Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi Workforce Identity Federation dengan Microsoft Entra ID

Anda dapat mengonfigurasi Penggabungan Identitas Karyawan dengan penyedia identitas (IdP) Microsoft Entra ID dan memetakan hingga 400 grup dari Microsoft Entra ID ke Google Cloud menggunakan Microsoft Graph. Kemudian, Anda dapat memberikan peran IAM ke grup tersebut, dan cara login pengguna Microsoft Entra ID yang merupakan anggota grup ke Google Cloud. Pengguna kemudian dapat mengakses produk yang telah diberikan akses IAM kepada mereka dan yang juga mendukung Workforce Identity Federation. Google Cloud

Untuk memetakan kurang dari 150 grup dari Microsoft Entra ID ke Google Cloud, lihat Mengonfigurasi Federasi Identitas Karyawan dengan Microsoft Entra ID dan login pengguna.

Konsep utama

Bagian ini menjelaskan konsep yang digunakan untuk mengonfigurasi Workforce Identity Federation, yang akan dibahas nanti dalam dokumen ini.

Atribut tambahan

Untuk memetakan hingga 400 grup, Anda menggunakan atribut tambahan dengan menentukan tanda extra-attributes saat membuat penyedia workforce identity pool. Anda dapat menggunakan atribut tambahan dengan protokol berikut:

OIDC dengan alur implisit
OIDC dengan alur kode
Protokol SAML 2.0

Jumlah alamat email grup yang dapat dikeluarkan aplikasi Microsoft Entra ID dalam token dibatasi hingga 150 untuk SAML dan 200 untuk JWT. Untuk mempelajari batas ini lebih lanjut, lihat Mengonfigurasi klaim grup untuk aplikasi menggunakan Microsoft Entra ID. Untuk mengambil lebih banyak grup, Workforce Identity Federation menggunakan alur kredensial klien OAuth 2.0 Microsoft Identity untuk mendapatkan kredensial yang memungkinkan Workforce Identity Federation mengirim kueri ke Microsoft Graph API dan mengambil grup pengguna.

Untuk menggunakan atribut tambahan, pada intinya, Anda perlu melakukan tindakan berikut:

Buat aplikasi Microsoft Entra ID baru atau perbarui aplikasi yang ada untuk mendapatkan keanggotaan grup pengguna dari Microsoft Graph API. Untuk mempelajari lebih lanjut cara Microsoft Graph mengambil sejumlah besar grup dari Microsoft Entra ID, lihat Kelebihan grup.
Saat membuat penyedia workforce identity pool, Anda menggunakan flag extra-attributes untuk mengonfigurasi Workforce Identity Federation agar mengambil alamat email grup pengguna dari Microsoft Graph API.

Workforce Identity Federation dapat mengambil maksimum 999 grup dari Microsoft Graph API. Jika Microsoft Graph API menampilkan lebih dari 999 grup, login akan gagal.

Untuk mengurangi jumlah grup yang ditampilkan oleh Microsoft Graph API, Anda dapat memperbaiki kueri Workforce Identity Federation dengan menggunakan flag --extra-attributes-filter, saat Anda membuat penyedia workforce identity pool.

Setelah Workforce Identity Federation mengambil grup dari Microsoft Graph API, layanan ini akan membuat token akses. Workforce Identity Federation dapat menambahkan maksimal 400 grup ke token akses. Jadi, untuk memfilter lebih lanjut jumlah grup menjadi 400 atau kurang, Anda dapat menentukan pemetaan atribut yang berisi ekspresi Common Expression Language (CEL) saat membuat penyedia workforce identity pool.

Atribut yang diperluas

Untuk pengguna Gemini Enterprise, Anda dapat menggunakan atribut yang diperluas untuk memetakan hingga 1.000 grup dari Microsoft Entra ID. Batas ini lebih tinggi daripada batas untuk atribut tambahan. Untuk menggunakan atribut tambahan, Anda menentukan flag extended-attributes saat membuat penyedia workforce identity pool. Dengan menggunakan atribut yang diperluas, Workforce Identity Federation mengambil ID grup (UUID) dari Microsoft Entra ID.

Agar pengguna Gemini Enterprise dapat memasukkan nama grup yang mudah dibaca manusia, bukan UUID, di UI berbagi notebook Gemini Enterprise, Anda juga harus mengonfigurasi SCIM.

Anda mengonfigurasi SCIM di Workforce Identity Federation dan IdP Anda seperti yang dijelaskan di bagian selanjutnya dalam dokumen ini.

Anda mengonfigurasi atribut tambahan menggunakan tanda berikut:

--extended-attributes-issuer-uri
--extended-attributes-client-id
--extended-attributes-client-secret-value

Saat Anda menggunakan atribut tambahan, batasan berikut juga berlaku:

Anda tidak perlu mengonfigurasi google.groups dalam pemetaan atribut karena atribut grup tidak digunakan. Namun, pemetaan atribut lainnya digunakan.
Anda dapat mengonfigurasi flag penyedia workforce identity pool lainnya seperti yang didokumentasikan, tetapi setelan tersebut berlaku untuk produk selain Gemini Enterprise yang mendukung Workforce Identity Federation.
Atribut yang diperluas diperbarui dan di-refresh secara berkala di latar belakang untuk durasi sesi, bahkan setelah login.
Di Microsoft Entra ID, Anda harus memberikan izin aplikasi User.Read.All, bukan User.Read, User.ReadBasic.All, atau GroupMember.Read.All.
Flag jenis atribut yang diperluas --extended-attributes-type hanya mendukung jenis azure-ad-groups-id.
Atribut yang diperluas hanya mendukung hingga 1.000 grup. Sebaliknya, tanda --extra-attributes mendukung hingga 400 grup.
Atribut yang diperluas hanya dapat digunakan untuk login web melalui vertexaisearch.cloud.google, bukan untuk login konsol dan bukan untuk login gcloud CLI.

Sebelum memulai

Pastikan Anda telah menyiapkan Google Cloud organisasi.
Instal Google Cloud CLI. Setelah penginstalan, inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:
```
gcloud init
```
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

Catatan: Jika Anda telah menginstal gcloud CLI sebelumnya, pastikan Anda memiliki versi terbaru dengan menjalankan gcloud components update.
Di Microsoft Entra ID, pastikan token ID diaktifkan untuk alur implisit. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan pemberian implisit token ID.
Untuk login, IdP Anda harus memberikan informasi autentikasi yang ditandatangani: IdP OIDC harus memberikan token JWT, dan respons IdP SAML harus ditandatangani.
Untuk menerima informasi penting tentang perubahan pada organisasi atau produk Anda, Anda harus memberikan Kontak Penting.Google Cloud Untuk mengetahui informasi selengkapnya, lihat Ringkasan Workforce Identity Federation.
Semua grup yang ingin Anda petakan harus ditandai sebagai grup keamanan di Microsoft Entra ID.
Penting: Maksimum 999 grup dapat diambil.

Biaya

Workforce Identity Federation tersedia sebagai fitur tanpa biaya. Namun, audit logging mendetail Workforce Identity Federation menggunakan Cloud Logging. Untuk mempelajari harga Logging, lihat Harga Google Cloud Observability.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna mengonfigurasi Workforce Identity Federation, minta administrator untuk memberi Anda IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) peran IAM di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Jika Anda mengonfigurasi izin di lingkungan pengembangan atau pengujian—tetapi bukan di lingkungan produksi—Anda dapat memberikan peran dasar Pemilik IAM (roles/owner), yang juga mencakup izin untuk Workforce Identity Federation.

Membuat aplikasi Microsoft Entra ID

Bagian ini menunjukkan cara membuat aplikasi Microsoft Entra ID menggunakan portal admin Microsoft Entra. Atau, Anda dapat mengupdate aplikasi yang ada. Untuk mengetahui detail tambahan, lihat Membangun aplikasi di ekosistem Microsoft Entra ID.

Workforce identity pool mendukung federasi menggunakan protokol OIDC dan SAML.

OIDC

Untuk membuat pendaftaran aplikasi Microsoft Entra ID yang menggunakan protokol OIDC, lakukan hal berikut:

Login ke portal administrator Microsoft Entra.
Buka Identity > Applications > App registrations.
Untuk mulai mengonfigurasi pendaftaran aplikasi, lakukan hal berikut:
1. Klik New registration.
2. Masukkan nama untuk aplikasi Anda.
3. Di Jenis akun yang didukung, pilih salah satu opsi.
4. Di bagian URI Pengalihan, pada menu drop-down Pilih platform, pilih Web.
5. Di kolom teks, masukkan URL pengalihan. Pengguna Anda akan dialihkan ke URL ini setelah berhasil login. Jika Anda mengonfigurasi akses ke konsol (gabungan), gunakan format URL berikut:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Ganti kode berikut:
  - WORKFORCE_POOL_ID: ID workforce identity pool yang akan Anda gunakan saat membuat workforce identity pool nanti dalam dokumen ini—misalnya: entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID: ID penyedia workforce identity pool yang akan Anda gunakan saat membuat penyedia workforce identity pool nanti dalam dokumen ini—misalnya: entra-id-oidc-pool-provider
    
    Untuk mengetahui informasi tentang cara memformat ID, lihat bagian Parameter kueri dalam dokumentasi API.
6. Untuk membuat pendaftaran aplikasi, klik Daftar.
7. Untuk menggunakan contoh pemetaan atribut yang disediakan nanti dalam dokumen ini, Anda harus membuat atribut department kustom.

SAML

Untuk membuat pendaftaran aplikasi Microsoft Entra ID yang menggunakan protokol SAML, lakukan hal berikut:

Login ke portal administrator Microsoft Entra.
Di menu navigasi sebelah kiri, buka Entra ID > Enterprise Apps.
Untuk mulai mengonfigurasi aplikasi perusahaan, lakukan hal berikut:
1. Klik Aplikasi baru > Buat aplikasi Anda sendiri.
2. Di panel Create your own application yang muncul, masukkan nama untuk aplikasi Anda.
3. Klik Buat.
4. Buka Single sign-on > SAML.
5. Update Konfigurasi Basic SAML sebagai berikut:
  1. Di kolom Identifier (ID Entitas), masukkan nilai berikut:
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Ganti kode berikut:
    - WORKFORCE_POOL_ID: ID workforce identity pool yang akan Anda gunakan saat membuat workforce identity pool nanti dalam dokumen ini—misalnya: entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID: ID penyedia workforce identity pool yang akan Anda gunakan saat membuat penyedia workforce identity pool nanti dalam dokumen ini—misalnya: entra-id-saml-pool-provider
      
      Untuk mengetahui informasi tentang cara memformat ID, lihat bagian Parameter kueri dalam dokumentasi API.
  2. Di kolom Reply URL (Assertion Consumer Service URL), masukkan URL alihan. Pengguna Anda akan dialihkan ke URL ini setelah berhasil login. Jika Anda mengonfigurasi akses ke konsol (gabungan), gunakan format URL berikut:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Ganti kode berikut:
    - WORKFORCE_POOL_ID: ID workforce identity pool
    - WORKFORCE_PROVIDER_ID: ID penyedia identitas tenaga kerja
  3. Untuk mengaktifkan login yang dimulai dengan IdP, tetapkan kolom Status Relai ke nilai berikut:
```
https://console.cloud.google/
```
  4. Untuk menyimpan konfigurasi aplikasi SAML, klik Simpan.
6. Untuk menggunakan contoh pemetaan atribut yang disediakan nanti dalam dokumen ini, Anda harus membuat atribut department kustom.

Mengonfigurasi sejumlah besar grup dengan Microsoft Entra ID

Bagian ini menjelaskan cara memetakan hingga 400 grup dari Microsoft Entra ID ke Workforce Identity Federation menggunakan protokol OIDC dan SAML.

Mengonfigurasi sejumlah besar grup dengan Microsoft Entra ID menggunakan alur implisit OIDC

Bagian ini menjelaskan cara memetakan hingga 400 grup dari Microsoft Entra ID ke Workforce Identity Federation menggunakan protokol OpenID Connect (OIDC) dengan alur implisit.

Mengonfigurasi aplikasi Microsoft Entra ID Anda

Anda dapat mengonfigurasi aplikasi Microsoft Entra ID yang ada atau membuat aplikasi baru. Untuk mengonfigurasi aplikasi Anda, lakukan hal berikut:

Di portal Microsoft Entra ID, lakukan hal berikut:
- Untuk mendaftarkan aplikasi baru, ikuti petunjuk di Mendaftarkan aplikasi baru.
- Untuk mengupdate aplikasi yang ada, lakukan langkah-langkah berikut:
  - Buka Identity > Applications > Enterprise applications.
  - Pilih aplikasi yang ingin Anda update.
Buat rahasia klien baru di aplikasi dengan mengikuti petunjuk di Certificates & secrets. Pastikan Anda mencatat nilai rahasia klien karena hanya ditampilkan satu kali.
Catat nilai berikut dari aplikasi yang Anda buat atau update. Anda akan memberikan nilai saat mengonfigurasi penyedia workforce identity pool nanti dalam dokumen ini.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Untuk mengambil grup Microsoft Entra ID, tambahkan izin API agar Workforce Identity Federation dapat mengakses informasi pengguna dari Microsoft Entra ID menggunakan Microsoft Graph API dan berikan izin admin. Di Microsoft Entra ID, lakukan hal berikut:
1. Buka API permissions.
2. Klik Tambahkan Izin.
3. Pilih Microsoft API.
4. Pilih Izin aplikasi.
5. Di kolom penelusuran, ketik User.ReadBasic.All.
6. Klik Add permissions.
Anda dapat mengambil grup Microsoft Entra ID sebagai ID objek grup atau sebagai alamat email grup untuk grup yang mendukung email.

Jika Anda memilih untuk mengambil grup sebagai alamat email grup, langkah berikutnya diperlukan.
Untuk mengambil grup Microsoft Entra ID sebagai alamat email grup, lakukan hal berikut. Jika Anda mengambil grup sebagai ID objek grup, lewati langkah ini.
1. Di kolom penelusuran, masukkan GroupMember.Read.All.
2. Klik Add permissions.
3. Klik Grant admin consent untuk nama domain Anda.
4. Pada dialog yang muncul, klik Ya.
5. Buka halaman Ringkasan aplikasi Microsoft Entra ID yang Anda buat atau perbarui sebelumnya.
6. Klik Endpoint.
URI penerbit adalah URI dokumen metadata OIDC, tanpa menyertakan jalur /.well-known/openid-configuration.

Misalnya, jika dokumen metadata OIDC adalah https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, URI penerbitnya adalah https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Membuat workforce identity pool

gcloud

Untuk membuat workforce identity pool, jalankan perintah berikut:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ganti kode berikut:

WORKFORCE_POOL_ID: ID yang Anda pilih untuk mewakili workforce pool Google Cloud Anda. Untuk mengetahui informasi tentang cara memformat ID, lihat bagian Parameter kueri dalam dokumentasi API.
ORGANIZATION_ID: ID organisasi numerik organisasi Anda Google Cloud untuk workforce identity pool. Workforce identity pool tersedia di semua project dan folder dalam organisasi.
DISPLAY_NAME: Opsional. Nama tampilan untuk kumpulan identitas tenaga kerja Anda.
DESCRIPTION: Opsional. Deskripsi workforce identity pool.
SESSION_DURATION: Opsional. Durasi sesi, dinyatakan sebagai angka yang ditambahkan dengan s—misalnya, 3600s. Durasi sesi menentukan durasi validnya token akses Google Cloud , sesi login konsol (federasi), dan sesi login gcloud CLI dari workforce pool ini. Durasi sesi default adalah satu jam (3600 detik). Nilai durasi sesi harus antara 15 menit (900 detik) dan 12 jam (43200 detik).

Konsol

Untuk membuat workforce identity pool, lakukan hal berikut:

Di konsol Google Cloud , buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools
Pilih organisasi untuk workforce identity pool Anda. Kumpulan identitas tenaga kerja tersedia di semua project dan folder dalam organisasi.
Klik Buat pool dan lakukan tindakan berikut:
1. Di kolom Name, masukkan nama tampilan pool. ID pool diambil secara otomatis dari nama saat Anda mengetik, dan ID tersebut ditampilkan di bawah kolom Nama. Anda dapat memperbarui ID pool dengan mengklik Edit di samping ID pool.
2. Opsional: Di Deskripsi, masukkan deskripsi pool.
3. Untuk membuat workforce identity pool, klik Berikutnya.

Durasi sesi workforce identity pool secara default adalah satu jam (3600 detik). Durasi sesi menentukan durasi validnya token akses Google Cloud , konsol (federasi), dan sesi login gcloud CLI dari workforce pool ini. Setelah membuat kumpulan, Anda dapat memperbarui kumpulan untuk menetapkan durasi sesi kustom. Durasi sesi harus dari 15 menit (900 detik) hingga 12 jam (43200 detik).

Mengonfigurasi penyedia workforce identity pool alur implisit OIDC

gcloud

Untuk membuat penyedia workforce identity pool OIDC, jalankan perintah berikut:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ganti kode berikut:

PROVIDER_ID: ID penyedia unik. Awalan gcp- dicadangkan dan tidak dapat digunakan dalam ID pool atau penyedia.
WORKFORCE_POOL_ID: ID kumpulan tenaga kerja.
DISPLAY_NAME: nama tampilan untuk penyedia.
ISSUER_URI: URI penerbit dari aplikasi Microsoft Entra ID yang Anda buat sebelumnya dalam dokumen ini.
CLIENT_ID: ID klien dari aplikasi Microsoft Entra ID Anda.
ATTRIBUTE_MAPPING: pemetaan atribut dari Microsoft Entra ID ke Google Cloud. Misalnya, untuk memetakan atribut groups dan subject dari Microsoft Entra ID, gunakan pemetaan atribut berikut:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Untuk mengetahui informasi selengkapnya, lihat Pemetaan atribut.
EXTRA_ATTRIBUTES_ISSUER_URI: URI penerbit dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_CLIENT_ID: ID klien dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_CLIENT_SECRET: rahasia klien tambahan dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_TYPE: gunakan azure-ad-groups-mail untuk mengambil alamat email grup. Gunakan azure-ad-groups-id untuk mengambil ID grup.
EXTRA_ATTRIBUTES_FILTER: Opsional. Ekspresi filter yang digunakan saat membuat kueri Microsoft Graph API untuk grup. Anda dapat menggunakan parameter ini untuk memastikan bahwa jumlah grup yang diambil dari IdP tetap di bawah batas 400 grup.
Contoh berikut mengambil grup yang memiliki awalan sales di ID emailnya:
```
--extra-attributes-filter='"mail:sales"'
```
Ekspresi berikut mengambil grup dengan nama tampilan yang berisi string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat Harga Google Cloud Observability.

Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

Konsol

Di konsol Google Cloud , buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools

Di tabel Workforce Identity Pool, pilih pool tempat Anda ingin membuat penyedia.
Di bagian Penyedia, klik Tambahkan Penyedia.
Di daftar Pilih vendor Penyedia, pilih penyedia identitas (IdP) Anda.
Jika IdP Anda tidak tercantum, pilih Generic Identity Provider.
Di bagian Pilih protokol autentikasi, pilih OpenID Connect (OIDC).
Di bagian Buat penyedia, lakukan hal berikut:
1. Di bagian Nama, masukkan nama penyedia.
2. Di bagian Deskripsi, masukkan deskripsi penyedia.
3. Di bagian Penerbit (URL), masukkan URI penerbit. URI penerbit OIDC harus dalam format URI yang valid dan diawali dengan https; misalnya, https://example.com/oidc.
4. Di bagian Client ID, masukkan client ID OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
5. Untuk membuat penyedia yang diaktifkan, pastikan Aktifkan penyedia sudah aktif.
6. Klik Lanjutkan.
Di bagian Bagikan informasi penyedia Anda dengan IdP, salin URL. Di IdP Anda, konfigurasi URL ini sebagai URI pengalihan, yang memberi tahu IdP Anda tempat untuk mengirim token pernyataan setelah login.
Klik Lanjutkan.
Di bagian Configure OIDC Web Sign-in, lakukan hal berikut:
Di daftar Flow type, pilih ID Token.
Dalam daftar Perilaku klaim pernyataan, Token ID dipilih.
Opsional: Jika Anda memilih Okta sebagai IdP, tambahkan cakupan OIDC tambahan di kolom Additional scopes beyond openid, profile, and email.

Klik Lanjutkan.

Di bagian Konfigurasi penyedia, Anda dapat mengonfigurasi pemetaan atribut dan kondisi atribut. Untuk membuat pemetaan atribut, lakukan hal berikut. Anda dapat memberikan nama kolom IdP atau ekspresi berformat CEL yang menampilkan string.

Wajib: Pada OIDC 1, masukkan subjek dari IdP—misalnya, assertion.sub.
Opsional: Untuk menambahkan pemetaan atribut tambahan, lakukan hal berikut:
1. Klik Tambahkan pemetaan.
2. Pada Google n, dengan n adalah angka, masukkan salah satu kunci yang didukungGoogle Cloud.
3. Di kolom OIDC n yang sesuai, masukkan nama kolom khusus IdP yang akan dipetakan, dalam format CEL.
Jika Anda memilih Microsoft Entra ID sebagai IdP, Anda dapat menambah jumlah grup.
1. Pilih Gunakan Atribut Tambahan.
2. Di kolom Extra Attributes Issuer URI, masukkan URL penerbit.
3. Di kolom Extra Attributes Client ID, masukkan ID klien.
4. Di kolom Extra Attributes Client Secret, masukkan rahasia klien.
5. Di daftar Jenis Atribut Tambahan, pilih jenis atribut untuk atribut tambahan.
6. Di kolom Filter Atribut Tambahan, masukkan ekspresi filter yang digunakan saat membuat kueri Microsoft Graph API untuk grup.
Untuk membuat kondisi atribut, lakukan hal berikut:
1. Klik Add condition.
2. Di kolom Kondisi Atribut, masukkan kondisi dalam format CEL— misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.
3. Untuk mengaktifkan logging audit mendetail, di Logging mendetail, klik tombol Aktifkan logging audit nilai atribut.
  Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat Harga Google Cloud Observability.
  
  Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

Untuk membuat penyedia, klik Kirim.

Mengonfigurasi sejumlah besar grup di Microsoft Entra ID dengan alur kode OIDC

Bagian ini menjelaskan cara memetakan hingga 400 grup dari Microsoft Entra ID ke Workforce Identity Federation menggunakan protokol OIDC dengan alur kode.

Mengonfigurasi aplikasi Microsoft Entra ID Anda

Anda dapat mengonfigurasi aplikasi Microsoft Entra ID yang ada atau membuat aplikasi baru. Untuk mengonfigurasi aplikasi Anda, lakukan hal berikut:

Di portal Microsoft Entra ID, lakukan hal berikut:
- Untuk mendaftarkan aplikasi baru, ikuti petunjuk di Mendaftarkan aplikasi baru.
- Untuk mengupdate aplikasi yang ada, lakukan langkah-langkah berikut:
  - Buka Identity > Applications > Enterprise applications.
  - Pilih aplikasi yang ingin Anda update.
Buat rahasia klien baru di aplikasi dengan mengikuti petunjuk di Certificates & secrets. Pastikan Anda mencatat nilai rahasia klien karena hanya ditampilkan satu kali.
Catat nilai berikut dari aplikasi yang Anda buat atau update. Anda akan memberikan nilai saat mengonfigurasi penyedia workforce identity pool nanti dalam dokumen ini.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Untuk mengambil grup Microsoft Entra ID, tambahkan izin API agar Workforce Identity Federation dapat mengakses informasi pengguna dari Microsoft Entra ID menggunakan Microsoft Graph API dan berikan izin admin. Di Microsoft Entra ID, lakukan hal berikut:
1. Buka API permissions.
2. Klik Tambahkan Izin.
3. Pilih Microsoft API.
4. Pilih Izin yang didelegasikan.
5. Di kolom penelusuran, ketik User.Read.
6. Klik Add permissions.
Anda dapat mengambil grup Microsoft Entra ID sebagai ID objek grup atau sebagai alamat email grup untuk grup yang mendukung email.

Jika Anda memilih untuk mengambil grup sebagai alamat email grup, langkah berikutnya diperlukan.
Untuk mengambil grup Microsoft Entra ID sebagai alamat email grup, lakukan hal berikut. Jika Anda mengambil grup sebagai ID objek grup, lewati langkah ini.
1. Di kolom penelusuran, masukkan GroupMember.Read.All.
2. Klik Add permissions.
3. Klik Grant admin consent untuk nama domain Anda.
4. Pada dialog yang muncul, klik Ya.
5. Buka halaman Ringkasan aplikasi Microsoft Entra ID yang Anda buat atau perbarui sebelumnya.
6. Klik Endpoint.
URI penerbit adalah URI dokumen metadata OIDC, tanpa menyertakan jalur /.well-known/openid-configuration.

Misalnya, jika dokumen metadata OIDC adalah https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, URI penerbitnya adalah https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Membuat workforce identity pool

gcloud

Untuk membuat workforce identity pool, jalankan perintah berikut:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ganti kode berikut:

WORKFORCE_POOL_ID: ID yang Anda pilih untuk mewakili workforce pool Google Cloud Anda. Untuk mengetahui informasi tentang cara memformat ID, lihat bagian Parameter kueri dalam dokumentasi API.
ORGANIZATION_ID: ID organisasi numerik organisasi Anda Google Cloud untuk workforce identity pool. Workforce identity pool tersedia di semua project dan folder dalam organisasi.
DISPLAY_NAME: Opsional. Nama tampilan untuk kumpulan identitas tenaga kerja Anda.
DESCRIPTION: Opsional. Deskripsi workforce identity pool.
SESSION_DURATION: Opsional. Durasi sesi, dinyatakan sebagai angka yang ditambahkan dengan s—misalnya, 3600s. Durasi sesi menentukan durasi validnya token akses Google Cloud , sesi login konsol (federasi), dan sesi login gcloud CLI dari workforce pool ini. Durasi sesi default adalah satu jam (3600 detik). Nilai durasi sesi harus antara 15 menit (900 detik) dan 12 jam (43200 detik).

Konsol

Untuk membuat workforce identity pool, lakukan hal berikut:

Di konsol Google Cloud , buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools
Pilih organisasi untuk workforce identity pool Anda. Kumpulan identitas tenaga kerja tersedia di semua project dan folder dalam organisasi.
Klik Buat pool dan lakukan tindakan berikut:
1. Di kolom Name, masukkan nama tampilan pool. ID pool diambil secara otomatis dari nama saat Anda mengetik, dan ID tersebut ditampilkan di bawah kolom Nama. Anda dapat memperbarui ID pool dengan mengklik Edit di samping ID pool.
2. Opsional: Di Deskripsi, masukkan deskripsi pool.
3. Untuk membuat workforce identity pool, klik Berikutnya.

Mengonfigurasi penyedia workforce identity pool alur kode OIDC

gcloud

Untuk membuat penyedia workforce identity pool OIDC, jalankan perintah berikut:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ganti kode berikut:

PROVIDER_ID: ID penyedia unik. Awalan gcp- dicadangkan dan tidak dapat digunakan dalam ID pool atau penyedia.
WORKFORCE_POOL_ID: ID kumpulan tenaga kerja.
DISPLAY_NAME: nama tampilan untuk penyedia.
ISSUER_URI: URI penerbit dari aplikasi Microsoft Entra ID yang Anda buat sebelumnya dalam dokumen ini.
CLIENT_ID: ID klien dari aplikasi Microsoft Entra ID Anda.
ATTRIBUTE_MAPPING: pemetaan atribut dari Microsoft Entra ID ke Google Cloud. Misalnya, untuk memetakan atribut groups dan subject dari Microsoft Entra ID, gunakan pemetaan atribut berikut:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Untuk mengetahui informasi selengkapnya, lihat Pemetaan atribut.
EXTRA_ATTRIBUTES_ISSUER_URI: URI penerbit dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_CLIENT_ID: ID klien dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_CLIENT_SECRET: rahasia klien tambahan dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_TYPE: gunakan azure-ad-groups-mail untuk mengambil alamat email grup. Gunakan azure-ad-groups-id untuk mengambil ID grup.
EXTRA_ATTRIBUTES_FILTER: Opsional. Ekspresi filter yang digunakan saat membuat kueri Microsoft Graph API untuk grup. Anda dapat menggunakan parameter ini untuk memastikan bahwa jumlah grup yang diambil dari IdP tetap di bawah batas 400 grup.
Contoh berikut mengambil grup yang memiliki awalan sales di ID emailnya:
```
--extra-attributes-filter='"mail:sales"'
```
Ekspresi berikut mengambil grup dengan nama tampilan yang berisi string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat Harga Google Cloud Observability.

Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

Konsol

Di konsol Google Cloud , buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools

Di tabel Workforce Identity Pool, pilih pool tempat Anda ingin membuat penyedia.
Di bagian Penyedia, klik Tambahkan Penyedia.
Di daftar Pilih vendor Penyedia, pilih penyedia identitas (IdP) Anda.
Jika IdP Anda tidak tercantum, pilih Generic Identity Provider.
Di bagian Pilih protokol autentikasi, pilih OpenID Connect (OIDC).
Di bagian Buat penyedia, lakukan hal berikut:
1. Di bagian Nama, masukkan nama penyedia.
2. Di bagian Deskripsi, masukkan deskripsi penyedia.
3. Di bagian Penerbit (URL), masukkan URI penerbit. URI penerbit OIDC harus dalam format URI yang valid dan diawali dengan https; misalnya, https://example.com/oidc.
4. Di bagian Client ID, masukkan client ID OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
5. Untuk membuat penyedia yang diaktifkan, pastikan Aktifkan penyedia sudah aktif.
6. Klik Lanjutkan.
Di bagian Bagikan informasi penyedia Anda dengan IdP, salin URL. Di IdP Anda, konfigurasi URL ini sebagai URI pengalihan, yang memberi tahu IdP Anda tempat untuk mengirim token pernyataan setelah login.
Klik Lanjutkan.
Di bagian Configure OIDC Web Sign-in, lakukan langkah-langkah berikut:
1. Di daftar Flow type, pilih Code.
2. Di daftar Perilaku klaim pernyataan, pilih salah satu opsi berikut:
3. Di kolom Rahasia klien, masukkan rahasia klien dari IdP Anda.
4. Opsional: Jika Anda memilih Okta sebagai IdP, tambahkan cakupan OIDC tambahan di kolom Additional scopes beyond openid, profile, and email.
Klik Lanjutkan.
Di bagian Konfigurasi penyedia, Anda dapat mengonfigurasi pemetaan atribut dan kondisi atribut. Untuk membuat pemetaan atribut, lakukan hal berikut. Anda dapat memberikan nama kolom IdP atau ekspresi berformat CEL yang menampilkan string.
1. Wajib: Pada OIDC 1, masukkan subjek dari IdP—misalnya, assertion.sub.
2. Opsional: Untuk menambahkan pemetaan atribut tambahan, lakukan hal berikut:
  1. Klik Tambahkan pemetaan.
  2. Pada Google n, dengan n adalah angka, masukkan salah satu kunci yang didukungGoogle Cloud.
  3. Di kolom OIDC n yang sesuai, masukkan nama kolom khusus IdP yang akan dipetakan, dalam format CEL.
3. Jika Anda memilih Microsoft Entra ID sebagai IdP, Anda dapat menambah jumlah grup.
  1. Pilih Gunakan Atribut Tambahan.
  2. Di kolom Extra Attributes Issuer URI, masukkan URL penerbit.
  3. Di kolom Extra Attributes Client ID, masukkan ID klien.
  4. Di kolom Extra Attributes Client Secret, masukkan rahasia klien.
  5. Di daftar Jenis Atribut Tambahan, pilih jenis atribut untuk atribut tambahan.
  6. Di kolom Filter Atribut Tambahan, masukkan ekspresi filter yang digunakan saat membuat kueri Microsoft Graph API untuk grup.
4. Untuk membuat kondisi atribut, lakukan hal berikut:
  1. Klik Add condition.
  2. Di kolom Kondisi Atribut, masukkan kondisi dalam format CEL— misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.
  3. Untuk mengaktifkan logging audit mendetail, di Logging mendetail, klik tombol Aktifkan logging audit nilai atribut.
    Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat Harga Google Cloud Observability.
    
    Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.
Untuk membuat penyedia, klik Kirim.

Mengonfigurasi sejumlah besar grup di Microsoft Entra ID dengan SAML 2.0

Bagian ini menjelaskan cara memetakan hingga 400 grup dari Microsoft Entra ID ke Workforce Identity Federation menggunakan protokol SAML 2.0.

Mengonfigurasi aplikasi Microsoft Entra ID Anda

Untuk mengonfigurasi aplikasi Anda, lakukan hal berikut:

Di portal Microsoft Entra ID, lakukan hal berikut:
- Untuk mendaftarkan aplikasi baru, ikuti petunjuk di Mendaftarkan aplikasi baru.
- Untuk mengupdate aplikasi yang ada, lakukan langkah-langkah berikut:
  - Buka Identity > Applications > Enterprise applications.
  - Pilih aplikasi yang ingin Anda update.
Buat rahasia klien baru di aplikasi dengan mengikuti petunjuk di Certificates & secrets. Pastikan Anda mencatat nilai rahasia klien karena hanya ditampilkan satu kali.
Catat nilai berikut dari aplikasi yang Anda buat atau update. Anda akan memberikan nilai saat mengonfigurasi penyedia workforce identity pool nanti dalam dokumen ini.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Untuk mengambil grup Microsoft Entra ID, tambahkan izin API agar Workforce Identity Federation dapat mengakses informasi pengguna dari Microsoft Entra ID menggunakan Microsoft Graph API dan berikan izin admin. Di Microsoft Entra ID, lakukan hal berikut:
1. Buka API permissions.
2. Klik Tambahkan Izin.
3. Pilih Microsoft API.
4. Pilih Izin aplikasi.
5. Di kolom penelusuran, ketik User.ReadBasic.All.
6. Klik Add permissions.
Anda dapat mengambil grup Microsoft Entra ID sebagai ID objek grup atau sebagai alamat email grup untuk grup yang mendukung email.

Jika Anda memilih untuk mengambil grup sebagai alamat email grup, langkah berikutnya diperlukan.
Untuk mengambil grup Microsoft Entra ID sebagai alamat email grup, lakukan hal berikut. Jika Anda mengambil grup sebagai ID objek grup, lewati langkah ini.
1. Di kolom penelusuran, masukkan GroupMember.Read.All.
2. Klik Add permissions.
3. Klik Grant admin consent untuk nama domain Anda.
4. Pada dialog yang muncul, klik Ya.
5. Buka halaman Ringkasan aplikasi Microsoft Entra ID yang Anda buat atau perbarui sebelumnya.
6. Klik Endpoint.
URI penerbit adalah URI dokumen metadata OIDC, tanpa menyertakan jalur /.well-known/openid-configuration.

Misalnya, jika dokumen metadata OIDC adalah https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, URI penerbitnya adalah https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Membuat workforce identity pool

gcloud

Untuk membuat workforce identity pool, jalankan perintah berikut:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ganti kode berikut:

WORKFORCE_POOL_ID: ID yang Anda pilih untuk mewakili workforce pool Google Cloud Anda. Untuk mengetahui informasi tentang cara memformat ID, lihat bagian Parameter kueri dalam dokumentasi API.
ORGANIZATION_ID: ID organisasi numerik organisasi Anda Google Cloud untuk workforce identity pool. Workforce identity pool tersedia di semua project dan folder dalam organisasi.
DISPLAY_NAME: Opsional. Nama tampilan untuk kumpulan identitas tenaga kerja Anda.
DESCRIPTION: Opsional. Deskripsi workforce identity pool.
SESSION_DURATION: Opsional. Durasi sesi, dinyatakan sebagai angka yang ditambahkan dengan s—misalnya, 3600s. Durasi sesi menentukan durasi validnya token akses Google Cloud , sesi login konsol (federasi), dan sesi login gcloud CLI dari workforce pool ini. Durasi sesi default adalah satu jam (3600 detik). Nilai durasi sesi harus antara 15 menit (900 detik) dan 12 jam (43200 detik).

Konsol

Untuk membuat workforce identity pool, lakukan hal berikut:

Di konsol Google Cloud , buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools
Pilih organisasi untuk workforce identity pool Anda. Kumpulan identitas tenaga kerja tersedia di semua project dan folder dalam organisasi.
Klik Buat pool dan lakukan tindakan berikut:
1. Di kolom Name, masukkan nama tampilan pool. ID pool diambil secara otomatis dari nama saat Anda mengetik, dan ID tersebut ditampilkan di bawah kolom Nama. Anda dapat memperbarui ID pool dengan mengklik Edit di samping ID pool.
2. Opsional: Di Deskripsi, masukkan deskripsi pool.
3. Untuk membuat workforce identity pool, klik Berikutnya.

Mengonfigurasi penyedia workforce identity pool SAML 2.0

gcloud

Untuk membuat penyedia workforce identity pool SAML, jalankan perintah berikut:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ganti kode berikut:

PROVIDER_ID: ID penyedia unik. Awalan gcp- dicadangkan dan tidak dapat digunakan dalam ID pool atau penyedia.
WORKFORCE_POOL_ID: ID kumpulan tenaga kerja.
DISPLAY_NAME: nama tampilan untuk penyedia.
XML_METADATA_PATH: jalur ke file metadata XML SAML 2.0.
ATTRIBUTE_MAPPING: pemetaan atribut dari Microsoft Entra ID ke Google Cloud. Misalnya, untuk memetakan atribut groups dan subject dari Microsoft Entra ID, gunakan pemetaan atribut berikut:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Untuk mengetahui informasi selengkapnya, lihat Pemetaan atribut.
EXTRA_ATTRIBUTES_ISSUER_URI: URI penerbit dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_CLIENT_ID: ID klien dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_CLIENT_SECRET: rahasia klien tambahan dari aplikasi Microsoft Entra ID Anda.
EXTRA_ATTRIBUTES_TYPE: gunakan azure-ad-groups-mail untuk mengambil alamat email grup. Gunakan azure-ad-groups-id untuk mengambil ID grup.
EXTRA_ATTRIBUTES_FILTER: Opsional. Ekspresi filter yang digunakan saat membuat kueri Microsoft Graph API untuk grup. Anda dapat menggunakan parameter ini untuk memastikan bahwa jumlah grup yang diambil dari IdP tetap di bawah batas 400 grup.
Contoh berikut mengambil grup yang memiliki awalan sales di ID emailnya:
```
--extra-attributes-filter='"mail:sales"'
```
Ekspresi berikut mengambil grup dengan nama tampilan yang berisi string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat Harga Google Cloud Observability.

Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

Konsol

Di konsol Google Cloud , buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools

Di tabel Workforce Identity Pool, pilih pool tempat Anda ingin membuat penyedia.
Di bagian Penyedia, klik Tambahkan Penyedia.
Di daftar Pilih vendor Penyedia, pilih penyedia identitas (IdP) Anda.
Jika IdP Anda tidak tercantum, pilih Penyedia Identitas Generik.
Di bagian Pilih protokol autentikasi, pilih SAML.
Di bagian Buat penyedia, lakukan hal berikut:
1. Di bagian Nama, masukkan nama penyedia.
2. Opsional: Di bagian Deskripsi, masukkan deskripsi untuk penyedia.
3. Di file metadata IDP (XML), pilih file XML metadata yang Anda buat sebelumnya dalam panduan ini.
4. Untuk membuat penyedia yang diaktifkan, pastikan Aktifkan penyedia sudah aktif.
5. Klik Lanjutkan.
Di bagian Bagikan informasi penyedia Anda, salin URL. Di IdP Anda, konfigurasikan URL pertama sebagai ID entitas, yang mengidentifikasi aplikasi Anda ke IdP. Konfigurasi URL lain sebagai URI pengalihan, yang memberi tahu IdP Anda ke mana harus mengirim token pernyataan setelah login.
Klik Lanjutkan.
Di bagian Konfigurasi penyedia, lakukan hal berikut:
1. Di Pemetaan atribut, masukkan ekspresi CEL untuk google.subject.
2. Opsional: Untuk memasukkan pemetaan lain, klik Tambahkan pemetaan, lalu masukkan pemetaan lain, misalnya:
3. Jika Anda memilih Microsoft Entra ID sebagai IdP, Anda dapat menambah jumlah grup.
  1. Pilih Gunakan Atribut Tambahan.
  2. Di kolom Extra Attributes Issuer URI, masukkan URL penerbit.
  3. Di kolom Extra Attributes Client ID, masukkan ID klien.
  4. Di kolom Extra Attributes Client Secret, masukkan rahasia klien.
  5. Di daftar Jenis Atribut Tambahan, pilih jenis atribut untuk atribut tambahan.
  6. Di kolom Filter Atribut Tambahan, masukkan ekspresi filter yang digunakan saat membuat kueri Microsoft Graph API untuk grup.
4. Opsional: Untuk menambahkan kondisi atribut, klik Tambahkan kondisi, lalu masukkan ekspresi CEL yang mewakili kondisi atribut. Misalnya, untuk membatasi atribut ipaddr ke rentang IP tertentu, Anda dapat mengatur kondisi menjadi assertion.attributes.ipaddr.startsWith('98.11.12.'). Contoh kondisi ini memastikan bahwa hanya pengguna dengan alamat IP yang diawali dengan 98.11.12. yang dapat login menggunakan penyedia workforce ini.
5. Klik Lanjutkan.
6. Untuk mengaktifkan logging audit mendetail, di Logging mendetail, klik tombol Aktifkan logging audit nilai atribut.
  Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat Harga Google Cloud Observability.
  
  Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.
Untuk membuat penyedia, klik Kirim.

Memberikan peran IAM ke grup

Di bagian ini, Anda akan memberikan peran kepada grup di resource Google Cloud . Untuk mempelajari lebih lanjut ID principal Federasi Identitas Tenaga Kerja, lihat Merepresentasikan pengguna workforce pool dalam kebijakan IAM.

Contoh berikut memberikan peran Storage Admin (roles/storage.admin) kepada pengguna dalam grup Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Ganti kode berikut:

PROJECT_ID: the project ID
WORKFORCE_POOL_ID: ID workforce identity pool
GROUP_ID: ID grup, yang bergantung pada nilai --extra-attributes-type yang digunakan untuk membuat penyedia workforce identity pool, sebagai berikut:
- azure-ad-groups-mail: ID grup adalah alamat email—misalnya: admin-group@altostrat.com
- azure-ad-groups-id: ID grup adalah UUID untuk grup—misalnya: abcdefgh-0123-0123-abcdef

Di bagian ini, Anda akan login sebagai pengguna workforce identity pool dan menguji bahwa Anda memiliki akses ke resource Google Cloud .

Bagian ini menunjukkan cara login sebagai pengguna gabungan dan mengakses resourceGoogle Cloud .

Untuk login ke konsol Google Cloud Workforce Identity Federation, yang juga dikenal sebagai konsol (gabungan), lakukan tindakan berikut:

Buka halaman login konsol (gabungan).

Buka konsol (gabungan)

Masukkan nama penyedia, dengan format berikut:

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Jika diminta, masukkan kredensial pengguna di Microsoft Entra ID.

Jika Anda memulai login dengan IdP, gunakan URL berikut untuk URL relai: https://console.cloud.google/.

Untuk login ke gcloud CLI menggunakan alur login berbasis browser, lakukan langkah berikut:

Membuat file konfigurasi

Untuk membuat file konfigurasi login, jalankan perintah berikut. Secara opsional, Anda dapat mengaktifkan file sebagai default untuk gcloud CLI dengan menambahkan flag --activate. Kemudian, Anda dapat menjalankan gcloud auth login tanpa menentukan jalur file konfigurasi setiap kali.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Ganti kode berikut:

WORKFORCE_POOL_ID: ID workforce pool
PROVIDER_ID: ID penyedia
LOGIN_CONFIG_FILE_PATH: jalur ke file konfigurasi yang Anda tentukan—misalnya, login.json

File ini berisi endpoint yang digunakan oleh gcloud CLI untuk mengaktifkan alur autentikasi berbasis browser dan menetapkan audience ke IdP yang dikonfigurasi di penyedia workload identity pool. File tidak berisi informasi rahasia.

Outputnya akan terlihat mirip seperti berikut:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Untuk menghentikan gcloud auth login menggunakan file konfigurasi ini secara otomatis, Anda dapat membatalkannya dengan menjalankan gcloud config unset auth/login_config_file.

Login menggunakan autentikasi berbasis browser

Untuk mengautentikasi menggunakan autentikasi login berbasis browser, Anda dapat menggunakan salah satu metode berikut:

Jika Anda menggunakan flag --activate saat membuat file konfigurasi, atau jika Anda mengaktifkan file konfigurasi dengan gcloud config set auth/login_config_file, gcloud CLI akan menggunakan file konfigurasi Anda secara otomatis:
```
gcloud auth login
```
Untuk login dengan menentukan lokasi file konfigurasi, jalankan perintah berikut:
```
gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
```
Untuk menggunakan variabel lingkungan guna menentukan lokasi file konfigurasi, tetapkan CLOUDSDK_AUTH_LOGIN_CONFIG_FILE ke jalur konfigurasi.

Nonaktifkan login berbasis browser

Untuk menghentikan penggunaan file konfigurasi login, lakukan langkah berikut:

Jika Anda menggunakan flag --activate saat membuat file konfigurasi, atau jika Anda mengaktifkan file konfigurasi dengan gcloud config set auth/login_config_file, Anda harus menjalankan perintah berikut untuk membatalkan penetapannya:
```
gcloud config unset auth/login_config_file
```
Hapus variabel lingkungan CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, jika telah ditetapkan.

Untuk login ke Microsoft Entra ID dengan gcloud CLI, lakukan langkah berikut:

OIDC

Ikuti langkah-langkah di Mengirim permintaan login. Login akun pengguna ke aplikasi Anda dengan Microsoft Entra ID menggunakan OIDC.
Salin token ID dari parameter id_token URL alihan dan simpan ke file di lokasi yang aman di komputer lokal Anda. Pada langkah berikutnya, tetapkan PATH_TO_OIDC_ID_TOKEN ke jalur pada file ini.

Buat file konfigurasi yang mirip dengan contoh di langkah ini dengan menjalankan perintah berikut:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Ganti kode berikut:

WORKFORCE_POOL_ID: ID workforce identity pool.
WORKFORCE_PROVIDER_ID: ID penyedia workforce identity pool.
PATH_TO_OIDC_ID_TOKEN: jalur ke lokasi file tempat token IdP disimpan.
WORKFORCE_POOL_USER_PROJECT: nomor atau ID project yang digunakan untuk kuota dan penagihan. Akun utama harus memiliki izin serviceusage.services.use di project ini.

Setelah perintah selesai, file konfigurasi berikut akan dibuat oleh Microsoft Entra ID:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Buka gcloud CLI dan jalankan perintah berikut:
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Ganti PATH_TO_OIDC_CREDENTIALS dengan jalur ke file output dari langkah sebelumnya.

Gcloud CLI secara transparan memposting kredensial Anda ke endpoint Layanan Token Keamanan. Di endpoint, token tersebut ditukar dengan token akses Google Cloud sementara.

Kini Anda dapat menjalankan perintah gcloud CLI ke Google Cloud.

SAML

Buat pengguna login ke aplikasi Microsoft Entra ID Anda dan dapatkan respons SAML.
Simpan respons SAML yang ditampilkan oleh Microsoft Entra ID di lokasi yang aman di komputer lokal Anda, lalu simpan jalurnya sebagai berikut:
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Untuk membuat file konfigurasi kredensial, jalankan perintah berikut:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Ganti kode berikut:

WORKFORCE_PROVIDER_ID: ID penyedia workforce identity pool yang Anda buat sebelumnya dalam panduan ini
WORKFORCE_POOL_ID: ID workforce identity pool yang Anda buat sebelumnya dalam panduan ini
SAML_ASSERTION_PATH: jalur file pernyataan SAML
PROJECT_ID: the project ID

File konfigurasi yang dihasilkan terlihat mirip dengan berikut:

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Untuk login ke gcloud CLI menggunakan pertukaran token Workforce Identity Federation, jalankan perintah berikut:
```
gcloud auth login --cred-file=config.json
```
Kemudian, gcloud CLI secara transparan menukar kredensial Microsoft Entra ID Anda dengan token akses Google Cloud sementara. Token akses memungkinkan Anda mengakses Google Cloud.

Anda akan melihat output yang mirip dengan berikut ini:
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Untuk mencantumkan akun berkredensial dan akun aktif Anda, jalankan perintah berikut:
```
gcloud auth list
```

Pengujian Akses

Anda kini memiliki akses ke Google Cloud produk yang mendukung Workforce Identity Federation dan yang aksesnya diberikan kepada Anda. Sebelumnya dalam dokumen ini, Anda memberikan peran Storage Admin (roles/storage.admin) ke semua identitas dalam ID grup yang Anda tentukan di gcloud projects add-iam-policy-binding untuk project TEST_PROJECT_ID.

Kini Anda dapat menguji apakah Anda memiliki akses dengan mencantumkan bucket Cloud Storage.

Konsol (gabungan)

Untuk menguji bahwa Anda memiliki akses menggunakan konsol (gabungan), lakukan langkah berikut:

Membuka halaman Cloud Storage

Buka Cloud Storage
Pastikan Anda dapat melihat daftar bucket yang ada untuk TEST_PROJECT_ID.

gcloud CLI

Untuk menguji bahwa Anda memiliki akses menggunakan gcloud CLI, Anda dapat membuat daftar bucket dan objek Cloud Storage untuk project yang memiliki akses ke bucket dan objek tersebut. Untuk melakukannya, jalankan perintah berikut. Akun utama harus memiliki izin serviceusage.services.use pada project yang ditentukan.

gcloud storage ls --project="TEST_PROJECT_ID"

Menghapus pengguna

Workforce Identity Federation membuat metadata dan resource pengguna untuk identitas pengguna gabungan. Jika Anda memilih untuk menghapus pengguna di IdP, Anda juga harus menghapus resource ini secara eksplisit di Google Cloud. Untuk melakukannya, lihat Menghapus pengguna Workforce Identity Federation dan datanya.

Anda mungkin melihat resource terus dikaitkan dengan pengguna yang dihapus. Hal ini karena penghapusan metadata dan resource pengguna memerlukan operasi yang berjalan lama. Setelah Anda memulai penghapusan identitas pengguna, proses yang dimulai pengguna sebelum penghapusan dapat terus berjalan hingga proses selesai atau dibatalkan.

Mengonfigurasi SCIM

Bagian ini menjelaskan cara mengonfigurasi tenant SCIM di workforce identity pool.

Setiap workforce identity pool hanya mendukung satu tenant SCIM. Untuk mengonfigurasi tenant SCIM baru di pool yang sudah memiliki tenant, Anda harus menghapus tenant yang ada secara permanen terlebih dahulu.

Tanda --claim-mapping untuk tenant SCIM hanya dapat berisi ekspresi Common Expression Language (CEL) tertentu. Untuk mempelajari ekspresi yang didukung, lihat Memetakan atribut token dan SCIM.

Penting: Pastikan IdP Anda memberikan nilai unik untuk atribut yang Anda petakan ke google.subject dan google.group menggunakan SCIM. Untuk mempelajari lebih lanjut, lihat Dukungan SCIM.

Untuk mengonfigurasi System for Cross-domain Identity Management (SCIM), Anda harus melakukan hal berikut:

Mengonfigurasi token dan tenant SCIM di Google Cloud
Mengonfigurasi SCIM di IdP Anda

Mengonfigurasi token dan tenant SCIM di Google Cloud

Untuk mengonfigurasi tenant SCIM di Google Cloud, lakukan hal berikut:

Buat tenant SCIM.
```
    gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"
    
```
Ganti kode berikut:
- SCIM_TENANT_ID: ID untuk tenant SCIM Anda.
- WORKFORCE_POOL_ID: ID workforce pool yang Anda buat sebelumnya dalam dokumen ini.
- PROVIDER_ID: ID penyedia kumpulan identitas tenaga kerja yang Anda buat sebelumnya dalam dokumen ini.
- SCIM_TENANT_DISPLAY_NAME: nama tampilan untuk tenant SCIM Anda.
- SCIM_TENANT_DESCRIPTION: deskripsi untuk tenant SCIM Anda.
- CLAIM_MAPPING: daftar pemetaan atribut yang dipisahkan koma. Sebaiknya gunakan pemetaan atribut berikut:
```
google.subject=user.externalId,google.group=group.externalId
```
  Atribut google.subject yang Anda petakan di tenant SCIM harus secara unik merujuk ke identitas yang sama yang dipetakan di atribut google.subject di penyedia workforce identity pool dengan menggunakan tanda --attribute-mapping. Setelah tenant SCIM dibuat, Anda tidak dapat memperbarui pemetaan klaim. Untuk menggantinya, Anda dapat menghapus permanen tenant SCIM dan segera membuat tenant baru. Untuk mempelajari lebih lanjut pertimbangan penggunaan SCIM, lihat Dukungan SCIM.
Setelah perintah selesai, lakukan hal berikut:
1. Di kolom baseUri dalam output, simpan seluruh URI, yang diformat sebagai https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Anda harus memberikan URI ini ke IdP Anda.
2. Selain itu, dari URI, simpan hanya SCIM_TENANT_UID. Anda memerlukan UID ini untuk menetapkan kebijakan IAM pada tenant SCIM, nanti dalam dokumen ini.

Buat token SCIM:

    gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

Ganti kode berikut:

SCIM_TOKEN_ID: ID untuk token SCIM
DISPLAY_NAME: nama tampilan token SCIM
WORKFORCE_POOL_ID: ID workforce pool
SCIM_TENANT_ID: ID tenant SCIM
PROVIDER_ID: ID penyedia workforce identity pool

Setelah perintah gcloud iam workforce-pools providers scim-tenants tokens create selesai, lakukan hal berikut:
1. Di output, simpan nilai SCIM_TOKEN di kolom securityToken. Anda harus memberikan token keamanan ini ke IdP Anda. Token keamanan hanya ditampilkan dalam output ini, dan jika hilang, Anda harus membuat token SCIM baru.
2. Untuk memeriksa apakah SCIM_TOKEN ditolak oleh kebijakan organisasi Anda, jalankan perintah berikut:
```
curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
```
  Jika perintah gagal dengan error terkait izin, jalankan gcloud organizations add-iam-policy-binding, yang dijelaskan pada langkah selanjutnya. Jika perintah berhasil, Anda dapat melewati langkah tersebut.
Menetapkan kebijakan IAM pada token dan tenant SCIM. Jika perintah curl pada langkah sebelumnya gagal dengan error terkait izin, Anda harus menjalankan perintah berikut:
```
    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer
    
```
Ganti kode berikut:
- ORGANIZATION_ID: ID organisasi.
- SERVICE_AGENT_EMAIL: alamat email agen layanan. Alamat email menggunakan format berikut: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID ditampilkan saat Anda membuat tenant SCIM.

Saat Anda menyediakan grup di IdP, pastikan nama tampilan setiap grup, sebagaimana diberikan di kolom displayName, bersifat unik dalam tenant SCIM. Untuk mempelajari lebih lanjut grup dan SCIM di Microsoft Entra ID, lihat Grup.

Mengonfigurasi SCIM di Microsoft Entra ID

Untuk mengonfigurasi SCIM di Microsoft Entra ID, lakukan hal berikut:

Buka portal Azure, lalu login sebagai pengguna yang memiliki hak istimewa administrator global.
Pilih Microsoft Entra ID > Enterprise Apps.
Klik New application.
Di Browse Microsoft Entra App gallery, klik Create your own application.
Di panel Create your own application yang muncul, lakukan hal berikut:
1. Untuk What's the name of your app, masukkan nama aplikasi Anda.
2. Pilih Integrate any other application you don't find in gallery (Non-gallery).
3. Untuk membuat aplikasi, klik Buat.
Di aplikasi Anda, lakukan hal berikut:
1. Di bagian Kelola, klik Penyediaan.
2. Di panel kanan yang muncul, klik Konfigurasi Baru.
3. Di bagian Admin Credentials, di Tenant URL, masukkan URL SCIM yang Anda peroleh saat membuat tenant SCIM, yang ditambahkan dengan ?aadOptscim062020. Anda harus menambahkan ?aadOptscim062020 di akhir URI dasar.
  
  Parameter kueri ini diperlukan oleh Microsoft Entra ID untuk memastikan bahwa permintaan SCIM PATCH sesuai dengan standar SCIM RFC. Untuk mengetahui detail selengkapnya, lihat dokumentasi Microsoft.
  
  URL Tenant akhir di Microsoft Entra ID harus dalam format berikut:
```
https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020
```
  Ganti SCIM_TENANT_UID dengan UID tenant SCIM.
4. Di Secret token, masukkan token rahasia yang Anda peroleh saat membuat tenant SCIM.
5. Untuk menguji konfigurasi SCIM dengan Workforce Identity Federation, klik Uji koneksi.
6. Untuk menyimpan konfigurasi, klik Buat.
Di bagian Kelola, lakukan tindakan berikut:
1. Klik Pemetaan atribut.
2. Klik Provision Microsoft Entra ID Users.
3. Di halaman Pemetaan Atribut, lakukan hal berikut:
  1. Di tabel Pemetaan atribut, temukan baris untuk externalId, lalu klik Edit di baris tersebut. Di halaman Edit atribut, lakukan tindakan berikut:
    1. Di Cocokkan objek menggunakan atribut ini, pilih Yes.
    2. Di Prioritas pencocokan, masukkan 2.
    3. Di menu drop-down Atribut sumber, pilih objectId.
    4. Untuk menyimpan pemetaan atribut, klik Oke.
  2. Di tabel Pemetaan atribut, temukan baris untuk userName, lalu klik Edit di baris tersebut. Di halaman Edit atribut, lakukan tindakan berikut:
    1. Di Cocokkan objek menggunakan atribut ini, pilih No.
    2. Untuk menyimpan pemetaan atribut, klik Oke.
  3. Di tabelPemetaan atribut, temukan baris untuk externalId, lalu klik Edit di baris tersebut. Di halaman Edit atribut, lakukan tindakan berikut:
    1. Di Prioritas pencocokan, masukkan 1.
    2. Untuk menyimpan pemetaan atribut, klik Oke.
4. Klik Provision Microsoft Entra ID Groups.
5. Di halaman Pemetaan Atribut, lakukan hal berikut:
  1. Di tabel Pemetaan atribut, temukan baris untuk externalId, lalu klik Edit di baris tersebut. Di halaman Edit atribut, lakukan tindakan berikut:
    1. Di Cocokkan objek menggunakan atribut ini, pilih Yes.
    2. Di Prioritas pencocokan, masukkan 2.
    3. Di menu drop-down Atribut sumber, pilih objectId.
    4. Untuk menyimpan pemetaan atribut, klik Oke.
  2. Di tabel Pemetaan atribut, temukan baris untuk displayName, lalu klik Edit di baris tersebut. Di halaman Edit atribut, lakukan tindakan berikut:
    1. Di Cocokkan objek menggunakan atribut ini, pilih No.
    2. Untuk menyimpan pemetaan atribut, klik Oke.
  3. Di tabel Pemetaan atribut, temukan baris untuk externalId, lalu klik Edit di baris tersebut. Di halaman Edit atribut, lakukan tindakan berikut:
    1. Di Prioritas pencocokan, masukkan 1.
    2. Untuk menyimpan pemetaan atribut, klik Oke.

Memperbarui penyedia untuk mengaktifkan SCIM

Untuk mengaktifkan SCIM bagi penyedia, lakukan hal berikut:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Ganti kode berikut:

PROVIDER_ID: ID penyedia workforce identity pool
WORKFORCE_POOL_ID: ID workforce pool
LOCATION: lokasi workforce pool

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Ganti kode berikut:

PROVIDER_ID: ID penyedia workforce identity pool
WORKFORCE_POOL_ID: ID workforce pool
LOCATION: lokasi workforce pool

Memetakan token dan atribut SCIM

Anda harus memetakan atribut secara konsisten, baik di penyedia workforce identity pool maupun di tenant SCIM yang dikonfigurasi untuk penyedia. Untuk penyedia workforce identity pool, Anda menggunakan flag --attribute-mapping, dan untuk tenant SCIM, Anda menggunakan flag --claim-mapping. Atribut IdP yang dipetakan ke google.subject untuk pengguna harus secara unik merujuk ke identitas yang sama, baik yang ditentukan dalam pemetaan token atau SCIM. Untuk mempelajari lebih lanjut cara memetakan atribut saat Anda menggunakan SCIM, lihat bagian Dukungan SCIM. Tabel berikut menunjukkan cara memetakan atribut dalam klaim token dan atribut SCIM:

Atribut Google	Pemetaan penyedia workforce identity pool	Pemetaan tenant SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.group` pastikan Anda memberi tahu penyedia Anda tentang `--scim-usage=enabled-for-groups`	`N/A`	`group.externalId`

Menghapus tenant SCIM secara paksa

Untuk menghapus paksa tenant SCIM, lakukan langkah-langkah berikut:

Jika --scim-usage=enabled-for-groups ditetapkan untuk penyedia Anda, nonaktifkan dari konfigurasi penyedia:

          gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED

Ganti kode berikut:

PROVIDER_ID: ID penyedia workforce identity pool
WORKFORCE_POOL_ID: ID workforce pool

Hapus tenant SCIM:
```
  gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global
```
Ganti kode berikut:
- SCIM_TENANT_ID: ID tenant SCIM yang akan dihapus
- WORKFORCE_POOL_ID: ID workforce pool
- PROVIDER_ID: ID penyedia workforce identity pool
Untuk mempelajari SCIM lebih lanjut, termasuk cara menghapus tenant SCIM, lihat Dukungan SCIM.

Langkah berikutnya

Menghapus pengguna Workforce Identity Federation dan datanya
Pelajari Google Cloud produk mana yang mendukung Workforce Identity Federation
Menyiapkan akses pengguna ke konsol (gabungan)

Mengonfigurasi Workforce Identity Federation dengan Microsoft Entra ID Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Konsep utama

Atribut tambahan

Atribut yang diperluas

Sebelum memulai

Biaya

Peran yang diperlukan

Membuat aplikasi Microsoft Entra ID

OIDC

SAML

Mengonfigurasi sejumlah besar grup dengan Microsoft Entra ID

Mengonfigurasi sejumlah besar grup dengan Microsoft Entra ID menggunakan alur implisit OIDC

Mengonfigurasi aplikasi Microsoft Entra ID Anda

Membuat workforce identity pool

gcloud

Konsol

Mengonfigurasi penyedia workforce identity pool alur implisit OIDC

gcloud

Konsol

Mengonfigurasi sejumlah besar grup di Microsoft Entra ID dengan alur kode OIDC

Mengonfigurasi aplikasi Microsoft Entra ID Anda

Membuat workforce identity pool

gcloud

Konsol

Mengonfigurasi penyedia workforce identity pool alur kode OIDC

gcloud

Konsol

Mengonfigurasi sejumlah besar grup di Microsoft Entra ID dengan SAML 2.0

Mengonfigurasi aplikasi Microsoft Entra ID Anda

Membuat workforce identity pool

gcloud

Konsol

Mengonfigurasi penyedia workforce identity pool SAML 2.0

gcloud

Konsol

Memberikan peran IAM ke grup

Login dan uji akses

Login

Login konsol (gabungan)

Login berbasis browser gcloud CLI

Login headless gcloud CLI

OIDC

SAML

Pengujian Akses

Konsol (gabungan)

gcloud CLI

Menghapus pengguna

Mengonfigurasi SCIM

Mengonfigurasi token dan tenant SCIM di Google Cloud

Mengonfigurasi SCIM di Microsoft Entra ID

Memperbarui penyedia untuk mengaktifkan SCIM

OIDC

SAML

Memetakan token dan atribut SCIM

Menghapus tenant SCIM secara paksa

Langkah berikutnya

Mengonfigurasi Workforce Identity Federation dengan Microsoft Entra ID