Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare la federazione delle identità per la forza lavoro con Microsoft Entra ID

Puoi configurare la federazione delle identità per la forza lavoro con il provider di identità (IdP) Microsoft Entra ID e mappare fino a 400 gruppi da Microsoft Entra ID a Google Cloud utilizzando Microsoft Graph. Puoi quindi concedere ruoli IAM a questi gruppi e indicare come accedere a Google Cloud gli utenti di Microsoft Entra ID che sono membri dei gruppi. Gli utenti possono quindi accedere ai prodotti a cui è stato concesso l'accesso IAM e che supportano la federazione delle identità per la forza lavoro. Google Cloud

Per mappare meno di 150 gruppi da Microsoft Entra ID a Google Cloud, consulta Configurare la federazione delle identità per la forza lavoro con Microsoft Entra ID e accedere agli utenti.

Concetti fondamentali

Questa sezione descrive i concetti utilizzati per configurare la federazione delle identità per la forza lavoro, più avanti in questo documento.

Attributi aggiuntivi

Per mappare fino a 400 gruppi, utilizza attributi aggiuntivi specificando i flag extra-attributes quando crei il provider del pool di identità per la forza lavoro. Puoi utilizzare attributi aggiuntivi con i seguenti protocolli:

OIDC con flusso implicito
OIDC con flusso di codice
Protocollo SAML 2.0

Il numero di indirizzi email di gruppo che un'applicazione Microsoft Entra ID può emettere in un token è limitato a 150 per SAML e 200 per JWT. Per saperne di più su questo limite, consulta Configurare le attestazioni di gruppo per le applicazioni utilizzando Microsoft Entra ID. Per recuperare più gruppi, la federazione delle identità per la forza lavoro utilizza il flusso delle credenziali client OAuth 2.0 di Microsoft Identity per ottenere le credenziali che consentono alla federazione delle identità per la forza lavoro di eseguire query sull'API Microsoft Graph e recuperare i gruppi di un utente.

Per utilizzare gli attributi aggiuntivi, a livello generale, devi:

Crea una nuova applicazione Microsoft Entra ID o aggiorna quella esistente per ottenere le appartenenze ai gruppi degli utenti dall'API Microsoft Graph. Per scoprire di più su come Microsoft Graph recupera un numero elevato di gruppi da Microsoft Entra ID, consulta Superamento dei limiti dei gruppi.
Quando crei il provider del pool di identità della forza lavoro, utilizzi i flag extra-attributes per configurare la federazione delle identità per la forza lavoro in modo da recuperare gli indirizzi email di gruppo degli utenti dall'API Microsoft Graph.

La federazione delle identità per la forza lavoro può recuperare un massimo di 999 gruppi dall'API Microsoft Graph. Se l'API Microsoft Graph restituisce più di 999 gruppi, l'accesso non va a buon fine.

Per ridurre il numero di gruppi restituiti dall'API Microsoft Graph, puoi perfezionare la query della federazione delle identità per la forza lavoro utilizzando il flag --extra-attributes-filter quando crei il provider del pool di identità per la forza lavoro.

Dopo che la federazione delle identità per la forza lavoro recupera i gruppi dall'API Microsoft Graph, genera il token di accesso. La federazione delle identità per la forza lavoro può aggiungere un massimo di 400 gruppi al token di accesso, quindi, per filtrare ulteriormente il numero di gruppi fino a 400 o meno, puoi specificare una mappatura degli attributi che contiene espressioni CEL (Common Expression Language) quando crei il provider del pool di identità per la forza lavoro.

Attributi estesi

Per gli utenti di Gemini Enterprise, puoi utilizzare gli attributi estesi per mappare fino a 1000 gruppi da Microsoft Entra ID. Questo limite è superiore a quello per gli attributi aggiuntivi. Per utilizzare gli attributi estesi, specifica i flag extended-attributes quando crei il provider del pool di identità della forza lavoro. Utilizzando gli attributi estesi, la federazione delle identità per la forza lavoro recupera gli ID gruppo (UUID) da Microsoft Entra ID.

Per consentire agli utenti di Gemini Enterprise di inserire nomi di gruppi leggibili, anziché UUID, nell'interfaccia utente di condivisione dei notebook di Gemini Enterprise, devi anche configurare SCIM.

Configura SCIM nella federazione delle identità per la forza lavoro e nel tuo IdP come descritto più avanti in questo documento.

Configura gli attributi estesi utilizzando i seguenti flag:

--extended-attributes-issuer-uri
--extended-attributes-client-id
--extended-attributes-client-secret-value

Quando utilizzi gli attributi estesi, si applicano anche le seguenti limitazioni:

Non è necessario configurare google.groups nel mapping degli attributi perché gli attributi dei gruppi non vengono utilizzati. Tuttavia, vengono utilizzate altre mappature degli attributi.
Puoi configurare altri flag del provider del pool di identità della forza lavoro come documentato, ma queste impostazioni si applicano a prodotti diversi da Gemini Enterprise che supportano la federazione delle identità della forza lavoro.
Gli attributi estesi vengono aggiornati e rinnovati periodicamente in background per la durata della sessione, anche dopo l'accesso.
In Microsoft Entra ID, devi concedere all'applicazione l'autorizzazione User.Read.All anziché User.Read, User.ReadBasic.All o GroupMember.Read.All.
Il flag del tipo di attributi estesi --extended-attributes-type supporta solo il tipo azure-ad-groups-id.
Gli attributi estesi supportano solo fino a 1000 gruppi. Al contrario, il flag --extra-attributes supporta fino a 400 gruppi.
Gli attributi estesi possono essere utilizzati solo per l'accesso web tramite vertexaisearch.cloud.google, non per gli accessi alla console e non per gli accessi a gcloud CLI.

Prima di iniziare

Assicurati di aver configurato un'organizzazione Google Cloud .
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
```
gcloud init
```
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Nota: se hai installato gcloud CLI in precedenza, assicurati di avere l'ultima versione eseguendo gcloud components update.
In Microsoft Entra ID, assicurati che i token ID siano abilitati per il flusso implicito. Per maggiori informazioni, vedi Abilitare la concessione implicita del token ID.
Per l'accesso, l'IdP deve fornire informazioni di autenticazione firmate: gli IdP OIDC devono fornire un JWT e le risposte degli IdP SAML devono essere firmate.
Per ricevere informazioni importanti sulle modifiche apportate alla tua organizzazione o ai prodottiGoogle Cloud , devi fornire i contatti essenziali. Per ulteriori informazioni, consulta la panoramica della federazione delle identità per la forza lavoro.
Tutti i gruppi che intendi mappare devono essere contrassegnati come gruppi di sicurezza in Microsoft Entra ID.
Importante: è possibile recuperare un massimo di 999 gruppi.

Costi

La federazione delle identità per la forza lavoro è disponibile come funzionalità senza costi. Tuttavia, l'audit logging dettagliato della federazione delle identità della forza lavoro utilizza Cloud Logging. Per informazioni sui prezzi di Logging, consulta Prezzi di Google Cloud Observability.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare la federazione delle identità della forza lavoro, chiedi all'amministratore di concederti il ruolo IAM IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Se stai configurando le autorizzazioni in un ambiente di sviluppo o di test, ma non in un ambiente di produzione, puoi concedere il ruolo di base Proprietario IAM (roles/owner), che include anche le autorizzazioni per la federazione delle identità della forza lavoro.

Crea un'applicazione Microsoft Entra ID

Questa sezione mostra come creare un'applicazione Microsoft Entra ID utilizzando il portale di amministrazione di Microsoft Entra. In alternativa, puoi aggiornare la tua applicazione esistente. Per ulteriori dettagli, vedi Stabilire applicazioni nell'ecosistema Microsoft Entra ID.

I pool di identità della forza lavoro supportano la federazione utilizzando i protocolli OIDC e SAML.

OIDC

Per creare una registrazione dell'applicazione Microsoft Entra ID che utilizza il protocollo OIDC, svolgi i seguenti passaggi:

Accedi al portale di amministrazione di Microsoft Entra.
Vai a Identità > Applicazioni > Registrazioni app.
Per iniziare a configurare la registrazione dell'applicazione:
1. Fai clic su Nuova registrazione.
2. Inserisci un nome per l'applicazione.
3. In Tipi di account supportati, seleziona un'opzione.
4. Nella sezione Redirect URI (URI di reindirizzamento), seleziona Web nell'elenco a discesa Seleziona una piattaforma.
5. Nel campo di testo, inserisci un URL di reindirizzamento. I tuoi utenti vengono reindirizzati a questo URL dopo aver eseguito l'accesso. Se stai configurando l'accesso alla console (federata), utilizza il seguente formato URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Sostituisci quanto segue:
  - WORKFORCE_POOL_ID: un ID pool di identità della forza lavoro che utilizzerai quando creerai il pool di identità della forza lavoro più avanti in questo documento, ad esempio: entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID: un ID provider del pool di identità della forza lavoro che utilizzerai quando crei il provider del pool di identità della forza lavoro più avanti in questo documento, ad esempio entra-id-oidc-pool-provider
    
    Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
6. Per creare la registrazione dell'applicazione, fai clic su Registra.
7. Per utilizzare la mappatura degli attributi di esempio fornita più avanti in questo documento, devi creare un attributo department personalizzato.

SAML

Per creare una registrazione dell'applicazione Microsoft Entra ID che utilizza il protocollo SAML, segui questi passaggi:

Accedi al portale di amministrazione di Microsoft Entra.
Nel menu di navigazione a sinistra, vai a Entra ID > App aziendali.
Per iniziare a configurare l'applicazione aziendale:
1. Fai clic su Nuova applicazione > Crea la tua applicazione.
2. Nel riquadro Crea la tua applicazione visualizzato, inserisci un nome per l'applicazione.
3. Fai clic su Crea.
4. Vai a Single Sign-On > SAML.
5. Aggiorna la Basic SAML Configuration (Configurazione SAML di base) nel seguente modo:
  1. Nel campo Identifier (Entity ID) (Identificatore (ID entità)), inserisci il seguente valore:
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Sostituisci quanto segue:
    - WORKFORCE_POOL_ID: un ID pool di identità forza lavoro che utilizzerai quando creerai il pool di identità forza lavoro più avanti in questo documento, ad esempio: entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID: un ID provider del pool di identità per la forza lavoro che utilizzerai quando crei il provider del pool di identità per la forza lavoro più avanti in questo documento, ad esempio: entra-id-saml-pool-provider
      
      Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
  2. Nel campo URL di risposta (URL Assertion Consumer Service), inserisci un URL di reindirizzamento. I tuoi utenti vengono reindirizzati a questo URL dopo aver eseguito l'accesso. Se stai configurando l'accesso alla console (federata), utilizza il seguente formato URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Sostituisci quanto segue:
    - WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
    - WORKFORCE_PROVIDER_ID: l'ID del provider di identità della forza lavoro
  3. Per attivare l'accesso avviato da IdP, imposta il campo Relay State sul seguente valore:
```
https://console.cloud.google/
```
  4. Per salvare la configurazione dell'applicazione SAML, fai clic su Salva.
6. Per utilizzare la mappatura degli attributi di esempio fornita più avanti in questo documento, devi creare un attributo department personalizzato.

Configurare un numero elevato di gruppi con Microsoft Entra ID

Questa sezione descrive come mappare fino a 400 gruppi da Microsoft Entra ID alla federazione delle identità per la forza lavoro utilizzando i protocolli OIDC e SAML.

Configurare un numero elevato di gruppi con Microsoft Entra ID con il flusso implicito OIDC

Questa sezione descrive come mappare fino a 400 gruppi da Microsoft Entra ID alla federazione delle identità per la forza lavoro utilizzando il protocollo OpenID Connect (OIDC) con flusso implicito.

Configurare l'applicazione Microsoft Entra ID

Puoi configurare un'applicazione Microsoft Entra ID esistente o crearne una nuova. Per configurare l'applicazione, procedi come segue:

Nel portale Microsoft Entra ID, esegui le seguenti operazioni:
- Per registrare una nuova applicazione, segui le istruzioni riportate in Registrare una nuova applicazione.
- Per aggiornare un'applicazione esistente, procedi nel seguente modo:
  - Vai a Identità > Applicazioni > Applicazioni aziendali.
  - Seleziona l'applicazione che vuoi aggiornare.
Crea un nuovo client secret nell'applicazione seguendo le istruzioni riportate in Certificati e secret. Assicurati di registrare il valore del client secret perché viene visualizzato una sola volta.
Prendi nota dei seguenti valori dell'applicazione che hai creato o aggiornato. Fornisci i valori quando configuri il provider di pool di identità per la forza lavoro più avanti in questo documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Per recuperare i gruppi Microsoft Entra ID, aggiungi l'autorizzazione API per consentire alla federazione delle identità per la forza lavoro di accedere alle informazioni degli utenti da Microsoft Entra ID utilizzando l'API Microsoft Graph e concedi il consenso amministratore. In Microsoft Entra ID:
1. Vai ad Autorizzazioni API.
2. Fai clic su Aggiungi un'autorizzazione.
3. Seleziona API Microsoft.
4. Seleziona Autorizzazioni applicazione.
5. Nel campo di ricerca, digita User.ReadBasic.All.
6. Fai clic su Aggiungi autorizzazioni.
Puoi recuperare i gruppi Microsoft Entra ID come identificatori di oggetti gruppo (ID) o come indirizzo email del gruppo per i gruppi abilitati all'invio di email.

Se scegli di recuperare i gruppi come indirizzi email di gruppo, è necessario il passaggio successivo.
Per recuperare i gruppi Microsoft Entra ID come indirizzi email di gruppo, procedi nel seguente modo. Se recuperi i gruppi come identificatori di oggetti gruppo, salta questo passaggio.
1. Nel campo di ricerca, inserisci GroupMember.Read.All.
2. Fai clic su Aggiungi autorizzazioni.
3. Fai clic su Concedi il consenso amministratore per il tuo nome di dominio.
4. Nella finestra di dialogo visualizzata, fai clic su Sì.
5. Vai alla pagina Panoramica dell'applicazione Microsoft Entra ID che hai creato o aggiornato in precedenza.
6. Fai clic su Endpoint.
L'URI dell'emittente è l'URI del documento dei metadati OIDC, senza il percorso /.well-known/openid-configuration.

Ad esempio, se il documento dei metadati OIDC è https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI dell'emittente è https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crea un pool di identità per la forza lavoro

gcloud

Per creare il pool di identità per la forza lavoro, esegui questo comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Sostituisci quanto segue:

WORKFORCE_POOL_ID: un ID che scegli per rappresentare il tuo pool di forza lavoro Google Cloud . Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
ORGANIZATION_ID: l'ID numerico dell'organizzazione della tua organizzazione Google Cloud per il pool di identità della forza lavoro. I pool di identità della forza lavoro sono disponibili in tutti i progetti e nelle cartelle dell'organizzazione.
DISPLAY_NAME: (Facoltativo) Un nome visualizzato per il tuo pool di identità della forza lavoro.
DESCRIPTION: (Facoltativo) Una descrizione del pool di identità della forza lavoro.
SESSION_DURATION: (Facoltativo) La durata della sessione, espressa come numero a cui è aggiunto s, ad esempio 3600s. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e le sessioni di accesso a gcloud CLI di questo pool di forza lavoro. Per impostazione predefinita, la durata della sessione è di un'ora (3600 secondi). Il valore della durata della sessione deve essere compreso tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Console

Per creare il pool di identità per la forza lavoro:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Seleziona l'organizzazione per il tuo pool di identità della forza lavoro. I pool di identità del personale sono disponibili in tutti i progetti e le cartelle di un'organizzazione.
Fai clic su Crea pool e segui questi passaggi:
1. Nel campo Nome, inserisci il nome visualizzato del pool. L'ID pool viene derivato automaticamente dal nome durante la digitazione e viene visualizzato sotto il campo Nome. Puoi aggiornare l'ID pool facendo clic su Modifica accanto all'ID pool.
2. (Facoltativo) In Descrizione, inserisci una descrizione del pool.
3. Per creare il pool di identità per la forza lavoro, fai clic su Avanti.

La durata della sessione del pool di identità della forza lavoro è impostata su un'ora (3600 secondi) per impostazione predefinita. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e a gcloud CLI da questo pool di forza lavoro. Dopo aver creato il pool, puoi aggiornarlo per impostare una durata della sessione personalizzata. La durata della sessione deve essere compresa tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Configura il provider di pool di identità per la forza lavoro con flusso implicito OIDC

gcloud

Per creare il fornitore del pool di identità della forza lavoro OIDC, esegui questo comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Sostituisci quanto segue:

PROVIDER_ID: un ID fornitore univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool o in un ID fornitore.
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro.
DISPLAY_NAME: un nome visualizzato per il fornitore.
ISSUER_URI: l'URI dell'emittente dell'applicazione Microsoft Entra ID creata in precedenza in questo documento.
CLIENT_ID: l'ID client dell'applicazione Microsoft Entra ID.
ATTRIBUTE_MAPPING: il mapping degli attributi da Microsoft Entra ID a Google Cloud. Ad esempio, per mappare gli attributi groups e subject da Microsoft Entra ID, utilizza il seguente mapping degli attributi:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Per saperne di più, vedi Mappatura degli attributi.
EXTRA_ATTRIBUTES_ISSUER_URI: l'URI dell'emittente dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: l'ID client dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: il client secret aggiuntivo dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: utilizza azure-ad-groups-mail per recuperare gli indirizzi email dei gruppi. Utilizza azure-ad-groups-id per recuperare gli ID dei gruppi.
EXTRA_ATTRIBUTES_FILTER: (Facoltativo) Un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi. Puoi utilizzare questo parametro per assicurarti che il numero di gruppi recuperati dall'IdP rimanga al di sotto del limite di 400 gruppi.
L'esempio seguente recupera i gruppi che hanno il prefisso sales nel loro ID email:
```
--extra-attributes-filter='"mail:sales"'
```
La seguente espressione recupera i gruppi con un nome visualizzato che contiene la stringa sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Console

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro

Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella sezione Provider, fai clic su Aggiungi provider.
Nell'elenco Seleziona un fornitore di provider, seleziona il tuo provider di identità (IdP).
Se il tuo IdP non è elencato, seleziona Provider di identità generico.
In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).
Nella sezione Crea un fornitore, segui questi passaggi:
1. In Nome, inserisci il nome del provider.
2. In Descrizione, inserisci la descrizione del fornitore.
3. In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.
4. In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
5. Per creare un fornitore abilitato, assicurati che l'opzione Abilita fornitore sia attiva.
6. Fai clic su Continua.
Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nell'IdP, configura questo URL come URI di reindirizzamento, che indica all'IdP dove inviare il token di asserzione dopo l'accesso.
Fai clic su Continua.
Nella sezione Configura l'accesso web OIDC, segui questi passaggi:
Nell'elenco Tipo di flusso, seleziona Token ID.
Nell'elenco Comportamento delle rivendicazioni di asserzione, è selezionato Token ID.
(Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.

Fai clic su Continua.

In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare un mapping degli attributi: Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.

Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.
(Facoltativo) Per aggiungere mappature degli attributi aggiuntive:
1. Fai clic su Aggiungi mappatura.
2. In Google n, dove n è un numero, inserisci una delle chiavi supportate daGoogle Cloud.
3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico del provider di identità da mappare, in formato CEL.
Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.
1. Seleziona Usa attributi aggiuntivi.
2. Nel campo URI emittente attributi aggiuntivi, inserisci l'URL dell'emittente.
3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.
Per creare una condizione di attributo, procedi nel seguente modo:
1. Fai clic su Aggiungi condizione.
2. Nel campo Condizioni attributo, inserisci una condizione in formato CEL, ad esempio assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
3. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
  La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.
  
  Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Per creare il fornitore, fai clic su Invia.

Configurare un numero elevato di gruppi in Microsoft Entra ID con il flusso di codice OIDC

Questa sezione descrive come mappare fino a 400 gruppi da Microsoft Entra ID alla federazione delle identità per la forza lavoro utilizzando il protocollo OIDC con il flusso di codice.

Configurare l'applicazione Microsoft Entra ID

Puoi configurare un'applicazione Microsoft Entra ID esistente o crearne una nuova. Per configurare l'applicazione, procedi come segue:

Nel portale Microsoft Entra ID, esegui le seguenti operazioni:
- Per registrare una nuova applicazione, segui le istruzioni riportate in Registrare una nuova applicazione.
- Per aggiornare un'applicazione esistente, procedi nel seguente modo:
  - Vai a Identità > Applicazioni > Applicazioni aziendali.
  - Seleziona l'applicazione che vuoi aggiornare.
Crea un nuovo client secret nell'applicazione seguendo le istruzioni in Certificati e secret. Assicurati di registrare il valore del client secret perché viene visualizzato una sola volta.
Prendi nota dei seguenti valori dell'applicazione che hai creato o aggiornato. Fornisci i valori quando configuri il provider di pool di identità per la forza lavoro più avanti in questo documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Per recuperare i gruppi Microsoft Entra ID, aggiungi l'autorizzazione API per consentire alla federazione delle identità per la forza lavoro di accedere alle informazioni degli utenti da Microsoft Entra ID utilizzando l'API Microsoft Graph e concedi il consenso amministratore. In Microsoft Entra ID:
1. Vai ad Autorizzazioni API.
2. Fai clic su Aggiungi un'autorizzazione.
3. Seleziona API Microsoft.
4. Seleziona Autorizzazioni delegate.
5. Nel campo di ricerca, digita User.Read.
6. Fai clic su Aggiungi autorizzazioni.
Puoi recuperare i gruppi Microsoft Entra ID come identificatori di oggetti gruppo (ID) o come indirizzo email del gruppo per i gruppi abilitati all'invio di email.

Se scegli di recuperare i gruppi come indirizzi email di gruppo, è necessario il passaggio successivo.
Per recuperare i gruppi Microsoft Entra ID come indirizzi email di gruppo, procedi nel seguente modo. Se recuperi i gruppi come identificatori di oggetti gruppo, salta questo passaggio.
1. Nel campo di ricerca, inserisci GroupMember.Read.All.
2. Fai clic su Aggiungi autorizzazioni.
3. Fai clic su Concedi il consenso amministratore per il tuo nome di dominio.
4. Nella finestra di dialogo visualizzata, fai clic su Sì.
5. Vai alla pagina Panoramica dell'applicazione Microsoft Entra ID che hai creato o aggiornato in precedenza.
6. Fai clic su Endpoint.
L'URI dell'emittente è l'URI del documento dei metadati OIDC, senza il percorso /.well-known/openid-configuration.

Ad esempio, se il documento dei metadati OIDC è https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI dell'emittente è https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crea un pool di identità per la forza lavoro

gcloud

Per creare il pool di identità per la forza lavoro, esegui questo comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Sostituisci quanto segue:

WORKFORCE_POOL_ID: un ID che scegli per rappresentare il tuo pool di forza lavoro Google Cloud . Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
ORGANIZATION_ID: l'ID numerico dell'organizzazione della tua organizzazione Google Cloud per il pool di identità della forza lavoro. I pool di identità della forza lavoro sono disponibili in tutti i progetti e nelle cartelle dell'organizzazione.
DISPLAY_NAME: (Facoltativo) Un nome visualizzato per il tuo pool di identità della forza lavoro.
DESCRIPTION: (Facoltativo) Una descrizione del pool di identità della forza lavoro.
SESSION_DURATION: (Facoltativo) La durata della sessione, espressa come numero a cui è aggiunto s, ad esempio 3600s. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e le sessioni di accesso a gcloud CLI di questo pool di forza lavoro. Per impostazione predefinita, la durata della sessione è di un'ora (3600 secondi). Il valore della durata della sessione deve essere compreso tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Console

Per creare il pool di identità per la forza lavoro:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Seleziona l'organizzazione per il tuo pool di identità della forza lavoro. I pool di identità del personale sono disponibili in tutti i progetti e le cartelle di un'organizzazione.
Fai clic su Crea pool e segui questi passaggi:
1. Nel campo Nome, inserisci il nome visualizzato del pool. L'ID pool viene derivato automaticamente dal nome durante la digitazione e viene visualizzato sotto il campo Nome. Puoi aggiornare l'ID pool facendo clic su Modifica accanto all'ID pool.
2. (Facoltativo) In Descrizione, inserisci una descrizione del pool.
3. Per creare il pool di identità per la forza lavoro, fai clic su Avanti.

Configura il provider di pool di identità per la forza lavoro del flusso di codice OIDC

gcloud

Per creare il fornitore del pool di identità della forza lavoro OIDC, esegui questo comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Sostituisci quanto segue:

PROVIDER_ID: un ID fornitore univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool o in un ID fornitore.
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro.
DISPLAY_NAME: un nome visualizzato per il fornitore.
ISSUER_URI: l'URI dell'emittente dell'applicazione Microsoft Entra ID creata in precedenza in questo documento.
CLIENT_ID: l'ID client dell'applicazione Microsoft Entra ID.
ATTRIBUTE_MAPPING: il mapping degli attributi da Microsoft Entra ID a Google Cloud. Ad esempio, per mappare gli attributi groups e subject da Microsoft Entra ID, utilizza il seguente mapping degli attributi:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Per saperne di più, vedi Mappatura degli attributi.
EXTRA_ATTRIBUTES_ISSUER_URI: l'URI dell'emittente dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: l'ID client dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: il client secret aggiuntivo dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: utilizza azure-ad-groups-mail per recuperare gli indirizzi email dei gruppi. Utilizza azure-ad-groups-id per recuperare gli ID dei gruppi.
EXTRA_ATTRIBUTES_FILTER: (Facoltativo) Un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi. Puoi utilizzare questo parametro per assicurarti che il numero di gruppi recuperati dall'IdP rimanga al di sotto del limite di 400 gruppi.
L'esempio seguente recupera i gruppi che hanno il prefisso sales nel loro ID email:
```
--extra-attributes-filter='"mail:sales"'
```
La seguente espressione recupera i gruppi con un nome visualizzato che contiene la stringa sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Console

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro

Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella sezione Provider, fai clic su Aggiungi provider.
Nell'elenco Seleziona un fornitore di provider, seleziona il tuo provider di identità (IdP).
Se il tuo IdP non è elencato, seleziona Provider di identità generico.
In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).
Nella sezione Crea un fornitore, segui questi passaggi:
1. In Nome, inserisci il nome del provider.
2. In Descrizione, inserisci la descrizione del fornitore.
3. In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.
4. In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
5. Per creare un fornitore abilitato, assicurati che l'opzione Abilita fornitore sia attiva.
6. Fai clic su Continua.
Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nell'IdP, configura questo URL come URI di reindirizzamento, che indica all'IdP dove inviare il token di asserzione dopo l'accesso.
Fai clic su Continua.
Nella sezione Configura l'accesso web OIDC, esegui queste operazioni:
1. Nell'elenco Tipo di flusso, seleziona Codice.
2. Nell'elenco Comportamento delle rivendicazioni di asserzione, seleziona una delle seguenti opzioni:
3. Nel campo Client secret, inserisci il client secret del tuo IdP.
4. (Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.
Fai clic su Continua.
In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare un mapping degli attributi: Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.
1. Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.
2. (Facoltativo) Per aggiungere mappature degli attributi aggiuntive:
  1. Fai clic su Aggiungi mappatura.
  2. In Google n, dove n è un numero, inserisci una delle chiavi supportate daGoogle Cloud.
  3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico del provider di identità da mappare, in formato CEL.
3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.
  1. Seleziona Usa attributi aggiuntivi.
  2. Nel campo URI emittente attributi aggiuntivi, inserisci l'URL dell'emittente.
  3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
  4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
  5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
  6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.
4. Per creare una condizione di attributo, procedi nel seguente modo:
  1. Fai clic su Aggiungi condizione.
  2. Nel campo Condizioni attributo, inserisci una condizione in formato CEL, ad esempio assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
  3. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
    La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.
    
    Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.
Per creare il fornitore, fai clic su Invia.

Configurare un numero elevato di gruppi in Microsoft Entra ID con SAML 2.0

Questa sezione descrive come mappare fino a 400 gruppi da Microsoft Entra ID alla federazione delle identità per la forza lavoro utilizzando il protocollo SAML 2.0.

Configurare l'applicazione Microsoft Entra ID

Per configurare l'applicazione, procedi come segue:

Nel portale Microsoft Entra ID, esegui le seguenti operazioni:
- Per registrare una nuova applicazione, segui le istruzioni riportate in Registrare una nuova applicazione.
- Per aggiornare un'applicazione esistente, procedi nel seguente modo:
  - Vai a Identità > Applicazioni > Applicazioni aziendali.
  - Seleziona l'applicazione che vuoi aggiornare.
Crea un nuovo client secret nell'applicazione seguendo le istruzioni in Certificati e secret. Assicurati di registrare il valore del client secret perché viene visualizzato una sola volta.
Prendi nota dei seguenti valori dell'applicazione che hai creato o aggiornato. Fornisci i valori quando configuri il provider di pool di identità per la forza lavoro più avanti in questo documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Per recuperare i gruppi Microsoft Entra ID, aggiungi l'autorizzazione API per consentire alla federazione delle identità per la forza lavoro di accedere alle informazioni degli utenti da Microsoft Entra ID utilizzando l'API Microsoft Graph e concedi il consenso amministratore. In Microsoft Entra ID:
1. Vai ad Autorizzazioni API.
2. Fai clic su Aggiungi un'autorizzazione.
3. Seleziona API Microsoft.
4. Seleziona Autorizzazioni applicazione.
5. Nel campo di ricerca, digita User.ReadBasic.All.
6. Fai clic su Aggiungi autorizzazioni.
Puoi recuperare i gruppi Microsoft Entra ID come identificatori di oggetti gruppo (ID) o come indirizzo email del gruppo per i gruppi abilitati all'invio di email.

Se scegli di recuperare i gruppi come indirizzi email di gruppo, è necessario il passaggio successivo.
Per recuperare i gruppi Microsoft Entra ID come indirizzi email di gruppo, procedi nel seguente modo. Se recuperi i gruppi come identificatori di oggetti gruppo, salta questo passaggio.
1. Nel campo di ricerca, inserisci GroupMember.Read.All.
2. Fai clic su Aggiungi autorizzazioni.
3. Fai clic su Concedi il consenso amministratore per il tuo nome di dominio.
4. Nella finestra di dialogo visualizzata, fai clic su Sì.
5. Vai alla pagina Panoramica dell'applicazione Microsoft Entra ID che hai creato o aggiornato in precedenza.
6. Fai clic su Endpoint.
L'URI dell'emittente è l'URI del documento dei metadati OIDC, senza il percorso /.well-known/openid-configuration.

Ad esempio, se il documento dei metadati OIDC è https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI dell'emittente è https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crea un pool di identità per la forza lavoro

gcloud

Per creare il pool di identità per la forza lavoro, esegui questo comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Sostituisci quanto segue:

WORKFORCE_POOL_ID: un ID che scegli per rappresentare il tuo pool di forza lavoro Google Cloud . Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
ORGANIZATION_ID: l'ID numerico dell'organizzazione della tua organizzazione Google Cloud per il pool di identità della forza lavoro. I pool di identità della forza lavoro sono disponibili in tutti i progetti e nelle cartelle dell'organizzazione.
DISPLAY_NAME: (Facoltativo) Un nome visualizzato per il tuo pool di identità della forza lavoro.
DESCRIPTION: (Facoltativo) Una descrizione del pool di identità della forza lavoro.
SESSION_DURATION: (Facoltativo) La durata della sessione, espressa come numero a cui è aggiunto s, ad esempio 3600s. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e le sessioni di accesso a gcloud CLI di questo pool di forza lavoro. Per impostazione predefinita, la durata della sessione è di un'ora (3600 secondi). Il valore della durata della sessione deve essere compreso tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Console

Per creare il pool di identità per la forza lavoro:

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro
Seleziona l'organizzazione per il tuo pool di identità della forza lavoro. I pool di identità del personale sono disponibili in tutti i progetti e le cartelle di un'organizzazione.
Fai clic su Crea pool e segui questi passaggi:
1. Nel campo Nome, inserisci il nome visualizzato del pool. L'ID pool viene derivato automaticamente dal nome durante la digitazione e viene visualizzato sotto il campo Nome. Puoi aggiornare l'ID pool facendo clic su Modifica accanto all'ID pool.
2. (Facoltativo) In Descrizione, inserisci una descrizione del pool.
3. Per creare il pool di identità per la forza lavoro, fai clic su Avanti.

Configura il fornitore del pool di identità della forza lavoro SAML 2.0

gcloud

Per creare il fornitore del pool di identità della forza lavoro SAML, esegui questo comando:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Sostituisci quanto segue:

PROVIDER_ID: un ID fornitore univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool o in un ID fornitore.
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro.
DISPLAY_NAME: un nome visualizzato per il provider.
XML_METADATA_PATH: il percorso del file XML di metadati SAML 2.0.
ATTRIBUTE_MAPPING: il mapping degli attributi da Microsoft Entra ID a Google Cloud. Ad esempio, per mappare gli attributi groups e subject da Microsoft Entra ID, utilizza il seguente mapping degli attributi:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Per saperne di più, vedi Mappatura degli attributi.
EXTRA_ATTRIBUTES_ISSUER_URI: l'URI dell'emittente dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: l'ID client dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: il client secret aggiuntivo dell'applicazione Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: utilizza azure-ad-groups-mail per recuperare gli indirizzi email dei gruppi. Utilizza azure-ad-groups-id per recuperare gli ID dei gruppi.
EXTRA_ATTRIBUTES_FILTER: (Facoltativo) Un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi. Puoi utilizzare questo parametro per assicurarti che il numero di gruppi recuperati dall'IdP rimanga al di sotto del limite di 400 gruppi.
L'esempio seguente recupera i gruppi che hanno il prefisso sales nel loro ID email:
```
--extra-attributes-filter='"mail:sales"'
```
La seguente espressione recupera i gruppi con un nome visualizzato che contiene la stringa sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

Console

Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

Vai a Pool di identità per la forza lavoro

Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella sezione Provider, fai clic su Aggiungi provider.
Nell'elenco Seleziona un fornitore di provider, seleziona il tuo provider di identità (IdP).
Se il tuo IdP non è elencato, seleziona Provider di identità generico.
In Seleziona un protocollo di autenticazione, seleziona SAML.
Nella sezione Crea un fornitore, segui questi passaggi:
1. In Nome, inserisci un nome per il provider.
2. (Facoltativo) In Descrizione, inserisci una descrizione del provider.
3. In File di metadati IDP (XML), seleziona il file XML dei metadati che hai generato in precedenza in questa guida.
4. Per creare un fornitore abilitato, assicurati che l'opzione Abilita fornitore sia attiva.
5. Fai clic su Continua.
Nella sezione Condividi le informazioni sul provider, copia gli URL. Nel tuo IdP, configura il primo URL come ID entità, che identifica la tua applicazione per l'IdP. Configura l'altro URL come URI di reindirizzamento, che indica all'IdP dove inviare il token di asserzione dopo l'accesso.
Fai clic su Continua.
Nella sezione Configura provider, segui questi passaggi:
1. In Mappatura degli attributi, inserisci un'espressione CEL per google.subject.
2. (Facoltativo) Per inserire altre mappature, fai clic su Aggiungi mappatura e inserisci altre mappature, ad esempio:
3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.
  1. Seleziona Usa attributi aggiuntivi.
  2. Nel campo URI emittente attributi aggiuntivi, inserisci l'URL dell'emittente.
  3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
  4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
  5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
  6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.
4. (Facoltativo) Per aggiungere una condizione dell'attributo, fai clic su Aggiungi condizione e inserisci un'espressione CEL che rappresenta una condizione dell'attributo. Ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con 98.11.12. possano accedere utilizzando questo provider di forza lavoro.
5. Fai clic su Continua.
6. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
  La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.
  
  Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.
Per creare il fornitore, fai clic su Invia.

Concedi ruoli IAM ai gruppi

In questa sezione concedi ruoli ai gruppi sulle risorse Google Cloud . Per scoprire di più sugli identificatori delle entità della federazione delle identità della forza lavoro, consulta Rappresenta gli utenti del pool di forza lavoro nelle policy IAM.

Il seguente esempio concede il ruolo Storage Admin (roles/storage.admin) agli utenti di un gruppo Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Sostituisci quanto segue:

PROJECT_ID: l'ID progetto
WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
GROUP_ID: l'identificatore del gruppo, che dipende dal valore di --extra-attributes-type utilizzato per creare il provider di identità forza lavoro, come segue:
- azure-ad-groups-mail: l'identificatore del gruppo è un indirizzo email, ad esempio: admin-group@altostrat.com
- azure-ad-groups-id: l'identificatore del gruppo è un UUID per il gruppo, ad esempio: abcdefgh-0123-0123-abcdef

In questa sezione, accedi come utente del pool di identità per la forza lavoro e verifica di avere accesso alle risorse Google Cloud .

Questa sezione mostra come accedere come utente federato e accedere Google Cloud alle risorse.

Per accedere alla console della federazione delle identità per la forza lavoro, nota anche come console (federata), segui questi passaggi: Google Cloud

Vai alla pagina di accesso alla console (federata).

Vai alla console (federata)

Inserisci il nome del fornitore, formattato come segue:

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Se richiesto, inserisci le credenziali utente in Microsoft Entra ID.

Se avvii un accesso avviato dall'IdP, utilizza il seguente URL di reindirizzamento: https://console.cloud.google/.

Per accedere a gcloud CLI utilizzando un flusso di accesso basato sul browser, segui questi passaggi:

Creare un file di configurazione

Per creare il file di configurazione di accesso, esegui questo comando. Se vuoi, puoi attivare il file come predefinito per gcloud CLI aggiungendo il flag --activate. Puoi quindi eseguire gcloud auth login senza specificare il percorso del file di configurazione ogni volta.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Sostituisci quanto segue:

WORKFORCE_POOL_ID: l'ID pool di forza lavoro
PROVIDER_ID: l'ID fornitore
LOGIN_CONFIG_FILE_PATH: il percorso di un file di configurazione che specifichi, ad esempio login.json

Il file contiene gli endpoint utilizzati da gcloud CLI per attivare il flusso di autenticazione basato sul browser e impostare il pubblico sul provider del pool di identità per la forza lavoro configurato. Il file non contiene informazioni riservate.

L'output è simile al seguente:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Per impedire a gcloud auth login di utilizzare automaticamente questo file di configurazione, puoi annullarne l'impostazione eseguendo gcloud config unset auth/login_config_file.

Accedere utilizzando l'autenticazione basata sul browser

Per eseguire l'autenticazione utilizzando l'autenticazione di accesso basata sul browser, puoi utilizzare uno dei seguenti metodi:

Se hai utilizzato il flag --activate quando hai creato il file di configurazione o se hai attivato il file di configurazione con gcloud config set auth/login_config_file, gcloud CLI utilizza automaticamente il file di configurazione:
```
gcloud auth login
```
Per accedere specificando la posizione del file di configurazione, esegui il seguente comando:
```
gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
```
Per utilizzare una variabile di ambiente per specificare la posizione del file di configurazione, imposta CLOUDSDK_AUTH_LOGIN_CONFIG_FILE sul percorso di configurazione.

Disattivare l'accesso basato sul browser

Per interrompere l'utilizzo del file di configurazione dell'accesso:

Se hai utilizzato il flag --activate quando hai creato il file di configurazione o se hai attivato il file di configurazione con gcloud config set auth/login_config_file, devi eseguire il seguente comando per annullarne l'impostazione:
```
gcloud config unset auth/login_config_file
```
Cancella la variabile di ambiente CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, se è impostata.

Per accedere a Microsoft Entra ID con gcloud CLI, segui questi passaggi:

OIDC

Segui i passaggi descritti in Inviare la richiesta di accesso. Accedi all'applicazione con Microsoft Entra ID utilizzando OIDC.
Copia il token ID dal parametro id_token dell'URL di reindirizzamento e salvalo in un file in una posizione sicura sulla macchina locale. In un passaggio successivo, imposterai PATH_TO_OIDC_ID_TOKEN sul percorso di questo file.

Genera un file di configurazione simile all'esempio riportato più avanti in questo passaggio eseguendo il seguente comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Sostituisci quanto segue:

WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro.
WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità forza lavoro.
PATH_TO_OIDC_ID_TOKEN: il percorso della posizione del file in cui è archiviato il token IdP.
WORKFORCE_POOL_USER_PROJECT: il numero o l'ID progetto utilizzato per la quota e la fatturazione. Il principal deve disporre dell'autorizzazione serviceusage.services.use per questo progetto.

Al termine del comando, Microsoft Entra ID crea il seguente file di configurazione:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Apri gcloud CLI ed esegui questo comando:
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Sostituisci PATH_TO_OIDC_CREDENTIALS con il percorso del file di output di un passaggio precedente.

gcloud CLI pubblica in modo trasparente le tue credenziali nell'endpoint del servizio token di sicurezza. Nell'endpoint, viene scambiato con token di accesso Google Cloud temporanei.

Ora puoi eseguire i comandi gcloud CLI per Google Cloud.

SAML

Accedi a un utente nell'applicazione Microsoft Entra ID e ottieni la risposta SAML.
Salva la risposta SAML restituita da Microsoft Entra ID in una posizione sicura sul tuo computer locale, quindi memorizza il percorso nel seguente modo:
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Per generare un file di configurazione delle credenziali, esegui questo comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro creato in precedenza in questa guida
WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro che hai creato in precedenza in questa guida
SAML_ASSERTION_PATH: il percorso del file di asserzione SAML
PROJECT_ID: l'ID progetto

Il file di configurazione generato è simile al seguente:

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Per accedere a gcloud CLI utilizzando lo scambio di token della federazione delle identità per la forza lavoro, esegui questo comando:
```
gcloud auth login --cred-file=config.json
```
gcloud CLI scambia in modo trasparente le tue credenziali Microsoft Entra ID con token di accesso temporanei Google Cloud . I token di accesso ti consentono di accedere a Google Cloud.

Vedi un output simile al seguente:
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Per elencare gli account con credenziali e il tuo account attivo, esegui questo comando:
```
gcloud auth list
```

Testa l'accesso

Ora hai accesso ai prodotti Google Cloud che supportano la federazione delle identità della forza lavoro e a cui ti è stato concesso l'accesso. In precedenza in questo documento, hai concesso il ruolo Amministratore Storage (roles/storage.admin) a tutte le identità all'interno dell'identificatore di gruppo che hai specificato in gcloud projects add-iam-policy-binding per il progetto TEST_PROJECT_ID.

Ora puoi verificare di avere accesso elencando i bucket Cloud Storage.

Console (federata)

Per verificare di avere accesso utilizzando la console (federata), segui questi passaggi:

Vai alla pagina Cloud Storage.

Vai a Cloud Storage
Verifica di poter visualizzare un elenco di bucket esistenti per TEST_PROJECT_ID.

Interfaccia a riga di comando gcloud

Per verificare di avere accesso utilizzando gcloud CLI, puoi elencare i bucket e gli oggetti Cloud Storage per il progetto a cui hai accesso. Per farlo, esegui questo comando. L'entità deve disporre dell'autorizzazione serviceusage.services.use per il progetto specificato.

gcloud storage ls --project="TEST_PROJECT_ID"

Eliminare utenti

La federazione delle identità della forza lavoro crea metadati e risorse utente per le identità utente federate. Se scegli di eliminare gli utenti nel tuo IdP, devi eliminare esplicitamente anche queste risorse in Google Cloud. Per farlo, consulta Eliminare gli utenti della federazione delle identità per la forza lavoro e i relativi dati.

Potresti notare che le risorse continuano a essere associate a un utente eliminato. Questo perché l'eliminazione dei metadati e delle risorse utente richiede un'operazione di lunga durata. Dopo aver avviato l'eliminazione dell'identità di un utente, i processi che l'utente ha avviato prima dell'eliminazione possono continuare a essere eseguiti fino al completamento o all'annullamento.

Configurare SCIM

Questa sezione descrive come configurare un tenant SCIM in un pool di identità della forza lavoro.

Ogni pool di identità della forza lavoro supporta un solo tenant SCIM. Per configurare un nuovo tenant SCIM in un pool che ne ha già uno, devi prima eliminare definitivamente il tenant esistente.

Il flag --claim-mapping per un tenant SCIM può contenere solo espressioni CEL (Common Expression Language) specifiche. Per scoprire quali espressioni sono supportate, consulta Mappare token e attributi SCIM.

Importante:assicurati che l'IdP fornisca valori univoci per gli attributi che mappi a google.subject e google.group utilizzando SCIM. Per saperne di più, consulta Supporto SCIM.

Per configurare System for Cross-domain Identity Management (SCIM), devi procedere nel seguente modo:

Configurare un tenant e un token SCIM in Google Cloud
Configurare SCIM nel tuo IdP

Configurare un tenant e un token SCIM in Google Cloud

Per configurare un tenant SCIM in Google Cloud:

Crea un tenant SCIM.
```
    gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"
    
```
Sostituisci quanto segue:
- SCIM_TENANT_ID: un ID per il tuo tenant SCIM.
- WORKFORCE_POOL_ID: l'ID del pool di forza lavoro che hai creato in precedenza in questo documento.
- PROVIDER_ID: l'ID del fornitore del pool di identità per la forza lavoro che hai creato in precedenza in questo documento.
- SCIM_TENANT_DISPLAY_NAME: un nome visualizzato per il tenant SCIM.
- SCIM_TENANT_DESCRIPTION: una descrizione per il tenant SCIM.
- CLAIM_MAPPING: un elenco separato da virgole di mappature degli attributi. Ti consigliamo di utilizzare il seguente mapping degli attributi:
```
google.subject=user.externalId,google.group=group.externalId
```
  L'attributo google.subject che mappi nel tenant SCIM deve fare riferimento in modo univoco alle stesse identità mappate nell'attributo google.subject nel provider del pool di identità della forza lavoro utilizzando il flag --attribute-mapping. Una volta creato il tenant SCIM, non puoi aggiornare il mapping delle rivendicazioni. Per sostituirlo, puoi eliminare definitivamente il tenant SCIM e crearne immediatamente uno nuovo. Per scoprire di più sulle considerazioni per l'utilizzo di SCIM, consulta Supporto SCIM.
Al termine del comando, esegui le seguenti operazioni:
1. Nel campo baseUri dell'output, salva l'intero URI, formattato come https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Devi fornire questo URI al tuo IdP.
2. Inoltre, dall'URI salva solo SCIM_TENANT_UID. Ti servirà questo UID per impostare i criteri IAM sul tenant SCIM, più avanti in questo documento.

Crea un token SCIM:

    gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

Sostituisci quanto segue:

SCIM_TOKEN_ID: un ID per il token SCIM
DISPLAY_NAME: il nome visualizzato del token SCIM
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
SCIM_TENANT_ID: l'ID del tenant SCIM
PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro

Al termine del comando gcloud iam workforce-pools providers scim-tenants tokens create, procedi nel seguente modo:
1. Nell'output, salva il valore di SCIM_TOKEN nel campo securityToken. Devi fornire questo token di sicurezza al tuo IdP. Il token di sicurezza viene visualizzato solo in questo output e, se lo perdi, devi crearne uno nuovo.
2. Per verificare se SCIM_TOKEN viene rifiutato dalla policy dell'organizzazione, esegui questo comando:
```
curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
```
  Se il comando non va a buon fine e viene visualizzato un errore relativo alle autorizzazioni, esegui gcloud organizations add-iam-policy-binding, descritto in un passaggio successivo. Se il comando ha esito positivo, puoi saltare questo passaggio.
Imposta i criteri IAM sul tenant e sul token SCIM. Se il comando curl in un passaggio precedente non è andato a buon fine a causa di un errore relativo alle autorizzazioni, devi eseguire il seguente comando:
```
    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer
    
```
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID dell'organizzazione.
- SERVICE_AGENT_EMAIL: l'indirizzo email dell'agente del servizio. L'indirizzo email ha il seguente formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID viene restituito quando crei il tenant SCIM.

Quando esegui il provisioning dei gruppi nel tuo IdP, assicurati che il nome visualizzato di ogni gruppo, come fornito nel campo displayName, sia univoco all'interno di un tenant SCIM. Per saperne di più sui gruppi e SCIM in Microsoft Entra ID, consulta Gruppi.

Configurare SCIM in Microsoft Entra ID

Per configurare SCIM in Microsoft Entra ID:

Apri il portale Azure e accedi come utente con privilegi di amministratore globale.
Seleziona Microsoft Entra ID > App aziendali.
Fai clic su Nuova applicazione.
In Sfoglia la galleria di app Microsoft Entra, fai clic su Crea la tua applicazione.
Nel riquadro Crea la tua applicazione visualizzato, segui questi passaggi:
1. In Qual è il nome della tua app?, inserisci il nome dell'app.
2. Seleziona Integra qualsiasi altra applicazione che non trovi nella galleria (non galleria).
3. Per creare l'app, fai clic su Crea.
Nella tua applicazione, procedi nel seguente modo:
1. Nella sezione Gestisci, fai clic su Provisioning.
2. Nel riquadro a destra visualizzato, fai clic su Nuova configurazione.
3. In Credenziali amministratore, nel campo URL tenant, inserisci l'URL SCIM ottenuto quando hai creato il tenant SCIM, a cui è stato aggiunto ?aadOptscim062020. Devi aggiungere ?aadOptscim062020 alla fine dell'URI di base.
  
  Questo parametro di query è richiesto da Microsoft Entra ID per garantire che le richieste SCIM PATCH siano conformi agli standard SCIM RFC. Per maggiori dettagli, consulta la documentazione di Microsoft.
  
  L'URL tenant finale in Microsoft Entra ID deve essere nel seguente formato:
```
https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020
```
  Sostituisci SCIM_TENANT_UID con l'UID tenant SCIM.
4. In Secret token, inserisci il token segreto che hai ottenuto quando hai creato il tenant SCIM.
5. Per testare la configurazione SCIM con la federazione delle identità per la forza lavoro, fai clic su Prova connessione.
6. Per salvare la configurazione, fai clic su Crea.
Nella sezione Gestisci, segui questi passaggi:
1. Fai clic su Mappatura attributi.
2. Fai clic su Provision Microsoft Entra ID Users (Esegui il provisioning degli utenti di Microsoft Entra ID).
3. Nella pagina Mappatura attributi, procedi nel seguente modo:
  1. Nella tabella Mappature degli attributi, trova la riga relativa a externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi, segui questi passaggi:
    1. In Corrispondenza oggetti utilizzando questo attributo, seleziona Yes.
    2. In Precedenza della corrispondenza, inserisci 2.
    3. Nell'elenco a discesa Attributo origine, seleziona objectId.
    4. Per salvare la mappatura degli attributi, fai clic su Ok.
  2. Nella tabella Mappature degli attributi, trova la riga relativa a userName e fai clic su Modifica in quella riga. Nella pagina Modifica attributi:
    1. In Corrispondenza oggetti utilizzando questo attributo, seleziona No.
    2. Per salvare la mappatura degli attributi, fai clic su Ok.
  3. Nella tabella Mappature degli attributi, trova la riga per externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi:
    1. In Precedenza della corrispondenza, inserisci 1.
    2. Per salvare la mappatura degli attributi, fai clic su Ok.
4. Fai clic su Provisioning dei gruppi Microsoft Entra ID.
5. Nella pagina Mappatura attributi, procedi nel seguente modo:
  1. Nella tabella Mappature degli attributi, trova la riga relativa a externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi, segui questi passaggi:
    1. In Corrispondenza oggetti utilizzando questo attributo, seleziona Yes.
    2. In Precedenza della corrispondenza, inserisci 2.
    3. Nell'elenco a discesa Attributo origine, seleziona objectId.
    4. Per salvare la mappatura degli attributi, fai clic su Ok.
  2. Nella tabella Mappature degli attributi, trova la riga relativa a displayName e fai clic su Modifica in quella riga. Nella pagina Modifica attributi, segui questi passaggi:
    1. In Corrispondenza oggetti utilizzando questo attributo, seleziona No.
    2. Per salvare la mappatura degli attributi, fai clic su Ok.
  3. Nella tabella Mappature degli attributi, trova la riga relativa a externalId e fai clic su Modifica in quella riga. Nella pagina Modifica attributi, segui questi passaggi:
    1. In Precedenza della corrispondenza, inserisci 1.
    2. Per salvare la mappatura degli attributi, fai clic su Ok.

Aggiorna il provider per attivare SCIM

Per abilitare SCIM per un provider:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Sostituisci quanto segue:

PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
LOCATION: la posizione del pool di forza lavoro

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Sostituisci quanto segue:

PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
LOCATION: la posizione del pool di forza lavoro

Mappare token e attributi SCIM

Devi mappare gli attributi in modo coerente sia nel provider del pool di identità del personale sia nel tenant SCIM configurato per il provider. Per il provider del pool di identità per la forza lavoro, utilizzi il flag --attribute-mapping, mentre per il tenant SCIM, utilizzi il flag --claim-mapping. L'attributo IdP mappato a google.subject per gli utenti deve fare riferimento in modo univoco alla stessa identità, indipendentemente dal fatto che sia definita in un token o in una mappatura SCIM. Per saperne di più sulla mappatura degli attributi quando utilizzi SCIM, consulta la sezione Supporto di SCIM. La tabella seguente mostra come mappare gli attributi nelle rivendicazioni dei token e negli attributi SCIM:

Attributo Google	Mapping del provider di pool di identità della forza lavoro	Mappatura tenant SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.group` assicurati di aggiornare il tuo fornitore con `--scim-usage=enabled-for-groups`	`N/A`	`group.externalId`

Forzare l'eliminazione di un tenant SCIM

Per forzare l'eliminazione di un tenant SCIM:

Se --scim-usage=enabled-for-groups è impostato per il tuo provider, disattivalo dalla configurazione del provider:
```
          gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED
        
```
Sostituisci quanto segue:
- PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
- WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
Elimina il tenant SCIM:
```
  gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global
```
Sostituisci quanto segue:
- SCIM_TENANT_ID: l'ID del tenant SCIM da eliminare
- WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
- PROVIDER_ID: l'ID del provider del pool di identità della forza lavoro
Per saperne di più su SCIM, inclusa l'eliminazione dei tenant SCIM, consulta Supporto di SCIM.

Passaggi successivi

Eliminare gli utenti della federazione delle identità per la forza lavoro e i relativi dati
Scopri quali Google Cloud prodotti supportano la federazione delle identità per la forza lavoro
Configurare l'accesso degli utenti alla console (federato)

Configurare la federazione delle identità per la forza lavoro con Microsoft Entra ID Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Concetti fondamentali

Attributi aggiuntivi

Attributi estesi

Prima di iniziare

Costi

Ruoli obbligatori

Crea un'applicazione Microsoft Entra ID

OIDC

SAML

Configurare un numero elevato di gruppi con Microsoft Entra ID

Configurare un numero elevato di gruppi con Microsoft Entra ID con il flusso implicito OIDC

Configurare l'applicazione Microsoft Entra ID

Crea un pool di identità per la forza lavoro

gcloud

Console

Configura il provider di pool di identità per la forza lavoro con flusso implicito OIDC

gcloud

Console

Configurare un numero elevato di gruppi in Microsoft Entra ID con il flusso di codice OIDC

Configurare l'applicazione Microsoft Entra ID

Crea un pool di identità per la forza lavoro

gcloud

Console

Configura il provider di pool di identità per la forza lavoro del flusso di codice OIDC

gcloud

Console

Configurare un numero elevato di gruppi in Microsoft Entra ID con SAML 2.0

Configurare l'applicazione Microsoft Entra ID

Crea un pool di identità per la forza lavoro

gcloud

Console

Configura il fornitore del pool di identità della forza lavoro SAML 2.0

gcloud

Console

Concedi ruoli IAM ai gruppi

Accedi e verifica l'accesso

Accedi

Accesso alla console (federata)

Accesso basato sul browser gcloud CLI

Accesso senza interfaccia utente di gcloud CLI

OIDC

SAML

Testa l'accesso

Console (federata)

Interfaccia a riga di comando gcloud

Eliminare utenti

Configurare SCIM

Configurare un tenant e un token SCIM in Google Cloud

Configurare SCIM in Microsoft Entra ID

Aggiorna il provider per attivare SCIM

OIDC

SAML

Mappare token e attributi SCIM

Forzare l'eliminazione di un tenant SCIM

Passaggi successivi

Configurare la federazione delle identità per la forza lavoro con Microsoft Entra ID