Se usó la API de Cloud Translation para traducir esta página.

Configura la federación de identidades de personal con Microsoft Entra ID

Puedes configurar la federación de identidades de personal con el proveedor de identidad (IdP) de Microsoft Entra ID y asignar hasta 400 grupos de Microsoft Entra ID a Google Cloud con Microsoft Graph. Luego, puedes otorgar roles de IAM a esos grupos y mostrar cómo acceder a Google Cloudcon los usuarios de Microsoft Entra ID que son miembros de los grupos. Luego, los usuarios pueden acceder a los Google Cloud productos a los que se les otorgó acceso a IAM y que también admiten la federación de identidades de personal.

Para mapear menos de 150 grupos de Microsoft Entra ID a Google Cloud, consulta Configura la federación de identidades de personal con Microsoft Entra ID y permite el acceso de usuarios.

Conceptos clave

En esta sección, se describen los conceptos que se usan para configurar la federación de identidades de personal, más adelante en este documento.

Atributos adicionales

Para asignar hasta 400 grupos, debes especificar marcas extra-attributes cuando crees el proveedor de grupos de identidades de personal y usar atributos adicionales. Puedes usar atributos adicionales con los siguientes protocolos:

OIDC con flujo implícito
OIDC con flujo de código
Protocolo SAML 2.0

La cantidad de direcciones de correo electrónico de grupo que una aplicación de Microsoft Entra ID puede emitir en un token está limitada a 150 para SAML y 200 para JWT. Para obtener más información sobre este límite, consulta Configura las declaraciones de grupo para las aplicaciones con Microsoft Entra ID. Para recuperar más grupos, la federación de identidades de personal usa el flujo de credenciales de cliente de OAuth 2.0 de Microsoft Identity para obtener credenciales que permitan a la federación de identidades de personal consultar la API de Microsoft Graph y recuperar los grupos de un usuario.

Para usar atributos adicionales, en un nivel general, debes hacer lo siguiente:

Crea una aplicación nueva de Microsoft Entra ID o actualiza la existente para obtener las membresías de grupo de los usuarios desde la API de Microsoft Graph. Para obtener más información sobre cómo Microsoft Graph recupera una gran cantidad de grupos de Microsoft Entra ID, consulta Exceso de grupos.
Cuando creas el proveedor de grupo de identidades de personal, usas marcas de extra-attributes para configurar la federación de identidades de personal y recuperar las direcciones de correo electrónico de los grupos de usuarios desde la API de Microsoft Graph.

La federación de identidades de personal puede recuperar un máximo de 999 grupos de la API de Microsoft Graph. Si la API de Microsoft Graph devuelve más de 999 grupos, se produce un error en el acceso.

Para reducir la cantidad de grupos que devuelve la API de Microsoft Graph, puedes refinar la consulta de la federación de identidades de personal con la marca --extra-attributes-filter cuando crees el proveedor de grupos de identidades de personal.

Después de que la federación de identidades de personal recupera los grupos de la API de Microsoft Graph, genera el token de acceso. La federación de identidades para la fuerza laboral puede agregar un máximo de 400 grupos al token de acceso, por lo que, para filtrar aún más la cantidad de grupos a 400 o menos, puedes especificar una asignación de atributos que contenga expresiones comunes del lenguaje de expresiones (CEL), cuando crees el proveedor de grupo de identidades para la fuerza laboral.

Atributos extendidos

En el caso de los usuarios de Gemini Enterprise, puedes usar atributos extendidos para asignar hasta 1,000 grupos desde Microsoft Entra ID. Este límite es superior al de los atributos adicionales. Para usar atributos extendidos, debes especificar las marcas extended-attributes cuando crees el proveedor de grupos de identidades de personal. Con los atributos extendidos, la federación de identidades de personal recupera los IDs de grupo (UUID) de Microsoft Entra ID.

Para permitir que los usuarios de Gemini Enterprise ingresen nombres de grupos legibles por humanos, en lugar de UUID, en la IU de uso compartido de notebooks de Gemini Enterprise, también debes configurar SCIM.

Configurarás SCIM en la federación de identidades de personal y tu IdP, como se describe más adelante en este documento.

Puedes configurar los atributos extendidos con las siguientes marcas:

--extended-attributes-issuer-uri
--extended-attributes-client-id
--extended-attributes-client-secret-value

Cuando usas atributos extendidos, también se aplican las siguientes limitaciones:

No es necesario que configures google.groups en la asignación de atributos porque no se usan atributos de grupos. Sin embargo, se usan otras asignaciones de atributos.
Puedes configurar otros parámetros de proveedores de grupos de identidades de personal como se documenta, pero esos parámetros de configuración se aplican a productos distintos de Gemini Enterprise que admiten la federación de identidades de personal.
Los atributos extendidos se actualizan y se vuelven a cargar periódicamente en segundo plano durante la sesión, incluso después de acceder.
En Microsoft Entra ID, debes otorgar el permiso User.Read.All a la aplicación en lugar de User.Read, User.ReadBasic.All o GroupMember.Read.All.
La marca de tipo de atributos extendidos --extended-attributes-type solo admite el tipo azure-ad-groups-id.
Los atributos extendidos solo admiten hasta 1,000 grupos. En cambio, la marca --extra-attributes admite hasta 400 grupos.
Los atributos extendidos solo se pueden usar para el acceso web a través de vertexaisearch.cloud.google, no para el acceso a la consola ni para el acceso a gcloud CLI.

Antes de comenzar

Asegúrate de tener una organización Google Cloud configurada.
Instala Google Cloud CLI. Después de instalarla, inicializa Google Cloud CLI ejecutando el siguiente comando:
```
gcloud init
```
Si usas un proveedor de identidad (IdP) externo, primero debes Acceder a gcloud CLI con tu identidad federada.

Nota: Si ya instalaste gcloud CLI, asegúrate de tener la última versión ejecutando gcloud components update.
En Microsoft Entra ID, asegúrate de que los tokens de ID estén habilitados para el flujo implícito. Para obtener más información, consulta Habilita el otorgamiento implícito del token de ID.
Para el acceso, tu IdP debe proporcionar información de autenticación firmada: los IdP de OIDC deben proporcionar un JWT y las respuestas del IdP de SAML deben estar firmadas.
Para recibir información importante sobre los cambios en tu organización o en losGoogle Cloud productos, debes proporcionar Essential Contacts. Para obtener más información, consulta la descripción general de la federación de identidades de personal.
Todos los grupos que desees asignar deben estar marcados como grupos de seguridad en Microsoft Entra ID.
Importante: Se puede recuperar un máximo de 999 grupos.

Costos

La federación de identidades de personal está disponible como una función sin costo. Sin embargo, el registro de auditoría detallado de la federación de identidades para la fuerza laboral usa Cloud Logging. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.

Roles obligatorios

Si deseas obtener los permisos que necesitas para configurar la federación de identidades de personal, pídele a tu administrador que te otorgue el rol de IAM Administrador de grupos de trabajadores de IAM (roles/iam.workforcePoolAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Si configuras permisos en un entorno de desarrollo o de prueba, pero no en un entorno de producción, puedes otorgar el rol básico de propietario de IAM (roles/owner), que también incluye permisos para la federación de identidades de personal.

Crea una aplicación de Microsoft Entra ID

En esta sección, se muestra cómo crear una aplicación de Microsoft Entra ID con el portal de administración de Microsoft Entra. Como alternativa, puedes actualizar tu aplicación existente. Para obtener más detalles, consulta Establece aplicaciones en el ecosistema de Microsoft Entra ID.

Los grupos de identidades de personal admiten la federación mediante el uso de protocolos OIDC y SAML.

OIDC

Para crear un registro de aplicación de Microsoft Entra ID que use el protocolo OIDC, haz lo siguiente:

Accede al portal de administración de Microsoft Entra.
Ve a Identidad > Aplicaciones > Registros de apps.
Para comenzar a configurar el registro de la aplicación, haz lo siguiente:
1. Haz clic en Registro nuevo.
2. Ingresa un nombre para tu aplicación.
3. En Tipos de cuentas compatibles, selecciona una opción.
4. En la sección URI de redireccionamiento, en la lista desplegable Seleccionar una plataforma, selecciona Web.
5. En el campo de texto, ingresa una URL de redireccionamiento. Se redirecciona a tus usuarios a esta URL después de que acceden de forma correcta. Si configuras el acceso a la consola (federada), usa el siguiente formato de URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Reemplaza lo siguiente:
  - WORKFORCE_POOL_ID: un ID del grupo de identidades de personal que usarás cuando crees el grupo de identidades de personal más adelante en este documento; por ejemplo: entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID: Un ID de proveedor de grupo de identidades de personal que usarás cuando crees el proveedor de grupo de identidades de personal más adelante en este documento; por ejemplo: entra-id-oidc-pool-provider
    
    Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta en la documentación de la API.
6. Para crear el registro de la aplicación, haz clic en Registrar.
7. Para usar la asignación de atributos de ejemplo que se proporciona más adelante en este documento, debes crear un atributo department personalizado.

SAML

Para crear un registro de aplicación de Microsoft Entra ID que use el protocolo SAML, haz lo siguiente:

Accede al portal de administración de Microsoft Entra.
En el menú de navegación de la izquierda, ve a Entra ID > Enterprise Apps.
Para comenzar a configurar la aplicación empresarial, haz lo siguiente:
1. Haz clic en Nueva aplicación > Crear tu nueva aplicación.
2. En el panel Crea tu propia aplicación que aparece, ingresa un nombre para tu aplicación.
3. Haz clic en Crear.
4. Ve a Inicio de sesión único > SAML.
5. Actualiza la Configuración básica del SAML de la siguiente manera:
  1. En el campo Identificador (ID de entidad), ingresa el siguiente valor:
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Reemplaza lo siguiente:
    - WORKFORCE_POOL_ID: un ID de grupo de identidades de personal que usarás cuando crees el grupo de identidades de personal más adelante en este documento; por ejemplo: entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID: Un ID de proveedor de grupo de identidades de personal que usarás cuando crees el proveedor de grupo de identidades de personal más adelante en este documento; por ejemplo, entra-id-saml-pool-provider
      
      Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta en la documentación de la API.
  2. En el campo URL de respuesta (URL del servicio de confirmación de consumidores), ingresa una URL de redireccionamiento. Se redirecciona a tus usuarios a esta URL después de que acceden de forma correcta. Si configuras el acceso a la consola (federada), usa el siguiente formato de URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Reemplaza lo siguiente:
    - WORKFORCE_POOL_ID: El ID del grupo de identidades de personal
    - WORKFORCE_PROVIDER_ID: El ID del proveedor de identidad de personal
  3. Para habilitar el inicio de sesión iniciado por IdP, establece el campo Estado de retransmisión en el siguiente valor:
```
https://console.cloud.google/
```
  4. Para guardar la configuración de la aplicación SAML, haz clic en Guardar.
6. Para usar la asignación de atributos de ejemplo que se proporciona más adelante en este documento, debes crear un atributo department personalizado.

Configura una gran cantidad de grupos con Microsoft Entra ID

En esta sección, se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de personal con los protocolos OIDC y SAML.

Configura una gran cantidad de grupos con Microsoft Entra ID con el flujo implícito de OIDC

En esta sección, se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de personal con el protocolo de OpenID Connect (OIDC) con flujo implícito.

Configura tu aplicación de Microsoft Entra ID

Puedes configurar una aplicación existente de Microsoft Entra ID o crear una nueva. Para configurar tu aplicación, haz lo siguiente:

En el portal de Microsoft Entra ID, haz lo siguiente:
- Para registrar una aplicación nueva, sigue las instrucciones en Registra una aplicación nueva.
- Para actualizar una aplicación existente, haz lo siguiente:
  - Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
  - Selecciona la aplicación que quieres actualizar.
Crea un nuevo secreto del cliente en la aplicación siguiendo las instrucciones que se indican en Certificados y secretos. Asegúrate de registrar el valor del secreto del cliente, ya que solo se muestra una vez.
Toma nota de los siguientes valores de la aplicación que creaste o actualizaste. Proporcionarás los valores cuando configures el proveedor de grupos de identidades de personal más adelante en este documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para recuperar los grupos de Microsoft Entra ID, agrega el permiso de API para permitir que la federación de identidades de personal acceda a la información de los usuarios desde Microsoft Entra ID con la API de Microsoft Graph y otorga el consentimiento del administrador. En Microsoft Entra ID, haz lo siguiente:
1. Ve a Permisos de API.
2. Haz clic en Agregar un permiso.
3. Selecciona Microsoft API.
4. Selecciona Permisos de aplicación.
5. En el campo de búsqueda, escribe User.ReadBasic.All.
6. Haz clic en Agregar permisos.
Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objetos de grupo (ID) o como direcciones de correo electrónico de grupo para los grupos habilitados para correo electrónico.

Si eliges recuperar grupos como direcciones de correo electrónico de grupo, se requiere el siguiente paso.
Para recuperar los grupos de Microsoft Entra ID como direcciones de correo electrónico de grupo, haz lo siguiente. Si recuperas grupos como identificadores de objetos de grupo, omite este paso.
1. En el campo de búsqueda, ingresa GroupMember.Read.All.
2. Haz clic en Agregar permisos.
3. Haz clic en Grant admin consent para tu nombre de dominio.
4. En el cuadro de diálogo que aparece, haz clic en Sí.
5. Ve a la página Descripción general de la aplicación de Microsoft Entra ID que creaste o actualizaste anteriormente.
6. Haz clic en Extremos.
El URI de la entidad emisora es el URI del documento de metadatos de OIDC, sin incluir la ruta de acceso /.well-known/openid-configuration.

Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crea un grupo de Workforce Identity

gcloud

Para crear el grupo de identidades de personal, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Reemplaza lo siguiente:

WORKFORCE_POOL_ID: Es un ID que elijas para representar tu Google Cloud grupo de personal. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta en la documentación de la API.
ORGANIZATION_ID: Es el ID numérico de tu organización Google Cloud para el grupo de identidades de personal. Los grupos de identidades del personal están disponibles en todos los proyectos y carpetas de la organización.
DISPLAY_NAME: Opcional Un nombre visible para tu grupo de identidad del personal.
DESCRIPTION: Opcional Una descripción del grupo de identidad del personal.
SESSION_DURATION: Opcional Duración de la sesión, expresada como un número al que se agrega s, por ejemplo, 3600s. La duración de la sesión determina el tiempo de acceso a los tokens de acceso de Google Cloud , las sesiones de acceso de la consola (federada) y las sesiones de acceso de gcloud CLI de este grupo de personal son válidas. La duración predeterminada de la sesión es de una hora (3,600 s). El valor de duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43,200 s).

Console

Para crear el grupo de identidades de personal, haz lo siguiente:

En la consola de Google Cloud , ve a la página Grupos de identidades de personal:

Ir a Grupos de identidades de personal
Selecciona la organización para tu grupo de identidades del personal. Los grupos de identidades para cargas de trabajo están disponibles en todos los proyectos y carpetas de una organización.
Haz clic en Crear grupo y haz lo siguiente:
1. En el campo Nombre, ingresa el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto a él.
2. Opcional: En Descripción, ingresa una descripción del grupo.
3. Para crear el grupo de identidades de personal, haz clic en Siguiente.

La duración de la sesión del grupo de identidades del personal se establece de forma predeterminada en una hora (3,600 s). La duración de la sesión determina el tiempo de validez de los tokens de acceso Google Cloud , la consola (federada) y las sesiones de acceso a gcloud CLI de este grupo de personal. Después de crear el grupo, puedes actualizarlo para establecer una duración de sesión personalizada. La duración de la sesión debe ser de 15 minutos (900 s) a 12 horas (43,200 s).

Configura el proveedor de grupos de identidades de personal con flujo implícito de OIDC

gcloud

Para crear el proveedor de grupos de identidades de personal de OIDC, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Reemplaza lo siguiente:

PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de grupo ni de proveedor.
WORKFORCE_POOL_ID: el ID del grupo de personal.
DISPLAY_NAME: Es el nombre visible del proveedor.
ISSUER_URI: Es el URI de la entidad emisora de la aplicación de Microsoft Entra ID que creaste anteriormente en este documento.
CLIENT_ID: Es el ID de cliente de tu aplicación de Microsoft Entra ID.
ATTRIBUTE_MAPPING: Es la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para obtener más información, consulta Asignación de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: Es el URI de la entidad emisora de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: Es el ID de cliente de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: El secreto del cliente adicional de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: Usa azure-ad-groups-mail para recuperar las direcciones de correo electrónico de los grupos. Usa azure-ad-groups-id para recuperar los IDs de los grupos.
EXTRA_ATTRIBUTES_FILTER: Opcional Una expresión de filtro que se usa cuando se consulta la API de Microsoft Graph para grupos. Puedes usar este parámetro para asegurarte de que la cantidad de grupos recuperados del IdP permanezca por debajo del límite de 400 grupos.
En el siguiente ejemplo, se recuperan los grupos que tienen el prefijo sales en su ID de correo electrónico:
```
--extra-attributes-filter='"mail:sales"'
```
La siguiente expresión recupera grupos con un nombre visible que contiene la cadena sales.
```
--extra-attributes-filter='"displayName:sales"'
```
El registro de auditoría detallado de la federación de identidades de personal registra la información que recibe de tu IdP en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas relacionados con la configuración del proveedor de grupo de identidades de personal. Para obtener información sobre cómo solucionar problemas de errores de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.

Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de personal, omite la marca --detailed-audit-logging cuando ejecutes gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Console

En la consola de Google Cloud , ve a la página Grupos de identidades de personal:

Ir a Grupos de identidades de personal

En la tabla Workforce Identity Pools, selecciona el grupo para el que deseas crear el proveedor.
En la sección Proveedores, haz clic en Agregar proveedor.
En la lista Selecciona un proveedor, elige tu proveedor de identidad (IdP).
Si tu IdP no aparece en la lista, selecciona Generic Identity Provider.
En Selecciona un protocolo de autenticación, selecciona OpenID Connect (OIDC).
En la sección Crear un proveedor, haz lo siguiente:
1. En Nombre, ingresa el nombre del proveedor.
2. En Descripción, ingresa la descripción del proveedor.
3. En Emisor (URL), ingresa el URI de la entidad emisora. El URI de la entidad emisora de OIDC debe tener un formato de URI válido y comenzar con https; por ejemplo, https://example.com/oidc.
4. En ID de cliente, ingresa el ID de cliente de OIDC que está registrado con tu IdP de OIDC. El ID debe coincidir con la reclamación aud del JWT que emite tu IdP.
5. Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
6. Haz clic en Continuar.
En la sección Comparte la información de tu proveedor con el IdP, copia la URL. En tu IdP, configura esta URL como el URI de redireccionamiento, que le informa a tu IdP dónde enviar el token de aserción después de acceder.
Haz clic en Continuar.
En la sección Configurar el acceso a la Web con OIDC, haz lo siguiente:
En la lista Tipo de flujo, selecciona Token de ID.
En la lista Comportamiento de los reclamos de aserciones, se selecciona Token de ID.
Opcional: Si seleccionaste Okta como tu IdP, agrega los permisos de OIDC adicionales en el campo Permisos adicionales más allá de openid, profile e email.

Haz clic en Continuar.

En Configurar proveedor, puedes configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, haz lo siguiente: Puedes proporcionar el nombre del campo del IdP o una expresión con formato CEL que devuelva una cadena.

Obligatorio: En OIDC 1, ingresa el asunto del IdP, por ejemplo, assertion.sub.
Opcional: Para agregar asignaciones de atributos adicionales, haz lo siguiente:
1. Haz clic en Agregar asignación.
2. En Google n, donde n es un número, ingresa una de las claves compatibles conGoogle Cloud.
3. En el campo OIDC n correspondiente, ingresa el nombre del campo específico de la IdP que deseas asignar, en formato CEL.
Si seleccionaste Microsoft Entra ID como tu IdP, puedes aumentar la cantidad de grupos.
1. Selecciona Usar atributos adicionales.
2. En el campo URI de la entidad emisora de atributos adicionales, ingresa la URL de la entidad emisora.
3. En el campo ID de cliente de atributos adicionales, ingresa el ID de cliente.
4. En el campo Secreto del cliente de atributos adicionales, ingresa el secreto del cliente.
5. En la lista Tipo de atributos adicionales, selecciona un tipo de atributo para los atributos adicionales.
6. En el campo Filtro de atributos adicionales, ingresa una expresión de filtro que se use cuando se consulte la API de Microsoft Graph para grupos.
Para crear una condición de atributo, haz lo siguiente:
1. Haz clic en Agregar condición:
2. En el campo Condiciones del atributo, ingresa una condición en formato CEL, por ejemplo, assertion.role == 'gcp-users'. Esta condición de ejemplo garantiza que solo los usuarios con el rol gcp-users puedan acceder mediante este proveedor.
3. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el botón de activación Habilitar el registro de auditoría del valor de atributos.
  El registro de auditoría detallado de la federación de identidades de personal registra la información que recibe de tu IdP en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas relacionados con la configuración del proveedor de grupo de identidades de personal. Para obtener información sobre cómo solucionar problemas de errores de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.
  
  Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de personal, omite la marca --detailed-audit-logging cuando ejecutes gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Para crear el proveedor, haz clic en Enviar.

Configura una gran cantidad de grupos en Microsoft Entra ID con el flujo de código de OIDC

En esta sección, se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de personal con el protocolo OIDC y el flujo de código.

Configura tu aplicación de Microsoft Entra ID

Puedes configurar una aplicación existente de Microsoft Entra ID o crear una nueva. Para configurar tu aplicación, haz lo siguiente:

En el portal de Microsoft Entra ID, haz lo siguiente:
- Para registrar una aplicación nueva, sigue las instrucciones en Registra una aplicación nueva.
- Para actualizar una aplicación existente, haz lo siguiente:
  - Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
  - Selecciona la aplicación que quieres actualizar.
Crea un nuevo secreto del cliente en la aplicación siguiendo las instrucciones que se indican en Certificados y secretos. Asegúrate de registrar el valor del secreto del cliente, ya que solo se muestra una vez.
Toma nota de los siguientes valores de la aplicación que creaste o actualizaste. Proporcionarás los valores cuando configures el proveedor de grupos de identidades de personal más adelante en este documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para recuperar los grupos de Microsoft Entra ID, agrega el permiso de API para permitir que la federación de identidades de personal acceda a la información de los usuarios desde Microsoft Entra ID con la API de Microsoft Graph y otorga el consentimiento del administrador. En Microsoft Entra ID, haz lo siguiente:
1. Ve a Permisos de API.
2. Haz clic en Agregar un permiso.
3. Selecciona Microsoft API.
4. Selecciona Permisos delegados.
5. En el campo de búsqueda, escribe User.Read.
6. Haz clic en Agregar permisos.
Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objetos de grupo (ID) o como direcciones de correo electrónico de grupo para los grupos habilitados para correo electrónico.

Si eliges recuperar grupos como direcciones de correo electrónico de grupo, se requiere el siguiente paso.
Para recuperar los grupos de Microsoft Entra ID como direcciones de correo electrónico de grupo, haz lo siguiente. Si recuperas grupos como identificadores de objetos de grupo, omite este paso.
1. En el campo de búsqueda, ingresa GroupMember.Read.All.
2. Haz clic en Agregar permisos.
3. Haz clic en Grant admin consent para tu nombre de dominio.
4. En el cuadro de diálogo que aparece, haz clic en Sí.
5. Ve a la página Descripción general de la aplicación de Microsoft Entra ID que creaste o actualizaste anteriormente.
6. Haz clic en Extremos.
El URI de la entidad emisora es el URI del documento de metadatos de OIDC, sin incluir la ruta de acceso /.well-known/openid-configuration.

Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crea un grupo de Workforce Identity

gcloud

Para crear el grupo de identidades de personal, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Reemplaza lo siguiente:

WORKFORCE_POOL_ID: Es un ID que elijas para representar tu Google Cloud grupo de personal. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta en la documentación de la API.
ORGANIZATION_ID: Es el ID numérico de tu organización Google Cloud para el grupo de identidades de personal. Los grupos de identidades del personal están disponibles en todos los proyectos y carpetas de la organización.
DISPLAY_NAME: Opcional Un nombre visible para tu grupo de identidad del personal.
DESCRIPTION: Opcional Una descripción del grupo de identidad del personal.
SESSION_DURATION: Opcional Duración de la sesión, expresada como un número al que se agrega s, por ejemplo, 3600s. La duración de la sesión determina el tiempo de acceso a los tokens de acceso de Google Cloud , las sesiones de acceso de la consola (federada) y las sesiones de acceso de gcloud CLI de este grupo de personal son válidas. La duración predeterminada de la sesión es de una hora (3,600 s). El valor de duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43,200 s).

Console

Para crear el grupo de identidades de personal, haz lo siguiente:

En la consola de Google Cloud , ve a la página Grupos de identidades de personal:

Ir a Grupos de identidades de personal
Selecciona la organización para tu grupo de identidades del personal. Los grupos de identidades para cargas de trabajo están disponibles en todos los proyectos y carpetas de una organización.
Haz clic en Crear grupo y haz lo siguiente:
1. En el campo Nombre, ingresa el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto a él.
2. Opcional: En Descripción, ingresa una descripción del grupo.
3. Para crear el grupo de identidades de personal, haz clic en Siguiente.

Configura el proveedor de grupos de identidades de personal del flujo de código de OIDC

gcloud

Para crear el proveedor de grupos de identidades de personal de OIDC, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Reemplaza lo siguiente:

PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de grupo ni de proveedor.
WORKFORCE_POOL_ID: el ID del grupo de personal.
DISPLAY_NAME: Es el nombre visible del proveedor.
ISSUER_URI: Es el URI de la entidad emisora de la aplicación de Microsoft Entra ID que creaste anteriormente en este documento.
CLIENT_ID: Es el ID de cliente de tu aplicación de Microsoft Entra ID.
ATTRIBUTE_MAPPING: Es la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para obtener más información, consulta Asignación de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: Es el URI de la entidad emisora de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: Es el ID de cliente de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: El secreto del cliente adicional de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: Usa azure-ad-groups-mail para recuperar las direcciones de correo electrónico de los grupos. Usa azure-ad-groups-id para recuperar los IDs de los grupos.
EXTRA_ATTRIBUTES_FILTER: Opcional Una expresión de filtro que se usa cuando se consulta la API de Microsoft Graph para grupos. Puedes usar este parámetro para asegurarte de que la cantidad de grupos recuperados del IdP permanezca por debajo del límite de 400 grupos.
En el siguiente ejemplo, se recuperan los grupos que tienen el prefijo sales en su ID de correo electrónico:
```
--extra-attributes-filter='"mail:sales"'
```
La siguiente expresión recupera grupos con un nombre visible que contiene la cadena sales.
```
--extra-attributes-filter='"displayName:sales"'
```
El registro de auditoría detallado de la federación de identidades de personal registra la información que recibe de tu IdP en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas relacionados con la configuración del proveedor de grupo de identidades de personal. Para obtener información sobre cómo solucionar problemas de errores de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.

Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de personal, omite la marca --detailed-audit-logging cuando ejecutes gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Console

En la consola de Google Cloud , ve a la página Grupos de identidades de personal:

Ir a Grupos de identidades de personal

En la tabla Workforce Identity Pools, selecciona el grupo para el que deseas crear el proveedor.
En la sección Proveedores, haz clic en Agregar proveedor.
En la lista Selecciona un proveedor, elige tu proveedor de identidad (IdP).
Si tu IdP no aparece en la lista, selecciona Generic Identity Provider.
En Selecciona un protocolo de autenticación, selecciona OpenID Connect (OIDC).
En la sección Crear un proveedor, haz lo siguiente:
1. En Nombre, ingresa el nombre del proveedor.
2. En Descripción, ingresa la descripción del proveedor.
3. En Emisor (URL), ingresa el URI de la entidad emisora. El URI de la entidad emisora de OIDC debe tener un formato de URI válido y comenzar con https; por ejemplo, https://example.com/oidc.
4. En ID de cliente, ingresa el ID de cliente de OIDC que está registrado con tu IdP de OIDC. El ID debe coincidir con la reclamación aud del JWT que emite tu IdP.
5. Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
6. Haz clic en Continuar.
En la sección Comparte la información de tu proveedor con el IdP, copia la URL. En tu IdP, configura esta URL como el URI de redireccionamiento, que le informa a tu IdP dónde enviar el token de aserción después de acceder.
Haz clic en Continuar.
En la sección Configurar el acceso a la Web con OIDC, haz lo siguiente:
1. En la lista Tipo de flujo, selecciona Código.
2. En la lista Comportamiento de los reclamos de aserciones, selecciona una de las siguientes opciones:
3. En el campo Secreto del cliente, ingresa el secreto del cliente de tu IdP.
4. Opcional: Si seleccionaste Okta como tu IdP, agrega los permisos de OIDC adicionales en el campo Permisos adicionales más allá de openid, profile e email.
Haz clic en Continuar.
En Configurar proveedor, puedes configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, haz lo siguiente: Puedes proporcionar el nombre del campo del IdP o una expresión con formato CEL que devuelva una cadena.
1. Obligatorio: En OIDC 1, ingresa el asunto del IdP, por ejemplo, assertion.sub.
2. Opcional: Para agregar asignaciones de atributos adicionales, haz lo siguiente:
  1. Haz clic en Agregar asignación.
  2. En Google n, donde n es un número, ingresa una de las claves compatibles conGoogle Cloud.
  3. En el campo OIDC n correspondiente, ingresa el nombre del campo específico de la IdP que deseas asignar, en formato CEL.
3. Si seleccionaste Microsoft Entra ID como tu IdP, puedes aumentar la cantidad de grupos.
  1. Selecciona Usar atributos adicionales.
  2. En el campo URI de la entidad emisora de atributos adicionales, ingresa la URL de la entidad emisora.
  3. En el campo ID de cliente de atributos adicionales, ingresa el ID de cliente.
  4. En el campo Secreto del cliente de atributos adicionales, ingresa el secreto del cliente.
  5. En la lista Tipo de atributos adicionales, selecciona un tipo de atributo para los atributos adicionales.
  6. En el campo Filtro de atributos adicionales, ingresa una expresión de filtro que se use cuando se consulte la API de Microsoft Graph para grupos.
4. Para crear una condición de atributo, haz lo siguiente:
  1. Haz clic en Agregar condición:
  2. En el campo Condiciones del atributo, ingresa una condición en formato CEL; por ejemplo, assertion.role == 'gcp-users'. Esta condición de ejemplo garantiza que solo los usuarios con el rol gcp-users puedan acceder mediante este proveedor.
  3. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el botón de activación Habilitar el registro de auditoría del valor de atributos.
    El registro de auditoría detallado de la federación de identidades de personal registra la información que recibe de tu IdP en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas relacionados con la configuración del proveedor de grupo de identidades de personal. Para obtener información sobre cómo solucionar problemas de errores de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.
    
    Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de personal, omite la marca --detailed-audit-logging cuando ejecutes gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.

Configura una gran cantidad de grupos en Microsoft Entra ID con SAML 2.0

En esta sección, se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de personal con el protocolo SAML 2.0.

Configura tu aplicación de Microsoft Entra ID

Para configurar tu aplicación, haz lo siguiente:

En el portal de Microsoft Entra ID, haz lo siguiente:
- Para registrar una aplicación nueva, sigue las instrucciones en Registra una aplicación nueva.
- Para actualizar una aplicación existente, haz lo siguiente:
  - Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
  - Selecciona la aplicación que quieres actualizar.
Crea un nuevo secreto del cliente en la aplicación siguiendo las instrucciones que se indican en Certificados y secretos. Asegúrate de registrar el valor del secreto del cliente, ya que solo se muestra una vez.
Toma nota de los siguientes valores de la aplicación que creaste o actualizaste. Proporcionarás los valores cuando configures el proveedor de grupos de identidades de personal más adelante en este documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para recuperar los grupos de Microsoft Entra ID, agrega el permiso de API para permitir que la federación de identidades de personal acceda a la información de los usuarios desde Microsoft Entra ID con la API de Microsoft Graph y otorga el consentimiento del administrador. En Microsoft Entra ID, haz lo siguiente:
1. Ve a Permisos de API.
2. Haz clic en Agregar un permiso.
3. Selecciona Microsoft API.
4. Selecciona Permisos de aplicación.
5. En el campo de búsqueda, escribe User.ReadBasic.All.
6. Haz clic en Agregar permisos.
Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objetos de grupo (ID) o como direcciones de correo electrónico de grupo para los grupos habilitados para correo electrónico.

Si eliges recuperar grupos como direcciones de correo electrónico de grupo, se requiere el siguiente paso.
Para recuperar los grupos de Microsoft Entra ID como direcciones de correo electrónico de grupo, haz lo siguiente. Si recuperas grupos como identificadores de objetos de grupo, omite este paso.
1. En el campo de búsqueda, ingresa GroupMember.Read.All.
2. Haz clic en Agregar permisos.
3. Haz clic en Grant admin consent para tu nombre de dominio.
4. En el cuadro de diálogo que aparece, haz clic en Sí.
5. Ve a la página Descripción general de la aplicación de Microsoft Entra ID que creaste o actualizaste anteriormente.
6. Haz clic en Extremos.
El URI de la entidad emisora es el URI del documento de metadatos de OIDC, sin incluir la ruta de acceso /.well-known/openid-configuration.

Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crea un grupo de Workforce Identity

gcloud

Para crear el grupo de identidades de personal, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Reemplaza lo siguiente:

WORKFORCE_POOL_ID: Es un ID que elijas para representar tu Google Cloud grupo de personal. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta en la documentación de la API.
ORGANIZATION_ID: Es el ID numérico de tu organización Google Cloud para el grupo de identidades de personal. Los grupos de identidades del personal están disponibles en todos los proyectos y carpetas de la organización.
DISPLAY_NAME: Opcional Un nombre visible para tu grupo de identidad del personal.
DESCRIPTION: Opcional Una descripción del grupo de identidad del personal.
SESSION_DURATION: Opcional Duración de la sesión, expresada como un número al que se agrega s, por ejemplo, 3600s. La duración de la sesión determina el tiempo de acceso a los tokens de acceso de Google Cloud , las sesiones de acceso de la consola (federada) y las sesiones de acceso de gcloud CLI de este grupo de personal son válidas. La duración predeterminada de la sesión es de una hora (3,600 s). El valor de duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43,200 s).

Console

Para crear el grupo de identidades de personal, haz lo siguiente:

En la consola de Google Cloud , ve a la página Grupos de identidades de personal:

Ir a Grupos de identidades de personal
Selecciona la organización para tu grupo de identidades del personal. Los grupos de identidades para cargas de trabajo están disponibles en todos los proyectos y carpetas de una organización.
Haz clic en Crear grupo y haz lo siguiente:
1. En el campo Nombre, ingresa el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto a él.
2. Opcional: En Descripción, ingresa una descripción del grupo.
3. Para crear el grupo de identidades de personal, haz clic en Siguiente.

Configura el proveedor de grupos de identidades de personal de SAML 2.0

gcloud

Para crear el proveedor de grupos de identidades de personal de SAML, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Reemplaza lo siguiente:

PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de grupo ni de proveedor.
WORKFORCE_POOL_ID: el ID del grupo de personal.
DISPLAY_NAME: Es el nombre visible del proveedor.
XML_METADATA_PATH: Es la ruta de acceso al archivo de metadatos XML de SAML 2.0.
ATTRIBUTE_MAPPING: Es la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para obtener más información, consulta Asignación de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: Es el URI de la entidad emisora de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: Es el ID de cliente de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: El secreto del cliente adicional de tu aplicación de Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: Usa azure-ad-groups-mail para recuperar las direcciones de correo electrónico de los grupos. Usa azure-ad-groups-id para recuperar los IDs de los grupos.
EXTRA_ATTRIBUTES_FILTER: Opcional Una expresión de filtro que se usa cuando se consulta la API de Microsoft Graph para grupos. Puedes usar este parámetro para asegurarte de que la cantidad de grupos recuperados del IdP permanezca por debajo del límite de 400 grupos.
En el siguiente ejemplo, se recuperan los grupos que tienen el prefijo sales en su ID de correo electrónico:
```
--extra-attributes-filter='"mail:sales"'
```
La siguiente expresión recupera grupos con un nombre visible que contiene la cadena sales.
```
--extra-attributes-filter='"displayName:sales"'
```
El registro de auditoría detallado de la federación de identidades de personal registra la información que recibe de tu IdP en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas relacionados con la configuración del proveedor de grupo de identidades de personal. Para obtener información sobre cómo solucionar problemas de errores de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.

Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de personal, omite la marca --detailed-audit-logging cuando ejecutes gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Console

En la consola de Google Cloud , ve a la página Grupos de identidades de personal:

Ir a Grupos de identidades de personal

En la tabla Workforce Identity Pools, selecciona el grupo para el que deseas crear el proveedor.
En la sección Proveedores, haz clic en Agregar proveedor.
En la lista Selecciona un proveedor, elige tu proveedor de identidad (IdP).
Si tu IdP no aparece en la lista, selecciona Generic Identity Provider.
En Selecciona un protocolo de autenticación, selecciona SAML.
En la sección Crear un proveedor, haz lo siguiente:
1. En Nombre del proveedor, ingresa un nombre para el proveedor.
2. Opcional: En Descripción, ingresa una descripción para el proveedor.
3. En Archivo de metadatos de IdP (XML), selecciona el archivo XML de metadatos que generaste antes en esta guía.
4. Para crear un proveedor habilitado, asegúrate de que la opción Habilitar proveedor esté activada.
5. Haz clic en Continuar.
En la sección Comparte la información de tu proveedor, copia las URLs. En tu IdP, configura la primera URL como el ID de entidad, que identifica tu aplicación ante el IdP. Configura la otra URL como el URI de redireccionamiento, que le informa a tu IdP dónde enviar el token de aserción después de acceder.
Haz clic en Continuar.
En la sección Configurar proveedor, haz lo siguiente:
1. En Asignación de atributos, ingresa una expresión CEL para google.subject.
2. Opcional: Para ingresar otras asignaciones, haz clic en Agregar asignación y, luego, ingresa otras asignaciones:
3. Si seleccionaste Microsoft Entra ID como tu IdP, puedes aumentar la cantidad de grupos.
  1. Selecciona Usar atributos adicionales.
  2. En el campo URI de la entidad emisora de atributos adicionales, ingresa la URL de la entidad emisora.
  3. En el campo ID de cliente de atributos adicionales, ingresa el ID de cliente.
  4. En el campo Secreto del cliente de atributos adicionales, ingresa el secreto del cliente.
  5. En la lista Tipo de atributos adicionales, selecciona un tipo de atributo para los atributos adicionales.
  6. En el campo Filtro de atributos adicionales, ingresa una expresión de filtro que se use cuando se consulte la API de Microsoft Graph para grupos.
4. Opcional: Para agregar una condición de atributo, haz clic en Agregar condición y, luego, ingresa una expresión de CEL que represente una condición de atributo. Por ejemplo, para limitar el atributo ipaddr a un rango de IP determinado, puedes establecer la condición assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo garantiza que solo los usuarios con una dirección IP que comienza con 98.11.12. puedan acceder mediante este proveedor de personal.
5. Haz clic en Continuar.
6. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el botón de activación Habilitar el registro de auditoría del valor de atributos.
  El registro de auditoría detallado de la federación de identidades de personal registra la información que recibe de tu IdP en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas relacionados con la configuración del proveedor de grupo de identidades de personal. Para obtener información sobre cómo solucionar problemas de errores de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.
  
  Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de personal, omite la marca --detailed-audit-logging cuando ejecutes gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.

Otorga roles de IAM a grupos

En esta sección, otorgarás roles a los grupos en los recursos de Google Cloud . Para obtener más información sobre los identificadores principales de la federación de identidades de personal, consulta Representa a los usuarios del grupo de personal en políticas de IAM.

En el siguiente ejemplo, se otorga el rol de administrador de almacenamiento (roles/storage.admin) a los usuarios de un grupo de Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Reemplaza lo siguiente:

PROJECT_ID: Es el ID del proyecto.
WORKFORCE_POOL_ID: El ID del grupo de Workforce Identity
GROUP_ID: Es el identificador del grupo, que depende del valor de --extra-attributes-type que se usó para crear el proveedor de grupos de identidades de personal, de la siguiente manera:
- azure-ad-groups-mail: El identificador del grupo es una dirección de correo electrónico, por ejemplo, admin-group@altostrat.com.
- azure-ad-groups-id: El identificador del grupo es un UUID, por ejemplo: abcdefgh-0123-0123-abcdef

En esta sección, accederás como un usuario de grupo de identidades para la fuerza laboral y probarás que tienes acceso a los recursos de Google Cloud .

En esta sección, se muestra cómo acceder como un usuario federado y acceder a los recursos deGoogle Cloud .

Para acceder a la consola de Google Cloud Workforce Identity Federation, también conocida como consola (federada), haz lo siguiente:

Ve a la página de acceso de la consola (federada).

Ir a la consola (federada)

Ingresa el nombre del proveedor, que tiene el siguiente formato:

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Si se te solicita, ingresa las credenciales de usuario en Microsoft Entra ID.

Si inicias un acceso iniciado por IdP, usa la siguiente URL de retransmisión: https://console.cloud.google/.

Para acceder a la gcloud CLI con un flujo de acceso basado en el navegador, haz lo siguiente:

Crea un archivo de configuración

Para crear el archivo de configuración de acceso, ejecuta el siguiente comando. De manera opcional, puedes activar el archivo como predeterminado para gcloud CLI agregando la marca --activate. Luego, puedes ejecutar gcloud auth login sin especificar la ruta de acceso al archivo de configuración cada vez.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Reemplaza lo siguiente:

WORKFORCE_POOL_ID: el ID del grupo de personal
PROVIDER_ID: el ID del proveedor
LOGIN_CONFIG_FILE_PATH: la ruta de acceso a un archivo de configuración que especifiques, por ejemplo, login.json

El archivo contiene los extremos que usa gcloud CLI para habilitar el flujo de autenticación basado en el navegador y establecer el público en el IdP que se configuró en el proveedor del grupo de identidades de personal. El archivo no contiene información confidencial.

El resultado es similar al siguiente:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Para evitar que gcloud auth login use este archivo de configuración automáticamente, puedes anularlo ejecutando gcloud config unset auth/login_config_file.

Accede con autenticación basada en el navegador

Para autenticar con la autenticación de acceso basada en el navegador, puedes usar uno de los siguientes métodos:

Si usaste la marca --activate cuando creaste el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, gcloud CLI usa el archivo de configuración de forma automática:
```
gcloud auth login
```
Para acceder mediante la especificación de la ubicación del archivo de configuración, ejecuta el siguiente comando:
```
gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
```
Para usar una variable de entorno a fin de especificar la ubicación del archivo de configuración, establece CLOUDSDK_AUTH_LOGIN_CONFIG_FILE en la ruta de configuración.

Inhabilita el acceso basado en el navegador

Para dejar de usar el archivo de configuración de acceso, haz lo siguiente:

Si usaste la marca --activate cuando creaste el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, debes ejecutar el siguiente comando para anularlo:
```
gcloud config unset auth/login_config_file
```
Borra la variable de entorno CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, si está configurada.

Para acceder a Microsoft Entra ID con la gcloud CLI, haz lo siguiente:

OIDC

Sigue los pasos de la página Envía la solicitud de acceso. Permite que el usuario acceda a tu aplicación con Microsoft Entra ID a través de OIDC.
Copia el token de ID del parámetro id_token de la URL de redireccionamiento y guárdalo en un archivo en una ubicación segura de tu máquina local. En el paso posterior, debes configurar PATH_TO_OIDC_ID_TOKEN en la ruta de acceso a este archivo.

Genera un archivo de configuración similar al del ejemplo que se muestra más adelante en este paso ejecutando el siguiente comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Reemplaza lo siguiente:

WORKFORCE_POOL_ID: El ID del grupo de la identidad de personal.
WORKFORCE_PROVIDER_ID: El ID del proveedor de grupos de identidades para la fuerza laboral.
PATH_TO_OIDC_ID_TOKEN: la ruta a la ubicación del archivo en la que se almacena el token de IdP.
WORKFORCE_POOL_USER_PROJECT: El número o ID del proyecto que se usa para la cuota y la facturación. La principal debe tener el permiso serviceusage.services.use en este proyecto.

Cuando se completa el comando, Microsoft Entra ID crea el siguiente archivo de configuración:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Abre la gcloud CLI y ejecuta el siguiente comando:
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Reemplaza PATH_TO_OIDC_CREDENTIALS por la ruta de acceso al archivo de salida de un paso anterior.

La gcloud CLI publica las credenciales con transparencia en el extremo del servicio de tokens de seguridad. En el extremo, se intercambia por tokens de acceso Google Cloud temporales.

Ahora puedes ejecutar comandos de gcloud CLI enGoogle Cloud.

SAML

Haz que un usuario acceda a tu aplicación de Microsoft Entra ID y obtén la respuesta de SAML.
Guarda la respuesta SAML que muestra Microsoft Entra ID en una ubicación segura de tu máquina local y, luego, almacena la ruta de acceso de la siguiente manera:
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Para generar un archivo de configuración de credenciales, ejecuta el siguiente comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Reemplaza lo siguiente:

WORKFORCE_PROVIDER_ID: el ID del proveedor del grupo de identidades de personal que creaste antes en esta guía
WORKFORCE_POOL_ID: el ID del grupo de identidades de personal que creaste antes en esta guía.
SAML_ASSERTION_PATH: la ruta de acceso del archivo de aserción de SAML
PROJECT_ID: Es el ID del proyecto.

El archivo de configuración que se genera es similar al siguiente:

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Para acceder a gcloud CLI con el intercambio de tokens de la federación de identidades de personal, ejecuta el siguiente comando:
```
gcloud auth login --cred-file=config.json
```
Luego, la CLI de gcloud intercambia de manera transparente tus credenciales de Microsoft Entra ID por tokens de acceso temporales de Google Cloud . Los tokens de acceso te permiten acceder a Google Cloud.

Verás un resultado similar al siguiente:
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Para enumerar las cuentas con credenciales y tu cuenta activa, ejecuta el siguiente comando:
```
gcloud auth list
```

Pruebe el acceso

Ahora tienes acceso a los productos de Google Cloud que admiten la federación de identidades de personal y a los que se te otorga acceso. En una sección anterior de este documento, otorgaste el rol de administrador de almacenamiento (roles/storage.admin) a todas las identidades dentro del identificador de grupo que especificaste en gcloud projects add-iam-policy-binding para el proyecto TEST_PROJECT_ID.

Para probar que tienes acceso, enumera los buckets de Cloud Storage.

Consola (federada)

Para probar que tienes acceso con la consola (federada), haz lo siguiente:

Ve a la página de Cloud Storage

Ir a Cloud Storage
Verifica que puedas ver una lista de los buckets existentes para TEST_PROJECT_ID.

gcloud CLI

Para probar que tienes acceso con gcloud CLI, puedes enumerar los buckets y objetos de Cloud Storage del proyecto al que tienes acceso. Para hacer esto, ejecuta el siguiente comando. La principal debe tener el permiso serviceusage.services.use en el proyecto especificado.

gcloud storage ls --project="TEST_PROJECT_ID"

Borrar usuarios

La federación de identidades de personal crea metadatos y recursos de usuario para identidades de usuario federadas. Si eliges borrar usuarios en tu IdP, también debes borrar de forma explícita estos recursos en Google Cloud. Para hacerlo, consulta Borra los usuarios de la federación de identidades de personal y sus datos.

Es posible que veas que los recursos siguen asociados con un usuario que se borró. Esto se debe a que para borrar metadatos y recursos del usuario se requiere una operación de larga duración. Después de iniciar la eliminación de la identidad de un usuario, los procesos que este inició antes de la eliminación pueden seguir ejecutándose hasta que se completen o se cancelen los procesos.

Configura SCIM

En esta sección, se describe cómo configurar un arrendatario de SCIM en un grupo de identidades de personal.

Cada grupo de identidades de personal solo admite un usuario de SCIM. Para configurar un nuevo arrendatario de SCIM en un grupo que ya tiene uno, primero debes borrar de forma permanente el arrendatario existente.

La marca --claim-mapping para un arrendatario de SCIM solo puede contener expresiones específicas de Common Expression Language (CEL). Para saber qué expresiones se admiten, consulta Cómo asignar atributos de SCIM y tokens.

Importante: Asegúrate de que tu IdP proporcione valores únicos para los atributos que asignas a google.subject y google.group con SCIM. Para obtener más información, consulta Compatibilidad con SCIM.

Para configurar el Sistema para la administración de identidades entre dominios (SCIM), debes hacer lo siguiente:

Configura un grupo de usuarios y un token de SCIM en Google Cloud
Configura SCIM en tu IdP

Configura un token y un arrendatario de SCIM en Google Cloud

Para configurar un arrendatario de SCIM en Google Cloud, haz lo siguiente:

Crea un usuario de SCIM.
```
    gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"
    
```
Reemplaza lo siguiente:
- SCIM_TENANT_ID: Es un ID para tu usuario de SCIM.
- WORKFORCE_POOL_ID: Es el ID del grupo de personal que creaste antes en este documento.
- PROVIDER_ID: Es el ID del proveedor del grupo de identidades de personal que creaste antes en este documento.
- SCIM_TENANT_DISPLAY_NAME: Es el nombre visible de tu arrendatario de SCIM.
- SCIM_TENANT_DESCRIPTION: Es una descripción para tu usuario de SCIM.
- CLAIM_MAPPING: Es una lista separada por comas de las asignaciones de atributos. Te recomendamos que uses la siguiente asignación de atributos:
```
google.subject=user.externalId,google.group=group.externalId
```
  El atributo google.subject que asignas en el arrendatario de SCIM debe hacer referencia de forma inequívoca a las mismas identidades que se asignan en el atributo google.subject del proveedor de grupos de identidades de personal con la marca --attribute-mapping. Después de crear el arrendatario de SCIM, no podrás actualizar la asignación de reclamos. Para reemplazarlo, puedes borrar de forma permanente el arrendatario de SCIM y crear uno nuevo de inmediato. Para obtener más información sobre las consideraciones para usar SCIM, consulta Compatibilidad con SCIM.
Cuando se complete el comando, haz lo siguiente:
1. En el campo baseUri del resultado, guarda el URI completo, que tiene el formato https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Debes proporcionar este URI a tu IdP.
2. Además, del URI, guarda solo el SCIM_TENANT_UID. Necesitarás este UID para establecer políticas de IAM en el arrendatario de SCIM, como se explica más adelante en este documento.
Crea un token de SCIM:
```
    gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global
    
```
Reemplaza lo siguiente:
- SCIM_TOKEN_ID: Es un ID para el token de SCIM.
- DISPLAY_NAME: Es el nombre visible del token de SCIM.
- WORKFORCE_POOL_ID: ID del grupo de personal
- SCIM_TENANT_ID: ID del usuario de SCIM
- PROVIDER_ID: El ID del proveedor de grupo de identidades de personal
Cuando se complete el comando gcloud iam workforce-pools providers scim-tenants tokens create, haz lo siguiente:
1. En el resultado, guarda el valor de SCIM_TOKEN en el campo securityToken. Debes proporcionar este token de seguridad a tu IdP. El token de seguridad solo se muestra en este resultado, y si se pierde, debes crear un token de SCIM nuevo.
2. Para verificar si tu política de la organización rechaza SCIM_TOKEN, ejecuta el siguiente comando:
```
curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
```
  Si el comando falla con un error relacionado con los permisos, ejecuta gcloud organizations add-iam-policy-binding, que se describe en un paso posterior. Si el comando se ejecuta de forma correcta, puedes omitir ese paso.
Establece políticas de IAM en el token y el arrendatario de SCIM. Si el comando curl de un paso anterior falló con un error relacionado con los permisos, debes ejecutar el siguiente comando:
```
    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer
    
```
Reemplaza lo siguiente:
- ORGANIZATION_ID: Es el ID de la organización.
- SERVICE_AGENT_EMAIL: Es la dirección de correo electrónico del agente de servicio. La dirección de correo electrónico tiene el siguiente formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID se devuelve cuando creas el arrendatario de SCIM.

Cuando aprovisiones grupos en tu IdP, asegúrate de que el nombre visible de cada grupo, tal como se proporciona en el campo displayName, sea único dentro de un arrendatario de SCIM. Para obtener más información sobre los grupos y SCIM en Microsoft Entra ID, consulta Grupos.

Configura SCIM en Microsoft Entra ID

Para configurar SCIM en Microsoft Entra ID, haz lo siguiente:

Abre el portal de Azure y accede como un usuario con privilegios de administrador global.
Selecciona Microsoft Entra ID > Aplicaciones empresariales.
Haz clic en New application.
En Browse Microsoft Entra App gallery, haz clic en Create your own application.
En el panel Crea tu propia aplicación que aparece, haz lo siguiente:
1. En ¿Cuál es el nombre de tu app?, ingresa el nombre de tu app.
2. Selecciona Integrar cualquier otra aplicación que no encuentres en la galería (no es de la galería).
3. Para crear la app, haz clic en Crear.
En tu aplicación, haz lo siguiente:
1. En la sección Administrar, haz clic en Aprovisionamiento.
2. En el panel derecho que aparece, haz clic en Configuración nueva.
3. En Credenciales de administrador, en URL del arrendatario, ingresa la URL de SCIM que obtuviste cuando creaste el arrendatario de SCIM, agregada con ?aadOptscim062020. Debes agregar ?aadOptscim062020 al final del URI base.
  
  Microsoft Entra ID requiere este parámetro de consulta para garantizar que las solicitudes de SCIM PATCH cumplan con los estándares de RFC de SCIM. Para obtener más detalles, consulta la documentación de Microsoft.
  
  La URL final del arrendatario en Microsoft Entra ID debe tener el siguiente formato:
```
https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020
```
  Reemplaza SCIM_TENANT_UID por el UID del usuario de SCIM.
4. En Token secreto, ingresa el token secreto que obtuviste cuando creaste el arrendatario de SCIM.
5. Para probar la configuración de SCIM con la federación de identidades de personal, haz clic en Probar conexión.
6. Para guardar la configuración, haz clic en Crear.
En la sección Administrar, haz lo siguiente:
1. Haz clic en Asignación de atributos.
2. Haz clic en Aprovisionar usuarios de Microsoft Entra ID.
3. En la página Asignación de atributos, haz lo siguiente:
  1. En la tabla Asignaciones de atributos, busca la fila de externalId y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Match objects using this attribute, selecciona Yes.
    2. En Prioridad de coincidencia, ingresa 2.
    3. En la lista desplegable Atributo de fuente, selecciona objectId.
    4. Para guardar la asignación de atributos, haz clic en Aceptar.
  2. En la tabla Asignaciones de atributos, busca la fila de userName y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Match objects using this attribute, selecciona No.
    2. Para guardar la asignación de atributos, haz clic en Aceptar.
  3. En la tabla Asignaciones de atributos, busca la fila de externalId y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Prioridad de coincidencia, ingresa 1.
    2. Para guardar la asignación de atributos, haz clic en Aceptar.
4. Haz clic en Aprovisionar grupos de Microsoft Entra ID.
5. En la página Attribute Mapping, haz lo siguiente:
  1. En la tabla Asignaciones de atributos, busca la fila de externalId y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Match objects using this attribute, selecciona Yes.
    2. En Prioridad de coincidencia, ingresa 2.
    3. En la lista desplegable Atributo de fuente, selecciona objectId.
    4. Para guardar la asignación de atributos, haz clic en Aceptar.
  2. En la tabla Asignaciones de atributos, busca la fila de displayName y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Match objects using this attribute, selecciona No.
    2. Para guardar la asignación de atributos, haz clic en Aceptar.
  3. En la tabla Asignaciones de atributos, busca la fila de externalId y haz clic en Editar en esa fila. En la página Editar atributos, haz lo siguiente:
    1. En Prioridad de coincidencia, ingresa 1.
    2. Para guardar la asignación de atributos, haz clic en Aceptar.

Actualiza el proveedor para habilitar SCIM

Para habilitar SCIM en un proveedor, haz lo siguiente:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Reemplaza lo siguiente:

PROVIDER_ID: El ID del proveedor de grupo de identidades de personal
WORKFORCE_POOL_ID: ID del grupo de personal
LOCATION: Es la ubicación del grupo de personal.

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Reemplaza lo siguiente:

PROVIDER_ID: El ID del proveedor de grupo de identidades de personal
WORKFORCE_POOL_ID: ID del grupo de personal
LOCATION: Es la ubicación del grupo de personal.

Asigna atributos de SCIM y tokens

Debes asignar atributos de forma coherente, tanto en el proveedor de grupos de identidades de los trabajadores como en el arrendatario de SCIM que se configura para el proveedor. Para el proveedor de grupos de identidades de personal, usa la marca --attribute-mapping y, para el arrendatario de SCIM, usa la marca --claim-mapping. El atributo del IdP que se asigna a google.subject para los usuarios debe hacer referencia de forma única a la misma identidad, ya sea que se defina en una asignación de SCIM o en un token. Para obtener más información sobre la asignación de atributos cuando usas SCIM, consulta la sección Compatibilidad con SCIM. En la siguiente tabla, se muestra cómo asignar atributos en las declaraciones de tokens y los atributos de SCIM:

Atributo de Google	Asignación de proveedores de grupos de identidades del personal	Asignación de inquilinos de SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.group` asegúrate de actualizar tu proveedor con `--scim-usage=enabled-for-groups`	`N/A`	`group.externalId`

Borra de forma forzosa un usuario de SCIM

Para forzar el borrado de un arrendatario de SCIM, haz lo siguiente:

Si --scim-usage=enabled-for-groups está configurado para tu proveedor, inhabilítalo en la configuración del proveedor:
```
          gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED
        
```
Reemplaza lo siguiente:
- PROVIDER_ID: El ID del proveedor de grupo de identidades de personal
- WORKFORCE_POOL_ID: ID del grupo de personal
Borra el usuario de SCIM:
```
  gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global
```
Reemplaza lo siguiente:
- SCIM_TENANT_ID: Es el ID del usuario de SCIM que se borrará.
- WORKFORCE_POOL_ID: ID del grupo de personal
- PROVIDER_ID: El ID del proveedor de grupo de identidades de personal
Para obtener más información sobre SCIM, incluida la eliminación de inquilinos de SCIM, consulta Compatibilidad con SCIM.

¿Qué sigue?

Borra los usuarios de la federación de identidades de personal y sus datos
Obtén información sobre qué Google Cloud productos admiten la federación de identidades de personal.
Configura el acceso de usuario a la consola (federada)

Configura la federación de identidades de personal con Microsoft Entra ID Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Conceptos clave

Atributos adicionales

Atributos extendidos

Antes de comenzar

Costos

Roles obligatorios

Crea una aplicación de Microsoft Entra ID

OIDC

SAML

Configura una gran cantidad de grupos con Microsoft Entra ID

Configura una gran cantidad de grupos con Microsoft Entra ID con el flujo implícito de OIDC

Configura tu aplicación de Microsoft Entra ID

Crea un grupo de Workforce Identity

gcloud

Console

Configura el proveedor de grupos de identidades de personal con flujo implícito de OIDC

gcloud

Console

Configura una gran cantidad de grupos en Microsoft Entra ID con el flujo de código de OIDC

Configura tu aplicación de Microsoft Entra ID

Crea un grupo de Workforce Identity

gcloud

Console

Configura el proveedor de grupos de identidades de personal del flujo de código de OIDC

gcloud

Console

Configura una gran cantidad de grupos en Microsoft Entra ID con SAML 2.0

Configura tu aplicación de Microsoft Entra ID

Crea un grupo de Workforce Identity

gcloud

Console

Configura el proveedor de grupos de identidades de personal de SAML 2.0

gcloud

Console

Otorga roles de IAM a grupos

Accede y prueba el acceso

Acceder

Acceso a la consola (federada)

Acceso con el navegador de la gcloud CLI

Acceso sin interfaz gráfica de la gcloud CLI

OIDC

SAML

Pruebe el acceso

Consola (federada)

gcloud CLI

Borrar usuarios

Configura SCIM

Configura un token y un arrendatario de SCIM en Google Cloud

Configura SCIM en Microsoft Entra ID

Actualiza el proveedor para habilitar SCIM

OIDC

SAML

Asigna atributos de SCIM y tokens

Borra de forma forzosa un usuario de SCIM

¿Qué sigue?

Configura la federación de identidades de personal con Microsoft Entra ID