Cette page a été traduite par l'API Cloud Translation.

Configurer la fédération des identités des employés avec Microsoft Entra ID

Vous pouvez configurer la fédération des identités des employés avec le fournisseur d'identité (IdP) Microsoft Entra ID et mapper jusqu'à 400 groupes de Microsoft Entra ID à Google Cloud à l'aide de Microsoft Graph. Vous pouvez ensuite attribuer des rôles IAM à ces groupes et indiquer comment connecter les utilisateurs Microsoft Entra ID qui sont membres des groupes à Google Cloud. Les utilisateurs peuvent ensuite accéder aux produits Google Cloud pour lesquels ils ont reçu un accès IAM et qui sont également compatibles avec la fédération des identités des employés.

Pour mapper moins de 150 groupes de Microsoft Entra ID à Google Cloud, consultez Configurer la fédération des identités des employés avec Microsoft Entra ID et connecter les utilisateurs.

Concepts clés

Cette section décrit les concepts utilisés pour configurer la fédération des identités des employés, plus loin dans ce document.

Attributs supplémentaires

Pour mapper jusqu'à 400 groupes, vous utilisez des attributs supplémentaires en spécifiant des indicateurs extra-attributes lorsque vous créez le fournisseur de pool d'identités de personnel. Vous pouvez utiliser des attributs supplémentaires avec les protocoles suivants :

OIDC avec flux implicite
OIDC avec flux de code
Protocole SAML 2.0

Le nombre d'adresses e-mail de groupe qu'une application Microsoft Entra ID peut émettre dans un jeton est limité à 150 pour SAML et à 200 pour JWT. Pour en savoir plus sur cette limite, consultez Configurer les revendications de groupe pour les applications à l'aide de Microsoft Entra ID. Pour récupérer d'autres groupes, la fédération des identités des employés utilise le flux d'identifiants client OAuth 2.0 de Microsoft Identity pour obtenir des identifiants qui lui permettent d'interroger l'API Microsoft Graph et d'extraire les groupes d'un utilisateur.

Pour utiliser des attributs supplémentaires, vous devez, de manière générale :

Créez une application Microsoft Entra ID ou mettez à jour votre application existante pour obtenir les appartenances aux groupes des utilisateurs à partir de l'API Microsoft Graph. Pour en savoir plus sur la façon dont Microsoft Graph récupère un grand nombre de groupes à partir de Microsoft Entra ID, consultez Dépassement du nombre de groupes.
Lorsque vous créez le fournisseur de pool d'identités de personnel, vous utilisez des indicateurs extra-attributes pour configurer la fédération d'identité de personnel afin de récupérer les adresses e-mail de groupe des utilisateurs à partir de l'API Microsoft Graph.

La fédération des identités des employés peut récupérer jusqu'à 999 groupes à partir de l'API Microsoft Graph. Si l'API Microsoft Graph renvoie plus de 999 groupes, la connexion échoue.

Pour réduire le nombre de groupes renvoyés par l'API Microsoft Graph, vous pouvez affiner la requête de la fédération d'identité des employés à l'aide de l'indicateur --extra-attributes-filter lorsque vous créez le fournisseur de pools d'identités des employés.

Une fois que la fédération d'identité de personnel a récupéré les groupes à partir de l'API Microsoft Graph, elle génère le jeton d'accès. La fédération d'identité des employés peut ajouter un maximum de 400 groupes au jeton d'accès. Pour réduire davantage le nombre de groupes à 400 ou moins, vous pouvez spécifier un mappage d'attributs contenant des expressions CEL (Common Expression Language) lorsque vous créez le fournisseur de pool d'identités des employés.

Attributs étendus

Si vous utilisez Gemini Enterprise, vous pouvez utiliser les attributs étendus pour mapper jusqu'à 1 000 groupes depuis Microsoft Entra ID. Cette limite est supérieure à celle des attributs supplémentaires. Pour utiliser des attributs étendus, spécifiez les indicateurs extended-attributes lorsque vous créez le fournisseur de pool d'identités de personnel. En utilisant des attributs étendus, la fédération des identités des employés récupère les ID de groupe (UUID) depuis Microsoft Entra ID.

Pour permettre aux utilisateurs de Gemini Enterprise de saisir des noms de groupes lisibles par un humain au lieu d'UUID dans l'interface utilisateur de partage de notebooks de Gemini Enterprise, vous devez également configurer SCIM.

Vous configurez SCIM dans la fédération d'identité de personnel et votre IdP, comme décrit plus loin dans ce document.

Vous configurez les attributs étendus à l'aide des indicateurs suivants :

--extended-attributes-issuer-uri
--extended-attributes-client-id
--extended-attributes-client-secret-value

Lorsque vous utilisez des attributs étendus, les limites suivantes s'appliquent également :

Vous n'avez pas besoin de configurer google.groups dans le mappage des attributs, car les attributs de groupe ne sont pas utilisés. Toutefois, d'autres mappages d'attributs sont utilisés.
Vous pouvez configurer d'autres indicateurs de fournisseur de pool d'identités de personnel comme indiqué dans la documentation, mais ces paramètres s'appliquent aux produits autres que Gemini Enterprise qui sont compatibles avec la fédération d'identité de personnel.
Les attributs étendus sont mis à jour et actualisés périodiquement en arrière-plan pendant la durée de la session, même après la connexion.
Dans Microsoft Entra ID, vous devez accorder à l'application l'autorisation User.Read.All au lieu de User.Read, User.ReadBasic.All ou GroupMember.Read.All.
L'indicateur de type d'attributs étendus --extended-attributes-type n'accepte que le type azure-ad-groups-id.
Les attributs étendus n'acceptent que 1 000 groupes au maximum. En revanche, l'indicateur --extra-attributes accepte jusqu'à 400 groupes.
Les attributs étendus ne peuvent être utilisés que pour la connexion Web via vertexaisearch.cloud.google, et non pour les connexions à la console ni à la gcloud CLI.

Avant de commencer

Assurez-vous d'avoir configuré une organisation Google Cloud .
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
```
gcloud init
```
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Remarque : Si vous avez déjà installé la gcloud CLI, assurez-vous que vous disposez de la dernière version en exécutant gcloud components update.
Dans Microsoft Entra ID, assurez-vous que les jetons d'identité sont activés pour le flux implicite. Pour en savoir plus, consultez Activer l'octroi implicite de jeton d'identité.
Pour la connexion, votre fournisseur d'identité doit fournir des informations d'authentification signées : les fournisseurs d'identité OIDC doivent fournir un jeton JWT, et les réponses du fournisseur d'identité SAML doivent être signées.
Pour recevoir des informations importantes sur les modifications concernant votre organisation ou vos produitsGoogle Cloud , vous devez fournir des contacts essentiels. Pour en savoir plus, consultez la Présentation de la fédération des identités des employés.
Tous les groupes que vous souhaitez mapper doivent être marqués comme groupes de sécurité dans Microsoft Entra ID.
Important : Vous pouvez récupérer jusqu'à 999 groupes.

Coûts

La fédération d'identité de personnel est disponible sans frais. Toutefois, la journalisation d'audit détaillée de la fédération d'identité du personnel utilise Cloud Logging. Pour en savoir plus sur les tarifs de Logging, consultez Tarifs de Google Cloud Observability.

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer la fédération des identités des employés, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur de pools d'employés (roles/iam.workforcePoolAdmin) sur l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Si vous configurez des autorisations dans un environnement de développement ou de test, mais pas dans un environnement de production, vous pouvez attribuer le rôle de base Propriétaire IAM (roles/owner), qui inclut également les autorisations pour la fédération d'identité de personnel.

Créer une application Microsoft Entra ID

Cette section explique comment créer une application Microsoft Entra ID à l'aide du portail d'administration Microsoft Entra. Vous pouvez également mettre à jour votre application existante. Pour en savoir plus, consultez Établir des applications dans l'écosystème Microsoft Entra ID.

Les pools d'identités de personnel sont compatibles avec la fédération avec les protocoles OIDC et SAML.

OIDC

Pour créer une inscription d'application Microsoft Entra ID utilisant le protocole OIDC, procédez comme suit :

Connectez-vous au portail d'administration Microsoft Entra.
Accédez à Identité > Applications > Enregistrements d'applications.
Pour commencer à configurer l'enregistrement de l'application, procédez comme suit :
1. Cliquez sur Nouvelle inscription.
2. Saisissez un nom pour votre application.
3. Dans Types de comptes compatibles, sélectionnez une option.
4. Dans la section Redirect URI (URI de redirection), dans la liste déroulante Select a platform (Sélectionner une plate-forme), sélectionnez Web.
5. Dans le champ de texte, saisissez une URL de redirection. Vos utilisateurs sont redirigés vers cette URL après s'être connectés. Si vous configurez l'accès à la console (fédéré), utilisez le format d'URL suivant :
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Remplacez les éléments suivants :
  - WORKFORCE_POOL_ID : ID de pool d'identités de personnel que vous utiliserez lorsque vous créerez le pool d'identités de personnel plus loin dans ce document. Par exemple : entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID : ID de fournisseur de pool d'identités de personnel que vous utiliserez lorsque vous créerez le fournisseur de pool d'identités de personnel plus loin dans ce document. Par exemple : entra-id-oidc-pool-provider
    
    Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
6. Pour créer l'enregistrement de l'application, cliquez sur Enregistrer.
7. Pour utiliser l'exemple de mappage d'attributs fourni plus loin dans ce document, vous devez créer un attribut department personnalisé.

SAML

Pour créer une inscription d'application Microsoft Entra ID qui utilise le protocole SAML, procédez comme suit :

Connectez-vous au portail d'administration Microsoft Entra.
Dans le menu de navigation de gauche, accédez à Entra ID > Applications d'entreprise.
Pour commencer à configurer l'application d'entreprise, procédez comme suit :
1. Cliquez sur Nouvelle application > Créer votre propre application.
2. Dans le volet Créer votre propre application qui s'affiche, saisissez le nom de votre application.
3. Cliquez sur Créer.
4. Accédez à Authentification unique > SAML.
5. Mettez à jour la configuration SAML de base comme suit :
  1. Dans le champ Identifiant (ID d'entité), saisissez la valeur suivante :
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Remplacez les éléments suivants :
    - WORKFORCE_POOL_ID : ID de pool d'identités de personnel que vous utiliserez lorsque vous créerez le pool d'identités de personnel plus loin dans ce document. Par exemple : entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID : ID de fournisseur de pool d'identités de personnel que vous utiliserez lorsque vous créerez le fournisseur de pool d'identités de personnel plus loin dans ce document. Par exemple : entra-id-saml-pool-provider
      
      Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
  2. Dans le champ URL de réponse (URL ACS - Assertion Consumer Service URL), saisissez une URL de redirection. Vos utilisateurs sont redirigés vers cette URL après s'être connectés. Si vous configurez l'accès à la console (fédéré), utilisez le format d'URL suivant :
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Remplacez les éléments suivants :
    - WORKFORCE_POOL_ID : ID du pool d'identités de personnel
    - WORKFORCE_PROVIDER_ID : ID du fournisseur d'identité de personnel
  3. Pour activer l'authentification initiée par le fournisseur d'identité, définissez le champ État du relais sur la valeur suivante :
```
https://console.cloud.google/
```
  4. Pour enregistrer la configuration de l'application SAML, cliquez sur Enregistrer.
6. Pour utiliser l'exemple de mappage d'attributs fourni plus loin dans ce document, vous devez créer un attribut department personnalisé.

Configurer un grand nombre de groupes avec Microsoft Entra ID

Cette section explique comment mapper jusqu'à 400 groupes de Microsoft Entra ID à la fédération des identités des employés à l'aide des protocoles OIDC et SAML.

Configurer un grand nombre de groupes avec Microsoft Entra ID et le flux implicite OIDC

Cette section explique comment mapper jusqu'à 400 groupes de Microsoft Entra ID à la fédération des identités des employés à l'aide du protocole OpenID Connect (OIDC) avec flux implicite.

Configurer votre application Microsoft Entra ID

Vous pouvez configurer une application Microsoft Entra ID existante ou en créer une. Pour configurer votre application, procédez comme suit :

Dans le portail Microsoft Entra ID, procédez comme suit :
- Pour enregistrer une nouvelle application, suivez les instructions de la section Enregistrer une nouvelle application.
- Pour mettre à jour une application existante, procédez comme suit :
  - Accédez à Identité > Applications > Applications d'entreprise.
  - Sélectionnez l'application que vous souhaitez mettre à jour.
Créez un code secret du client dans l'application en suivant les instructions de Certificats et codes secrets. Assurez-vous de noter la valeur du code secret du client, car elle ne s'affiche qu'une seule fois.
Notez les valeurs suivantes de l'application que vous avez créée ou mise à jour. Vous fournissez les valeurs lorsque vous configurez le fournisseur de pools d'identités des employés plus loin dans ce document.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Pour récupérer les groupes Microsoft Entra ID, ajoutez l'autorisation d'API permettant à la fédération des identités des employés d'accéder aux informations des utilisateurs depuis Microsoft Entra ID à l'aide de l'API Microsoft Graph, puis accordez l'autorisation de l'administrateur. Dans Microsoft Entra ID, procédez comme suit :
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations de l'application.
5. Dans le champ de recherche, saisissez User.ReadBasic.All.
6. Cliquez sur Ajouter des autorisations.
Vous pouvez récupérer les groupes Microsoft Entra ID en tant qu'identifiants d'objet de groupe (ID) ou en tant qu'adresses e-mail de groupe pour les groupes compatibles avec les e-mails.

Si vous choisissez de récupérer les groupes en tant qu'adresses e-mail de groupe, l'étape suivante est requise.
Pour récupérer les groupes Microsoft Entra ID en tant qu'adresses e-mail de groupe, procédez comme suit. Si vous récupérez les groupes en tant qu'identifiants d'objet de groupe, ignorez cette étape.
1. Dans le champ de recherche, saisissez GroupMember.Read.All.
2. Cliquez sur Ajouter des autorisations.
3. Cliquez sur Accorder le consentement administrateur pour votre nom de domaine.
4. Dans la boîte de dialogue qui s'affiche, cliquez sur Oui.
5. Accédez à la page Présentation de l'application Microsoft Entra ID que vous avez créée ou mise à jour précédemment.
6. Cliquez sur Points de terminaison.
L'URI de l'émetteur est l'URI du document de métadonnées OIDC, en omettant le chemin d'accès /.well-known/openid-configuration.

Par exemple, si le document de métadonnées OIDC est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI de l'émetteur est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Créer un pool d'identités de personnel

gcloud

Pour créer le pool d'identités de personnel, exécutez la commande suivante :

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID que vous choisissez pour représenter votre pool de personnel Google Cloud . Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
ORGANIZATION_ID : ID d'organisation numérique de votre organisation Google Cloud pour le pool d'identités de personnel. Les pools d'identités de personnel sont disponibles dans tous les projets et dossiers de l'organisation.
DISPLAY_NAME : facultatif. Un nom à afficher pour votre pool d'identités d'employés.
DESCRIPTION : facultatif. Description du pool d'identités de personnel
SESSION_DURATION : facultatif. Durée de la session, exprimée sous la forme d'un nombre suivi de s (par exemple, 3600s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , les sessions de connexion à la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. La durée de la session est définie par défaut sur une heure (3 600 s). La valeur de la durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).

Console

Pour créer le pool d'identités de personnel, procédez comme suit :

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel
Sélectionnez l'organisation pour votre pool d'identités de personnel. Les pools d'identités Workforce sont disponibles pour tous les projets et dossiers d'une organisation.
Cliquez sur Créer un pool et procédez comme suit :
1. Dans le champ Nom, saisissez le nom à afficher du pool. L'ID du pool est automatiquement dérivé du nom au fur et à mesure de la saisie, et s'affiche sous le champ Nom. Vous pouvez modifier l'ID du pool en cliquant sur Modifier à côté de l'ID du pool.
2. Facultatif : Dans le champ Description, saisissez une description du pool.
3. Pour créer le pool d'identités de personnel, cliquez sur Suivant.

La durée de session du pool d'identités de personnel est définie par défaut sur une heure (3 600 s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. Une fois le pool créé, vous pouvez le mettre à jour pour définir une durée de session personnalisée. La durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).

Configurer le fournisseur de pools d'identités de personnel avec flux implicite OIDC

gcloud

Pour créer le fournisseur de pools d'identités de personnel OIDC, exécutez la commande suivante :

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Remplacez les éléments suivants :

PROVIDER_ID : ID de fournisseur unique. Le préfixe gcp- est réservé et ne peut pas être utilisé dans un ID de pool ou de fournisseur.
WORKFORCE_POOL_ID : ID du pool de personnel.
DISPLAY_NAME : nom à afficher pour le fournisseur.
ISSUER_URI : URI de l'émetteur de l'application Microsoft Entra ID que vous avez créée précédemment dans ce document.
CLIENT_ID : ID client de votre application Microsoft Entra ID.
ATTRIBUTE_MAPPING : mappage des attributs de Microsoft Entra ID à Google Cloud. Par exemple, pour mapper les attributs groups et subject de Microsoft Entra ID, utilisez le mappage d'attributs suivant :
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Pour en savoir plus, consultez Mappage d'attributs.
EXTRA_ATTRIBUTES_ISSUER_URI : URI de l'émetteur de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID : ID client de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET : code secret du client supplémentaire de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE : utilisez azure-ad-groups-mail pour récupérer les adresses e-mail des groupes. Utilisez azure-ad-groups-id pour récupérer les ID des groupes.
EXTRA_ATTRIBUTES_FILTER : facultatif. Expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph. Vous pouvez utiliser ce paramètre pour vous assurer que le nombre de groupes récupérés auprès de l'IdP ne dépasse pas la limite de 400 groupes.
L'exemple suivant récupère les groupes dont l'adresse e-mail est précédée du préfixe sales :
```
--extra-attributes-filter='"mail:sales"'
```
L'expression suivante récupère les groupes dont le nom à afficher contient la chaîne sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez Tarifs de Google Cloud Observability.

Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Administrateurs d'espaces d'agent : les informations sur les attributs étendus (--extended-attributes) ne sont pas incluses dans les journaux d'audit.

Console

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel

Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans la section Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans la liste Sélectionner un fournisseur, sélectionnez votre fournisseur d'identité (IdP).
Si votre fournisseur d'identité n'est pas listé, sélectionnez Fournisseur d'identité générique.
Dans Sélectionner un protocole d'authentification, sélectionnez OpenID Connect (OIDC).
Dans la section Créer un fournisseur, procédez comme suit :
1. Dans Nom, saisissez le nom du fournisseur.
2. Dans Description, saisissez la description du fournisseur.
3. Dans le champ Issuer (URL) (Émetteur (URL)), saisissez l'URI de l'émetteur. L'URI d'émetteur OIDC doit être dans un format d'URI valide et commencer par https. Exemple : https://example.com/oidc.
4. Dans ID client, saisissez l'ID client OIDC enregistré auprès de votre fournisseur d'identité OIDC. L'ID doit correspondre à la revendication aud du jeton JWT émis par votre fournisseur d'identité.
5. Pour créer un fournisseur activé, assurez-vous que l'option Activer le fournisseur est activée.
6. Cliquez sur Continuer.
Dans la section Partager les informations de votre fournisseur avec l'IdP, copiez l'URL. Dans votre IdP, configurez cette URL comme URI de redirection. Elle indique à votre IdP où envoyer le jeton d'assertion après la connexion.
Cliquez sur Continuer.
Dans la section Configurer la connexion Web OIDC, procédez comme suit :
Dans la liste Type de flux, sélectionnez Jeton d'ID.
Dans la liste Comportement des revendications d'assertion, l'option Jeton d'ID est sélectionnée.
Facultatif : Si vous avez sélectionné Okta comme IdP, ajoutez les niveaux d'accès OIDC supplémentaires dans le champ Niveaux d'accès en plus d'OpenID, du profil et de l'adresse e-mail.

Cliquez sur Continuer.

Dans Configurer le fournisseur, vous pouvez configurer un mappage d'attributs et une condition d'attribut. Pour créer un mappage d'attributs, procédez comme suit : Vous pouvez indiquer le nom du champ du fournisseur d'identité ou une expression au format CEL qui renvoie une chaîne.

Obligatoire : dans OIDC 1, saisissez l'objet du fournisseur d'identité. Exemple : assertion.sub.
Facultatif : Pour ajouter des mappages d'attributs supplémentaires, procédez comme suit :
1. Cliquez sur Ajouter un mappage.
2. Dans Google n, où n est un nombre, saisissez l'une des clés compatibles avecGoogle Cloud.
3. Dans le champ OIDC n correspondant, saisissez le nom du champ spécifique au fournisseur d'identité à mapper, au format CEL.
Si vous avez sélectionné Microsoft Entra ID comme IdP, vous pouvez augmenter le nombre de groupes.
1. Sélectionnez Utiliser des attributs supplémentaires.
2. Dans le champ URI de l'émetteur des attributs supplémentaires, saisissez l'URL de l'émetteur.
3. Dans le champ ID client des attributs supplémentaires, saisissez l'ID client.
4. Dans le champ Code secret du client pour les attributs supplémentaires, saisissez le code secret du client.
5. Dans la liste Type d'attribut supplémentaire, sélectionnez un type d'attribut pour les attributs supplémentaires.
6. Dans le champ Filtre des attributs supplémentaires, saisissez une expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph.
Pour créer une condition d'attribut :
1. Cliquez sur Ajouter une condition :
2. Dans le champ Conditions d'attribut, saisissez une condition au format CEL. Par exemple, assertion.role == 'gcp-users'. Cet exemple de condition garantit que seuls les utilisateurs disposant du rôle gcp-users peuvent se connecter via ce fournisseur.
3. Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation d'audit des valeurs d'attribut.
  La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez Tarifs de Google Cloud Observability.
  
  Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.

Pour créer le fournisseur, cliquez sur Envoyer.

Configurer un grand nombre de groupes dans Microsoft Entra ID avec le flux de code OIDC

Cette section explique comment mapper jusqu'à 400 groupes de Microsoft Entra ID à la fédération des identités des employés à l'aide du protocole OIDC avec flux de code.

Configurer votre application Microsoft Entra ID

Vous pouvez configurer une application Microsoft Entra ID existante ou en créer une. Pour configurer votre application, procédez comme suit :

Dans le portail Microsoft Entra ID, procédez comme suit :
- Pour enregistrer une nouvelle application, suivez les instructions de la section Enregistrer une nouvelle application.
- Pour mettre à jour une application existante, procédez comme suit :
  - Accédez à Identité > Applications > Applications d'entreprise.
  - Sélectionnez l'application que vous souhaitez mettre à jour.
Créez un code secret du client dans l'application en suivant les instructions de Certificats et codes secrets. Assurez-vous de noter la valeur du code secret du client, car elle ne s'affiche qu'une seule fois.
Notez les valeurs suivantes de l'application que vous avez créée ou mise à jour. Vous fournissez les valeurs lorsque vous configurez le fournisseur de pools d'identités des employés plus loin dans ce document.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Pour récupérer les groupes Microsoft Entra ID, ajoutez l'autorisation d'API permettant à la fédération des identités des employés d'accéder aux informations des utilisateurs depuis Microsoft Entra ID à l'aide de l'API Microsoft Graph, puis accordez l'autorisation de l'administrateur. Dans Microsoft Entra ID, procédez comme suit :
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations déléguées.
5. Dans le champ de recherche, saisissez User.Read.
6. Cliquez sur Ajouter des autorisations.
Vous pouvez récupérer les groupes Microsoft Entra ID en tant qu'identifiants d'objet de groupe (ID) ou en tant qu'adresses e-mail de groupe pour les groupes compatibles avec les e-mails.

Si vous choisissez de récupérer les groupes en tant qu'adresses e-mail de groupe, l'étape suivante est requise.
Pour récupérer les groupes Microsoft Entra ID en tant qu'adresses e-mail de groupe, procédez comme suit. Si vous récupérez les groupes en tant qu'identifiants d'objet de groupe, ignorez cette étape.
1. Dans le champ de recherche, saisissez GroupMember.Read.All.
2. Cliquez sur Ajouter des autorisations.
3. Cliquez sur Accorder le consentement administrateur pour votre nom de domaine.
4. Dans la boîte de dialogue qui s'affiche, cliquez sur Oui.
5. Accédez à la page Présentation de l'application Microsoft Entra ID que vous avez créée ou mise à jour précédemment.
6. Cliquez sur Points de terminaison.
L'URI de l'émetteur est l'URI du document de métadonnées OIDC, en omettant le chemin d'accès /.well-known/openid-configuration.

Par exemple, si le document de métadonnées OIDC est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI de l'émetteur est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Créer un pool d'identités de personnel

gcloud

Pour créer le pool d'identités de personnel, exécutez la commande suivante :

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID que vous choisissez pour représenter votre pool de personnel Google Cloud . Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
ORGANIZATION_ID : ID d'organisation numérique de votre organisation Google Cloud pour le pool d'identités de personnel. Les pools d'identités de personnel sont disponibles dans tous les projets et dossiers de l'organisation.
DISPLAY_NAME : facultatif. Un nom à afficher pour votre pool d'identités d'employés.
DESCRIPTION : facultatif. Description du pool d'identités de personnel
SESSION_DURATION : facultatif. Durée de la session, exprimée sous la forme d'un nombre suivi de s (par exemple, 3600s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , les sessions de connexion à la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. La durée de la session est définie par défaut sur une heure (3 600 s). La valeur de la durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).

Console

Pour créer le pool d'identités de personnel, procédez comme suit :

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel
Sélectionnez l'organisation pour votre pool d'identités de personnel. Les pools d'identités Workforce sont disponibles pour tous les projets et dossiers d'une organisation.
Cliquez sur Créer un pool et procédez comme suit :
1. Dans le champ Nom, saisissez le nom à afficher du pool. L'ID du pool est automatiquement dérivé du nom au fur et à mesure de la saisie, et s'affiche sous le champ Nom. Vous pouvez modifier l'ID du pool en cliquant sur Modifier à côté de l'ID du pool.
2. Facultatif : Dans le champ Description, saisissez une description du pool.
3. Pour créer le pool d'identités de personnel, cliquez sur Suivant.

Configurer le fournisseur de pools d'identités de personnel avec flux de code OIDC

gcloud

Pour créer le fournisseur de pools d'identités de personnel OIDC, exécutez la commande suivante :

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Remplacez les éléments suivants :

PROVIDER_ID : ID de fournisseur unique. Le préfixe gcp- est réservé et ne peut pas être utilisé dans un ID de pool ou de fournisseur.
WORKFORCE_POOL_ID : ID du pool de personnel.
DISPLAY_NAME : nom à afficher pour le fournisseur.
ISSUER_URI : URI de l'émetteur de l'application Microsoft Entra ID que vous avez créée précédemment dans ce document.
CLIENT_ID : ID client de votre application Microsoft Entra ID.
ATTRIBUTE_MAPPING : mappage des attributs de Microsoft Entra ID à Google Cloud. Par exemple, pour mapper les attributs groups et subject de Microsoft Entra ID, utilisez le mappage d'attributs suivant :
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Pour en savoir plus, consultez Mappage d'attributs.
EXTRA_ATTRIBUTES_ISSUER_URI : URI de l'émetteur de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID : ID client de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET : code secret du client supplémentaire de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE : utilisez azure-ad-groups-mail pour récupérer les adresses e-mail des groupes. Utilisez azure-ad-groups-id pour récupérer les ID des groupes.
EXTRA_ATTRIBUTES_FILTER : facultatif. Expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph. Vous pouvez utiliser ce paramètre pour vous assurer que le nombre de groupes récupérés auprès de l'IdP ne dépasse pas la limite de 400 groupes.
L'exemple suivant récupère les groupes dont l'adresse e-mail est précédée du préfixe sales :
```
--extra-attributes-filter='"mail:sales"'
```
L'expression suivante récupère les groupes dont le nom à afficher contient la chaîne sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez Tarifs de Google Cloud Observability.

Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Administrateurs d'espaces d'agent : les informations sur les attributs étendus (--extended-attributes) ne sont pas incluses dans les journaux d'audit.

Console

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel

Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans la section Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans la liste Sélectionner un fournisseur, sélectionnez votre fournisseur d'identité (IdP).
Si votre fournisseur d'identité n'est pas listé, sélectionnez Fournisseur d'identité générique.
Dans Sélectionner un protocole d'authentification, sélectionnez OpenID Connect (OIDC).
Dans la section Créer un fournisseur, procédez comme suit :
1. Dans Nom, saisissez le nom du fournisseur.
2. Dans Description, saisissez la description du fournisseur.
3. Dans le champ Issuer (URL) (Émetteur (URL)), saisissez l'URI de l'émetteur. L'URI d'émetteur OIDC doit être dans un format d'URI valide et commencer par https. Exemple : https://example.com/oidc.
4. Dans ID client, saisissez l'ID client OIDC enregistré auprès de votre fournisseur d'identité OIDC. L'ID doit correspondre à la revendication aud du jeton JWT émis par votre fournisseur d'identité.
5. Pour créer un fournisseur activé, assurez-vous que l'option Activer le fournisseur est activée.
6. Cliquez sur Continuer.
Dans la section Partager les informations de votre fournisseur avec l'IdP, copiez l'URL. Dans votre IdP, configurez cette URL comme URI de redirection. Elle indique à votre IdP où envoyer le jeton d'assertion après la connexion.
Cliquez sur Continuer.
Dans la section Configurer la connexion Web OIDC, procédez comme suit :
1. Dans la liste Type de flux, sélectionnez Code.
2. Dans la liste Comportement des revendications d'assertion, sélectionnez l'une des options suivantes :
3. Dans le champ Code secret du client, saisissez le code secret du client de votre fournisseur d'identité.
4. Facultatif : Si vous avez sélectionné Okta comme IdP, ajoutez les niveaux d'accès OIDC supplémentaires dans le champ Niveaux d'accès en plus d'OpenID, du profil et de l'adresse e-mail.
Cliquez sur Continuer.
Dans Configurer le fournisseur, vous pouvez configurer un mappage d'attributs et une condition d'attribut. Pour créer un mappage d'attributs, procédez comme suit : Vous pouvez indiquer le nom du champ du fournisseur d'identité ou une expression au format CEL qui renvoie une chaîne.
1. Obligatoire : dans OIDC 1, saisissez l'objet du fournisseur d'identité. Exemple : assertion.sub.
2. Facultatif : Pour ajouter des mappages d'attributs supplémentaires, procédez comme suit :
  1. Cliquez sur Ajouter un mappage.
  2. Dans Google n, où n est un nombre, saisissez l'une des clés compatibles avecGoogle Cloud.
  3. Dans le champ OIDC n correspondant, saisissez le nom du champ spécifique au fournisseur d'identité à mapper, au format CEL.
3. Si vous avez sélectionné Microsoft Entra ID comme IdP, vous pouvez augmenter le nombre de groupes.
  1. Sélectionnez Utiliser des attributs supplémentaires.
  2. Dans le champ URI de l'émetteur des attributs supplémentaires, saisissez l'URL de l'émetteur.
  3. Dans le champ ID client des attributs supplémentaires, saisissez l'ID client.
  4. Dans le champ Code secret du client pour les attributs supplémentaires, saisissez le code secret du client.
  5. Dans la liste Type d'attribut supplémentaire, sélectionnez un type d'attribut pour les attributs supplémentaires.
  6. Dans le champ Filtre d'attributs supplémentaires, saisissez une expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph.
4. Pour créer une condition d'attribut :
  1. Cliquez sur Ajouter une condition :
  2. Dans le champ Conditions d'attribut, saisissez une condition au format CEL. Par exemple, assertion.role == 'gcp-users'. Cet exemple de condition garantit que seuls les utilisateurs disposant du rôle gcp-users peuvent se connecter via ce fournisseur.
  3. Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation d'audit des valeurs d'attribut.
    La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez Tarifs de Google Cloud Observability.
    
    Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Pour créer le fournisseur, cliquez sur Envoyer.

Configurer un grand nombre de groupes dans Microsoft Entra ID avec SAML 2.0

Cette section explique comment mapper jusqu'à 400 groupes de Microsoft Entra ID à la fédération des identités des employés à l'aide du protocole SAML 2.0.

Configurer votre application Microsoft Entra ID

Pour configurer votre application, procédez comme suit :

Dans le portail Microsoft Entra ID, procédez comme suit :
- Pour enregistrer une application, suivez les instructions de la section Enregistrer une application.
- Pour mettre à jour une application existante, procédez comme suit :
  - Accédez à Identité > Applications > Applications d'entreprise.
  - Sélectionnez l'application que vous souhaitez mettre à jour.
Créez un code secret du client dans l'application en suivant les instructions de Certificats et codes secrets. Assurez-vous de noter la valeur du code secret du client, car elle ne s'affiche qu'une seule fois.
Notez les valeurs suivantes de l'application que vous avez créée ou mise à jour. Vous fournissez les valeurs lorsque vous configurez le fournisseur de pools d'identités des employés plus loin dans ce document.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Pour récupérer les groupes Microsoft Entra ID, ajoutez l'autorisation d'API permettant à la fédération des identités des employés d'accéder aux informations des utilisateurs depuis Microsoft Entra ID à l'aide de l'API Microsoft Graph, puis accordez l'autorisation de l'administrateur. Dans Microsoft Entra ID, procédez comme suit :
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations de l'application.
5. Dans le champ de recherche, saisissez User.ReadBasic.All.
6. Cliquez sur Ajouter des autorisations.
Vous pouvez récupérer les groupes Microsoft Entra ID en tant qu'identifiants d'objet de groupe (ID) ou en tant qu'adresses e-mail de groupe pour les groupes compatibles avec les e-mails.

Si vous choisissez de récupérer les groupes en tant qu'adresses e-mail de groupe, l'étape suivante est requise.
Pour récupérer les groupes Microsoft Entra ID en tant qu'adresses e-mail de groupe, procédez comme suit. Si vous récupérez les groupes en tant qu'identifiants d'objet de groupe, ignorez cette étape.
1. Dans le champ de recherche, saisissez GroupMember.Read.All.
2. Cliquez sur Ajouter des autorisations.
3. Cliquez sur Accorder le consentement administrateur pour votre nom de domaine.
4. Dans la boîte de dialogue qui s'affiche, cliquez sur Oui.
5. Accédez à la page Présentation de l'application Microsoft Entra ID que vous avez créée ou mise à jour précédemment.
6. Cliquez sur Points de terminaison.
L'URI de l'émetteur est l'URI du document de métadonnées OIDC, en omettant le chemin d'accès /.well-known/openid-configuration.

Par exemple, si le document de métadonnées OIDC est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI de l'émetteur est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Créer un pool d'identités de personnel

gcloud

Pour créer le pool d'identités de personnel, exécutez la commande suivante :

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID que vous choisissez pour représenter votre pool de personnel Google Cloud . Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
ORGANIZATION_ID : ID d'organisation numérique de votre organisation Google Cloud pour le pool d'identités de personnel. Les pools d'identités de personnel sont disponibles dans tous les projets et dossiers de l'organisation.
DISPLAY_NAME : facultatif. Un nom à afficher pour votre pool d'identités d'employés.
DESCRIPTION : facultatif. Description du pool d'identités de personnel
SESSION_DURATION : facultatif. Durée de la session, exprimée sous la forme d'un nombre suivi de s (par exemple, 3600s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , les sessions de connexion à la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. La durée de la session est définie par défaut sur une heure (3 600 s). La valeur de la durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).

Console

Pour créer le pool d'identités de personnel, procédez comme suit :

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel
Sélectionnez l'organisation pour votre pool d'identités de personnel. Les pools d'identités Workforce sont disponibles pour tous les projets et dossiers d'une organisation.
Cliquez sur Créer un pool et procédez comme suit :
1. Dans le champ Nom, saisissez le nom à afficher du pool. L'ID du pool est automatiquement dérivé du nom au fur et à mesure de la saisie, et s'affiche sous le champ Nom. Vous pouvez modifier l'ID du pool en cliquant sur Modifier à côté de l'ID du pool.
2. Facultatif : Dans le champ Description, saisissez une description du pool.
3. Pour créer le pool d'identités de personnel, cliquez sur Suivant.

Configurer le fournisseur de pools d'identités de personnel SAML 2.0

gcloud

Pour créer le fournisseur de pools d'identités de personnel SAML, exécutez la commande suivante :

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Remplacez les éléments suivants :

PROVIDER_ID : ID de fournisseur unique. Le préfixe gcp- est réservé et ne peut pas être utilisé dans un ID de pool ou de fournisseur.
WORKFORCE_POOL_ID : ID du pool de personnel.
DISPLAY_NAME : nom à afficher pour le fournisseur.
XML_METADATA_PATH : chemin d'accès au fichier de métadonnées XML SAML 2.0.
ATTRIBUTE_MAPPING : mappage des attributs de Microsoft Entra ID à Google Cloud. Par exemple, pour mapper les attributs groups et subject de Microsoft Entra ID, utilisez le mappage d'attributs suivant :
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Pour en savoir plus, consultez Mappage d'attributs.
EXTRA_ATTRIBUTES_ISSUER_URI : URI de l'émetteur de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID : ID client de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET : code secret du client supplémentaire de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE : utilisez azure-ad-groups-mail pour récupérer les adresses e-mail des groupes. Utilisez azure-ad-groups-id pour récupérer les ID des groupes.
EXTRA_ATTRIBUTES_FILTER : facultatif. Expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph. Vous pouvez utiliser ce paramètre pour vous assurer que le nombre de groupes récupérés auprès de l'IdP ne dépasse pas la limite de 400 groupes.
L'exemple suivant récupère les groupes dont l'adresse e-mail est précédée du préfixe sales :
```
--extra-attributes-filter='"mail:sales"'
```
L'expression suivante récupère les groupes dont le nom à afficher contient la chaîne sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez Tarifs de Google Cloud Observability.

Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Administrateurs d'espaces d'agent : les informations sur les attributs étendus (--extended-attributes) ne sont pas incluses dans les journaux d'audit.

Console

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel

Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans la section Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans la liste Sélectionner un fournisseur, sélectionnez votre fournisseur d'identité (IdP).
Si votre fournisseur d'identité n'est pas listé, sélectionnez Fournisseur d'identité générique.
Dans Sélectionner un protocole d'authentification, sélectionnez SAML.
Dans la section Créer un fournisseur, procédez comme suit :
1. Dans Nom, saisissez un nom pour le fournisseur.
2. Facultatif : Dans le champ Description, saisissez une description du fournisseur.
3. Dans Fichier de métadonnées IdP (XML), sélectionnez le fichier XML de métadonnées que vous avez généré précédemment dans ce guide.
4. Pour créer un fournisseur activé, assurez-vous que l'option Activer le fournisseur est activée.
5. Cliquez sur Continuer.
Dans la section Partagez les informations sur votre fournisseur, copiez les URL. Dans votre IdP, configurez la première URL comme ID d'entité, qui identifie votre application auprès de l'IdP. Configurez l'autre URL comme URI de redirection, qui indique à votre IdP où envoyer le jeton d'assertion après la connexion.
Cliquez sur Continuer.
Dans la section Configurer le fournisseur, procédez comme suit :
1. Dans Mappage des attributs, saisissez une expression CEL pour google.subject.
2. Facultatif : Pour définir d'autres mappages, cliquez sur Ajouter un mappage et saisissez d'autres mappages. Par exemple :
3. Si vous avez sélectionné Microsoft Entra ID comme IdP, vous pouvez augmenter le nombre de groupes.
  1. Sélectionnez Utiliser des attributs supplémentaires.
  2. Dans le champ URI de l'émetteur des attributs supplémentaires, saisissez l'URL de l'émetteur.
  3. Dans le champ ID client des attributs supplémentaires, saisissez l'ID client.
  4. Dans le champ Code secret du client pour les attributs supplémentaires, saisissez le code secret du client.
  5. Dans la liste Type d'attribut supplémentaire, sélectionnez un type d'attribut pour les attributs supplémentaires.
  6. Dans le champ Filtre des attributs supplémentaires, saisissez une expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph.
4. Facultatif : pour ajouter une condition d'attribut, cliquez sur Ajouter une condition, puis saisissez une expression CEL représentant une condition d'attribut. Par exemple, pour limiter l'attribut ipaddr à une certaine plage d'adresses IP, vous pouvez définir la condition assertion.attributes.ipaddr.startsWith('98.11.12.'). Cet exemple de condition garantit que seuls les utilisateurs dont l'adresse IP commence par 98.11.12. peuvent se connecter en utilisant ce fournisseur de personnel.
5. Cliquez sur Continuer.
6. Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation d'audit des valeurs d'attribut.
  La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez Tarifs de Google Cloud Observability.
  
  Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Pour créer le fournisseur, cliquez sur Envoyer.

Attribuer des rôles IAM à des groupes

Dans cette section, vous allez attribuer des rôles à des groupes sur les ressources Google Cloud . Pour en savoir plus sur les identifiants de compte principal de la fédération d'identité de personnel, consultez Représenter les utilisateurs de pools de personnel dans les stratégies IAM.

L'exemple suivant attribue le rôle Administrateur Storage (roles/storage.admin) aux utilisateurs d'un groupe Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Remplacez les éléments suivants :

PROJECT_ID : ID du projet
WORKFORCE_POOL_ID : ID du pool d'identités de personnel
GROUP_ID : identifiant du groupe, qui dépend de la valeur de --extra-attributes-type utilisée pour créer le fournisseur de pool d'identités de personnel, comme suit :
- azure-ad-groups-mail : l'identifiant du groupe est une adresse e-mail, par exemple admin-group@altostrat.com.
- azure-ad-groups-id : l'identifiant de groupe est un UUID pour le groupe, par exemple : abcdefgh-0123-0123-abcdef

Dans cette section, vous vous connectez en tant qu'utilisateur de pool d'identités de personnel et vérifiez que vous avez accès aux ressources Google Cloud .

Cette section explique comment se connecter en tant qu'utilisateur fédéré et accéder aux ressourcesGoogle Cloud .

Pour vous connecter à la console de fédération des identités des employés Google Cloud , également appelée console (fédérée), procédez comme suit :

Accédez à la page de connexion de la console (fédéré).

Accéder à la console (fédéré)

Saisissez le nom du fournisseur, en respectant le format suivant :

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Si vous y êtes invité, saisissez les identifiants utilisateur dans Microsoft Entra ID.

Si vous démarrez une connexion initiée par le fournisseur d'identité, utilisez l'URL de relais suivante : https://console.cloud.google/.

Pour vous connecter à gcloud CLI à l'aide d'un flux de connexion basé sur un navigateur, procédez comme suit :

Créer un fichier de configuration

Pour créer le fichier de configuration de connexion, exécutez la commande suivante. Vous pouvez éventuellement définir par défaut l'activation du fichier pour gcloud CLI en ajoutant l'option --activate. Vous pouvez ensuite exécuter gcloud auth login sans spécifier le chemin d'accès au fichier de configuration à chaque fois.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID du pool de personnel
PROVIDER_ID : ID du fournisseur
LOGIN_CONFIG_FILE_PATH : chemin d'accès à un fichier de configuration que vous spécifiez, par exemple login.json

Le fichier contient les points de terminaison utilisés par gcloud CLI pour activer le flux d'authentification via le navigateur et définir l'audience sur le fournisseur d'identité configuré dans le fournisseur de pool d'identités de personnel. Votre fichier ne contient aucune information confidentielle.

La sortie ressemble à ceci :

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Pour empêcher gcloud auth login d'utiliser automatiquement ce fichier de configuration, vous pouvez le désactiver en exécutant gcloud config unset auth/login_config_file.

Se connecter à l'aide d'une authentification basée sur le navigateur

Pour vous authentifier à l'aide de l'authentification de connexion basée sur le navigateur, vous pouvez utiliser l'une des méthodes suivantes :

Si vous avez utilisé l'option --activate lors de la création du fichier de configuration ou si vous avez activé le fichier de configuration avec la commande gcloud config set auth/login_config_file, gcloud CLI va utiliser automatiquement votre fichier de configuration :
```
gcloud auth login
```
Pour vous connecter en spécifiant l'emplacement du fichier de configuration, exécutez la commande suivante :
```
gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
```
Pour utiliser une variable d'environnement afin de spécifier l'emplacement du fichier de configuration, définissez CLOUDSDK_AUTH_LOGIN_CONFIG_FILE sur le chemin d'accès de la configuration.

Désactiver la connexion via le navigateur

Pour arrêter d'utiliser le fichier de configuration de connexion, procédez comme suit :

Si vous avez utilisé l'option --activate lors de la création du fichier de configuration ou si vous avez activé le fichier de configuration avec la commande gcloud config set auth/login_config_file, vous devez exécuter la commande suivante pour le désactiver :
```
gcloud config unset auth/login_config_file
```
Si elle est définie, effacez la variable d'environnement CLOUDSDK_AUTH_LOGIN_CONFIG_FILE.

Pour vous connecter à Microsoft Entra ID avec gcloud CLI, procédez comme suit :

OIDC

Suivez les étapes de l'article Envoyer la demande de connexion. Connectez l'utilisateur à votre application avec Microsoft Entra ID à l'aide d'OIDC.
Copiez le jeton d'ID à partir du paramètre id_token de l'URL de redirection et enregistrez-le dans un fichier placé dans un emplacement sécurisé sur votre machine locale. Lors d'une étape ultérieure, vous définirez PATH_TO_OIDC_ID_TOKEN sur le chemin d'accès à ce fichier.

Générez un fichier de configuration semblable à l'exemple plus loin dans cette étape en exécutant la commande suivante :

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID du pool d'identités de personnel
WORKFORCE_PROVIDER_ID : ID du fournisseur de pools d'identités des employés
PATH_TO_OIDC_ID_TOKEN : chemin d'accès à l'emplacement du fichier dans lequel le jeton de fournisseur d'identité est stocké.
WORKFORCE_POOL_USER_PROJECT : numéro ou ID du projet utilisé pour les quotas et la facturation. Le compte principal doit disposer de l'autorisation serviceusage.services.use sur ce projet.

Une fois l'exécution de la commande terminée, le fichier de configuration suivant est créé par Microsoft Entra ID :

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Ouvrez gcloud CLI et exécutez la commande suivante :
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Remplacez PATH_TO_OIDC_CREDENTIALS par le chemin d'accès au fichier de sortie d'une étape précédente.

gcloud CLI publie vos identifiants de manière transparente sur le point de terminaison Security Token Service. Dans le point de terminaison, ils sont échangés contre des jetons d'accès Google Cloud temporaires.

Vous pouvez désormais exécuter des commandes gcloud CLI surGoogle Cloud.

SAML

Connectez un utilisateur à votre application Microsoft Entra ID et obtenez la réponse SAML.
Enregistrez la réponse SAML renvoyée par Microsoft Entra ID dans un emplacement sécurisé sur votre ordinateur local, puis stockez le chemin d'accès comme suit :
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Pour générer un fichier de configuration d'identifiants, exécutez la commande suivante :

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Remplacez les éléments suivants :

WORKFORCE_PROVIDER_ID : ID du fournisseur de pools d'identités de personnel que vous avez créé précédemment dans ce guide
WORKFORCE_POOL_ID : ID du pool d'identités de personnel que vous avez créé précédemment dans ce guide.
SAML_ASSERTION_PATH : chemin d'accès du fichier d'assertion SAML
PROJECT_ID : ID du projet

Le fichier de configuration généré se présente comme suit :

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Pour vous connecter à la gcloud CLI à l'aide de l'échange de jetons de la fédération des identités des employés, exécutez la commande suivante :
```
gcloud auth login --cred-file=config.json
```
gcloud CLI échange ensuite de manière transparente vos identifiants Microsoft Entra ID contre des jetons d'accès Google Cloud temporaires. Les jetons d'accès vous permettent d'accéder à Google Cloud.

Vous obtenez un résultat semblable à celui-ci :
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Pour répertorier les comptes avec identifiants et votre compte actif, exécutez la commande suivante :
```
gcloud auth list
```

Tester l'accès

Vous avez désormais accès aux produits Google Cloud compatibles avec la fédération d'identité de personnel et auxquels on vous a accordé l'accès. Plus tôt dans ce document, vous avez accordé le rôle Administrateur de l'espace de stockage (roles/storage.admin) à toutes les identités du groupe dont vous avez spécifié l'identifiant dans gcloud projects add-iam-policy-binding pour le projet TEST_PROJECT_ID.

Vous pouvez désormais tester l'accès en répertoriant les buckets Cloud Storage.

Console (fédéré)

Pour vérifier que vous avez accès à l'aide de la console (fédérée), procédez comme suit :

Accédez à la page Cloud Storage.

Accéder à Cloud Storage
Vérifiez que vous pouvez voir la liste des buckets existants pour le TEST_PROJECT_ID.

CLI gcloud

Pour tester votre accès à l'aide de gcloud CLI, vous pouvez lister les buckets et les objets Cloud Storage du projet auquel vous avez accès. Pour ce faire, exécutez la commande suivante. Le compte principal doit disposer de l'autorisation serviceusage.services.use sur le projet spécifié.

gcloud storage ls --project="TEST_PROJECT_ID"

Supprimer des comptes utilisateur

La fédération d'identité de personnel crée des métadonnées et des ressources utilisateur pour les identités des utilisateurs fédérées. Si vous choisissez de supprimer des utilisateurs dans votre IdP, vous devez également supprimer explicitement ces ressources dans Google Cloud. Pour ce faire, consultez Supprimer des utilisateurs de la fédération d'identité des employés et leurs données.

Il est possible que des ressources restent associées à un utilisateur supprimé. En effet, la suppression de métadonnées et de ressources utilisateur nécessite une opération de longue durée. Une fois que vous avez lancé la suppression de l'identité d'un utilisateur, les processus qu'il a lancés avant la suppression peuvent continuer à s'exécuter jusqu'à ce qu'ils soient terminés ou annulés.

Configurer SCIM

Cette section explique comment configurer un locataire SCIM dans un pool d'identités des employés.

Chaque pool d'identités de personnel n'est compatible qu'avec un seul locataire SCIM. Pour configurer un locataire SCIM dans un pool qui en possède déjà un, vous devez d'abord supprimer définitivement le locataire existant.

L'indicateur --claim-mapping d'un locataire SCIM ne peut contenir que des expressions CEL (Common Expression Language) spécifiques. Pour savoir quelles expressions sont acceptées, consultez Mapper les jetons et les attributs SCIM.

Important : Assurez-vous que votre IdP fournit des valeurs uniques pour les attributs que vous mappez à google.subject et google.group à l'aide de SCIM. Pour en savoir plus, consultez Compatibilité avec SCIM.

Pour configurer System for Cross-domain Identity Management (SCIM), vous devez effectuer les opérations suivantes :

Configurer un locataire et un jeton SCIM dans Google Cloud
Configurer SCIM dans votre IdP

Configurer un locataire et un jeton SCIM dans Google Cloud

Pour configurer un locataire SCIM dans Google Cloud, procédez comme suit :

Créez un locataire SCIM.
```
    gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"
    
```
Remplacez les éléments suivants :
- SCIM_TENANT_ID : ID de votre locataire SCIM.
- WORKFORCE_POOL_ID : ID du pool de personnel que vous avez créé précédemment dans ce document.
- PROVIDER_ID : ID du fournisseur de pools d'identités de personnel que vous avez créé précédemment dans ce document.
- SCIM_TENANT_DISPLAY_NAME : nom à afficher pour votre locataire SCIM.
- SCIM_TENANT_DESCRIPTION : description de votre locataire SCIM.
- CLAIM_MAPPING : liste de mappages d'attributs séparés par une virgule. Nous vous recommandons d'utiliser le mappage d'attributs suivant :
```
google.subject=user.externalId,google.group=group.externalId
```
  L'attribut google.subject que vous mappez dans le locataire SCIM doit faire référence de manière unique aux mêmes identités que celles mappées dans l'attribut google.subject du fournisseur de pool d'identités de personnel à l'aide du flag --attribute-mapping. Une fois le locataire SCIM créé, vous ne pouvez plus mettre à jour le mappage des revendications. Pour le remplacer, vous pouvez supprimer définitivement le locataire SCIM et en créer un immédiatement. Pour en savoir plus sur les éléments à prendre en compte pour l'utilisation de SCIM, consultez Compatibilité avec SCIM.
Une fois la commande terminée, procédez comme suit :
1. Dans le champ baseUri du résultat, enregistrez l'intégralité de l'URI, qui est au format https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Vous devez fournir cet URI à votre IdP.
2. De plus, à partir de l'URI, n'enregistrez que SCIM_TENANT_UID. Vous aurez besoin de cet UID pour définir des stratégies IAM sur le locataire SCIM, plus loin dans ce document.

Créez un jeton SCIM :

    gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

Remplacez les éléments suivants :

SCIM_TOKEN_ID : ID du jeton SCIM
DISPLAY_NAME : nom à afficher du jeton SCIM
WORKFORCE_POOL_ID : ID du pool de personnel
SCIM_TENANT_ID : ID du locataire SCIM
PROVIDER_ID : ID du fournisseur du pool d'identités de personnel

Une fois la commande gcloud iam workforce-pools providers scim-tenants tokens create terminée, procédez comme suit :
1. Dans le résultat, enregistrez la valeur de SCIM_TOKEN dans le champ securityToken. Vous devez fournir ce jeton de sécurité à votre IdP. Le jeton de sécurité n'est affiché que dans cette sortie. Si vous le perdez, vous devez créer un autre jeton SCIM.
2. Pour vérifier si SCIM_TOKEN est refusé par le règlement de votre organisation, exécutez la commande suivante :
```
curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
```
  Si la commande échoue en raison d'une erreur liée aux autorisations, exécutez gcloud organizations add-iam-policy-binding, décrit dans une étape ultérieure. Si la commande réussit, vous pouvez ignorer cette étape.
Définissez des stratégies IAM sur le locataire et le jeton SCIM. Si la commande curl d'une étape précédente a échoué en raison d'une erreur liée aux autorisations, vous devez exécuter la commande suivante :
```
    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer
    
```
Remplacez l'élément suivant :
- ORGANIZATION_ID : ID de l'organisation.
- SERVICE_AGENT_EMAIL : adresse e-mail de l'agent de service. L'adresse e-mail est au format suivant : o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID est renvoyé lorsque vous créez le locataire SCIM.

Lorsque vous provisionnez des groupes dans votre fournisseur d'identité, assurez-vous que le nom à afficher de chaque groupe, tel qu'il est indiqué dans le champ displayName, est unique dans un locataire SCIM. Pour en savoir plus sur les groupes et SCIM dans Microsoft Entra ID, consultez Groupes.

Configurer SCIM dans Microsoft Entra ID

Pour configurer SCIM dans Microsoft Entra ID :

Ouvrez le portail Azure et connectez-vous en tant qu'utilisateur disposant des droits d'administrateur général.
Sélectionnez Microsoft Entra ID > Applications d'entreprise.
Cliquez sur Nouvelle application.
Dans Parcourir la galerie d'applications Microsoft Entra, cliquez sur Créer votre propre application.
Dans le panneau Créer votre propre application qui s'affiche, procédez comme suit :
1. Dans le champ Quel est le nom de votre application ?, saisissez le nom de votre application.
2. Sélectionnez Intégrer toute autre application que vous ne trouvez pas dans la galerie (hors galerie).
3. Pour créer l'application, cliquez sur Créer.
Dans votre application, procédez comme suit :
1. Dans la section Gérer, cliquez sur Provisionnement.
2. Dans le volet de droite qui s'affiche, cliquez sur Nouvelle configuration.
3. Sous Informations d'identification de l'administrateur, dans URL du locataire, saisissez l'URL SCIM que vous avez obtenue lorsque vous avez créé le locataire SCIM, suivie de ?aadOptscim062020. Vous devez ajouter ?aadOptscim062020 à la fin de l'URI de base.
  
  Ce paramètre de requête est requis par Microsoft Entra ID pour s'assurer que les requêtes SCIM PATCH sont conformes aux normes SCIM RFC. Pour en savoir plus, consultez la documentation Microsoft.
  
  L'URL finale du locataire dans Microsoft Entra ID doit respecter le format suivant :
```
https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020
```
  Remplacez SCIM_TENANT_UID par l'UID du locataire SCIM.
4. Dans Jeton secret, saisissez le jeton secret que vous avez obtenu lorsque vous avez créé le locataire SCIM.
5. Pour tester la configuration SCIM avec la fédération des identités des employés, cliquez sur Tester la connexion.
6. Pour enregistrer la configuration, cliquez sur Créer.
Dans la section Gérer, procédez comme suit :
1. Cliquez sur Mappage des attributs.
2. Cliquez sur Provisionner des utilisateurs Microsoft Entra ID.
3. Sur la page Mappage des attributs, procédez comme suit :
  1. Dans le tableau Mappages d'attributs, recherchez la ligne correspondant à externalId, puis cliquez sur Modifier sur cette ligne. Sur la page Modifier les attributs, procédez comme suit :
    1. Dans Faire correspondre les objets à l'aide de cet attribut, sélectionnez Yes.
    2. Dans Précédence de correspondance, saisissez 2.
    3. Dans la liste déroulante Attribut source, sélectionnez objectId.
    4. Pour enregistrer le mappage d'attributs, cliquez sur OK.
  2. Dans le tableau Mappages d'attributs, recherchez la ligne correspondant à userName, puis cliquez sur Modifier sur cette ligne. Sur la page Modifier les attributs, procédez comme suit :
    1. Dans Faire correspondre les objets à l'aide de cet attribut, sélectionnez No.
    2. Pour enregistrer le mappage d'attributs, cliquez sur OK.
  3. Dans le tableau Mappages d'attributs, recherchez la ligne correspondant à externalId, puis cliquez sur Modifier sur cette ligne. Sur la page Modifier les attributs, procédez comme suit :
    1. Dans Précédence de correspondance, saisissez 1.
    2. Pour enregistrer le mappage d'attributs, cliquez sur OK.
4. Cliquez sur Provisionner des groupes Microsoft Entra ID.
5. Sur la page Mappage des attributs, procédez comme suit :
  1. Dans le tableau Mappages d'attributs, recherchez la ligne correspondant à externalId, puis cliquez sur Modifier sur cette ligne. Sur la page Modifier les attributs, procédez comme suit :
    1. Dans Faire correspondre les objets à l'aide de cet attribut, sélectionnez Yes.
    2. Dans Précédence de correspondance, saisissez 2.
    3. Dans la liste déroulante Attribut source, sélectionnez objectId.
    4. Pour enregistrer le mappage d'attributs, cliquez sur OK.
  2. Dans le tableau Mappages d'attributs, recherchez la ligne correspondant à displayName, puis cliquez sur Modifier sur cette ligne. Sur la page Modifier les attributs, procédez comme suit :
    1. Dans Faire correspondre les objets à l'aide de cet attribut, sélectionnez No.
    2. Pour enregistrer le mappage d'attributs, cliquez sur OK.
  3. Dans le tableau Mappages d'attributs, recherchez la ligne correspondant à externalId, puis cliquez sur Modifier sur cette ligne. Sur la page Modifier les attributs, procédez comme suit :
    1. Dans Précédence de correspondance, saisissez 1.
    2. Pour enregistrer le mappage d'attributs, cliquez sur OK.

Mettre à jour le fournisseur pour activer SCIM

Pour activer SCIM pour un fournisseur, procédez comme suit :

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Remplacez les éléments suivants :

PROVIDER_ID : ID du fournisseur du pool d'identités de personnel
WORKFORCE_POOL_ID : ID du pool de personnel
LOCATION : emplacement du pool de personnel

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Remplacez les éléments suivants :

PROVIDER_ID : ID du fournisseur du pool d'identités de personnel
WORKFORCE_POOL_ID : ID du pool de personnel
LOCATION : emplacement du pool de personnel

Mapper les attributs de jeton et SCIM

Vous devez mapper les attributs de manière cohérente, à la fois dans le fournisseur de pool d'identités de personnel et dans le locataire SCIM configuré pour le fournisseur. Pour le fournisseur de pools d'identités de personnel, vous utilisez l'indicateur --attribute-mapping, et pour le locataire SCIM, vous utilisez l'indicateur --claim-mapping. L'attribut IdP mappé sur google.subject pour les utilisateurs doit faire référence de manière unique à la même identité, qu'elle soit définie dans un jeton ou un mappage SCIM. Pour en savoir plus sur le mappage des attributs lorsque vous utilisez SCIM, consultez la section Compatibilité avec SCIM. Le tableau suivant vous montre comment mapper les attributs dans les revendications de jetons et les attributs SCIM :

Attribut Google	Mappage des fournisseurs de pools d'identités de personnel	Mappage de locataires SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.group`, veillez à informer votre fournisseur de `--scim-usage=enabled-for-groups`.	`N/A`	`group.externalId`

Forcer la suppression d'un locataire SCIM

Pour forcer la suppression d'un locataire SCIM :

Si --scim-usage=enabled-for-groups est défini pour votre fournisseur, désactivez-le dans la configuration du fournisseur :
```
          gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED
        
```
Remplacez les éléments suivants :
- PROVIDER_ID : ID du fournisseur du pool d'identités de personnel
- WORKFORCE_POOL_ID : ID du pool de personnel
Supprimez le locataire SCIM :
```
  gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global
```
Remplacez les éléments suivants :
- SCIM_TENANT_ID : ID du locataire SCIM à supprimer
- WORKFORCE_POOL_ID : ID du pool de personnel
- PROVIDER_ID : ID du fournisseur du pool d'identités de personnel
Pour en savoir plus sur SCIM, y compris sur la suppression des locataires SCIM, consultez Compatibilité SCIM.

Étapes suivantes

Supprimer les utilisateurs et leurs données de la fédération des identités des employés
Découvrez les produits Google Cloud compatibles avec la fédération d'identité de personnel.
Configurer l'accès utilisateur à la console (fédéré)

Configurer la fédération des identités des employés avec Microsoft Entra ID Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Concepts clés

Attributs supplémentaires

Attributs étendus

Avant de commencer

Coûts

Rôles requis

Créer une application Microsoft Entra ID

OIDC

SAML

Configurer un grand nombre de groupes avec Microsoft Entra ID

Configurer un grand nombre de groupes avec Microsoft Entra ID et le flux implicite OIDC

Configurer votre application Microsoft Entra ID

Créer un pool d'identités de personnel

gcloud

Console

Configurer le fournisseur de pools d'identités de personnel avec flux implicite OIDC

gcloud

Console

Configurer un grand nombre de groupes dans Microsoft Entra ID avec le flux de code OIDC

Configurer votre application Microsoft Entra ID

Créer un pool d'identités de personnel

gcloud

Console

Configurer le fournisseur de pools d'identités de personnel avec flux de code OIDC

gcloud

Console

Configurer un grand nombre de groupes dans Microsoft Entra ID avec SAML 2.0

Configurer votre application Microsoft Entra ID

Créer un pool d'identités de personnel

gcloud

Console

Configurer le fournisseur de pools d'identités de personnel SAML 2.0

gcloud

Console

Attribuer des rôles IAM à des groupes

Se connecter et tester l'accès

Se connecter

Connexion à la console (fédéré)

Connexion à gcloud CLI depuis un navigateur

Connexion à gcloud CLI sans interface graphique

OIDC

SAML

Tester l'accès

Console (fédéré)

CLI gcloud

Supprimer des comptes utilisateur

Configurer SCIM

Configurer un locataire et un jeton SCIM dans Google Cloud

Configurer SCIM dans Microsoft Entra ID

Mettre à jour le fournisseur pour activer SCIM

OIDC

SAML

Mapper les attributs de jeton et SCIM

Forcer la suppression d'un locataire SCIM

Étapes suivantes

Configurer la fédération des identités des employés avec Microsoft Entra ID