הגדרת איחוד שירותי אימות הזהות של כוח העבודה באמצעות Microsoft Entra ID

אפשר להגדיר איחוד שירותי אימות הזהות של כוח עבודה עם ספק הזהויות (IdP) Microsoft Entra ID ולמפות עד 400 קבוצות מ-Microsoft Entra ID אל Google Cloud באמצעות Microsoft Graph. לאחר מכן תוכלו להעניק תפקידי IAM לקבוצות האלה, וכך לאפשר למשתמשים ב-Microsoft Entra ID שהם חברים בקבוצות להיכנס ל- Google Cloud. לאחר מכן, המשתמשים יכולים לגשת למוצרי Google Cloud שקיבלו אליהם גישת IAM וגם תומכים באיחוד שירותי אימות הזהות של כוח העבודה.

כדי למפות פחות מ-150 קבוצות מ-Microsoft Entra ID אל Google Cloud, אפשר לעיין במאמר הגדרה של איחוד שירותי אימות הזהות של כוח העבודה באמצעות Microsoft Entra ID וכניסת משתמשים.

מושגים מרכזיים

בקטע הזה מוסברים מושגים שמשמשים להגדרת איחוד שירותי אימות הזהות של כוח עבודה, בהמשך המסמך.

מאפיינים נוספים

כדי למפות עד 400 קבוצות, משתמשים במאפיינים נוספים על ידי ציון דגלים של extra-attributes כשיוצרים את ספק מאגר הזהויות של כוח העבודה. אפשר להשתמש במאפיינים נוספים עם הפרוטוקולים הבאים:

  • OIDC עם זרם הענקת גישה משתמע
  • OIDC עם תהליך קוד
  • פרוטוקול SAML 2.0

מספר כתובות האימייל הקבוצתיות שאפליקציה של Microsoft Entra ID יכולה להנפיק באסימון מוגבל ל-150 עבור SAML ול-200 עבור JWT. מידע נוסף על המגבלה הזו זמין במאמר הגדרת בקשות של קבוצות משתמשים לאפליקציות באמצעות Microsoft Entra ID. כדי לאחזר עוד קבוצות, איחוד שירותי אימות הזהויות של כוח העבודה משתמש בתהליך של פרטי כניסה של לקוח OAuth 2.0 של Microsoft Identity כדי לקבל פרטי כניסה שמאפשרים לאיחוד שירותי אימות הזהויות של כוח העבודה לשלוח שאילתה ל-Microsoft Graph API ולאחזר את הקבוצות של משתמש.

כדי להשתמש במאפיינים נוספים, ברמה גבוהה, צריך לבצע את הפעולות הבאות:

  • יוצרים אפליקציה חדשה של Microsoft Entra ID או מעדכנים את האפליקציה הקיימת כדי לקבל את חברות המשתמשים בקבוצות מ-Microsoft Graph API. מידע נוסף על האופן שבו Microsoft Graph מאחזר מספר גדול של קבוצות מ-Microsoft Entra ID זמין במאמר Group overages.

  • כשיוצרים את הספק של מאגר הזהויות של כוח העבודה, משתמשים בדגלים extra-attributes כדי להגדיר את איחוד שירותי אימות הזהות של כוח העבודה כך שיאחזר את כתובות האימייל הקבוצתיות או את השמות המוצגים של המשתמשים מ-Microsoft Graph API.

איחוד שירותי אימות הזהות של כוח העבודה יכול לאחזר עד 999 קבוצות מ-Microsoft Graph API. אם Microsoft Graph API מחזיר יותר מ-999 קבוצות, הכניסה נכשלת.

כדי לצמצם את מספר הקבוצות שמוחזרות על ידי Microsoft Graph API, אפשר לשפר את השאילתה של איחוד שירותי אימות הזהות של כוח העבודה באמצעות הדגל --extra-attributes-filter כשיוצרים את הספק של מאגר הזהויות של כוח העבודה.

אחרי שאיחוד שירותי אימות הזהות של כוח העבודה מאחזר את הקבוצות מ-Microsoft Graph API, הוא יוצר את טוקן הגישה. איחוד שירותי אימות הזהות של כוח עבודה יכול להוסיף עד 400 קבוצות לאסימון הגישה. לכן, כדי לסנן עוד יותר את מספר הקבוצות ל-400 או פחות, אפשר לציין מיפוי מאפיינים שמכיל ביטויים של Common Expression Language‏ (CEL), כשיוצרים את ספק מאגר הזהויות של כוח העבודה.

לפני שמתחילים

  1. מוודאים שיש לכם ארגון מוגדר ב- Google Cloud .

  2. התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

    gcloud init

    אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  3. ב-Microsoft Entra ID, מוודאים שאסימוני הזיהוי מאפשרים זרם הענקת גישה משתמע. מידע נוסף זמין במאמר הפעלת הענקת גישה משתמעת של אסימון מזהה.
  4. כדי להיכנס לחשבון, ספק הזהויות שלכם צריך לספק פרטי אימות חתומים: ספקי זהויות שתומכים ב-OIDC צריכים לספק אסימון JWT, ותשובות שמגיעות מספקי זהויות שתומכים ב-SAML חייבות להיות חתומות.
  5. כדי לקבל מידע חשוב על שינויים בארגון או במוצרים שלכם, אתם צריכים לספק אנשי קשר חיוניים.Google Cloud מידע נוסף זמין במאמר סקירה כללית על איחוד שירותי אימות הזהות של כוח עבודה.
  6. כל הקבוצות שרוצים למפות צריכות להיות מסומנות כקבוצות אבטחה ב-Microsoft Entra ID.

עלויות

איחוד שירותי אימות הזהות של כוח עבודה זמין כתכונה ללא עלות. עם זאת, רישום מפורט ביומני הביקורת של איחוד שירותי אימות הזהות של כוח עבודה מתבצע באמצעות Cloud Logging. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות להגדרת איחוד שירותי אימות הזהות של כוח העבודה, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

אם אתם מגדירים הרשאות בסביבת פיתוח או בדיקה – אבל לא בסביבת ייצור – אתם יכולים להעניק את התפקיד הבסיסי 'בעלים' ב-IAM ‏(roles/owner), שכולל גם הרשאות לאיחוד שירותי אימות הזהות של כוח העבודה.

יצירת אפליקציה ב-Microsoft Entra ID

בקטע הזה מוסבר איך ליצור אפליקציה של Microsoft Entra ID באמצעות פורטל הניהול של Microsoft Entra. אפשר גם לעדכן את הבקשה הקיימת. פרטים נוספים מופיעים במאמר הגדרת אפליקציות במערכת האקולוגית של Microsoft Entra ID.

מאגרי הזהויות של כוח העבודה תומכים באיחוד בעזרת הפרוטוקולים OIDC ו-SAML.

OIDC

כדי לרשום אפליקציה של Microsoft Entra ID שמשתמשת בפרוטוקול OIDC:

  1. נכנסים למרכז הניהול של Microsoft Entra.

  2. עוברים לדף סקירה כללית של רישום האפליקציה ב-Microsoft Entra ID.

  3. עוברים אל Entra ID > App registrations.

  4. כדי להתחיל את רישום האפליקציה:

    1. לוחצים על New registration.

    2. מזינים שם לאפליקציה.

    3. בוחרים אפשרות ב-Supported account types.

    4. ב-Redirect URI, פותחים את הרשימה הנפתחת Select a Platform ובוחרים ב-Web.

    5. בשדה הטקסט מזינים כתובת URL להפניה אוטומטית. המשתמשים שייכנסו לחשבון יופנו לכתובת ה-URL הזו. אם מגדירים את הגישה למסוף (איחוד), משתמשים בפורמט הבא של כתובות URL:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      מחליפים את מה שכתוב בשדות הבאים:

      • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה שבו תשתמשו כשתיצרו את מאגר הזהויות של כוח העבודה בהמשך המסמך. לדוגמה: entra-id-oidc-pool

      • WORKFORCE_PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה בארגון, שבו תשתמשו כשתיצרו את ספק הזהויות של כוח העבודה בארגון בהמשך המאמר. לדוגמה: entra-id-oidc-pool-provider

        למידע נוסף על הפורמט של המזהה, תוכלו להיעזר בחלק פרמטרים של שאילתה במשאבי העזרה של ה-API.

    6. לוחצים על Register כדי לרשום את האפליקציה.

    7. כדי להשתמש בדוגמה של מיפוי המאפיינים שמוצגת בהמשך המאמר הזה, צריך ליצור מאפיין department בהתאמה אישית.

SAML

כדי לרשום אפליקציה ב-Microsoft Entra ID שמשתמשת בפרוטוקול SAML:

  1. נכנסים לפורטל האדמינסטרטור של Microsoft Entra.

  2. בתפריט הניווט הימני, עוברים אל Entra ID > Enterprise Apps.

  3. כדי להגדיר את האפליקציה הארגונית:

    1. לוחצים על New application > Create your own application.

    2. בחלונית Create your own application שמופיעה, מזינים שם לאפליקציה.

    3. לוחצים על יצירה.

    4. עוברים אל כניסה יחידה (SSO) > SAML.

    5. מעדכנים את Basic SAML Configuration:

      1. בשדה Identifier (Entity ID), מזינים את הערך הבא:

        https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        מחליפים את מה שכתוב בשדות הבאים:

        • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה שבו תשתמשו כשתיצרו את מאגר הזהויות של כוח העבודה בהמשך המסמך. לדוגמה: entra-id-saml-pool

        • WORKFORCE_PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה בארגון שבו תשתמשו כשתיצרו את ספק הזהויות של כוח העבודה בהמשך המסמך. לדוגמה: entra-id-saml-pool-provider

          למידע נוסף על הפורמט של המזהה, תוכלו להיעזר בחלק פרמטרים של שאילתה במשאבי העזרה של ה-API.

      2. בשדה Reply URL (Assertion Consumer Service URL)‎, מזינים כתובת URL להפניה אוטומטית. המשתמשים שייכנסו לחשבון יופנו לכתובת ה-URL הזו. אם מגדירים את הגישה למסוף (איחוד), משתמשים בפורמט הבא של כתובות URL:

        https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        מחליפים את מה שכתוב בשדות הבאים:

        • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה
        • WORKFORCE_PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה

      3. כדי להפעיל כניסה ביוזמת ספק הזהויות, מגדירים את השדה Relay State לערך הבא:

        https://console.cloud.google/

      4. כדי לשמור את ההגדרות של אפליקציית SAML, לוחצים על Save.

    6. כדי להשתמש בדוגמה של מיפוי המאפיינים שמוצגת בהמשך המאמר הזה, צריך ליצור מאפיין department בהתאמה אישית.

הגדרה של מספר גדול של קבוצות באמצעות Microsoft Entra ID

בקטע הזה מוסבר איך למפות עד 400 קבוצות מ-Microsoft Entra ID לאיחוד שירותי אימות הזהות של כוח העבודה באמצעות הפרוטוקולים OIDC ו-SAML.

הגדרה של מספר גדול של קבוצות באמצעות Microsoft Entra ID עם זרם הענקת גישה משתמע

בקטע הזה מוסבר איך למפות עד 400 קבוצות מ-Microsoft Entra ID לאיחוד שירותי אימות הזהות של כוח העבודה באמצעות פרוטוקול OpenID Connect‏ (OIDC) עם זרימה משתמעת.

הגדרת האפליקציה שלכם ב-Microsoft Entra ID

אפשר להגדיר אפליקציה קיימת של Microsoft Entra ID או ליצור אפליקציה חדשה. כדי להגדיר את האפליקציה:

  1. בפורטל של Microsoft Entra ID, מבצעים את הפעולות הבאות:
    • כדי לרשום אפליקציה חדשה, פועלים לפי ההוראות במאמר רישום אפליקציה חדשה.
    • כדי לעדכן אפליקציה קיימת:
      • עוברים לדף סקירה כללית של רישום האפליקציה ב-Microsoft Entra ID.

      • עוברים אל Entra ID > App registrations.

      • בוחרים את האפליקציה שרוצים לעדכן.
  2. יוצרים סוד לקוח חדש באפליקציה לפי ההוראות שבקטע Certificates & secrets. חשוב לרשום את הערך של סוד הלקוח כי הוא מוצג רק פעם אחת.

    שימו לב לערכים הבאים מהאפליקציה שיצרתם או עדכנתם. תצטרכו לספק את הערכים האלה בהמשך המסמך, כשתיצרו את ספק מאגר הזהויות של כוח העבודה.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. כדי לאחזר את הקבוצות של Microsoft Entra ID, צריך להוסיף את הרשאת ה-API כדי לאפשר לאיחוד שירותי אימות הזהות של כוח עבודה לגשת לפרטי המשתמשים מ-Microsoft Entra ID באמצעות Microsoft Graph API, ולתת הסכמה של אדמין. ב-Microsoft Entra ID, מבצעים את הפעולות הבאות:

    1. עוברים אל הרשאות API.
    2. לוחצים על Add a Permission.
    3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
    4. לוחצים על הרשאות לאפליקציה.
    5. בשדה החיפוש, מזינים User.ReadBasic.All.
    6. לוחצים על הוספת הרשאות.

    אפשר לאחזר את הקבוצות ב-Microsoft Entra ID באמצעות מזהה אובייקט של קבוצה (ID), כתובת אימייל של קבוצה עבור קבוצות עם אימייל או שם תצוגה של קבוצה.

    אם בחרתם לאחזר קבוצות ככתובות אימייל קבוצתיות או כשמות לתצוגה, צריך לבצע את השלב הבא.

  4. כדי לאחזר את הקבוצות של Microsoft Entra ID ככתובות אימייל קבוצתיות או כשמות לתצוגה, צריך לבצע את הפעולות הבאות. אם מאחזרים קבוצות כמזהי אובייקטים של קבוצות, מדלגים על השלב הזה.
    1. עוברים אל הרשאות API.
    2. לוחצים על Add a Permission.
    3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
    4. לוחצים על הרשאות לאפליקציה.
    5. בשדה החיפוש, מזינים GroupMember.Read.All.
    6. לוחצים על הוספת הרשאות.

    עוברים לדף סקירה כללית של אפליקציית Microsoft Entra ID שיצרתם או עדכנתם קודם. לוחצים על נקודות קצה. ה-URI של המנפיק הוא ה-URI של מסמך המטא-נתונים של OIDC, בלי הנתיב /.well-known/openid-configuration.

    לדוגמה, אם מסמך המטא-נתונים של OIDC הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, ה-URI של המנפיק הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

יצירת מאגר זהויות של כוח העבודה

gcloud

כדי ליצור את מאגר הזהויות של כוח העבודה, מריצים את הפקודה הבאה:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_POOL_ID: המזהה שבחרתם כדי לייצג את Google Cloud מאגר כוח העבודה. המזהה של המאגר חייב להיות ייחודי באופן גלובלי בכל מאגרי הזהויות של כוח העבודה ב- Google Cloud. מידע על הפורמט של המזהה מופיע בקטע פרמטרים של שאילתה במאמרי העזרה של ה-API.
  • ORGANIZATION_ID: מזהה הארגון (מספרי) של Google Cloud הארגון שלכם במאגר הזהויות של כוח העבודה. מאגרי זהויות של כוח עבודה זמינים בכל הפרויקטים והתיקיות בארגון.
  • DISPLAY_NAME: אופציונלי. השם המוצג של מאגר הזהויות של כוח העבודה.
  • DESCRIPTION: אופציונלי. תיאור של מאגר זהויות של כוח עבודה.
  • SESSION_DURATION: אופציונלי. משך הסשן, שמוצג כמספר עם התוספת s – לדוגמה, 3600s. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד), החיבור לסשן והחיבור ל-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud משך הסשן הוא שעה אחת (3,600 שניות) כברירת מחדל. משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

המסוף

כדי ליצור את מאגר הזהויות של כוח העבודה:

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בוחרים את הארגון שרוצים ליצור בו מאגר זהויות של כוח העבודה. מאגרי זהויות כוח העבודה זמינים בכל הפרויקטים והתיקיות בארגון.

  3. לוחצים על יצירת מאגר ומבצעים את הפעולות הבאות:

    1. בשדה Name, מזינים את שם התצוגה של המאגר. מזהה המאגר נוצר באופן אוטומטי מהשם בזמן ההקלדה, ומוצג מתחת לשדה שם. כדי לעדכן את מזהה המאגר, לוחצים על עריכה לצד מזהה המאגר.

    2. אופציונלי: בשדה Description (תיאור), מזינים תיאור של המאגר.

    3. כדי ליצור את מאגר הזהויות של כוח העבודה, לוחצים על Next.

משך הסשן במאגר הזהויות של כוח העבודה הוא שעה (3,600 שניות) כברירת מחדל. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד) והחיבור לסשן והחיבור ל-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud אחרי שיוצרים את המאגר, אפשר לעדכן את המאגר כדי להגדיר משך סשן בהתאמה אישית. משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

הגדרת ספק זהויות של כוח עבודה ב-OIDC עם זרם הענקת גישה משתמע

gcloud

כדי ליצור את הספק של מאגר הזהויות של כוח העבודה ב-OIDC, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

מחליפים את מה שכתוב בשדות הבאים:

  • PROVIDER_ID: מזהה ספק ייחודי. התוספת לשם המאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של מאגר או של ספק.
  • WORKFORCE_POOL_ID: מזהה מאגר של כוח העבודה.
  • DISPLAY_NAME: שם מוצג של הספק.
  • ISSUER_URI: ה-URI של המנפיק מאפליקציית Microsoft Entra ID שיצרתם קודם במסמך הזה.
  • CLIENT_ID: מספר הלקוח מהאפליקציה שלכם ב-Microsoft Entra ID.
  • ATTRIBUTE_MAPPING: מיפוי המאפיינים מ-Microsoft Entra ID אל Google Cloud. אם משתמשים בדגלים --extra-attributes כדי לשלוח שאילתות לקבוצות מ-Microsoft Entra ID, המערכת מתעלמת מכל מיפוי --extra-attributes שמשתמש בהצהרות סטנדרטיות של SAML או OIDC.google.groups לדוגמה, כדי למפות את המאפיינים groups ו-subject מ-Microsoft Entra ID, משתמשים במיפוי המאפיינים הבא: 
    --attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"

    מידע נוסף זמין במאמר בנושא מיפוי מאפיינים.

  • EXTRA_ATTRIBUTES_ISSUER_URI: ה-URI של המנפיק מאפליקציית Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: מספר הלקוח מהאפליקציה שלכם ב-Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: סוד הלקוח הנוסף מהאפליקציה שלכם ב-Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: משתמשים ב-azure-ad-groups-mail כדי לאחזר את כתובות האימייל של הקבוצות. משתמשים ב-azure-ad-groups-id כדי לאחזר את המזהים של הקבוצות. משתמשים ב-azure-ad-groups-display-name כדי לאחזר את השמות המוצגים של הקבוצות.
  • EXTRA_ATTRIBUTES_FILTER: אופציונלי. ביטוי של מסנן שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות. אפשר להשתמש בפרמטר הזה כדי לוודא שמספר הקבוצות שמאוחזרות מספק הזהויות לא יעלה על המגבלה של 400 קבוצות.

    בדוגמה הבאה, מתבצעת אחזור של הקבוצות שיש להן את הקידומת sales במזהה האימייל: 

    --extra-attributes-filter='"mail:sales"'

    הביטוי הבא מאחזר קבוצות עם שם לתצוגה שמכיל את המחרוזת sales.

    --extra-attributes-filter='"displayName:sales"'

  • איחוד שירותי אימות הזהות של כוח עבודה רישום מפורט ביומן הביקורת רושם ביומן את המידע שמתקבל מ-IdP. רישום מפורט של ביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

    כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

המסוף

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    2. כניסה לדף Workforce Identity Pools

  2. בטבלה Workforce Identity Pools (מאגרי זהויות של כוח עבודה), בוחרים את המאגר שרוצים ליצור עבורו את פלאגין שמתממשק עם שירותים חיצוניים.
  3. בקטע ספקים, לוחצים על הוספת ספק.
  4. ברשימה Select a Provider vendor (בחירת ספק), בוחרים את ספק הזהויות (IdP).

    אם ספק הזהויות שלכם לא מופיע ברשימה, בוחרים באפשרות ספק זהויות כללי.

  5. בקטע Select an authentication protocol, בוחרים באפשרות OpenID Connect (OIDC).
  6. בקטע Create a provider, מבצעים את הפעולות הבאות:
    1. בקטע שם, מזינים את השם של הספק.
    2. בשדה תיאור, מזינים את התיאור של הספק.
    3. בקטע מנפיק (כתובת URL), מזינים את ה-URI של המנפיק. ה-URI של מנפיק OIDC צריך להיות בפורמט URI תקין ולהתחיל ב-https. לדוגמה: https://example.com/oidc.
    4. בשדה Client ID (מזהה לקוח), מזינים את מזהה הלקוח ב-OIDC שרשום ב-IdP של OIDC. המזהה צריך להיות תואם להצהרת aud של ה-JWT שמונפקת על ידי ה-IdP.

    5. כדי ליצור ספק שמופעל, מוודאים שהאפשרות הפעלת הספק מופעלת.

    6. לוחצים על Continue.
  7. בקטע Share your provider information with IdP (שיתוף פרטי הספק עם ספק הזהויות), מעתיקים את כתובת ה-URL. ב-IdP, מגדירים את כתובת ה-URL הזו כ-URI להפניה אוטומטית, שמציין ל-IdP לאן לשלוח את אסימון הנכוֹנוּת (assertion) אחרי הכניסה לחשבון.
  8. לוחצים על Continue.
  9. בקטע Configure OIDC Web Sign-in (הגדרת כניסה לאתר באמצעות OIDC), מבצעים את הפעולות הבאות:
    1. ברשימה סוג התהליך, בוחרים באפשרות ID Token.
    2. ברשימה Assertion claims behavior (התנהגות של הצהרות על טענות), האפשרות ID token (טוקן מזהה) מסומנת.
  10. לוחצים על Continue.
  11. בקטע Configure provider, אפשר להגדיר מיפוי של מאפיין ותנאי של מאפיין. כדי ליצור מיפוי מאפיינים: אפשר לציין את שם השדה של ספק הזהויות או ביטוי בפורמט CEL שמחזיר מחרוזת.
    1. חובה: ב-OIDC 1, מזינים את הנושא מ-IdP – לדוגמה, assertion.sub.
    2. אופציונלי: כדי להוסיף עוד מיפויים של מאפיינים:
      1. לוחצים על הוספת מיפוי.
      2. ב-Google n, כאשר n הוא מספר, מזינים אחד מהמפתחות שנתמכים ב-Google Cloud.
      3. בשדה המתאים OIDC n, מזינים את השם של השדה הספציפי לספק ה-IdP למיפוי, בפורמט CEL.
    3. כדי להגדיל את מספר הקבוצות:
      1. בוחרים באפשרות שימוש במאפיינים נוספים.
      2. בשדה Extra Attributes Issuer URI (מזהה URI של מנפיק מאפיינים נוספים), מזינים את כתובת ה-URL של המנפיק.
      3. בשדה מזהה לקוח של מאפיינים נוספים, מזינים את מזהה הלקוח.
      4. בשדה Extra Attributes Client Secret (סוד הלקוח של מאפיינים נוספים), מזינים את סוד הלקוח.
      5. ברשימה Extra Attributes Type, בוחרים סוג מאפיין למאפיינים נוספים.
      6. בשדה Extra Attributes Filter, מזינים ביטוי מסנן שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות.
    4. כדי ליצור תנאי מאפיין, מבצעים את הפעולות הבאות:
      1. לוחצים על הוספת תנאי.
      2. בשדה Attribute Conditions, מזינים תנאי בפורמט CEL – לדוגמה, assertion.role == 'gcp-users'. התנאי הזה מבטיח שרק משתמשים עם התפקיד gcp-users יוכלו להיכנס באמצעות הספק הזה.
      3. כדי להפעיל רישום מפורט ביומן הביקורת, בקטע רישום מפורט, לוחצים על המתג הפעלת רישום ביומן הביקורת של ערכי מאפיינים.

        איחוד שירותי אימות הזהות של כוח עבודה רישום מפורט ביומן הביקורת רושם ביומן את המידע שמתקבל מ-IdP. רישום מפורט של ביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

        כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

  12. כדי ליצור את הספק, לוחצים על שליחה.

הגדרת מספר גדול של קבוצות ב-Microsoft Entra ID באמצעות זרימת קוד OIDC

בקטע הזה מוסבר איך למפות עד 400 קבוצות מ-Microsoft Entra ID לאיחוד שירותי אימות הזהות של כוח עבודה באמצעות פרוטוקול OIDC עם זרימת קוד.

הגדרת האפליקציה שלכם ב-Microsoft Entra ID

אפשר להגדיר אפליקציה קיימת של Microsoft Entra ID או ליצור אפליקציה חדשה. כדי להגדיר את האפליקציה:

  1. בפורטל של Microsoft Entra ID, מבצעים את הפעולות הבאות:
    • כדי לרשום אפליקציה חדשה, פועלים לפי ההוראות במאמר רישום אפליקציה חדשה.
    • כדי לעדכן אפליקציה קיימת:
      • עוברים לדף סקירה כללית של רישום האפליקציה ב-Microsoft Entra ID.

      • עוברים אל Entra ID > App registrations.

      • בוחרים את האפליקציה שרוצים לעדכן.
  2. יוצרים סוד לקוח חדש באפליקציה לפי ההוראות שבקטע Certificates & secrets. חשוב לרשום את הערך של סוד הלקוח כי הוא מוצג רק פעם אחת.

    שימו לב לערכים הבאים מהאפליקציה שיצרתם או עדכנתם. תצטרכו לספק את הערכים האלה בהמשך המסמך, כשתיצרו את ספק מאגר הזהויות של כוח העבודה.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. כדי לאחזר את הקבוצות של Microsoft Entra ID, צריך להוסיף את הרשאת ה-API כדי לאפשר לאיחוד שירותי אימות הזהות של כוח עבודה לגשת לפרטי המשתמשים מ-Microsoft Entra ID באמצעות Microsoft Graph API, ולתת הסכמה של אדמין. ב-Microsoft Entra ID, מבצעים את הפעולות הבאות:

    1. עוברים אל הרשאות API.
    2. לוחצים על Add a Permission.
    3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
    4. לוחצים על הרשאות שהוקצו.
    5. בשדה החיפוש, מזינים User.Read.
    6. לוחצים על הוספת הרשאות.

    אפשר לאחזר את הקבוצות ב-Microsoft Entra ID באמצעות מזהה אובייקט של קבוצה (ID), כתובת אימייל של קבוצה עבור קבוצות עם אימייל או שם תצוגה של קבוצה.

    אם בחרתם לאחזר קבוצות ככתובות אימייל קבוצתיות או כשמות לתצוגה, צריך לבצע את השלב הבא.

  4. כדי לאחזר את הקבוצות של Microsoft Entra ID ככתובות אימייל קבוצתיות או כשמות לתצוגה, צריך לבצע את הפעולות הבאות. אם מאחזרים קבוצות כמזהי אובייקטים של קבוצות, מדלגים על השלב הזה.
    1. עוברים אל הרשאות API.
    2. לוחצים על Add a Permission.
    3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
    4. לוחצים על הרשאות שהוקצו.
    5. בשדה החיפוש, מזינים GroupMember.Read.All.
    6. לוחצים על הוספת הרשאות.

    עוברים לדף סקירה כללית של אפליקציית Microsoft Entra ID שיצרתם או עדכנתם קודם. לוחצים על נקודות קצה. ה-URI של המנפיק הוא ה-URI של מסמך המטא-נתונים של OIDC, בלי הנתיב /.well-known/openid-configuration.

    לדוגמה, אם מסמך המטא-נתונים של OIDC הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, ה-URI של המנפיק הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

יצירת מאגר זהויות של כוח העבודה

gcloud

כדי ליצור את מאגר הזהויות של כוח העבודה, מריצים את הפקודה הבאה:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_POOL_ID: המזהה שבחרתם כדי לייצג את Google Cloud מאגר כוח העבודה. המזהה של המאגר חייב להיות ייחודי באופן גלובלי בכל מאגרי הזהויות של כוח העבודה ב- Google Cloud. מידע על הפורמט של המזהה מופיע בקטע פרמטרים של שאילתה במאמרי העזרה של ה-API.
  • ORGANIZATION_ID: מזהה הארגון (מספרי) של Google Cloud הארגון שלכם במאגר הזהויות של כוח העבודה. מאגרי זהויות של כוח עבודה זמינים בכל הפרויקטים והתיקיות בארגון.
  • DISPLAY_NAME: אופציונלי. השם המוצג של מאגר הזהויות של כוח העבודה.
  • DESCRIPTION: אופציונלי. תיאור של מאגר זהויות של כוח עבודה.
  • SESSION_DURATION: אופציונלי. משך הסשן, שמוצג כמספר עם התוספת s – לדוגמה, 3600s. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד), החיבור לסשן והחיבור ל-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud משך הסשן הוא שעה אחת (3,600 שניות) כברירת מחדל. משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

המסוף

כדי ליצור את מאגר הזהויות של כוח העבודה:

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בוחרים את הארגון שרוצים ליצור בו מאגר זהויות של כוח העבודה. מאגרי זהויות כוח העבודה זמינים בכל הפרויקטים והתיקיות בארגון.

  3. לוחצים על יצירת מאגר ומבצעים את הפעולות הבאות:

    1. בשדה Name, מזינים את שם התצוגה של המאגר. מזהה המאגר נוצר באופן אוטומטי מהשם בזמן ההקלדה, ומוצג מתחת לשדה שם. כדי לעדכן את מזהה המאגר, לוחצים על עריכה לצד מזהה המאגר.

    2. אופציונלי: בשדה Description (תיאור), מזינים תיאור של המאגר.

    3. כדי ליצור את מאגר הזהויות של כוח העבודה, לוחצים על Next.

משך הסשן במאגר הזהויות של כוח העבודה הוא שעה (3,600 שניות) כברירת מחדל. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד) והחיבור לסשן והחיבור ל-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud אחרי שיוצרים את המאגר, אפשר לעדכן את המאגר כדי להגדיר משך סשן בהתאמה אישית. משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

הגדרת ספק של מאגר זהויות של כוח עבודה ב-OIDC code flow

gcloud

כדי ליצור את הספק של מאגר הזהויות של כוח העבודה ב-OIDC, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

מחליפים את מה שכתוב בשדות הבאים:

  • PROVIDER_ID: מזהה ספק ייחודי. התוספת לשם המאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של מאגר או של ספק.
  • WORKFORCE_POOL_ID: מזהה מאגר של כוח העבודה.
  • DISPLAY_NAME: שם מוצג של הספק.
  • ISSUER_URI: ה-URI של המנפיק מאפליקציית Microsoft Entra ID שיצרתם קודם במסמך הזה.
  • CLIENT_ID: מספר הלקוח מהאפליקציה שלכם ב-Microsoft Entra ID.
  • ATTRIBUTE_MAPPING: מיפוי המאפיינים מ-Microsoft Entra ID אל Google Cloud. אם משתמשים בדגלים --extra-attributes כדי לשלוח שאילתות לקבוצות מ-Microsoft Entra ID, המערכת מתעלמת מכל מיפוי --extra-attributes שמשתמש בהצהרות סטנדרטיות של SAML או OIDC.google.groups לדוגמה, כדי למפות את המאפיינים groups ו-subject מ-Microsoft Entra ID, משתמשים במיפוי המאפיינים הבא: 
    --attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"

    מידע נוסף זמין במאמר בנושא מיפוי מאפיינים.

  • EXTRA_ATTRIBUTES_ISSUER_URI: ה-URI של המנפיק מאפליקציית Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: מספר הלקוח מהאפליקציה שלכם ב-Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: סוד הלקוח הנוסף מהאפליקציה שלכם ב-Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: משתמשים ב-azure-ad-groups-mail כדי לאחזר את כתובות האימייל של הקבוצות. משתמשים ב-azure-ad-groups-id כדי לאחזר את המזהים של הקבוצות. משתמשים ב-azure-ad-groups-display-name כדי לאחזר את השמות המוצגים של הקבוצות.
  • EXTRA_ATTRIBUTES_FILTER: אופציונלי. ביטוי של מסנן שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות. אפשר להשתמש בפרמטר הזה כדי לוודא שמספר הקבוצות שמאוחזרות מספק הזהויות לא יעלה על המגבלה של 400 קבוצות.

    בדוגמה הבאה, מתבצעת אחזור של הקבוצות שיש להן את הקידומת sales במזהה האימייל: 

    --extra-attributes-filter='"mail:sales"'

    הביטוי הבא מאחזר קבוצות עם שם לתצוגה שמכיל את המחרוזת sales.

    --extra-attributes-filter='"displayName:sales"'

  • איחוד שירותי אימות הזהות של כוח עבודה רישום מפורט ביומן הביקורת רושם ביומן את המידע שמתקבל מ-IdP. רישום מפורט של ביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

    כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

המסוף

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    2. כניסה לדף Workforce Identity Pools

  2. בטבלה Workforce Identity Pools (מאגרי זהויות של כוח עבודה), בוחרים את המאגר שרוצים ליצור עבורו את פלאגין שמתממשק עם שירותים חיצוניים.
  3. בקטע ספקים, לוחצים על הוספת ספק.
  4. ברשימה Select a Provider vendor (בחירת ספק), בוחרים את ספק הזהויות (IdP).

    אם ספק הזהויות שלכם לא מופיע ברשימה, בוחרים באפשרות ספק זהויות כללי.

  5. בקטע Select an authentication protocol, בוחרים באפשרות OpenID Connect (OIDC).
  6. בקטע Create a provider, מבצעים את הפעולות הבאות:
    1. בקטע שם, מזינים את השם של הספק.
    2. בשדה תיאור, מזינים את התיאור של הספק.
    3. בקטע מנפיק (כתובת URL), מזינים את ה-URI של המנפיק. ה-URI של מנפיק OIDC צריך להיות בפורמט URI תקין ולהתחיל ב-https. לדוגמה: https://example.com/oidc.
    4. בשדה Client ID (מזהה לקוח), מזינים את מזהה הלקוח ב-OIDC שרשום ב-IdP של OIDC. המזהה צריך להיות תואם להצהרת aud של ה-JWT שמונפקת על ידי ה-IdP.

    5. כדי ליצור ספק שמופעל, מוודאים שהאפשרות הפעלת הספק מופעלת.

    6. לוחצים על Continue.
  7. בקטע Share your provider information with IdP (שיתוף פרטי הספק עם ספק הזהויות), מעתיקים את כתובת ה-URL. ב-IdP, מגדירים את כתובת ה-URL הזו כ-URI להפניה אוטומטית, שמציין ל-IdP לאן לשלוח את אסימון הנכוֹנוּת (assertion) אחרי הכניסה לחשבון.
  8. לוחצים על Continue.
  9. בקטע Configure OIDC Web Sign-in (הגדרת כניסה לאתר באמצעות OIDC), מבצעים את הפעולות הבאות:
    1. ברשימה סוג הזרימה, בוחרים באפשרות קוד.
    2. ברשימה Assertion claims behavior, בוחרים באחת מהאפשרויות הבאות:
      • פרטי משתמש ואסימון מזהה
      • אסימון מזהה בלבד
    3. בשדה Client secret (סוד הלקוח), מזינים את סוד הלקוח מספק הזהויות.
  10. לוחצים על Continue.
  11. בקטע Configure provider, אפשר להגדיר מיפוי של מאפיין ותנאי של מאפיין. כדי ליצור מיפוי מאפיינים: אפשר לציין את שם השדה של ספק הזהויות או ביטוי בפורמט CEL שמחזיר מחרוזת.
    1. חובה: ב-OIDC 1, מזינים את הנושא מ-IdP – לדוגמה, assertion.sub.
    2. אופציונלי: כדי להוסיף עוד מיפויים של מאפיינים:
      1. לוחצים על הוספת מיפוי.
      2. ב-Google n, כאשר n הוא מספר, מזינים אחד מהמפתחות שנתמכים ב-Google Cloud.
      3. בשדה המתאים OIDC n, מזינים את השם של השדה הספציפי לספק ה-IdP למיפוי, בפורמט CEL.
    3. כדי להגדיל את מספר הקבוצות:
      1. בוחרים באפשרות שימוש במאפיינים נוספים.
      2. בשדה Extra Attributes Issuer URI (מזהה URI של מנפיק מאפיינים נוספים), מזינים את כתובת ה-URL של המנפיק.
      3. בשדה מזהה לקוח של מאפיינים נוספים, מזינים את מזהה הלקוח.
      4. בשדה Extra Attributes Client Secret (סוד הלקוח של מאפיינים נוספים), מזינים את סוד הלקוח.
      5. ברשימה Extra Attributes Type, בוחרים סוג מאפיין למאפיינים נוספים.
      6. בשדה Extra Attributes Filter, מזינים ביטוי מסנן שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות.
    4. כדי ליצור תנאי מאפיין, מבצעים את הפעולות הבאות:
      1. לוחצים על הוספת תנאי.
      2. בשדה Attribute Conditions, מזינים תנאי בפורמט CEL – לדוגמה, assertion.role == 'gcp-users'. התנאי הזה מבטיח שרק משתמשים עם התפקיד gcp-users יוכלו להיכנס באמצעות הספק הזה.
      3. כדי להפעיל רישום מפורט ביומן הביקורת, בקטע רישום מפורט, לוחצים על המתג הפעלת רישום ביומן הביקורת של ערכי מאפיינים.

        איחוד שירותי אימות הזהות של כוח עבודה רישום מפורט ביומן הביקורת רושם ביומן את המידע שמתקבל מ-IdP. רישום מפורט של ביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

        כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

  12. כדי ליצור את הספק, לוחצים על שליחה.

הגדרה של מספר גדול של קבוצות ב-Microsoft Entra ID באמצעות SAML 2.0

בקטע הזה מוסבר איך למפות עד 400 קבוצות מ-Microsoft Entra ID לאיחוד שירותי אימות הזהות של כוח עבודה באמצעות פרוטוקול SAML 2.0.

הגדרת האפליקציה שלכם ב-Microsoft Entra ID

כדי להגדיר את האפליקציה:

  1. בפורטל של Microsoft Entra ID, מבצעים את הפעולות הבאות:
    • כדי לרשום אפליקציה חדשה, פועלים לפי ההוראות במאמר רישום אפליקציה חדשה.
    • כדי לעדכן אפליקציה קיימת:
      • עוברים לדף סקירה כללית של רישום האפליקציה ב-Microsoft Entra ID.

      • עוברים אל Entra ID > App registrations.

      • בוחרים את האפליקציה שרוצים לעדכן.
  2. יוצרים סוד לקוח חדש באפליקציה לפי ההוראות שבקטע Certificates & secrets. חשוב לרשום את הערך של סוד הלקוח כי הוא מוצג רק פעם אחת.

    שימו לב לערכים הבאים מהאפליקציה שיצרתם או עדכנתם. תצטרכו לספק את הערכים האלה בהמשך המסמך, כשתיצרו את ספק מאגר הזהויות של כוח העבודה.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. כדי לאחזר את הקבוצות של Microsoft Entra ID, צריך להוסיף את הרשאת ה-API כדי לאפשר לאיחוד שירותי אימות הזהות של כוח עבודה לגשת לפרטי המשתמשים מ-Microsoft Entra ID באמצעות Microsoft Graph API, ולתת הסכמה של אדמין. ב-Microsoft Entra ID, מבצעים את הפעולות הבאות:

    1. עוברים אל הרשאות API.
    2. לוחצים על Add a Permission.
    3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
    4. לוחצים על הרשאות לאפליקציה.
    5. בשדה החיפוש, מזינים User.ReadBasic.All.
    6. לוחצים על הוספת הרשאות.

    אפשר לאחזר את הקבוצות ב-Microsoft Entra ID באמצעות מזהה אובייקט של קבוצה (ID), כתובת אימייל של קבוצה עבור קבוצות עם אימייל או שם תצוגה של קבוצה.

    אם בחרתם לאחזר קבוצות ככתובות אימייל קבוצתיות או כשמות לתצוגה, צריך לבצע את השלב הבא.

  4. כדי לאחזר את הקבוצות של Microsoft Entra ID ככתובות אימייל קבוצתיות או כשמות לתצוגה, צריך לבצע את הפעולות הבאות. אם מאחזרים קבוצות כמזהי אובייקטים של קבוצות, מדלגים על השלב הזה.
    1. עוברים אל הרשאות API.
    2. לוחצים על Add a Permission.
    3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
    4. לוחצים על הרשאות לאפליקציה.
    5. בשדה החיפוש, מזינים GroupMember.Read.All.
    6. לוחצים על הוספת הרשאות.

    עוברים לדף סקירה כללית של אפליקציית Microsoft Entra ID שיצרתם או עדכנתם קודם. לוחצים על נקודות קצה. ה-URI של המנפיק הוא ה-URI של מסמך המטא-נתונים של OIDC, בלי הנתיב /.well-known/openid-configuration.

    לדוגמה, אם מסמך המטא-נתונים של OIDC הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, ה-URI של המנפיק הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

יצירת מאגר זהויות של כוח העבודה

gcloud

כדי ליצור את מאגר הזהויות של כוח העבודה, מריצים את הפקודה הבאה:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_POOL_ID: המזהה שבחרתם כדי לייצג את Google Cloud מאגר כוח העבודה. המזהה של המאגר חייב להיות ייחודי באופן גלובלי בכל מאגרי הזהויות של כוח העבודה ב- Google Cloud. מידע על הפורמט של המזהה מופיע בקטע פרמטרים של שאילתה במאמרי העזרה של ה-API.
  • ORGANIZATION_ID: מזהה הארגון (מספרי) של Google Cloud הארגון שלכם במאגר הזהויות של כוח העבודה. מאגרי זהויות של כוח עבודה זמינים בכל הפרויקטים והתיקיות בארגון.
  • DISPLAY_NAME: אופציונלי. השם המוצג של מאגר הזהויות של כוח העבודה.
  • DESCRIPTION: אופציונלי. תיאור של מאגר זהויות של כוח עבודה.
  • SESSION_DURATION: אופציונלי. משך הסשן, שמוצג כמספר עם התוספת s – לדוגמה, 3600s. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד), החיבור לסשן והחיבור ל-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud משך הסשן הוא שעה אחת (3,600 שניות) כברירת מחדל. משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

המסוף

כדי ליצור את מאגר הזהויות של כוח העבודה:

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בוחרים את הארגון שרוצים ליצור בו מאגר זהויות של כוח העבודה. מאגרי זהויות כוח העבודה זמינים בכל הפרויקטים והתיקיות בארגון.

  3. לוחצים על יצירת מאגר ומבצעים את הפעולות הבאות:

    1. בשדה Name, מזינים את שם התצוגה של המאגר. מזהה המאגר נוצר באופן אוטומטי מהשם בזמן ההקלדה, ומוצג מתחת לשדה שם. כדי לעדכן את מזהה המאגר, לוחצים על עריכה לצד מזהה המאגר.

    2. אופציונלי: בשדה Description (תיאור), מזינים תיאור של המאגר.

    3. כדי ליצור את מאגר הזהויות של כוח העבודה, לוחצים על Next.

משך הסשן במאגר הזהויות של כוח העבודה הוא שעה (3,600 שניות) כברירת מחדל. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד) והחיבור לסשן והחיבור ל-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud אחרי שיוצרים את המאגר, אפשר לעדכן את המאגר כדי להגדיר משך סשן בהתאמה אישית. משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

הגדרת ספק הזהויות של מאגר כוח העבודה ב-SAML 2.0

gcloud

כדי ליצור את הספק של מאגר הזהויות של כוח העבודה ב-SAML, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

מחליפים את מה שכתוב בשדות הבאים:

  • PROVIDER_ID: מזהה ספק ייחודי. התוספת לשם המאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של מאגר או של ספק.
  • WORKFORCE_POOL_ID: מזהה מאגר של כוח העבודה.
  • DISPLAY_NAME: שם מוצג של הספק.
  • XML_METADATA_PATH: הנתיב לקובץ המטא-נתונים של SAML 2.0 XML.
  • ATTRIBUTE_MAPPING: מיפוי המאפיינים מ-Microsoft Entra ID אל Google Cloud. אם משתמשים בדגלים --extra-attributes כדי לשלוח שאילתות לקבוצות מ-Microsoft Entra ID, המערכת מתעלמת מכל מיפוי --extra-attributes שמשתמש בהצהרות סטנדרטיות של SAML או OIDC.google.groups לדוגמה, כדי למפות את המאפיינים groups ו-subject מ-Microsoft Entra ID, משתמשים במיפוי המאפיינים הבא: 
    --attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"

    מידע נוסף זמין במאמר בנושא מיפוי מאפיינים.

  • EXTRA_ATTRIBUTES_ISSUER_URI: ה-URI של המנפיק מאפליקציית Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: מספר הלקוח מהאפליקציה שלכם ב-Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: סוד הלקוח הנוסף מהאפליקציה שלכם ב-Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: משתמשים ב-azure-ad-groups-mail כדי לאחזר את כתובות האימייל של הקבוצות. משתמשים ב-azure-ad-groups-id כדי לאחזר את המזהים של הקבוצות. משתמשים ב-azure-ad-groups-display-name כדי לאחזר את השמות המוצגים של הקבוצות.
  • EXTRA_ATTRIBUTES_FILTER: אופציונלי. ביטוי של מסנן שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות. אפשר להשתמש בפרמטר הזה כדי לוודא שמספר הקבוצות שמאוחזרות מספק הזהויות לא יעלה על המגבלה של 400 קבוצות.

    בדוגמה הבאה, מתבצעת אחזור של הקבוצות שיש להן את הקידומת sales במזהה האימייל: 

    --extra-attributes-filter='"mail:sales"'

    הביטוי הבא מאחזר קבוצות עם שם לתצוגה שמכיל את המחרוזת sales.

    --extra-attributes-filter='"displayName:sales"'

  • איחוד שירותי אימות הזהות של כוח עבודה רישום מפורט ביומן הביקורת רושם ביומן את המידע שמתקבל מ-IdP. רישום מפורט של ביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

    כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

המסוף

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    2. כניסה לדף Workforce Identity Pools

  2. בטבלה Workforce Identity Pools (מאגרי זהויות של כוח עבודה), בוחרים את המאגר שרוצים ליצור עבורו את פלאגין שמתממשק עם שירותים חיצוניים.
  3. בקטע ספקים, לוחצים על הוספת ספק.
  4. ברשימה Select a Provider vendor (בחירת ספק), בוחרים את ספק הזהויות (IdP).

    אם ספק הזהויות שלכם לא מופיע ברשימה, בוחרים באפשרות ספק זהויות כללי.

  5. בקטע Select an authentication protocol, בוחרים באפשרות SAML.
  6. בקטע Create a provider, מבצעים את הפעולות הבאות:
    1. בשדה Name, מזינים שם לספק.
    2. אופציונלי: בשדה Description, מזינים תיאור של הספק.
    3. בקטע IDP metadata file (XML) (קובץ מטא-נתונים של ספק הזהויות (XML)), בוחרים את קובץ ה-XML של המטא-נתונים שיצרתם קודם במדריך הזה.
    4. כדי ליצור ספק שמופעל, מוודאים שהאפשרות הפעלת הספק מופעלת.
    5. לוחצים על Continue.
  7. בקטע Share your provider information, מעתיקים את כתובות ה-URL. בספק הזהויות, מגדירים את כתובת ה-URL הראשונה כמזהה הישות, שמזהה את האפליקציה שלכם בספק הזהויות. מגדירים את כתובת ה-URL השנייה ככתובת ה-URI להפניה אוטומטית, שמציינת ל-IdP לאן לשלוח את אסימון האישור אחרי הכניסה.
  8. לוחצים על Continue.
  9. בקטע Configure provider (הגדרת הספק), מבצעים את הפעולות הבאות:
    1. בקטע מיפוי מאפיינים, מזינים ביטוי CEL עבור google.subject.
    2. אופציונלי: כדי להזין מיפויים אחרים, לוחצים על הוספת מיפוי ומזינים מיפויים אחרים – לדוגמה:
      3. google.subject=assertion.oid
attribute.costcenter=assertion.attributes.costcenter[0]
       בדוגמה הזו, מאפייני ה-IdP‏ assertion.oid ו-assertion.attributes.costcenter[0] ממופים למאפיינים Google Cloud ‏ google.subject ו-attribute.costcenter, בהתאמה.
    3. אם בחרתם ב-Microsoft Entra ID כספק הזהויות שלכם, אתם יכולים להגדיל את מספר הקבוצות.
      1. בוחרים באפשרות שימוש במאפיינים נוספים.
      2. בשדה Extra Attributes Issuer URI (מזהה ה-URI של מנפיק מאפיינים נוספים), מזינים את כתובת ה-URL של המנפיק.
      3. בשדה מזהה לקוח של מאפיינים נוספים, מזינים את מזהה הלקוח.
      4. בשדה Extra Attributes Client Secret (סוד הלקוח של מאפיינים נוספים), מזינים את סוד הלקוח.
      5. ברשימה Extra Attributes Type, בוחרים סוג מאפיין למאפיינים נוספים.
      6. בשדה Extra Attributes Filter (מסנן מאפיינים נוספים), מזינים ביטוי מסנן שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות.
    4. אופציונלי: כדי להוסיף תנאי של מאפיין, לוחצים על הוספת תנאי ומזינים ביטוי CEL שמייצג תנאי של מאפיין. לדוגמה, כדי להגביל את המאפיין ipaddr לטווח מסוים של כתובות IP, אפשר ליצור את התנאי assertion.attributes.ipaddr.startsWith('98.11.12.'). התנאי הזה מבטיח שרק משתמשים עם כתובת IP שמתחילה ב-98.11.12. יוכלו להיכנס באמצעות ספק הזהויות הזה לכוח העבודה.
    5. לוחצים על Continue.
    6. כדי להפעיל רישום מפורט ביומן הביקורת, בקטע רישום מפורט, לוחצים על המתג הפעלת רישום ביומן הביקורת של ערכי מאפיינים.

      איחוד שירותי אימות הזהות של כוח עבודה רישום מפורט ביומן הביקורת רושם ביומן את המידע שמתקבל מ-IdP. רישום מפורט של ביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

      כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

  10. כדי ליצור את הספק, לוחצים על שליחה.

אימות ההגדרה של הספק

לפני שבודקים את תהליך הכניסה של משתמשי הקצה, אפשר לוודא שההגדרה של הספק נכונה ושהוא יכול להחליף אסימונים עם ספק הזהויות. Google Cloud

בדף Validate your provider attributes במסוף Google Cloud יש כלי לצפייה במאפיינים שמאפשר לבדוק את ההגדרה באופן אינטראקטיבי ולנפות באגים בביטויים ב-Common Expression Language‏ (CEL). בעזרת הכלי לבדיקת מאפיינים אפשר:

  • אפשר לראות את המאפיינים הגולמיים שנשלחו בהצהרה של ספק הזהויות.
  • מוודאים שמיפויי המאפיינים והתנאים משנים את המאפיינים האלה בצורה נכונה.
  • ניפוי באגים של ביטויי CEL מורכבים בזמן אמת.

כדי לוודא שהגדרתם את הספק בצורה נכונה:

  1. כדי להפעיל את תהליך הכניסה מבוסס-הדפדפן לאיחוד שירותי אימות הזהות של כוח עבודה, מוסיפים את https://auth.cloud.google/signin-callback/locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID לרשימת ה-URI להפניה אוטומטית המותרים ב-IdP.

  2. במסוף Google Cloud , עוברים אל Workforce Identity Pools.

    כניסה לדף Workforce Identity Pools
  3. ברשימת המאגרים, לוחצים על שם המאגר שרוצים לאמת.
  4. בדף פרטי מאגר כוח העבודה, לוחצים על השם של ספק הזהויות שרוצים לאמת.
  5. בדף פרטי הספק, לוחצים על איתור באגים של טוקן ספק הזהויות.
  6. בתיבת הדו-שיח Sign in (כניסה), נכנסים ל-IdP בתור משתמש לבדיקה.

בדף Validate your provider attributes (אימות מאפייני הספק) מוצגים המאפיינים הממופים והתוצאה של תנאי המאפיין.

בקטע Mapped attributes from your IdP token (מאפיינים ממופים מאסימון ה-IdP) מוצג איך מאפייני Google, כמו google.subject, מאוכלסים מאסימון ה-IdP על סמך הגדרת המיפוי. אם המיפוי שגוי, מופיע סמל שגיאה.

בקטע תנאי המאפיין מוצגת התוצאה הבוליאנית של התנאי. אם התנאי מקבל את הערך false, הכניסה נחסמת.

כדי לראות את אסימון הטענה המלא, לוחצים על הצגת האסימון המלא. כאן מוצג אובייקט ה-JSON הגולמי מ-IdP. כדי להפנות למאפיין ברמה העליונה במיפויים, משתמשים בפורמט assertion.PROPERTY_NAME.

עריכת הגדרת הספק

כדי לתקן שגיאות, אפשר לערוך את ההגדרה:

  1. בדף Validate your provider attributes (אימות מאפייני הספק), לוחצים על Edit (עריכה).
  2. מבצעים את השינויים הנדרשים.
  3. כדי להתחיל בדיקה חדשה ולראות את התוצאות המעודכנות, לוחצים על שמירה ואחזור מחדש של טוקן.

הקצאת תפקידי IAM לקבוצות

בקטע הזה מקצים תפקידים לקבוצות במשאבי Google Cloud . מידע נוסף על מזהי חשבונות משתמשים באיחוד שירותי אימות הזהות של כוח עבודה זמין במאמר ייצוג משתמשים במאגר זהויות של כוח עבודה ב-IAM.

בדוגמה הבאה, התפקיד Storage Admin (אדמין של נפח אחסון) (roles/storage.admin) מוקצה למשתמשים בקבוצה ב-Microsoft Entra ID. 

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט
  • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה
  • GROUP_ID: מזהה הקבוצה, שתלוי בערך של --extra-attributes-type ששימש ליצירת פלאגין שמתממשק עם שירותים חיצוניים של כוח העבודה, באופן הבא:
    • azure-ad-groups-mail: מזהה הקבוצה הוא כתובת אימייל, לדוגמה: admin-group@altostrat.com
    • azure-ad-groups-id: מזהה הקבוצה הוא UUID של הקבוצה. לדוגמה: abcdefgh-0123-0123-abcdef

כניסה לחשבון ובדיקת גישה

בקטע הזה נכנסים כמשתמש של מאגר הזהויות של כוח העבודה ובודקים שיש גישה ל Google Cloud משאבים.

כניסה

בקטע הזה מוסבר איך נכנסים כמשתמש מאיחוד שירותי האימות ומקבלים גישה למשאביGoogle Cloud .

כניסה לחשבון במסוף (איחוד)

כדי להיכנס למסוף Google Cloud איחוד שירותי אימות הזהות של כוח עבודה, שנקרא גם המסוף (מאוחד), מבצעים את הפעולות הבאות:

  1. עוברים לדף הכניסה של המסוף (איחוד).

    כניסה למסוף (איחוד)

  2. מזינים את שם הספק בפורמט הבא: 
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    3. אם מופיעה הנחיה, מזינים את פרטי הכניסה של המשתמש ב-Microsoft Entra ID.

    אם מתחילים תהליך כניסה באמצעות ספק הזהויות, משתמשים בכתובת ה-URL הבאה בשביל שרת הממסר: https://console.cloud.google/.

כניסה באמצעות הדפדפן ל-CLI של gcloud

כדי להיכנס ל-CLI של gcloud באמצעות הדפדפן, מבצעים את הפעולות הבאות:

יוצרים קובץ תצורה

מריצים את הפקודה הבאה כדי ליצור קובץ תצורה לכניסה:

‫Linux ו-macOS

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --output-file=LOGIN_CONFIG_PATH

‏Windows (PowerShell)

gcloud iam workforce-pools create-login-config `
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID `
    --output-file=LOGIN_CONFIG_PATH

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה.
  • WORKFORCE_PROVIDER_ID: המזהה של ספק איחוד שירותי אימות הזהות של כוח העבודה.
  • LOGIN_CONFIG_PATH: הנתיב שבו ייכתב קובץ התצורה להתחברות. לדוגמה, login-config.json.

קובץ הגדרות הכניסה מכיל את נקודות הקצה (endpoints) שבהן ה-CLI של gcloud משתמש כדי להפעיל את תהליך האימות בדפדפן ולהגדיר את הקהל לספק הזהויות שהוגדר במאגר הזהויות של כוח העבודה. הקובץ לא מכיל מידע סודי.

התוכן של קובץ התצורה לכניסה נראה כך:

{
  "universe_domain": "googleapis.com",
  "universe_cloud_web_domain": "cloud.google",
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

כניסה באמצעות אימות בדפדפן

מפנים לקובץ התצורה לכניסה באמצעות משתנה סביבה, מאפיין בהגדרות האישיות הפעילות של ה-CLI של gcloud, או משתמשים בו ישירות באמצעות הפקודה gcloud auth login:

משתנה הסביבה

כדי להשתמש בקובץ התצורה שמשמש לכניסה באמצעות משתנה סביבה, מבצעים את ההוראות הבאות:

  1. מגדירים את משתנה הסביבה CLOUDSDK_AUTH_LOGIN_CONFIG_FILE לנתיב של קובץ התצורה להתחברות.

  2. מריצים את הפקודה הבאה:

    gcloud auth login
  3. ה-CLI של gcloud מפנה למשתנה הסביבה כדי למצוא את קובץ התצורה של הכניסה, ואז מתחיל את תהליך האימות. פועלים בהתאם להליך שבדפדפן כדי לאמת את ה-CLI של gcloud ולאשר לו גישה למשאבים בשמכם עבור פקודות עתידיות.

כדי להפסיק להשתמש בקובץ התצורה שמשמש לכניסה לפקודות gcloud auth login, מוחקים את משתנה הסביבה CLOUDSDK_AUTH_LOGIN_CONFIG_FILE.

ההגדרות האישיות של ה-CLI של gcloud

כדי להשתמש בקובץ התצורה שמשמש לכניסה עם מאפיין תצורה של ה-CLI של gcloud:

  1. מגדירים את המאפיין auth/login_config_file של ההגדרות האישיות הפעילות של ה-CLI של gcloud לנתיב של קובץ התצורה לכניסה באמצעות הפקודה הבאה: 

    gcloud config set auth/login_config_file LOGIN_CONFIG_PATH

  2. מריצים את הפקודה הבאה:

    gcloud auth login
  3. ה-CLI של gcloud מפנה למאפיין ההגדרות כדי למצוא את קובץ ההגדרות של הכניסה, ואז מתחיל את תהליך האימות. פועלים בהתאם להליך שבדפדפן כדי לאמת את ה-CLI של gcloud ולאשר לו גישה למשאבים בשמכם עבור פקודות עתידיות.

כדי להפסיק להשתמש בקובץ התצורה שמשמש לכניסה לפקודות gcloud auth login, מבטלים את הגדרת המאפיין באמצעות הפקודה הבאה: 

gcloud config unset auth/login_config_file

gcloud auth login

כדי להשתמש ישירות בקובץ התצורה לכניסה באמצעות הפקודה gcloud auth login, פועלים לפי ההוראות הבאות:

  • אם השתמשתם בדגל --activate כשייצרתם את קובץ התצורה לכניסה, מריצים את הפקודה הבאה: 

    gcloud auth login

  • אם לא השתמשתם בדגל --activate כשייצרתם את קובץ התצורה לכניסה, מריצים את הפקודה הבאה:

    ‫Linux ו-macOS

    gcloud auth login \
    --login-config=LOGIN_CONFIG_PATH

    ‏Windows (PowerShell)

    gcloud auth login `
    --login-config=LOGIN_CONFIG_PATH

    מחליפים את LOGIN_CONFIG_PATH בנתיב של קובץ התצורה להתחברות.

הפקודה gcloud auth login שומרת את פרטי הכניסה לגישה בספריית הבית. המשתמש המאומת הופך למשתמש הפעיל בהגדרות האישיות הפעילות של ה-CLI של gcloud. אלא אם משנים את ברירת המחדל, ה-CLI של gcloud משתמש בפרטי הכניסה המאוחסנים האלה כדי לגשת אל Google Cloud.

כניסה באמצעות דפדפן ללא GUI ל-CLI של gcloud

כדי להיכנס ל-Microsoft Entra ID באמצעות ה-CLI של gcloud:

OIDC

  1. מבצעים את הפעולות לשליחת בקשת הכניסה. נכנסים עם חשבון המשתמש לאפליקציה באמצעות Microsoft Entra ID עם OIDC.

  2. מעתיקים את האסימון המזהה מהפרמטר id_token של כתובת ה-URL להפניה אוטומטית, ושומרים אותו בקובץ במיקום מאובטח במחשב המקומי. בהמשך יהיה צורך להגדיר את PATH_TO_OIDC_ID_TOKEN לנתיב של הקובץ הזה.

  3. מריצים את הפקודה הבאה כדי ליצור קובץ תצורה שדומה לדוגמה שבהמשך השלב הזה:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

    מחליפים את מה שכתוב בשדות הבאים:

    • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה.
    • WORKFORCE_PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה.
    • PATH_TO_OIDC_ID_TOKEN: הנתיב למיקום של הקובץ שבו שמור האסימון של ספק הזהויות
    • WORKFORCE_POOL_USER_PROJECT: מספר או מזהה הפרויקט שמשמש למכסות ולחיוב לחשבון המשתמש צריכה להיות הרשאת serviceusage.services.use בפרויקט הזה.

    בסיום הפקודה, Microsoft Entra ID יוצר את קובץ התצורה הבא:

    {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

  4. פותחים את ה-CLI של gcloud ומריצים את הפקודה הבאה:

    gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS

    מחליפים את PATH_TO_OIDC_CREDENTIALS בנתיב של קובץ הפלט מהשלב הקודם.

    ה-CLI של gcloud יפרסם בצורה שקופה את פרטי הכניסה לנקודת הקצה של Security Token Service. בנקודת הקצה, הפרטים מוחלפים באסימוני גישה זמניים ל- Google Cloud .

    עכשיו תוכלו להריץ ב-Google Cloudפקודות באמצעות ה-CLI של gcloud.

SAML

  1. נכנסים עם חשבון משתמש לאפליקציית Microsoft Entra ID ומקבלים את התגובה ב-SAML.

  2. שומרים את התשובה של SAML שמוחזרת על ידי Microsoft Entra ID במיקום מאובטח במכונה המקומית, ואז מאחסנים את הנתיב באופן הבא:

    SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

  3. כדי ליצור קובץ תצורה של פרטי הכניסה, מריצים את הפקודה הבאה:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

    מחליפים את מה שכתוב בשדות הבאים:

    • WORKFORCE_PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה בארגון שיצרתם קודם במדריך הזה
    • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה שיצרתם קודם במדריך הזה
    • SAML_ASSERTION_PATH: הנתיב לקובץ של טענת הנכונות ב-SAML
    • PROJECT_ID: מזהה הפרויקט

    קובץ התצורה שנוצר נראה כך:

    {
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

  4. כדי להתחבר ל-CLI של gcloud באמצעות החלפת אסימונים של איחוד שירותי אימות הזהות של כוח העבודה, מריצים את הפקודה הבאה:

    gcloud auth login --cred-file=config.json

    לאחר מכן, ה-CLI של gcloud ימיר בצורה שקופה את פרטי הכניסה של Microsoft Entra ID באסימוני גישה זמניים של Google Cloud . אסימוני הגישה מאפשרים לכם לגשת אל Google Cloud.

    הפלט אמור להיראות כך:

    Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

  5. כדי להציג את החשבונות עם פרטי הכניסה ואת החשבון הפעיל, מריצים את הפקודה הבאה:

    gcloud auth list

בדיקת הגישה

עכשיו יש לכם גישה ל Google Cloud מוצרים שתומכים באיחוד שירותי אימות הזהות של כוח העבודה, ושאליהם ניתנה לכם גישה. מוקדם יותר במסמך הזה הקציתם את התפקיד Storage Admin (roles/storage.admin) לכל הזהויות במזהה הקבוצה שציינתם ב-gcloud projects add-iam-policy-binding עבור פרויקט TEST_PROJECT_ID.

עכשיו תוכלו לבדוק אם יש לכם גישה על ידי הצגת הרשימה של הקטגוריות של Cloud Storage.

מסוף (איחוד)

כדי לבדוק שיש לכם גישה באמצעות המסוף (המאוחד):

  • מעבר לדף Cloud Storage.

    כניסה ל-Cloud Storage

  • מוודאים שאפשר לראות את רשימת הקטגוריות הקיימות של TEST_PROJECT_ID.

‫CLI של gcloud

כדי לבדוק אם יש לכם גישה באמצעות ה-CLI של gcloud, אתם יכולים לראות את רשימת הקטגוריות והאובייקטים של Cloud Storage בפרויקט שיש לכם גישה אליו. כדי לעשות את זה, מריצים את הפקודה הבאה. לחשבון המשתמש צריכה להיות הרשאת serviceusage.services.use בפרויקט שצוין.

gcloud storage ls --project="TEST_PROJECT_ID"

מחק משתמשים

איחוד שירותי אימות הזהות של כוח עבודה יוצר מטא-נתונים ומשאבים של משתמשים עבור זהויות משתמשים מאוחדות. אם בוחרים למחוק משתמשים בספק הזהויות, צריך גם למחוק באופן מפורש את המשאבים האלה ב- Google Cloud. לשם כך, אפשר לעיין במאמר מחיקה של המשתמשים באיחוד שירותי אימות הזהות של כוח העבודה והנתונים שלהם.

יכול להיות שמשאבים ימשיכו להיות משויכים למשתמש שנמחק. הסיבה לכך היא שמחיקת מטא-נתונים ומשאבים של משתמשים דורשת פעולה ארוכת טווח. אחרי שמתחילים למחוק את הזהות של משתמש, תהליכים שהמשתמש התחיל לפני המחיקה יכולים להמשיך לפעול עד שהם מסתיימים או עד שמבטלים אותם.

המאמרים הבאים