLI de gcloud para habilitar el flujo de autenticación basado en navegador y definir la audiencia en el IdP que se configuró en el proveedor del grupo de identidades de Workforce. El archivo no contiene información confidencial.

El resultado es similar al siguiente:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Para evitar que gcloud auth login use este archivo de configuración automáticamente, puedes anularlo ejecutando gcloud config unset auth/login_config_file.

Iniciar sesión con la autenticación basada en navegador

Para autenticarte mediante la autenticación de inicio de sesión basada en navegador, puedes usar uno de los siguientes métodos:

Si usaste la marca --activate al crear el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, la CLI de gcloud usará el archivo de configuración automáticamente:
```
gcloud auth login
```
Para iniciar sesión especificando la ubicación del archivo de configuración, ejecuta el siguiente comando:
```
gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
```
Para usar una variable de entorno para especificar la ubicación del archivo de configuración, asigna a CLOUDSDK_AUTH_LOGIN_CONFIG_FILE la ruta de configuración.

Inhabilitar el inicio de sesión basado en navegador

Para dejar de usar el archivo de configuración de inicio de sesión, haz lo siguiente:

Si usaste la marca --activate al crear el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, debes ejecutar el siguiente comando para desactivarlo:
```
gcloud config unset auth/login_config_file
```
Borra la variable de entorno CLOUDSDK_AUTH_LOGIN_CONFIG_FILE si está definida.

Para iniciar sesión en Microsoft Entra ID con gcloud CLI, haz lo siguiente:

OIDC

Sigue los pasos que se indican en Enviar la solicitud de inicio de sesión. Inicia la sesión del usuario en tu aplicación con Microsoft Entra ID mediante OIDC.
Copia el token de ID del parámetro id_token de la URL de redirección y guárdalo en un archivo en una ubicación segura de tu máquina local. En un paso posterior, asigna PATH_TO_OIDC_ID_TOKEN a la ruta de este archivo.

Para generar un archivo de configuración similar al del ejemplo que se muestra más adelante en este paso, ejecuta el siguiente comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Haz los cambios siguientes:

WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce.
WORKFORCE_PROVIDER_ID: el ID del proveedor del grupo de identidades de Workforce.
PATH_TO_OIDC_ID_TOKEN: la ruta a la ubicación del archivo donde se almacena el token del proveedor de identidades.
WORKFORCE_POOL_USER_PROJECT: el número o el ID del proyecto que se usa para la cuota y la facturación. La entidad debe tener permiso serviceusage.services.use en este proyecto.

Cuando se complete el comando, Microsoft Entra ID creará el siguiente archivo de configuración:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Abre gcloud CLI y ejecuta el siguiente comando:
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Sustituye PATH_TO_OIDC_CREDENTIALS por la ruta del archivo de salida de un paso anterior.

La CLI de gcloud publica tus credenciales de forma transparente en el endpoint del servicio de tokens de seguridad. En el endpoint, se intercambia por tokens de acceso Google Cloud temporales.

Ahora puedes ejecutar comandos de la CLI de gcloud para Google Cloud.

SAML

Inicia la sesión de un usuario en tu aplicación de Microsoft Entra ID y obtén la respuesta SAML.
Guarda la respuesta SAML devuelta por Microsoft Entra ID en una ubicación segura de tu equipo local y, a continuación, almacena la ruta de la siguiente manera:
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Para generar un archivo de configuración de credenciales, ejecuta el siguiente comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Haz los cambios siguientes:

WORKFORCE_PROVIDER_ID: el ID del proveedor de identidades de Workforce que has creado anteriormente en esta guía.
WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce que has creado anteriormente en esta guía
SAML_ASSERTION_PATH: la ruta del archivo de aserción SAML
PROJECT_ID: el ID del proyecto

El archivo de configuración que se genera tiene un aspecto similar al siguiente:

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Para iniciar sesión en la CLI de gcloud mediante el intercambio de tokens de la federación de identidades para los trabajadores, ejecuta el siguiente comando:
```
gcloud auth login --cred-file=config.json
```
A continuación, la CLI de gcloud intercambia de forma transparente tus credenciales de Microsoft Entra ID por tokens de acceso temporales. Google Cloud Los tokens de acceso te permiten acceder a Google Cloud.

Verá un resultado similar al siguiente:
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Para enumerar las cuentas con credenciales y tu cuenta activa, ejecuta el siguiente comando:
```
gcloud auth list
```

Probar acceso

Ahora tienes acceso a los Google Cloud productos compatibles con la federación de identidades de Workforce a los que se te ha concedido acceso. En este documento, has asignado el rol Administrador de almacenamiento (roles/storage.admin) a todas las identidades del identificador de grupo que has especificado en el gcloud projects add-iam-policy-binding del proyecto TEST_PROJECT_ID.

Ahora puede comprobar que tiene acceso enumerando los segmentos de Cloud Storage.

Consola (federada)

Para comprobar que tienes acceso mediante la consola (federada), haz lo siguiente:

Ve a la página de Cloud Storage.

Ir a Cloud Storage
Verifica que puedes ver una lista de los contenedores del TEST_PROJECT_ID.

CLI de gcloud

Para comprobar que tienes acceso mediante la CLI de gcloud, puedes enumerar los segmentos y objetos de Cloud Storage del proyecto al que tienes acceso. Para ello, ejecuta el siguiente comando. El principal debe tener el permiso serviceusage.services.use en el proyecto especificado.

gcloud storage ls --project="TEST_PROJECT_ID"

Eliminar usuarios

Workforce Identity Federation crea metadatos y recursos de usuario para las identidades de usuario federadas. Si decides eliminar usuarios en tu proveedor de identidades, también debes eliminar explícitamente estos recursos en Google Cloud. Para ello, consulte Eliminar usuarios de la federación de identidades de la plantilla y sus datos.

Es posible que veas que los recursos siguen asociados a un usuario que se ha eliminado. Esto se debe a que la eliminación de los metadatos y los recursos de los usuarios requiere una operación de larga duración. Después de iniciar la eliminación de la identidad de un usuario, los procesos que haya iniciado antes de la eliminación pueden seguir ejecutándose hasta que se completen o se cancelen.

Configurar SCIM

En esta sección se describe cómo configurar un arrendatario de SCIM en un grupo de identidades de la plantilla.

Cada grupo de identidades de Workforce solo admite un inquilino de SCIM. Para configurar un nuevo arrendatario de SCIM en un grupo que ya tenga uno, primero debes eliminarlo por completo.

La marca --claim-mapping de un arrendatario de SCIM solo puede contener expresiones específicas del lenguaje de expresión común (CEL). Para saber qué expresiones se admiten, consulta Asignar atributos de token y SCIM.

Importante: Asegúrate de que tu proveedor de identidades proporcione valores únicos para los atributos que asignes a google.subject y google.group mediante SCIM. Para obtener más información, consulta Compatibilidad con SCIM.

Para configurar System for Cross-domain Identity Management (SCIM) (Sistema de gestión de identidades entre dominios), debes hacer lo siguiente:

Configurar un token y un arrendatario de SCIM en Google Cloud
Configurar SCIM en tu proveedor de identidades

Configurar un arrendatario y un token de SCIM en Google Cloud

Para configurar un arrendatario de SCIM en Google Cloud, haz lo siguiente:

Crea un cliente de SCIM.
```
    gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"
    
```
Haz los cambios siguientes:
- SCIM_TENANT_ID: un ID de tu arrendatario de SCIM.
- WORKFORCE_POOL_ID: el ID del grupo de personal que has creado anteriormente en este documento.
- PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce que has creado anteriormente en este documento.
- SCIM_TENANT_DISPLAY_NAME: un nombre visible para tu arrendatario de SCIM.
- SCIM_TENANT_DESCRIPTION: descripción de tu arrendatario de SCIM.
- CLAIM_MAPPING: lista de asignaciones de atributos separada por comas. Te recomendamos que utilices la siguiente asignación de atributos:
```
google.subject=user.externalId,google.group=group.externalId
```
  El atributo google.subject que asignes en el tenant de SCIM debe hacer referencia de forma única a las mismas identidades que se asignan en el atributo google.subject del proveedor de identidades del grupo de identidades de los empleados mediante la marca --attribute-mapping. Una vez creado el arrendatario de SCIM, no se puede actualizar la asignación de reclamaciones. Para sustituirlo, puedes eliminar definitivamente el arrendatario de SCIM y crear uno nuevo inmediatamente. Para obtener más información sobre las consideraciones que debes tener en cuenta al usar SCIM, consulta el artículo Compatibilidad con SCIM.
Cuando se complete el comando, haz lo siguiente:
1. En el campo baseUri de la salida, guarda todo el URI, que tiene el formato https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Debe proporcionar este URI a su proveedor de identidades.
2. Además, del URI, guarda solo el SCIM_TENANT_UID. Necesitarás este UID para definir políticas de gestión de identidades y accesos en el arrendatario de SCIM, como se explica más adelante en este documento.
Crea un token de SCIM:
```
    gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global
    
```
Haz los cambios siguientes:
- SCIM_TOKEN_ID: un ID del token de SCIM
- DISPLAY_NAME: nombre visible del token de SCIM.
- WORKFORCE_POOL_ID: el ID del grupo de personal
- SCIM_TENANT_ID: el ID del arrendatario de SCIM
- PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce
Cuando se complete el comando gcloud iam workforce-pools providers scim-tenants tokens create, haz lo siguiente:
1. En el resultado, guarda el valor de SCIM_TOKEN en el campo securityToken. Debes proporcionar este token de seguridad a tu IdP. El token de seguridad solo se muestra en este resultado. Si lo pierdes, debes crear un nuevo token de SCIM.
2. Para comprobar si SCIM_TOKEN se rechaza por la política de tu organización, ejecuta el siguiente comando:
```
curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
```
  Si el comando falla y se produce un error relacionado con los permisos, ejecuta gcloud organizations add-iam-policy-binding, que se describe en un paso posterior. Si el comando se ejecuta correctamente, puedes saltarte ese paso.
Defina políticas de gestión de identidades y accesos en el cliente y el token de SCIM. Si el comando curl de un paso anterior ha fallado y se ha producido un error relacionado con los permisos, debes ejecutar el siguiente comando:
```
    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer
    
```
Haz los cambios siguientes:
- ORGANIZATION_ID: el ID de la organización.
- SERVICE_AGENT_EMAIL: la dirección de correo del agente de servicio. La dirección de correo tiene el siguiente formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. Se devuelve SCIM_TENANT_UID cuando creas el arrendatario de SCIM.

Cuando aprovisione grupos en su proveedor de identidades, asegúrese de que el nombre visible de cada grupo, tal como se indica en el campo displayName, sea único en un arrendatario de SCIM. Para obtener más información sobre los grupos y SCIM en Microsoft Entra ID, consulta Grupos.

Configurar SCIM en Microsoft Entra ID

Para configurar SCIM en Microsoft Entra ID, sigue estos pasos:

Abre el portal de Azure e inicia sesión como usuario con privilegios de administrador global.
Selecciona Microsoft Entra ID > Aplicaciones empresariales.
Haz clic en Nueva aplicación.
En Browse Microsoft Entra App gallery (Explorar la galería de aplicaciones de Microsoft Entra), haz clic en Create your own application (Crear tu propia aplicación).
En el panel Crea tu propia aplicación que aparece, haz lo siguiente:
1. En ¿Cuál es el nombre de tu aplicación?, introduce el nombre de tu aplicación.
2. Selecciona Integrate any other application you don't find in gallery (Non-gallery) (Integrar cualquier otra aplicación que no encuentres en la galería).
3. Para crear la aplicación, haz clic en Crear.
En tu aplicación, haz lo siguiente:
1. En la sección Gestionar, haga clic en Aprovisionamiento.
2. En el panel de la derecha que aparece, haz clic en Nueva configuración.
3. En Admin Credentials (Credenciales de administrador), en Tenant URL (URL de arrendatario), introduce la URL de SCIM que obtuviste al crear el arrendatario de SCIM, seguida de ?aadOptscim062020. Debes añadir ?aadOptscim062020 al final del URI base.
  
  Microsoft Entra ID requiere este parámetro de consulta para asegurarse de que las solicitudes SCIM PATCH cumplan los estándares RFC de SCIM. Para obtener más información, consulta la documentación de Microsoft.
  
  La URL de cliente final en Microsoft Entra ID debe tener el siguiente formato:
```
https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020
```
  Sustituye SCIM_TENANT_UID por el UID del arrendatario de SCIM.
4. En Token secreto, introduce el token secreto que has obtenido al crear el arrendatario de SCIM.
5. Para probar la configuración de SCIM con la federación de identidades de los empleados, haz clic en Probar conexión.
6. Para guardar la configuración, haz clic en Crear.
En la sección Gestionar, haga lo siguiente:
1. Haga clic en Asignación de atributos.
2. Haz clic en Provision Microsoft Entra ID Users (Aprovisionar usuarios de Microsoft Entra ID).
3. En la página Asignación de atributos, haz lo siguiente:
  1. En la tabla Asignación de atributos, busca la fila de externalId y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Coincidir objetos con este atributo, selecciona Yes.
    2. En Prioridad de coincidencia, introduce 2.
    3. En la lista desplegable Atributo de origen, selecciona objectId.
    4. Para guardar la asignación de atributos, haz clic en Aceptar.
  2. En la tabla Asignación de atributos, busca la fila de userName y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Coincidir objetos con este atributo, selecciona No.
    2. Para guardar la asignación de atributos, haz clic en Aceptar.
  3. En la tabla Asignación de atributos, busca la fila de externalId y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Prioridad de coincidencia, introduce 1.
    2. Para guardar la asignación de atributos, haz clic en Aceptar.
4. Haz clic en Provision Microsoft Entra ID Groups (Aprovisionar grupos de Microsoft Entra ID).
5. En la página Asignación de atributos, haz lo siguiente:
  1. En la tabla Asignación de atributos, busca la fila de externalId y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Coincidir objetos con este atributo, selecciona Yes.
    2. En Prioridad de coincidencia, introduce 2.
    3. En la lista desplegable Atributo de origen, selecciona objectId.
    4. Para guardar la asignación de atributos, haz clic en Aceptar.
  2. En la tabla Asignación de atributos, busca la fila de displayName y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Coincidir objetos con este atributo, selecciona No.
    2. Para guardar la asignación de atributos, haz clic en Aceptar.
  3. En la tabla Asignación de atributos, busca la fila de externalId y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Prioridad de coincidencia, introduce 1.
    2. Para guardar la asignación de atributos, haz clic en Aceptar.

Actualizar el proveedor para habilitar SCIM

Para habilitar SCIM en un proveedor, sigue estos pasos:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Haz los cambios siguientes:

PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce
WORKFORCE_POOL_ID: el ID del grupo de personal
LOCATION: la ubicación del grupo de trabajadores

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Haz los cambios siguientes:

PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce
WORKFORCE_POOL_ID: el ID del grupo de personal
LOCATION: la ubicación del grupo de trabajadores

Asignar atributos de token y SCIM

Debes asignar atributos de forma coherente, tanto en el proveedor de grupos de identidades de empleados como en el arrendatario de SCIM configurado para el proveedor. En el caso del proveedor del grupo de identidades de Workforce, se usa la marca --attribute-mapping, mientras que en el del cliente de SCIM, se usa la marca --claim-mapping. El atributo del proveedor de identidades que se asigna a google.subject para los usuarios debe hacer referencia de forma única a la misma identidad, ya sea definida en un token o en una asignación de SCIM. Para obtener más información sobre la asignación de atributos al usar SCIM, consulta la sección Compatibilidad con SCIM. En la siguiente tabla se muestra cómo asignar atributos en las reclamaciones de tokens y los atributos de SCIM:

Atributo de Google	Asignación de proveedor de grupos de identidades de Workforce	Asignación de inquilinos de SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.group` asegúrate de actualizar tu proveedor con `--scim-usage=enabled-for-groups`	`N/A`	`group.externalId`

Forzar la eliminación de un cliente de SCIM

Para eliminar un arrendatario de SCIM de forma forzada, sigue estos pasos:

Si --scim-usage=enabled-for-groups está configurado para tu proveedor, inhabilítalo en la configuración del proveedor:
```
          gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED
        
```
Haz los cambios siguientes:
- PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce
- WORKFORCE_POOL_ID: el ID del grupo de personal
Elimina el cliente de SCIM:
```
  gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global
```
Haz los cambios siguientes:
- SCIM_TENANT_ID: el ID del arrendatario de SCIM que se va a eliminar
- WORKFORCE_POOL_ID: el ID del grupo de personal
- PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce
Para obtener más información sobre SCIM, incluida la eliminación de inquilinos de SCIM, consulta el artículo Compatibilidad con SCIM.

Siguientes pasos

Eliminar usuarios de la federación de identidades de la plantilla y sus datos
Consulta qué Google Cloud productos son compatibles con Workforce Identity Federation.
Configurar el acceso de los usuarios a la consola (federado)

Configurar la federación de identidades para los trabajadores con Microsoft Entra ID Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Conceptos clave

Atributos adicionales

Atributos extendidos

Antes de empezar

Costes

Roles obligatorios

Crear una aplicación de Microsoft Entra ID

OIDC

SAML

Configurar un gran número de grupos con Microsoft Entra ID

Configurar un gran número de grupos con Microsoft Entra ID mediante el flujo implícito de OIDC

Configurar la aplicación de Microsoft Entra ID

Crear un grupo de identidades de Workforce

gcloud

Consola

Configurar el proveedor de grupos de identidades de empleados de flujo implícito de OIDC

gcloud

Consola

Configurar un gran número de grupos en Microsoft Entra ID con el flujo de código OIDC

Configurar la aplicación de Microsoft Entra ID

Crear un grupo de identidades de Workforce

gcloud

Consola

Configurar el proveedor de grupos de identidades de empleados con flujo de código OIDC

gcloud

Consola

Configurar un gran número de grupos en Microsoft Entra ID con SAML 2.0

Configurar la aplicación de Microsoft Entra ID

Crear un grupo de identidades de Workforce

gcloud

Consola

Configurar el proveedor de grupos de identidades de trabajo SAML 2.0

gcloud

Consola

Otorgar roles de gestión de identidades y accesos a grupos

Iniciar sesión y probar el acceso

Iniciar sesión

Inicio de sesión en la consola (federado)

Inicio de sesión basado en navegador de la CLI de gcloud

Inicio de sesión sin interfaz gráfica de usuario de la CLI de gcloud

OIDC

SAML

Probar acceso

Consola (federada)

CLI de gcloud

Eliminar usuarios

Configurar SCIM

Configurar un arrendatario y un token de SCIM en Google Cloud

Configurar SCIM en Microsoft Entra ID

Actualizar el proveedor para habilitar SCIM

OIDC

SAML

Asignar atributos de token y SCIM

Forzar la eliminación de un cliente de SCIM

Siguientes pasos

Configurar la federación de identidades para los trabajadores con Microsoft Entra ID