Workforce Identity-Föderation mit Microsoft Entra ID konfigurieren

Sie können die Mitarbeiteridentitätsföderation mit dem Microsoft Entra ID-Identitätsanbieter (IdP) konfigurieren und bis zu 400 Gruppen aus Microsoft Entra ID Google Cloud mithilfe von Microsoft Graph zuordnen. Anschließend können Sie diesen Gruppen IAM-Rollen zuweisen und festlegen, wie sich Microsoft Entra ID-Nutzer, die Mitglieder der Gruppen sind, in Google Cloudanmelden. Die Nutzer können dann auf Google Cloud Produkte zugreifen, für die sie IAM-Zugriff erhalten haben und die auch die Workforce Identity-Föderation unterstützen.

Wenn Sie weniger als 150 Gruppen aus Microsoft Entra ID Google Cloudzuordnen möchten, lesen Sie den Abschnitt Mitarbeiteridentitätsföderation mit Microsoft Entra ID konfigurieren und Nutzer anmelden.

Wichtige Konzepte

In diesem Abschnitt werden Konzepte beschrieben, die später in diesem Dokument zum Konfigurieren der Mitarbeiteridentitätsföderation verwendet werden.

Zusätzliche Attribute

Wenn Sie bis zu 400 Gruppen zuordnen möchten, verwenden Sie zusätzliche Attribute, indem Sie beim Erstellen des Workforce Identity-Poolanbieters extra-attributes-Flags angeben. Sie können zusätzliche Attribute mit den folgenden Protokollen verwenden:

  • OIDC mit implizitem Ablauf
  • OIDC mit Codeablauf
  • SAML 2.0-Protokoll

Die Anzahl der Gruppen-E-Mail-Adressen, die eine Microsoft Entra ID-Anwendung in einem Token ausgeben kann, ist auf 150 für SAML und 200 für JWT begrenzt. Weitere Informationen zu diesem Limit finden Sie unter Gruppenansprüche für Anwendungen mit Microsoft Entra ID konfigurieren. Um weitere Gruppen abzurufen, verwendet die Workforce Identity-Föderation den OAuth 2.0-Client-Anmeldedatenfluss von Microsoft Identity, um Anmeldedaten abzurufen, mit denen die Workforce Identity-Föderation die Microsoft Graph API abfragen und die Gruppen eines Nutzers abrufen kann.

Wenn Sie zusätzliche Attribute verwenden möchten, gehen Sie so vor:

  • Erstellen Sie eine neue Microsoft Entra ID-Anwendung oder aktualisieren Sie Ihre vorhandene Anwendung, um die Gruppenmitgliedschaften der Nutzer über die Microsoft Graph API abzurufen. Weitere Informationen dazu, wie Microsoft Graph eine große Anzahl von Gruppen aus Microsoft Entra ID abruft, finden Sie unter Überschreitungen bei Gruppen.

  • Wenn Sie den Workforce Identity-Pool-Anbieter erstellen, verwenden Sie extra-attributes-Flags, um die Workforce Identity-Föderation so zu konfigurieren, dass die Gruppen-E-Mail-Adressen der Nutzer aus der Microsoft Graph API abgerufen werden.

Über die Mitarbeiteridentitätsföderation können maximal 999 Gruppen aus der Microsoft Graph API abgerufen werden. Wenn die Microsoft Graph API mehr als 999 Gruppen zurückgibt, schlägt die Anmeldung fehl.

Wenn Sie die Anzahl der Gruppen reduzieren möchten, die von der Microsoft Graph API zurückgegeben werden, können Sie die Abfrage der Workforce Identity-Föderation mit dem Flag --extra-attributes-filter verfeinern, wenn Sie den Workforce Identity-Poolanbieter erstellen.

Nachdem die Mitarbeiteridentitätsföderation die Gruppen über die Microsoft Graph API abgerufen hat, wird das Zugriffstoken erstellt. Durch die Mitarbeiteridentitätsföderation können dem Zugriffstoken maximal 400 Gruppen hinzugefügt werden. Wenn Sie die Anzahl der Gruppen auf 400 oder weniger weiter filtern möchten, können Sie beim Erstellen des Anbieters für den Mitarbeiteridentitätspool eine Attributzuordnung angeben, die CEL-Ausdrücke (Common Expression Language) enthält.

Erweiterte Attribute

Gemini Enterprise-Nutzer können erweiterte Attribute verwenden, um bis zu 1.000 Gruppen aus Microsoft Entra ID zuzuordnen. Dieses Limit ist höher als das Limit für zusätzliche Attribute. Wenn Sie erweiterte Attribute verwenden möchten, geben Sie die extended-attributes-Flags an, wenn Sie den Anbieter des Personalpools erstellen. Mithilfe von erweiterten Attributen ruft die Mitarbeiteridentitätsföderation Gruppen-IDs (UUIDs) aus Microsoft Entra ID ab.

Damit Gemini Enterprise-Nutzer in der Benutzeroberfläche für die gemeinsame Nutzung von Notebooks in Gemini Enterprise anstelle von UUIDs lesbare Gruppennamen eingeben können, müssen Sie auch SCIM konfigurieren.

Sie konfigurieren SCIM in der Workforce Identity-Föderation und Ihrem IdP, wie weiter unten in diesem Dokument beschrieben.

Sie konfigurieren erweiterte Attribute mit den folgenden Flags:

  • --extended-attributes-issuer-uri
  • --extended-attributes-client-id
  • --extended-attributes-client-secret-value

Wenn Sie erweiterte Attribute verwenden, gelten auch die folgenden Einschränkungen:

  • Sie müssen google.groups nicht in der Attributzuordnung konfigurieren, da Gruppenattribute nicht verwendet werden. Es werden jedoch andere Attributzuordnungen verwendet.

  • Sie können andere Flags für Anbieter von Workforce Identity-Pools konfigurieren, wie dokumentiert. Diese Einstellungen gelten jedoch für andere Produkte als Gemini Enterprise, die Workforce Identity-Föderation unterstützen.

  • Erweiterte Attribute werden während der Sitzung regelmäßig im Hintergrund aktualisiert, auch nach der Anmeldung.

  • In Microsoft Entra ID müssen Sie der Anwendung die Berechtigung User.Read.All anstelle von User.Read, User.ReadBasic.All oder GroupMember.Read.All gewähren.

  • Das Flag für den Typ der erweiterten Attribute --extended-attributes-type unterstützt nur den Typ azure-ad-groups-id.

  • Erweiterte Attribute unterstützen nur bis zu 1.000 Gruppen. Im Gegensatz dazu unterstützt das Flag --extra-attributes bis zu 400 Gruppen.

  • Erweiterte Attribute können nur für die Webanmeldung über vertexaisearch.cloud.google verwendet werden, nicht für Konsolenanmeldungen und nicht für gcloud CLI-Anmeldungen.

Hinweise

  1. Sie müssen eine Google Cloud Organisation eingerichtet haben.

  2. Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

    gcloud init

    Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  3. Achten Sie darauf, dass in Microsoft Entra ID ID-Tokens für den impliziten Ablauf aktiviert sind. Weitere Informationen finden Sie unter Implizite Zuweisung von ID-Tokens aktivieren.
  4. Für die Anmeldung muss Ihr IdP signierte Authentifizierungsinformationen bereitstellen: OIDC-IdPs müssen ein JWT bereitstellen und SAML-IdP-Antworten müssen signiert sein.
  5. Wenn Sie wichtige Informationen zu Änderungen an Ihrer Organisation oder IhrenGoogle Cloud -Produkten erhalten möchten, müssen Sie Wichtige Kontakte angeben. Weitere Informationen finden Sie unter Workforce Identity-Föderation – Übersicht.
  6. Alle Gruppen, die Sie zuordnen möchten, müssen in Microsoft Entra ID als Sicherheitsgruppen gekennzeichnet sein.

Kosten

Die Mitarbeiteridentitätsföderation ist als kostenlose Funktion verfügbar. Das detaillierte Audit-Logging der Workforce Identity-Föderation verwendet jedoch Cloud Logging. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle IAM-Mitarbeiterpool-Administrator (roles/iam.workforcePoolAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Mitarbeiteridentitätsföderation benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Wenn Sie Berechtigungen in einer Entwicklungs- oder Testumgebung, aber nicht in einer Produktionsumgebung konfigurieren, können Sie die einfache Rolle „IAM-Inhaber“ (roles/owner) zuweisen, die auch Berechtigungen für die Mitarbeiteridentitätsföderation enthält.

Microsoft Entra ID-Anwendung erstellen

In diesem Abschnitt erfahren Sie, wie Sie eine Microsoft Entra ID-Anwendung über das Microsoft Entra-Administratorportal erstellen. Alternativ können Sie Ihre vorhandene Anwendung aktualisieren. Weitere Informationen finden Sie unter Anwendungen im Microsoft Entra ID-Ökosystem einrichten.

Workforce Identity-Pools unterstützen die Föderation mit OIDC- und SAML-Protokollen.

OIDC

So erstellen Sie eine Microsoft Entra ID-App-Registrierung, die das OIDC-Protokoll verwendet:

  1. Melden Sie sich im Microsoft Entra-Administratorportal an.

  2. Rufen Sie Identität > Anwendungen > App-Registrierungen auf.

  3. So konfigurieren Sie die Anwendungsregistrierung:

    1. Klicken Sie auf Neue Registrierung.

    2. Geben Sie einen Namen für die Anwendung ein.

    3. Wählen Sie unter Unterstützte Kontotypen eine Option aus.

    4. Wählen Sie im Abschnitt Weiterleitungs-URI in der Drop-down-Liste Plattform auswählen die Option Web aus.

    5. Geben Sie im Textfeld eine Weiterleitungs-URL ein. Ihre Nutzer werden nach der erfolgreichen Anmeldung zu dieser URL weitergeleitet. Wenn Sie den Zugriff auf die Console (föderiert) konfigurieren, müssen Sie das folgende URL-Format verwenden:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Ersetzen Sie Folgendes:

      • WORKFORCE_POOL_ID: die ID eines Workforce Identity-Pools, die Sie später in diesem Dokument verwenden, um den Workforce Identity-Pool zu erstellen, z. B.: entra-id-oidc-pool

      • WORKFORCE_PROVIDER_ID: eine ID des Anbieters des Mitarbeiteridentitätspools, die Sie verwenden, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument erstellen, z. B. entra-id-oidc-pool-provider

        Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.

    6. Klicken Sie auf Registrieren, um die Anwendungsregistrierung zu erstellen.

    7. Wenn Sie die Beispielattributzuordnung verwenden möchten, die später in diesem Dokument bereitgestellt wird, müssen Sie ein benutzerdefiniertes department-Attribut erstellen.

SAML

So erstellen Sie eine Microsoft Entra ID-App-Registrierung, die das SAML-Protokoll verwendet:

  1. Melden Sie sich im Microsoft Entra-Administratorportal an.

  2. Klicken Sie im linken Navigationsmenü auf Entra ID > Unternehmensanwendungen.

  3. So konfigurieren Sie die Unternehmensanwendung:

    1. Klicken Sie auf Neue Anwendung > Eigene Anwendung erstellen.

    2. Geben Sie im daraufhin angezeigten Bereich Eigene Anwendung erstellen einen Namen für die Anwendung ein.

    3. Klicken Sie auf Erstellen.

    4. Gehen Sie zu Einmalanmeldung (SSO) > SAML.

    5. Aktualisieren Sie die grundlegende SAML-Konfiguration so:

      1. Geben Sie im Feld Identifier (Entity ID) (Kennung (Entitäts-ID)) den folgenden Wert ein:

        https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Ersetzen Sie Folgendes:

        • WORKFORCE_POOL_ID: eine Workforce Identity-Pool-ID, die Sie beim Erstellen des Workforce Identity-Pools später in diesem Dokument verwenden, z. B.: entra-id-saml-pool

        • WORKFORCE_PROVIDER_ID: die ID eines Anbieters des Mitarbeiteridentitätspools, die Sie verwenden, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument erstellen, z. B. entra-id-saml-pool-provider

          Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.

      2. Geben Sie im Feld Antwort-URL (Assertion Consumer Service-URL) eine Weiterleitungs-URL ein. Ihre Nutzer werden nach der erfolgreichen Anmeldung zu dieser URL weitergeleitet. Wenn Sie den Zugriff auf die Console (föderiert) konfigurieren, müssen Sie das folgende URL-Format verwenden:

        https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Ersetzen Sie Folgendes:

        • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
        • WORKFORCE_PROVIDER_ID: die ID des Mitarbeiteridentitätsanbieters

      3. Wenn Sie die vom IdP initiierte Anmeldung aktivieren möchten, legen Sie das Feld Relay State (Relay-Status) auf den folgenden Wert fest:

        https://console.cloud.google/

      4. Klicken Sie zum Speichern der SAML-Anwendungskonfiguration auf Save.

    6. Wenn Sie die Beispielattributzuordnung verwenden möchten, die später in diesem Dokument bereitgestellt wird, müssen Sie ein benutzerdefiniertes department-Attribut erstellen.

Viele Gruppen mit Microsoft Entra ID konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit den OIDC- und SAML-Protokollen bis zu 400 Gruppen aus Microsoft Entra ID der Workforce Identity-Föderation zuordnen.

Viele Gruppen mit Microsoft Entra ID mit dem impliziten OIDC-Ablauf konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie bis zu 400 Gruppen aus Microsoft Entra ID der Mitarbeiteridentitätsföderation zuordnen. Dazu verwenden Sie das OpenID Connect-Protokoll (OIDC) mit implizitem Ablauf.

Microsoft Entra ID-Anwendung konfigurieren

Sie können eine vorhandene Microsoft Entra ID-Anwendung konfigurieren oder eine neue erstellen. So konfigurieren Sie Ihre Anwendung:

  1. Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
    • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
    • So aktualisieren Sie eine vorhandene Anwendung:
      • Rufen Sie Identität > Anwendungen > Unternehmensanwendungen auf.
      • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
  2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

    Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:

    1. Rufen Sie die API-Berechtigungen auf.
    2. Klicken Sie auf Berechtigung hinzufügen.
    3. Wählen Sie Microsoft API aus.
    4. Wählen Sie Anwendungsberechtigungen aus.
    5. Geben Sie im Suchfeld User.ReadBasic.All ein.
    6. Klicken Sie auf Berechtigungen hinzufügen.

    Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E‑Mail-Adresse für E‑Mail-fähige Gruppen abrufen.

    Wenn Sie Gruppen als Gruppen-E‑Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

  4. So rufen Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
    1. Geben Sie im Suchfeld GroupMember.Read.All ein.
    2. Klicken Sie auf Berechtigungen hinzufügen.
    3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
    4. Klicken Sie im angezeigten Dialogfeld auf Ja.
    5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
    6. Klicken Sie auf Endpunkte.

    Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

    Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Mitarbeiterpool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Pools der Mitarbeiteridentitätsföderation sind in allen Projekten und Ordnern in der Organisation verfügbar.
  • DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
  • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
  • SESSION_DURATION: Optional. Die Sitzungsdauer als Zahl mit dem Suffix s, z. B. 3600s. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

Console

So erstellen Sie den Workforce Identity-Pool:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.

  3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

    1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

    3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

Die Sitzungsdauer des Workforce Identity-Pools ist standardmäßig auf eine Stunde (3.600 Sekunden) festgelegt. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Nachdem Sie den Pool erstellt haben, können Sie ihn aktualisieren, um eine benutzerdefinierte Sitzungsdauer festzulegen. Die Sitzungsdauer muss zwischen 15 Minuten (900 Sek.) und 12 Stunden (43.200 Sek.) liegen.

OIDC-Workforce Identity-Pool-Anbieter für den impliziten Flow konfigurieren

gcloud

Führen Sie den folgenden Befehl aus, um den Anbieter des OIDC-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ersetzen Sie Folgendes:

  • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
  • WORKFORCE_POOL_ID: die ID des Workforce-Pools.
  • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
  • ISSUER_URI: der Aussteller-URI der Microsoft Entra ID-Anwendung, die Sie zuvor in diesem Dokument erstellt haben.
  • CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • ATTRIBUTE_MAPPING: die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise die Attribute groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
    --attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"

    Weitere Informationen finden Sie unter Attributzuordnung.

  • EXTRA_ATTRIBUTES_ISSUER_URI: der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: Der zusätzliche Clientschlüssel aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E‑Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
  • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, mit dem die Microsoft Graph API nach Gruppen abgefragt wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der aus dem IdP abgerufenen Gruppen unter dem Limit von 400 Gruppen bleibt.

    Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat: 

    --extra-attributes-filter='"mail:sales"'

    Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.

    --extra-attributes-filter='"displayName:sales"'

  • Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

    Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Mitarbeiteridentitätspools auf:

    2. Zu Workforce Identity-Pools

  2. Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
  3. Klicken Sie im Bereich Anbieter auf Anbieter hinzufügen.
  4. Wählen Sie in der Liste Select a Provider vendor (Anbieter auswählen) Ihren Identitätsanbieter (IdP) aus.

    Wenn Ihr IdP nicht aufgeführt ist, wählen Sie Generic Identity Provider (Allgemeiner Identitätsanbieter) aus.

  5. Wählen Sie unter Authentifizierungsprotokoll auswählen die Option OpenID Connect (OIDC) aus.
  6. Führen Sie im Abschnitt Anbieter erstellen die folgenden Schritte aus:
    1. Geben Sie unter Name den Namen für den Anbieter ein.
    2. Geben Sie unter Beschreibung die Beschreibung für den Anbieter ein.
    3. Geben Sie unter Aussteller (URL) den URI des Ausstellers ein. Der OIDC-Aussteller-URI muss ein gültiges URI-Format haben und mit https beginnen. Beispiel: https://example.com/oidc
    4. Geben Sie unter Client-ID die OIDC-Client-ID ein, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der aud-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.

    5. Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Anbieter aktivieren aktiviert sein.

    6. Klicken Sie auf Weiter.
  7. Kopieren Sie im Abschnitt Anbieterinformationen mit IdP teilen die URL. Konfigurieren Sie diese URL in Ihrem IdP als Weiterleitungs-URI. Dadurch wird Ihrem IdP mitgeteilt, wohin das Assertion-Token nach der Anmeldung gesendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Führen Sie im Abschnitt OIDC-Webanmeldung konfigurieren die folgenden Schritte aus:
  10. Wählen Sie in der Liste Ablaufart die Option ID-Token aus.
  11. In der Liste Verhalten bei Assertion-Anforderungen ist ID-Token ausgewählt.
  12. Optional: Wenn Sie Okta als IdP ausgewählt haben, fügen Sie im Feld Zusätzliche Bereiche über OpenID, Profil und E‑Mail hinaus zusätzliche OIDC-Bereiche hinzu.
  • Klicken Sie auf Weiter.
  • Unter Anbieter konfigurieren können Sie eine Attributzuordnung und eine Attributbedingung konfigurieren. So erstellen Sie eine Attributzuordnung: Sie können entweder den Namen des IdP-Felds oder einen CEL-formatierten Ausdruck angeben, der einen String zurückgibt.
    1. Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein, z. B. assertion.sub.
    2. Optional: So fügen Sie zusätzliche Attributzuordnungen hinzu:
      1. Klicken Sie auf Zuordnung hinzufügen.
      2. Geben Sie in Google n, wobei n eine Zahl ist, einen der vonGoogle Cloudunterstützten Schlüssel ein.
      3. Geben Sie im entsprechenden Feld OIDC n den Namen des IdP-spezifischen Felds im CEL-Format ein.
    3. Wenn Sie Microsoft Entra ID als IdP ausgewählt haben, können Sie die Anzahl der Gruppen erhöhen.
      1. Wählen Sie Zusätzliche Attribute verwenden aus.
      2. Geben Sie im Feld Aussteller-URI für zusätzliche Attribute die Aussteller-URL ein.
      3. Geben Sie im Feld Client-ID für zusätzliche Attribute die Client-ID ein.
      4. Geben Sie im Feld Clientschlüssel für zusätzliche Attribute den Clientschlüssel ein.
      5. Wählen Sie in der Liste Typ für zusätzliche Attribute einen Attributtyp für zusätzliche Attribute aus.
      6. Geben Sie im Feld Filter für zusätzliche Attribute einen Filterausdruck ein, der beim Abfragen der Microsoft Graph API nach Gruppen verwendet wird.
    4. So erstellen Sie eine Attributbedingung:
      1. Klicken Sie auf Bedingung hinzufügen.
      2. Geben Sie im Feld Attributbedingungen eine Bedingung im CEL-Format ein, z. B. assertion.role == 'gcp-users'. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rolle gcp-users über diesen Anbieter anmelden können.
      3. Wenn Sie die detaillierte Audit-Protokollierung aktivieren möchten, klicken Sie unter Detaillierte Protokollierung auf den Schalter Audit-Protokollierung für Attributwerte aktivieren.

        Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

        Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

  • Klicken Sie auf Senden, um den Anbieter zu erstellen.
    •

    Große Anzahl von Gruppen in Microsoft Entra ID mit OIDC-Codefluss konfigurieren

    In diesem Abschnitt wird beschrieben, wie Sie bis zu 400 Gruppen aus Microsoft Entra ID der Mitarbeiteridentitätsföderation zuordnen. Dazu verwenden Sie das OIDC-Protokoll mit Code-Ablauf.

    Microsoft Entra ID-Anwendung konfigurieren

    Sie können eine vorhandene Microsoft Entra ID-Anwendung konfigurieren oder eine neue erstellen. So konfigurieren Sie Ihre Anwendung:

    1. Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
      • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
      • So aktualisieren Sie eine vorhandene Anwendung:
        • Rufen Sie Identität > Anwendungen > Unternehmensanwendungen auf.
        • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
    2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

      Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

      • Client ID
      • Issuer URI
      • Client Secret
      • Tenant ID

    3. Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:

      1. Rufen Sie die API-Berechtigungen auf.
      2. Klicken Sie auf Berechtigung hinzufügen.
      3. Wählen Sie Microsoft API aus.
      4. Wählen Sie Delegated permissions (Delegierte Berechtigungen) aus.
      5. Geben Sie im Suchfeld User.Read ein.
      6. Klicken Sie auf Berechtigungen hinzufügen.

      Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E‑Mail-Adresse für E‑Mail-fähige Gruppen abrufen.

      Wenn Sie Gruppen als Gruppen-E‑Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

    4. So rufen Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
      1. Geben Sie im Suchfeld GroupMember.Read.All ein.
      2. Klicken Sie auf Berechtigungen hinzufügen.
      3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
      4. Klicken Sie im angezeigten Dialogfeld auf Ja.
      5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
      6. Klicken Sie auf Endpunkte.

      Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

      Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

    Workforce Identity-Pool erstellen

    gcloud

    Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

    gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Mitarbeiterpool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
    • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Pools der Mitarbeiteridentitätsföderation sind in allen Projekten und Ordnern in der Organisation verfügbar.
    • DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
    • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
    • SESSION_DURATION: Optional. Die Sitzungsdauer als Zahl mit dem Suffix s, z. B. 3600s. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

    Console

    So erstellen Sie den Workforce Identity-Pool:

    1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

      Zu Workforce Identity-Pools

    2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.

    3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

      1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

      2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

      3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

    Die Sitzungsdauer des Workforce Identity-Pools ist standardmäßig auf eine Stunde (3.600 Sekunden) festgelegt. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Nachdem Sie den Pool erstellt haben, können Sie ihn aktualisieren, um eine benutzerdefinierte Sitzungsdauer festzulegen. Die Sitzungsdauer muss zwischen 15 Minuten (900 Sek.) und 12 Stunden (43.200 Sek.) liegen.

    OIDC-Codeflow-Anbieter für Mitarbeiteridentitätspools konfigurieren

    gcloud

    Führen Sie den folgenden Befehl aus, um den Anbieter des OIDC-Mitarbeiteridentitätspools zu erstellen:

    gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
        --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

    Ersetzen Sie Folgendes:

    • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
    • WORKFORCE_POOL_ID: die ID des Workforce-Pools.
    • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
    • ISSUER_URI: der Aussteller-URI der Microsoft Entra ID-Anwendung, die Sie zuvor in diesem Dokument erstellt haben.
    • CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
    • ATTRIBUTE_MAPPING: die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise die Attribute groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
      --attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"

      Weitere Informationen finden Sie unter Attributzuordnung.

    • EXTRA_ATTRIBUTES_ISSUER_URI: der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
    • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
    • EXTRA_ATTRIBUTES_CLIENT_SECRET: Der zusätzliche Clientschlüssel aus Ihrer Microsoft Entra ID-Anwendung.
    • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E‑Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
    • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, mit dem die Microsoft Graph API nach Gruppen abgefragt wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der aus dem IdP abgerufenen Gruppen unter dem Limit von 400 Gruppen bleibt.

      Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat: 

      --extra-attributes-filter='"mail:sales"'

      Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.

      --extra-attributes-filter='"displayName:sales"'

    • Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

      Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Mitarbeiteridentitätspools auf:

      2. Zu Workforce Identity-Pools

    2. Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
    3. Klicken Sie im Bereich Anbieter auf Anbieter hinzufügen.
    4. Wählen Sie in der Liste Select a Provider vendor (Anbieter auswählen) Ihren Identitätsanbieter (IdP) aus.

      Wenn Ihr IdP nicht aufgeführt ist, wählen Sie Generic Identity Provider (Allgemeiner Identitätsanbieter) aus.

    5. Wählen Sie unter Authentifizierungsprotokoll auswählen die Option OpenID Connect (OIDC) aus.
    6. Führen Sie im Abschnitt Anbieter erstellen die folgenden Schritte aus:
      1. Geben Sie unter Name den Namen für den Anbieter ein.
      2. Geben Sie unter Beschreibung die Beschreibung für den Anbieter ein.
      3. Geben Sie unter Aussteller (URL) den URI des Ausstellers ein. Der OIDC-Aussteller-URI muss ein gültiges URI-Format haben und mit https beginnen. Beispiel: https://example.com/oidc
      4. Geben Sie unter Client-ID die OIDC-Client-ID ein, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der aud-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.

      5. Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Anbieter aktivieren aktiviert sein.

      6. Klicken Sie auf Weiter.
    7. Kopieren Sie im Abschnitt Anbieterinformationen mit IdP teilen die URL. Konfigurieren Sie diese URL in Ihrem IdP als Weiterleitungs-URI. Dadurch wird Ihrem IdP mitgeteilt, wohin das Assertion-Token nach der Anmeldung gesendet werden soll.
    8. Klicken Sie auf Weiter.
    9. Führen Sie im Abschnitt OIDC-Webanmeldung konfigurieren die folgenden Schritte aus:
      1. Wählen Sie in der Liste Ablaufart die Option Code aus.
      2. Wählen Sie in der Liste Verhalten bei Assertion-Anforderungen eine der folgenden Optionen aus:
        • Nutzerinformationen und ID-Token
        • Nur ID-Token
      3. Geben Sie im Feld Clientschlüssel den Clientschlüssel von Ihrem IdP ein.
      4. Optional: Wenn Sie Okta als IdP ausgewählt haben, fügen Sie im Feld Zusätzliche Bereiche über OpenID, Profil und E‑Mail hinaus zusätzliche OIDC-Bereiche hinzu.
    10. Klicken Sie auf Weiter.
    11. Unter Anbieter konfigurieren können Sie eine Attributzuordnung und eine Attributbedingung konfigurieren. So erstellen Sie eine Attributzuordnung: Sie können entweder den Namen des IdP-Felds oder einen CEL-formatierten Ausdruck angeben, der einen String zurückgibt.
      1. Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein, z. B. assertion.sub.
      2. Optional: So fügen Sie zusätzliche Attributzuordnungen hinzu:
        1. Klicken Sie auf Zuordnung hinzufügen.
        2. Geben Sie in Google n, wobei n eine Zahl ist, einen der vonGoogle Cloudunterstützten Schlüssel ein.
        3. Geben Sie im entsprechenden Feld OIDC n den Namen des IdP-spezifischen Felds im CEL-Format ein.
      3. Wenn Sie Microsoft Entra ID als IdP ausgewählt haben, können Sie die Anzahl der Gruppen erhöhen.
        1. Wählen Sie Zusätzliche Attribute verwenden aus.
        2. Geben Sie im Feld Aussteller-URI für zusätzliche Attribute die Aussteller-URL ein.
        3. Geben Sie im Feld Client-ID für zusätzliche Attribute die Client-ID ein.
        4. Geben Sie im Feld Clientschlüssel für zusätzliche Attribute den Clientschlüssel ein.
        5. Wählen Sie in der Liste Typ für zusätzliche Attribute einen Attributtyp für zusätzliche Attribute aus.
        6. Geben Sie im Feld Filter für zusätzliche Attribute einen Filterausdruck ein, der beim Abfragen der Microsoft Graph API nach Gruppen verwendet wird.
      4. So erstellen Sie eine Attributbedingung:
        1. Klicken Sie auf Bedingung hinzufügen.
        2. Geben Sie im Feld Attributbedingungen eine Bedingung im CEL-Format ein, z. B. assertion.role == 'gcp-users'. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rolle gcp-users über diesen Anbieter anmelden können.
        3. Wenn Sie die detaillierte Audit-Protokollierung aktivieren möchten, klicken Sie unter Detaillierte Protokollierung auf den Schalter Audit-Protokollierung für Attributwerte aktivieren.

          Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

          Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

    12. Klicken Sie auf Senden, um den Anbieter zu erstellen.

    Viele Gruppen in Microsoft Entra ID mit SAML 2.0 konfigurieren

    In diesem Abschnitt wird beschrieben, wie Sie mit dem SAML 2.0-Protokoll bis zu 400 Gruppen aus Microsoft Entra ID der Mitarbeiteridentitätsföderation zuordnen.

    Microsoft Entra ID-Anwendung konfigurieren

    So konfigurieren Sie Ihre Anwendung:

    1. Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
      • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
      • So aktualisieren Sie eine vorhandene Anwendung:
        • Rufen Sie Identität > Anwendungen > Unternehmensanwendungen auf.
        • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
    2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

      Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

      • Client ID
      • Issuer URI
      • Client Secret
      • Tenant ID

    3. Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:

      1. Rufen Sie die API-Berechtigungen auf.
      2. Klicken Sie auf Berechtigung hinzufügen.
      3. Wählen Sie Microsoft API aus.
      4. Wählen Sie Anwendungsberechtigungen aus.
      5. Geben Sie im Suchfeld User.ReadBasic.All ein.
      6. Klicken Sie auf Berechtigungen hinzufügen.

      Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E‑Mail-Adresse für E‑Mail-fähige Gruppen abrufen.

      Wenn Sie Gruppen als Gruppen-E‑Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

    4. So rufen Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
      1. Geben Sie im Suchfeld GroupMember.Read.All ein.
      2. Klicken Sie auf Berechtigungen hinzufügen.
      3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
      4. Klicken Sie im angezeigten Dialogfeld auf Ja.
      5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
      6. Klicken Sie auf Endpunkte.

      Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

      Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

    Workforce Identity-Pool erstellen

    gcloud

    Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

    gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Mitarbeiterpool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
    • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Pools der Mitarbeiteridentitätsföderation sind in allen Projekten und Ordnern in der Organisation verfügbar.
    • DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
    • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
    • SESSION_DURATION: Optional. Die Sitzungsdauer als Zahl mit dem Suffix s, z. B. 3600s. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

    Console

    So erstellen Sie den Workforce Identity-Pool:

    1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

      Zu Workforce Identity-Pools

    2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.

    3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

      1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

      2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

      3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

    Die Sitzungsdauer des Workforce Identity-Pools ist standardmäßig auf eine Stunde (3.600 Sekunden) festgelegt. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Nachdem Sie den Pool erstellt haben, können Sie ihn aktualisieren, um eine benutzerdefinierte Sitzungsdauer festzulegen. Die Sitzungsdauer muss zwischen 15 Minuten (900 Sek.) und 12 Stunden (43.200 Sek.) liegen.

    SAML 2.0-Workforce-Pool-Anbieter konfigurieren

    gcloud

    Führen Sie den folgenden Befehl aus, um den Anbieter des SAML-Mitarbeiteridentitätspools zu erstellen:

    gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

    Ersetzen Sie Folgendes:

    • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
    • WORKFORCE_POOL_ID: die ID des Workforce-Pools.
    • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
    • XML_METADATA_PATH: der Pfad zur SAML 2.0-XML-Metadatendatei.
    • ATTRIBUTE_MAPPING: die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise die Attribute groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
      --attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"

      Weitere Informationen finden Sie unter Attributzuordnung.

    • EXTRA_ATTRIBUTES_ISSUER_URI: der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
    • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
    • EXTRA_ATTRIBUTES_CLIENT_SECRET: Der zusätzliche Clientschlüssel aus Ihrer Microsoft Entra ID-Anwendung.
    • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E‑Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
    • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, mit dem die Microsoft Graph API nach Gruppen abgefragt wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der aus dem IdP abgerufenen Gruppen unter dem Limit von 400 Gruppen bleibt.

      Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat: 

      --extra-attributes-filter='"mail:sales"'

      Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.

      --extra-attributes-filter='"displayName:sales"'

    • Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

      Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Mitarbeiteridentitätspools auf:

      2. Zu Workforce Identity-Pools

    2. Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
    3. Klicken Sie im Bereich Anbieter auf Anbieter hinzufügen.
    4. Wählen Sie in der Liste Select a Provider vendor (Anbieter auswählen) Ihren Identitätsanbieter (IdP) aus.

      Wenn Ihr IdP nicht aufgeführt ist, wählen Sie Generic Identity Provider (Allgemeiner Identitätsanbieter) aus.

    5. Wählen Sie unter Authentifizierungsprotokoll auswählen die Option SAML aus.
    6. Führen Sie im Abschnitt Anbieter erstellen die folgenden Schritte aus:
      1. Geben Sie unter Name einen Namen für den Anbieter ein.
      2. Optional: Geben Sie unter Beschreibung eine Beschreibung für den Anbieter ein.
      3. Wählen Sie in der IdP-Metadatendatei (XML) die XML-Metadatendatei aus, die Sie zuvor in dieser Anleitung generiert haben.
      4. Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Anbieter aktivieren aktiviert sein.
      5. Klicken Sie auf Weiter.
    7. Kopieren Sie im Abschnitt Share your provider information (Informationen zum Anbieter freigeben) die URLs. Konfigurieren Sie in Ihrem IdP die erste URL als Entitäts-ID, die Ihre Anwendung für den IdP identifiziert. Konfigurieren Sie die andere URL als Weiterleitungs-URI, damit Ihr IdP weiß, wohin das Assertion-Token nach der Anmeldung gesendet werden soll.
    8. Klicken Sie auf Weiter.
    9. Führen Sie im Abschnitt Anbieter konfigurieren die folgenden Schritte aus:
      1. Geben Sie unter Attributzuordnung einen CEL-Ausdruck für google.subject ein.
      2. Optional: Wenn Sie andere Zuordnungen eingeben möchten, klicken Sie auf Zuordnung hinzufügen und geben Sie andere Zuordnungen ein. Beispiel:
        3. google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
         In diesem Beispiel werden die IdP-Attribute assertion.subject, assertion.attributes['https://example.com/aliases'] und assertion.attributes.costcenter[0] den Google Cloud-Attributen google.subject, google.groups bzw. google.costcenter zugeordnet.
      3. Wenn Sie Microsoft Entra ID als IdP ausgewählt haben, können Sie die Anzahl der Gruppen erhöhen.
        1. Wählen Sie Zusätzliche Attribute verwenden aus.
        2. Geben Sie im Feld Aussteller-URI für zusätzliche Attribute die Aussteller-URL ein.
        3. Geben Sie im Feld Client-ID für zusätzliche Attribute die Client-ID ein.
        4. Geben Sie im Feld Clientschlüssel für zusätzliche Attribute den Clientschlüssel ein.
        5. Wählen Sie in der Liste Typ für zusätzliche Attribute einen Attributtyp für zusätzliche Attribute aus.
        6. Geben Sie im Feld Filter für zusätzliche Attribute einen Filterausdruck ein, der beim Abfragen der Microsoft Graph API nach Gruppen verwendet wird.
      4. Optional: Klicken Sie auf Bedingung hinzufügen und geben Sie einen CEL-Ausdruck ein, der eine Attributbedingung darstellt, um eine Attributbedingung hinzuzufügen. Wenn Sie beispielsweise das Attribut ipaddr auf einen bestimmten IP-Bereich beschränken möchten, können Sie die Bedingung assertion.attributes.ipaddr.startsWith('98.11.12.') festlegen. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit einer IP-Adresse, die mit 98.11.12. beginnt, über diesen Workforce-anbieter anmelden können.
      5. Klicken Sie auf Weiter.
      6. Wenn Sie die detaillierte Audit-Protokollierung aktivieren möchten, klicken Sie unter Detaillierte Protokollierung auf den Schalter Audit-Protokollierung für Attributwerte aktivieren.

        Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

        Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

    10. Klicken Sie auf Senden, um den Anbieter zu erstellen.

    Gruppen IAM-Rollen zuweisen

    In diesem Abschnitt weisen Sie Gruppen Rollen für Google Cloud -Ressourcen zu. Weitere Informationen zu Hauptkonto-IDs für die Mitarbeiteridentitätsföderation finden Sie unter Mitarbeiterpoolnutzer in IAM-Richtlinien darstellen.

    Im folgenden Beispiel wird Nutzern in einer Microsoft Entra ID-Gruppe die Rolle „Storage-Administrator“ (roles/storage.admin) zugewiesen. 

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID
    • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
    • GROUP_ID: Die Gruppen-ID, die vom Wert von --extra-attributes-type abhängt, der zum Erstellen des Anbieters des Mitarbeiteridentitätspools verwendet wurde, wie folgt:
      • azure-ad-groups-mail: Die Gruppen-ID ist eine E-Mail-Adresse, z. B. admin-group@altostrat.com.
      • azure-ad-groups-id: Die Gruppen-ID ist eine UUID für die Gruppe, z. B. abcdefgh-0123-0123-abcdef.

    Anmelden und Zugriff testen

    In diesem Abschnitt melden Sie sich als Workforce Identity-Pool-Nutzer an und testen, ob Sie Zugriff auf Google Cloud -Ressourcen haben.

    Anmelden

    In diesem Abschnitt erfahren Sie, wie Sie sich als föderierter Nutzer anmelden und aufGoogle Cloud -Ressourcen zugreifen.

    (Föderierte) Anmeldung bei der Console

    So melden Sie sich in der Google Cloud Console für die Mitarbeiteridentitätsföderation an, die auch als Console (föderiert) bezeichnet wird:

    1. Rufen Sie die (föderierte) Anmeldeseite der Konsole auf.

      Zur Konsole (föderiert)

    2. Geben Sie den Namen des Anbieters ein. Er muss so formatiert sein: 
      locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      3. Geben Sie bei Aufforderung die Nutzeranmeldedaten in Microsoft Entra ID ein.

      Wenn Sie eine IdP-initiierte Anmeldung starten, verwenden Sie die folgende Relay-URL: https://console.cloud.google/.

    Browserbasierte Anmeldung bei der gcloud CLI

    So melden Sie sich mit einem browserbasierten Anmeldevorgang in der gcloud CLI an:

    Konfigurationsdatei erstellen

    Mit dem folgenden Befehl erstellen Sie die Konfigurationsdatei für die Anmeldung. Sie können die Datei optional als Standarddatei für die gcloud CLI aktivieren, indem Sie das Flag --activate hinzufügen. Anschließend können Sie gcloud auth login ausführen, ohne den Pfad der Konfigurationsdatei jedes Mal angeben zu müssen. 

    gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: die ID des Workforce-Pools
    • PROVIDER_ID: die Anbieter-ID
    • LOGIN_CONFIG_FILE_PATH: ein Pfad zu einer von Ihnen angegebenen Konfigurationsdatei, z. B. login.json

    Die Datei enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den IdP festzulegen, der im Anbieter des Mitarbeiteridentitätspools konfiguriert wurde. Die Datei enthält keine vertraulichen Informationen.

    Die Ausgabe sieht dann ungefähr so aus:

    {
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

    Wenn Sie verhindern möchten, dass gcloud auth login diese Konfigurationsdatei automatisch verwendet, können Sie sie mit dem Befehl gcloud config unset auth/login_config_file deaktivieren.

    Mit der browserbasierten Authentifizierung anmelden

    Sie haben folgende Möglichkeiten, sich mit einer browserbasierten Anmeldung zu authentifizieren:

    • Wenn Sie das Flag --activate beim Erstellen der Konfigurationsdatei verwendet oder die Konfigurationsdatei mit gcloud config set auth/login_config_file aktiviert haben, verwendet die gcloud CLI Ihre Konfigurationsdatei automatisch: 

      gcloud auth login

    • Mit dem folgenden Befehl melden Sie sich durch Angabe des Speicherorts der Konfigurationsdatei an: 

      gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
    • Wenn Sie den Speicherort der Konfigurationsdatei mit einer Umgebungsvariable angeben möchten, legen Sie für CLOUDSDK_AUTH_LOGIN_CONFIG_FILE den Konfigurationspfad fest.

    Browserbasierte Anmeldung deaktivieren

    So beenden Sie die Verwendung der Konfigurationsdatei für die Anwendung:

    • Wenn Sie das Flag --activate beim Erstellen der Konfigurationsdatei verwendet oder die Konfigurationsdatei mit gcloud config set auth/login_config_file aktiviert haben, müssen Sie den folgenden Befehl ausführen, um die Festlegung aufzuheben: 

      gcloud config unset auth/login_config_file
    • Löschen Sie die Umgebungsvariable CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, falls sie festgelegt ist.

    Monitorlose Anmeldung bei der gcloud CLI

    So melden Sie sich mit der gcloud CLI in Microsoft Entra ID an:

    OIDC

    1. Führen Sie die Schritte unter Anmeldeanfrage senden aus. Melden Sie den Nutzer mithilfe von Microsoft Entra ID und OIDC in Ihrer Anwendung an.

    2. Kopieren Sie das ID-Token aus dem Parameter id_token der Weiterleitungs-URL und speichern Sie es in einer Datei an einem sicheren Ort auf Ihrem lokalen Computer, wo. Sie Im späteren Schritt PATH_TO_OIDC_ID_TOKEN auf den Pfad zu dieser Datei festlegen.

    3. Generieren Sie eine Konfigurationsdatei, die dem Beispiel weiter unten in diesem Schritt ähnelt, indem Sie den folgenden Befehl ausführen:

      gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

      Ersetzen Sie Folgendes:

      • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
      • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Workforce Identity-Pools.
      • PATH_TO_OIDC_ID_TOKEN ist der Pfad zum Speicherort der Datei, an dem das Identitätsanbieter-Token gespeichert ist.
      • WORKFORCE_POOL_USER_PROJECT: die Projektnummer oder ID, die für Kontingente und die Abrechnung verwendet wird. Das Hauptkonto muss die Berechtigung serviceusage.services.use für dieses Projekt haben.

      Wenn der Befehl abgeschlossen ist, wird die folgende Konfigurationsdatei von Microsoft Entra ID erstellt:

      {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

    4. Öffnen Sie die gcloud-CLI und führen Sie den folgenden Befehl aus:

      gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS

      Ersetzen Sie PATH_TO_OIDC_CREDENTIALS durch den Pfad zur Ausgabedatei aus einem vorherigen Schritt.

      Die gcloud-CLI sendet Ihre Anmeldedaten transparent an den Endpunkt des Security Token-Services. Auf dem Endpunkt werden sie gegen temporäre Google Cloud Zugriffstokens ausgetauscht.

      Sie können jetzt gcloud CLI-Befehle fürGoogle Cloudausführen.

    SAML

    1. Melden Sie einen Nutzer bei Ihrer Microsoft Entra ID-Anwendung an und rufen Sie die SAML-Antwort ab.

    2. Speichern Sie die von Microsoft Entra ID zurückgegebene SAML-Antwort an einem sicheren Ort auf Ihrem lokalen Computer und speichern Sie den Pfad dann so:

      SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

    3. Führen Sie den folgenden Befehl aus, um eine Konfigurationsdatei für Anmeldedaten zu generieren:

      gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

      Ersetzen Sie Folgendes:

      • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Workforce Identity-Pools, den Sie zuvor in dieser Anleitung erstellt haben
      • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools, den Sie zuvor in dieser Anleitung erstellt haben
      • SAML_ASSERTION_PATH: der Pfad der SAML-Assertion-Datei.
      • PROJECT_ID: die Projekt-ID

      Die generierte Konfigurationsdatei sieht in etwa so aus:

      {
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

    4. Führen Sie den folgenden Befehl aus, um sich mit Token-Austausch für die Mitarbeiteridentitätsföderation in der gcloud CLI anzumelden:

      gcloud auth login --cred-file=config.json

      Die gcloud CLI tauscht dann Ihre Microsoft Entra ID-Anmeldedaten transparent gegen temporäre Google Cloud -Zugriffstokens aus. Mit den Zugriffstokens können Sie auf Google Cloudzugreifen.

      Die Ausgabe sollte in etwa so aussehen:

      Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

    5. Führen Sie den folgenden Befehl aus, um die Konten mit Anmeldedaten und Ihr aktives Konto aufzulisten:

      gcloud auth list

    Testzugriff

    Sie haben jetzt Zugriff auf die Google Cloud Produkte, die die Workforce Identity-Föderation unterstützen und auf die Sie Zugriff erhalten haben. Sie haben zuvor in diesem Dokument allen Identitäten innerhalb der Gruppen-ID, die Sie in gcloud projects add-iam-policy-binding für das Projekt TEST_PROJECT_ID angegeben haben, die Rolle „Storage-Admin“ (roles/storage.admin) zugewiesen.

    Sie können jetzt testen, ob Sie Zugriff haben. Dazu listen Sie Cloud Storage-Buckets auf.

    Konsole (föderiert)

    So testen Sie, ob Sie über die Console (föderiert) Zugriff haben:

    • Rufen Sie die Cloud Storage-Seite auf.

      Cloud Storage aufrufen

    • Prüfen Sie, ob Sie die Liste der vorhandenen Buckets für den TEST_PROJECT_ID sehen.

    gcloud-CLI

    Wenn Sie mit der gcloud CLI testen möchten, ob Sie Zugriff haben, können Sie Cloud Storage-Buckets und -Objekte für das Projekt auflisten, auf das Sie Zugriff haben. Führen Sie hierzu den folgenden Befehl aus. Das Hauptkonto muss die Berechtigung serviceusage.services.use für das angegebene Projekt haben.

    gcloud storage ls --project="TEST_PROJECT_ID"

    Nutzer löschen

    Die Mitarbeiteridentitätsföderation erstellt Nutzermetadaten und -ressourcen für föderierte Nutzeridentitäten. Wenn Sie Nutzer in Ihrem IdP löschen, müssen Sie diese Ressourcen auch explizit in Google Cloudlöschen. Weitere Informationen finden Sie unter Nutzer und Daten der Mitarbeiteridentitätsföderation löschen.

    Möglicherweise sind Ressourcen weiterhin einem gelöschten Nutzer zugeordnet. Das liegt daran, dass das Löschen von Nutzermetadaten und ‑ressourcen einen Vorgang mit langer Ausführungszeit erfordert. Nachdem Sie das Löschen der Identität eines Nutzers eingeleitet haben, können Prozesse, die der Nutzer vor dem Löschen gestartet hat, weiter ausgeführt werden, bis sie abgeschlossen oder abgebrochen werden.

    SCIM konfigurieren

    In diesem Abschnitt wird beschrieben, wie Sie einen SCIM-Mandanten in einem Workforce Identity-Pool konfigurieren.

    Jeder Mitarbeiteridentitätspool unterstützt nur einen SCIM-Mandanten. Wenn Sie einen neuen SCIM-Mandanten in einem Pool konfigurieren möchten, in dem bereits einer vorhanden ist, müssen Sie zuerst den vorhandenen Mandanten endgültig löschen.

    Das --claim-mapping-Flag für einen SCIM-Mandanten kann nur bestimmte CEL-Ausdrücke (Common Expression Language) enthalten. Informationen dazu, welche Ausdrücke unterstützt werden, finden Sie unter Token und SCIM-Attribute zuordnen.

    So konfigurieren Sie System for Cross-domain Identity Management (SCIM):

    SCIM-Mandant und ‑Token in Google Cloudkonfigurieren

    So konfigurieren Sie einen SCIM-Mandanten in Google Cloud:

    1. SCIM-Mandant erstellen 

          gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"

      Ersetzen Sie Folgendes:

      • SCIM_TENANT_ID: Eine ID für Ihren SCIM-Mandanten.
      • WORKFORCE_POOL_ID: die ID des Workforce-Pools, den Sie zuvor in diesem Dokument erstellt haben.
      • PROVIDER_ID: die ID des Anbieters des Workforce Identity-Pools, den Sie zuvor in diesem Dokument erstellt haben.
      • SCIM_TENANT_DISPLAY_NAME: Ein Anzeigename für Ihren SCIM-Mandanten.
      • SCIM_TENANT_DESCRIPTION: eine Beschreibung für Ihren SCIM-Mandanten.
      • CLAIM_MAPPING: eine durch Kommas getrennte Liste von Attributzuordnungen. Wir empfehlen die folgende Attributzuordnung: 
        google.subject=user.externalId,google.group=group.externalId
         Das Attribut google.subject, das Sie im SCIM-Mandanten zuordnen, muss mithilfe des Flags --attribute-mapping eindeutig auf dieselben Identitäten verweisen, die im Attribut google.subject im Workload Identity-Poolanbieter zugeordnet sind. Nachdem der SCIM-Mandant erstellt wurde, können Sie die Anspruchszuordnung nicht mehr aktualisieren. Wenn Sie ihn ersetzen möchten, können Sie den SCIM-Mandanten endgültig löschen und sofort einen neuen erstellen. Weitere Informationen zu den Überlegungen zur Verwendung von SCIM finden Sie unter SCIM-Unterstützung.

    2. Wenn der Befehl abgeschlossen ist, gehen Sie so vor:

      1. Speichern Sie in der Ausgabe im Feld baseUri den gesamten URI, der als https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID formatiert ist. Sie müssen diesen URI Ihrem IdP zur Verfügung stellen.
      2. Speichern Sie außerdem nur die SCIM_TENANT_UID aus dem URI. Sie benötigen diese UID, um später in diesem Dokument IAM-Richtlinien für den SCIM-Mandanten festzulegen.

    3. SCIM-Token erstellen: 

          gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

      Ersetzen Sie Folgendes:

      • SCIM_TOKEN_ID: eine ID für das SCIM-Token
      • DISPLAY_NAME: Der Anzeigename des SCIM-Tokens.
      • WORKFORCE_POOL_ID: die ID des Workforce-Pools
      • SCIM_TENANT_ID: die ID des SCIM-Mandanten
      • PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools

    4. Wenn der Befehl gcloud iam workforce-pools providers scim-tenants tokens create abgeschlossen ist, gehen Sie so vor:

      1. Speichern Sie in der Ausgabe den Wert von SCIM_TOKEN im Feld securityToken. Sie müssen dieses Sicherheitstoken Ihrem IdP zur Verfügung stellen. Das Sicherheitstoken wird nur in dieser Ausgabe angezeigt. Wenn es verloren geht, müssen Sie ein neues SCIM-Token erstellen.
      2. Führen Sie den folgenden Befehl aus, um zu prüfen, ob SCIM_TOKEN von der Organisationsrichtlinie abgelehnt wird: 
        curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
         Wenn der Befehl mit einem Berechtigungsfehler fehlschlägt, führen Sie gcloud organizations add-iam-policy-binding aus, wie in einem späteren Schritt beschrieben. Wenn der Befehl erfolgreich ausgeführt wird, können Sie diesen Schritt überspringen.

    5. IAM-Richtlinien für den SCIM-Mandanten und das SCIM-Token festlegen Wenn der curl-Befehl in einem vorherigen Schritt mit einem Berechtigungsfehler fehlgeschlagen ist, müssen Sie den folgenden Befehl ausführen: 

          gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer

      Ersetzen Sie Folgendes:

      • ORGANIZATION_ID: die ID der Organisation.
      • SERVICE_AGENT_EMAIL: die E-Mail-Adresse des Dienst-Agents. Die E-Mail-Adresse hat das folgende Format: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID wird zurückgegeben, wenn Sie den SCIM-Mandanten erstellen.

    Achten Sie beim Bereitstellen von Gruppen in Ihrem IdP darauf, dass der Anzeigename jeder Gruppe, wie im Feld displayName angegeben, innerhalb eines SCIM-Mandanten eindeutig ist. Weitere Informationen zu Gruppen und SCIM in Microsoft Entra ID finden Sie unter Gruppen.

    SCIM in Microsoft Entra ID konfigurieren

    So konfigurieren Sie SCIM in Microsoft Entra ID:

    1. Öffnen Sie das Azure-Portal und melden Sie sich als Nutzer mit globalen Administratorberechtigungen an.
    2. Wählen Sie Microsoft Entra ID > Unternehmensanwendungen aus.
    3. Klicken Sie auf Neue Anwendung.
    4. Klicken Sie unter Microsoft Entra-App-Katalog durchsuchen auf Eigene Anwendung erstellen.
    5. Führen Sie im angezeigten Bereich Eigene Anwendung erstellen die folgenden Schritte aus:
      1. Geben Sie unter What's the name of your app (Wie heißt Ihre App?) den Namen Ihrer App ein.
      2. Wählen Sie Andere Apps einbinden, die nicht in der Galerie zu finden sind aus.
      3. Klicken Sie auf Erstellen, um die App zu erstellen.
    6. Gehen Sie in Ihrer Anwendung so vor:
      1. Klicken Sie im Bereich Verwalten auf Provisioning (Bereitstellung).
      2. Klicken Sie im rechten Bereich auf Neue Konfiguration.

      3. Geben Sie unter Admin Credentials (Administratoranmeldedaten) in das Feld Tenant URL (Mandanten-URL) die SCIM-URL ein, die Sie beim Erstellen des SCIM-Mandanten erhalten haben, gefolgt von ?aadOptscim062020. Sie müssen ?aadOptscim062020 an das Ende der Basis-URI anhängen.

        Dieser Abfrageparameter ist für Microsoft Entra ID erforderlich, um sicherzustellen, dass SCIM PATCH-Anfragen den SCIM RFC-Standards entsprechen. Weitere Informationen finden Sie in der Dokumentation von Microsoft.

        Die endgültige Mandanten-URL in Microsoft Entra ID sollte das folgende Format haben: 

        https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020

        Ersetzen Sie SCIM_TENANT_UID durch die SCIM-Mandanten-UID.

      4. Geben Sie unter Secret token (Geheimes Token) das geheime Token ein, das Sie beim Erstellen des SCIM-Mandanten erhalten haben.
      5. Wenn Sie die SCIM-Konfiguration mit der Workforce Identity-Föderation testen möchten, klicken Sie auf Verbindung testen.
      6. Klicken Sie auf Erstellen, um die Konfiguration zu speichern.
    7. Führen Sie im Bereich Verwalten folgende Schritte aus:
      1. Klicken Sie auf Attributzuordnung.
      2. Klicken Sie auf Microsoft Entra ID-Nutzer bereitstellen.
      3. Führen Sie auf der Seite Attributzuordnung die folgenden Schritte aus:
        1. Suchen Sie in der Tabelle Attribute mappings (Attributzuordnungen) nach der Zeile für externalId und klicken Sie in dieser Zeile auf Edit (Bearbeiten). Führen Sie auf der Seite Attribute bearbeiten die folgenden Schritte aus:
          1. Wählen Sie unter Objekte mit diesem Attribut abgleichen die Option Yes aus.
          2. Geben Sie unter Matching precedence (Vorrang beim Abgleich) 2 ein.
          3. Wählen Sie in der Drop-down-Liste Quellattribut die Option objectId aus.
          4. Klicken Sie auf Ok, um die Attributzuordnung zu speichern.
        2. Suchen Sie in der Tabelle Attribute mappings (Attributzuordnungen) nach der Zeile für userName und klicken Sie in dieser Zeile auf Edit (Bearbeiten). Führen Sie auf der Seite Attribute bearbeiten die folgenden Schritte aus:
          1. Wählen Sie unter Objekte mit diesem Attribut abgleichen die Option No aus.
          2. Klicken Sie auf Ok, um die Attributzuordnung zu speichern.
        3. Suchen Sie in der Tabelle Attribute mappings (Attributzuordnungen) nach der Zeile für externalId und klicken Sie in dieser Zeile auf Edit (Bearbeiten). Führen Sie auf der Seite Attribute bearbeiten die folgenden Schritte aus:
          1. Geben Sie unter Matching precedence (Vorrang beim Abgleich) 1 ein.
          2. Klicken Sie auf Ok, um die Attributzuordnung zu speichern.
      4. Klicken Sie auf Microsoft Entra ID-Gruppen bereitstellen.
      5. Führen Sie auf der Seite Attributzuordnung die folgenden Schritte aus:
        1. Suchen Sie in der Tabelle Attribute mappings (Attributzuordnungen) nach der Zeile für externalId und klicken Sie in dieser Zeile auf Edit (Bearbeiten). Führen Sie auf der Seite Attribute bearbeiten die folgenden Schritte aus:
          1. Wählen Sie unter Objekte mit diesem Attribut abgleichen die Option Yes aus.
          2. Geben Sie unter Matching precedence (Vorrang beim Abgleich) 2 ein.
          3. Wählen Sie in der Drop-down-Liste Quellattribut die Option objectId aus.
          4. Klicken Sie auf Ok, um die Attributzuordnung zu speichern.
        2. Suchen Sie in der Tabelle Attribute mappings (Attributzuordnungen) nach der Zeile für displayName und klicken Sie in dieser Zeile auf Edit (Bearbeiten). Führen Sie auf der Seite Attribute bearbeiten die folgenden Schritte aus:
          1. Wählen Sie unter Objekte mit diesem Attribut abgleichen die Option No aus.
          2. Klicken Sie auf Ok, um die Attributzuordnung zu speichern.
        3. Suchen Sie in der Tabelle Attribute mappings (Attributzuordnungen) nach der Zeile für externalId und klicken Sie in dieser Zeile auf Edit (Bearbeiten). Führen Sie auf der Seite Attribute bearbeiten die folgenden Schritte aus:
          1. Geben Sie unter Matching precedence (Vorrang beim Abgleich) 1 ein.
          2. Klicken Sie auf Ok, um die Attributzuordnung zu speichern.

    Anbieter aktualisieren, um SCIM zu aktivieren

    So aktivieren Sie SCIM für einen Anbieter:

    OIDC

          gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

    Ersetzen Sie Folgendes:

    • PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools
    • WORKFORCE_POOL_ID: die ID des Workforce-Pools
    • LOCATION: der Speicherort des Workforce-Pools

    SAML

          gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

    Ersetzen Sie Folgendes:

    • PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools
    • WORKFORCE_POOL_ID: die ID des Workforce-Pools
    • LOCATION: der Speicherort des Workforce-Pools

    Token- und SCIM-Attribute zuordnen

    Sie müssen Attribute sowohl im Workforce Identity-Poolanbieter als auch im SCIM-Mandanten, der für den Anbieter konfiguriert ist, einheitlich zuordnen. Für den Workforce Identity-Pool-Anbieter verwenden Sie das Flag --attribute-mapping und für den SCIM-Mandanten das Flag --claim-mapping. Das IdP-Attribut, das für Nutzer google.subject zugeordnet ist, muss sich eindeutig auf dieselbe Identität beziehen, unabhängig davon, ob es in einer Token- oder SCIM-Zuordnung definiert ist. Weitere Informationen zum Zuordnen von Attributen bei Verwendung von SCIM finden Sie im Abschnitt SCIM-Unterstützung. In der folgenden Tabelle sehen Sie, wie Sie Attribute in Tokenansprüchen und SCIM-Attributen zuordnen:

    Google-Attribut Zuordnung von Anbietern von Workforce Identity-Pools SCIM-Mandantenzuordnung
    google.subject assertion.oid user.externalId
    google.subject assertion.email user.emails[0].value
    google.subject assertion.email.lowerAscii() user.emails[0].value.lowerAscii()
    google.subject assertion.preferred_username user.userName
    google.group Aktualisieren Sie Ihren Anbieter mit --scim-usage=enabled-for-groups. N/A group.externalId

    Löschen eines SCIM-Mandanten erzwingen

    So erzwingen Sie das Löschen eines SCIM-Tenants:

    1. Wenn --scim-usage=enabled-for-groups für Ihren Anbieter festgelegt ist, deaktivieren Sie die Option in der Anbieterkonfiguration: 
                gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED

      Ersetzen Sie Folgendes:

      • PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools
      • WORKFORCE_POOL_ID: die ID des Workforce-Pools

    2. Löschen Sie den SCIM-Mandanten: 
        gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global

      Ersetzen Sie Folgendes:

      • SCIM_TENANT_ID: die ID des zu löschenden SCIM-Mandanten
      • WORKFORCE_POOL_ID: die ID des Workforce-Pools
      • PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools
      Weitere Informationen zu SCIM, einschließlich des Löschens von SCIM-Mandanten, finden Sie unter SCIM-Unterstützung.

    Nächste Schritte