Esta página foi traduzida pela API Cloud Translation.

Configure a federação de identidade da força de trabalho com o Microsoft Entra ID

Pode configurar a federação de identidades da força de trabalho com o fornecedor de identidade (IdP) do Microsoft Entra ID e mapear até 400 grupos do Microsoft Entra ID para o Google Cloud Google Cloud através do Microsoft Graph. Em seguida, pode conceder funções do IAM a esses grupos e como iniciar sessão no Google Cloudcom utilizadores do Microsoft Entra ID que são membros dos grupos. Os utilizadores podem, então, aceder aos Google Cloud produtos aos quais lhes foi concedido acesso ao IAM e que também suportam a federação de identidades da força de trabalho.

Para mapear menos de 150 grupos do Microsoft Entra ID para Google Cloud, consulte o artigo Configure a federação de identidades da força de trabalho com o Microsoft Entra ID e inicie sessão nos utilizadores.

Conceitos-chave

Esta secção descreve os conceitos usados para configurar a Federação de identidades da força de trabalho, mais adiante neste documento.

Atributos adicionais

Para mapear até 400 grupos, usa atributos adicionais especificando flags extra-attributes quando cria o fornecedor do conjunto de identidades da força de trabalho. Pode usar atributos adicionais com os seguintes protocolos:

OIDC com fluxo implícito
OIDC com fluxo de código
Protocolo SAML 2.0

O número de endereços de email de grupo que uma aplicação do Microsoft Entra ID pode emitir num token está limitado a 150 para SAML e 200 para JWT. Para saber mais acerca deste limite, consulte o artigo Configure reivindicações de grupos para aplicações através do Microsoft Entra ID. Para obter mais grupos, a Workforce Identity Federation usa o fluxo de credenciais de cliente OAuth 2.0 da Microsoft para obter credenciais que permitem à Workforce Identity Federation consultar a API Microsoft Graph e obter os grupos de um utilizador.

Para usar atributos adicionais, em termos gerais, faz o seguinte:

Crie uma nova aplicação do Microsoft Entra ID ou atualize a sua aplicação existente para obter as subscrições de grupos dos utilizadores a partir da API Microsoft Graph. Para saber como o Microsoft Graph obtém um grande número de grupos do Microsoft Entra ID, consulte o artigo Excedentes de grupos.
Quando cria o fornecedor do pool de identidades da força de trabalho, usa as flags extra-attributes para configurar a federação de identidades da força de trabalho de modo a obter os endereços de email dos grupos de utilizadores da API Microsoft Graph.

A federação de identidade da força de trabalho pode obter um máximo de 999 grupos da API Microsoft Graph. Se a API Microsoft Graph devolver mais de 999 grupos, o início de sessão falha.

Para reduzir o número de grupos que a API Microsoft Graph devolve, pode refinar a consulta da Workforce Identity Federation usando a flag --extra-attributes-filter quando criar o fornecedor do pool de identidades da força de trabalho.

Depois de a Workforce Identity Federation obter os grupos da API Microsoft Graph, gera o token de acesso. A Workforce Identity Federation pode adicionar um máximo de 400 grupos ao token de acesso. Por isso, para filtrar ainda mais o número de grupos para 400 ou menos, pode especificar um mapeamento de atributos que contenha expressões da linguagem de expressão comum (CEL) quando cria o fornecedor do grupo de identidades da força de trabalho.

Atributos alargados

Para utilizadores do Gemini Enterprise, pode usar atributos expandidos para mapear até 1000 grupos do Microsoft Entra ID. Este limite é superior ao limite para atributos adicionais. Para usar atributos alargados, especifica as flags extended-attributes quando cria o fornecedor do grupo de identidades da força de trabalho. Ao usar atributos alargados, a Workforce Identity Federation obtém IDs de grupos (UUIDs) do Microsoft Entra ID.

Para permitir que os utilizadores do Gemini Enterprise introduzam nomes de grupos legíveis por humanos, em vez de UUIDs, na IU de partilha de blocos de notas do Gemini Enterprise, também tem de configurar o SCIM.

Configura o SCIM na federação de identidade da força de trabalho e no seu IdP, conforme descrito mais adiante neste documento.

Configura os atributos alargados através das seguintes flags:

--extended-attributes-issuer-uri
--extended-attributes-client-id
--extended-attributes-client-secret-value

Quando usa atributos alargados, também se aplicam as seguintes limitações:

Não precisa de configurar google.groups no mapeamento de atributos porque os atributos de grupos não são usados. No entanto, são usadas outras associações de atributos.
Pode configurar outras flags do fornecedor do Workload Identity Pool, conforme documentado, mas essas definições aplicam-se a produtos que não o Gemini Enterprise que suportam a federação de identidade da força de trabalho.
Os atributos alargados são atualizados e renovados periodicamente em segundo plano durante a sessão, mesmo após a sessão iniciada.
No Microsoft Entra ID, tem de conceder autorização à aplicação User.Read.All em vez de User.Read, User.ReadBasic.All ou GroupMember.Read.All.
A flag do tipo de atributos expandidos --extended-attributes-type só suporta o tipo azure-ad-groups-id.
Os atributos alargados suportam apenas até 1000 grupos. Por outro lado, a flag --extra-attributes suporta até 400 grupos.
Os atributos alargados só podem ser usados para início de sessão na Web através de vertexaisearch.cloud.google, não para inícios de sessão na consola nem para inícios de sessão na CLI gcloud.

Antes de começar

Certifique-se de que tem uma organização do Google Cloud configurada.
Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando:
```
gcloud init
```
Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.

Nota: se instalou a CLI gcloud anteriormente, certifique-se de que tem a versão mais recente executando gcloud components update.
No Microsoft Entra ID, certifique-se de que os tokens de ID estão ativados para o fluxo implícito. Para mais informações, consulte o artigo Ative a concessão implícita do token de ID.
Para iniciar sessão, o seu IDP tem de fornecer informações de autenticação assinadas: os IDPs OIDC têm de fornecer um JWT e as respostas do IDP SAML têm de ser assinadas.
Para receber informações importantes sobre alterações à sua organização ou aos seus Google Cloud produtos, tem de indicar contactos essenciais. Para mais informações, consulte a vista geral da federação de identidades da força de trabalho.
Todos os grupos que pretende mapear têm de estar marcados como grupos de segurança no Microsoft Entra ID.
Importante: é possível obter um máximo de 999 grupos.

Custos

A federação de identidade da força de trabalho está disponível como uma funcionalidade sem custos. No entanto, o registo de auditoria detalhado da federação de identidades da força de trabalho usa o Cloud Logging. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

Funções necessárias

Para receber as autorizações de que precisa para configurar a Workforce Identity Federation, peça ao seu administrador para lhe conceder a função de administrador do Workforce Pool da IAM (roles/iam.workforcePoolAdmin) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Se estiver a configurar autorizações num ambiente de desenvolvimento ou de teste, mas não num ambiente de produção, pode conceder a função básica de proprietário do IAM (roles/owner), que também inclui autorizações para a Federação de identidades da força de trabalho.

Crie uma aplicação do Microsoft Entra ID

Esta secção mostra como criar uma aplicação do Microsoft Entra ID através do portal de administração do Microsoft Entra. Em alternativa, pode atualizar a sua aplicação existente. Para mais detalhes, consulte o artigo Estabeleça aplicações no ecossistema do Microsoft Entra ID.

Os Workforce Identity Pools suportam a federação através dos protocolos OIDC e SAML.

OIDC

Para criar um registo de aplicação do Microsoft Entra ID que use o protocolo OIDC, faça o seguinte:

Inicie sessão no portal do administrador do Microsoft Entra.
Aceda a Identidade > Aplicações > Registos de apps.
Para começar a configurar o registo da aplicação, faça o seguinte:
1. Clique em Novo registo.
2. Introduza um nome para a sua aplicação.
3. Em Tipos de contas suportados, selecione uma opção.
4. Na secção URI de redirecionamento, na lista pendente Selecionar uma plataforma, selecione Web.
5. No campo de texto, introduza um URL de redirecionamento. Os seus utilizadores são redirecionados para este URL depois de iniciarem sessão com êxito. Se estiver a configurar o acesso à consola (federada), use o seguinte formato de URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Substitua o seguinte:
  - WORKFORCE_POOL_ID: um ID do conjunto de identidades de trabalhadores que vai usar quando criar o conjunto de identidades de trabalhadores mais adiante neste documento. Por exemplo: entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool que vai usar quando criar o fornecedor do Workload Identity Pool mais tarde neste documento. Por exemplo: entra-id-oidc-pool-provider
    
    Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
6. Para criar o registo da aplicação, clique em Registar.
7. Para usar o mapeamento de atributos de exemplo fornecido mais adiante neste documento, tem de criar um atributo department personalizado.

SAML

Para criar um registo de aplicação do Microsoft Entra ID que use o protocolo SAML, faça o seguinte:

Inicie sessão no portal do administrador do Microsoft Entra.
No menu de navegação do lado esquerdo, aceda a Entra ID > Apps empresariais.
Para começar a configurar a aplicação empresarial, faça o seguinte:
1. Clique em Nova aplicação > Criar a sua própria aplicação.
2. No painel Crie a sua própria aplicação apresentado, introduza um nome para a aplicação.
3. Clique em Criar.
4. Aceda a Início de sessão único > SAML.
5. Atualize a configuração básica de SAML da seguinte forma:
  1. No campo Identificador (ID da entidade), introduza o seguinte valor:
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Substitua o seguinte:
    - WORKFORCE_POOL_ID: um ID do Workload Identity Pool que vai usar quando criar o Workload Identity Pool mais adiante neste documento. Por exemplo: entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool que vai usar quando criar o fornecedor do Workload Identity Pool mais tarde neste documento, por exemplo: entra-id-saml-pool-provider
      
      Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
  2. No campo URL de resposta (URL do serviço de consumidor de afirmações), introduza um URL de redirecionamento. Os seus utilizadores são redirecionados para este URL depois de iniciarem sessão com êxito. Se estiver a configurar o acesso à consola (federada), use o seguinte formato de URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Substitua o seguinte:
    - WORKFORCE_POOL_ID: o ID do Workload Identity Pool
    - WORKFORCE_PROVIDER_ID: o ID do fornecedor de identidade da força de trabalho
  3. Para ativar o início de sessão iniciado pelo IdP, defina o campo Relay State com o seguinte valor:
```
https://console.cloud.google/
```
  4. Para guardar a configuração da aplicação SAML, clique em Guardar.
6. Para usar o mapeamento de atributos de exemplo fornecido mais adiante neste documento, tem de criar um atributo department personalizado.

Configure um grande número de grupos com o Microsoft Entra ID

Esta secção descreve como mapear até 400 grupos do Microsoft Entra ID para a Workforce Identity Federation através dos protocolos OIDC e SAML.

Configure um grande número de grupos com o Microsoft Entra ID com o fluxo implícito do OIDC

Esta secção descreve como mapear até 400 grupos do Microsoft Entra ID para a federação de identidades da força de trabalho através do protocolo OpenID Connect (OIDC) com fluxo implícito.

Configure a sua aplicação do Microsoft Entra ID

Pode configurar uma aplicação do Microsoft Entra ID existente ou criar uma nova. Para configurar a sua aplicação, faça o seguinte:

No portal do Microsoft Entra ID, faça o seguinte:
- Para registar uma nova aplicação, siga as instruções em Registe uma nova aplicação.
- Para atualizar uma aplicação existente, faça o seguinte:
  - Aceda a Identidade > Aplicações > Aplicações empresariais.
  - Selecione a aplicação que quer atualizar.
Crie um novo segredo do cliente na aplicação seguindo as instruções em Certificados e segredos. Certifique-se de que regista o valor do segredo do cliente, uma vez que só é apresentado uma vez.
Tenha em atenção os seguintes valores da aplicação que criou ou atualizou. Fornece os valores quando configurar o fornecedor do Workload Identity Pool mais adiante neste documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para obter os grupos do Microsoft Entra ID, adicione a autorização da API para permitir que a Workforce Identity Federation aceda às informações dos utilizadores a partir do Microsoft Entra ID através da API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:
1. Aceda a Autorizações da API.
2. Clique em Adicionar uma autorização.
3. Selecione API Microsoft.
4. Selecione Autorizações da aplicação.
5. No campo de pesquisa, escreva User.ReadBasic.All.
6. Clique em Adicionar autorizações.
Pode obter os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de email do grupo para grupos ativados por email.

Se optar por obter grupos como endereços de email de grupo, o passo seguinte é obrigatório.
Para obter os grupos do Microsoft Entra ID como endereços de email de grupo, faça o seguinte. Se recuperar grupos como identificadores de objetos de grupo, ignore este passo.
1. No campo de pesquisa, introduza GroupMember.Read.All.
2. Clique em Adicionar autorizações.
3. Clique em Conceder consentimento do administrador para o seu nome de domínio.
4. Na caixa de diálogo apresentada, clique em Sim.
5. Aceda à página Vista geral da aplicação Microsoft Entra ID que criou ou atualizou anteriormente.
6. Clique em Pontos finais.
O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

Por exemplo, se o documento de metadados OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor é https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crie um Workforce Identity Pool

gcloud

Para criar o Workforce Identity Pool, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua o seguinte:

WORKFORCE_POOL_ID: um ID que escolhe para representar o seu conjunto de trabalhadores Google Cloud . Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Google Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.
DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workforce Identity Pool.
DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.
SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina durante quanto tempo os tokens de acesso, as sessões de início de sessão da consola (federadas) e as sessões de início de sessão da CLI gcloud deste grupo de colaboradores são válidos. Google Cloud A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).

Consola

Para criar o Workforce Identity Pool, faça o seguinte:

Na Google Cloud consola, aceda à página Workforce Identity Pools:

Aceda aos Workforce Identity Pools
Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar conjunto e faça o seguinte:
1. No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.
2. Opcional: em Descrição, introduza uma descrição do conjunto.
3. Para criar o Workforce Identity Pool, clique em Seguinte.

A duração da sessão do Workload Identity Pool é de uma hora (3600 s) por predefinição. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, a consola (federada) e as sessões de início de sessão da CLI gcloud deste conjunto de trabalhadores são válidos. Depois de criar o conjunto, pode atualizar o conjunto para definir uma duração da sessão personalizada. A duração da sessão tem de ser entre 15 minutos (900 s) e 12 horas (43 200 s).

Configure o fornecedor do Workload Identity Pool de fluxo implícito do OIDC

gcloud

Para criar o fornecedor do Workload Identity Pool do OIDC, execute o seguinte comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua o seguinte:

PROVIDER_ID: um ID do fornecedor exclusivo. O prefixo gcp- está reservado e não pode ser usado num conjunto ou num ID do fornecedor.
WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores.
DISPLAY_NAME: um nome a apresentar para o fornecedor.
ISSUER_URI: o URI do emissor da aplicação Microsoft Entra ID que criou anteriormente neste documento.
CLIENT_ID: o ID de cliente da sua aplicação Microsoft Entra ID.
ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear os atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para mais informações, consulte o artigo Mapeamento de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: o ID de cliente da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: o segredo do cliente adicional da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para obter os endereços de email dos grupos. Use azure-ad-groups-id para obter os IDs dos grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro que é usada ao consultar a API Microsoft Graph para grupos. Pode usar este parâmetro para garantir que o número de grupos obtidos do IdP permanece abaixo do limite de 400 grupos.
O exemplo seguinte obtém os grupos que têm o prefixo sales no respetivo ID de email:
```
--extra-attributes-filter='"mail:sales"'
```
A expressão seguinte obtém grupos com um nome a apresentar que contém a string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

Consola

Na Google Cloud consola, aceda à página Workforce Identity Pools:

Aceda aos Workforce Identity Pools

Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na secção Fornecedores, clique em Adicionar fornecedor.
Na lista Selecionar um fornecedor, selecione o seu fornecedor de identidade (IdP).
Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.
Em Selecione um protocolo de autenticação, selecione OpenID Connect (OIDC).
Na secção Criar um fornecedor, faça o seguinte:
1. Em Nome, introduza o nome do fornecedor.
2. Em Descrição, introduza a descrição do fornecedor.
3. Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por https; por exemplo, https://example.com/oidc.
4. Em ID de cliente, introduza o ID de cliente OIDC registado no seu IdP OIDC. O ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IdP.
5. Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.
6. Clique em Continuar.
Na secção Partilhe as informações do seu fornecedor com o IdP, copie o URL. No IdP, configure este URL como o URI de redirecionamento, que informa o IdP para onde enviar o token de afirmação após iniciar sessão.
Clique em Continuar.
Na secção Configurar início de sessão na Web do OIDC, faça o seguinte:
Na lista Tipo de fluxo, selecione Token de ID.
Na lista Assertion claims behavior, ID token está selecionado.
Opcional: se selecionou Okta como o seu IdP, adicione quaisquer âmbitos OIDC adicionais no campo Âmbitos adicionais além de openid, profile e email.

Clique em Continuar.

Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.

Obrigatório: em OIDC 1, introduza o assunto do IdP. Por exemplo, assertion.sub.
Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:
1. Clique em Adicionar mapeamento.
2. No Google n, onde n é um número, introduza uma das teclas Google Cloudsuportadas.
3. No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.
Se selecionou o Microsoft Entra ID como IdP, pode aumentar o número de grupos.
1. Selecione Usar atributos adicionais.
2. No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
3. No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
4. No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
5. Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
6. No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a Microsoft Graph API para grupos.
Para criar uma condição de atributo, faça o seguinte:
1. Clique em Adicionar condição.
2. No campo Condições de atributos, introduza uma condição no formato CEL, por exemplo, assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a função gcp-users podem iniciar sessão através deste fornecedor.
3. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão Ativar registo de auditoria de valores de atributos.
  A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
  
  Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

Para criar o fornecedor, clique em Enviar.

Configure um grande número de grupos no Microsoft Entra ID com o fluxo de código OIDC

Esta secção descreve como mapear até 400 grupos do Microsoft Entra ID para a federação de identidades da força de trabalho através do protocolo OIDC com fluxo de código.

Configure a sua aplicação do Microsoft Entra ID

Pode configurar uma aplicação do Microsoft Entra ID existente ou criar uma nova. Para configurar a sua aplicação, faça o seguinte:

No portal do Microsoft Entra ID, faça o seguinte:
- Para registar uma nova aplicação, siga as instruções em Registe uma nova aplicação.
- Para atualizar uma aplicação existente, faça o seguinte:
  - Aceda a Identidade > Aplicações > Aplicações empresariais.
  - Selecione a aplicação que quer atualizar.
Crie um novo segredo do cliente na aplicação seguindo as instruções em Certificados e segredos. Certifique-se de que regista o valor do segredo do cliente, uma vez que só é apresentado uma vez.
Tenha em atenção os seguintes valores da aplicação que criou ou atualizou. Fornece os valores quando configurar o fornecedor do Workload Identity Pool mais adiante neste documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para obter os grupos do Microsoft Entra ID, adicione a autorização da API para permitir que a Workforce Identity Federation aceda às informações dos utilizadores a partir do Microsoft Entra ID através da API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:
1. Aceda a Autorizações da API.
2. Clique em Adicionar uma autorização.
3. Selecione API Microsoft.
4. Selecione Autorizações delegadas.
5. No campo de pesquisa, escreva User.Read.
6. Clique em Adicionar autorizações.
Pode obter os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de email do grupo para grupos ativados por email.

Se optar por obter grupos como endereços de email de grupo, o passo seguinte é obrigatório.
Para obter os grupos do Microsoft Entra ID como endereços de email de grupo, faça o seguinte. Se recuperar grupos como identificadores de objetos de grupo, ignore este passo.
1. No campo de pesquisa, introduza GroupMember.Read.All.
2. Clique em Adicionar autorizações.
3. Clique em Conceder consentimento do administrador para o seu nome de domínio.
4. Na caixa de diálogo apresentada, clique em Sim.
5. Aceda à página Vista geral da aplicação Microsoft Entra ID que criou ou atualizou anteriormente.
6. Clique em Pontos finais.
O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

Por exemplo, se o documento de metadados OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor é https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crie um Workforce Identity Pool

gcloud

Para criar o Workforce Identity Pool, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua o seguinte:

WORKFORCE_POOL_ID: um ID que escolhe para representar o seu conjunto de trabalhadores Google Cloud . Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Google Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.
DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workforce Identity Pool.
DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.
SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina durante quanto tempo os tokens de acesso, as sessões de início de sessão da consola (federadas) e as sessões de início de sessão da CLI gcloud deste grupo de colaboradores são válidos. Google Cloud A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).

Consola

Para criar o Workforce Identity Pool, faça o seguinte:

Na Google Cloud consola, aceda à página Workforce Identity Pools:

Aceda aos Workforce Identity Pools
Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar conjunto e faça o seguinte:
1. No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.
2. Opcional: em Descrição, introduza uma descrição do conjunto.
3. Para criar o Workforce Identity Pool, clique em Seguinte.

Configure o fornecedor do Workload Identity Pool da força de trabalho do fluxo de código OIDC

gcloud

Para criar o fornecedor do Workload Identity Pool de OIDC, execute o seguinte comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua o seguinte:

PROVIDER_ID: um ID do fornecedor exclusivo. O prefixo gcp- está reservado e não pode ser usado num conjunto ou num ID do fornecedor.
WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores.
DISPLAY_NAME: um nome a apresentar para o fornecedor.
ISSUER_URI: o URI do emissor da aplicação Microsoft Entra ID que criou anteriormente neste documento.
CLIENT_ID: o ID de cliente da sua aplicação Microsoft Entra ID.
ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear os atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para mais informações, consulte o artigo Mapeamento de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: o ID de cliente da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: o segredo do cliente adicional da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para obter os endereços de email dos grupos. Use azure-ad-groups-id para obter os IDs dos grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro que é usada ao consultar a API Microsoft Graph para grupos. Pode usar este parâmetro para garantir que o número de grupos obtidos do IdP permanece abaixo do limite de 400 grupos.
O exemplo seguinte obtém os grupos que têm o prefixo sales no respetivo ID de email:
```
--extra-attributes-filter='"mail:sales"'
```
A expressão seguinte obtém grupos com um nome a apresentar que contém a string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

Consola

Na Google Cloud consola, aceda à página Workforce Identity Pools:

Aceda aos Workforce Identity Pools

Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na secção Fornecedores, clique em Adicionar fornecedor.
Na lista Selecionar um fornecedor, selecione o seu fornecedor de identidade (IdP).
Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.
Em Selecione um protocolo de autenticação, selecione OpenID Connect (OIDC).
Na secção Criar um fornecedor, faça o seguinte:
1. Em Nome, introduza o nome do fornecedor.
2. Em Descrição, introduza a descrição do fornecedor.
3. Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por https; por exemplo, https://example.com/oidc.
4. Em ID de cliente, introduza o ID de cliente OIDC registado no seu IdP OIDC. O ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IdP.
5. Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.
6. Clique em Continuar.
Na secção Partilhe as informações do seu fornecedor com o IdP, copie o URL. No IdP, configure este URL como o URI de redirecionamento, que informa o IdP para onde enviar o token de afirmação após iniciar sessão.
Clique em Continuar.
Na secção Configurar início de sessão na Web OIDC, faça o seguinte:
1. Na lista Tipo de fluxo, selecione Código.
2. Na lista Comportamento das reivindicações de afirmação, selecione uma das seguintes opções:
3. No campo Segredo do cliente, introduza o segredo do cliente do seu IdP.
4. Opcional: se selecionou Okta como o seu IdP, adicione quaisquer âmbitos OIDC adicionais no campo Âmbitos adicionais além de openid, profile e email.
Clique em Continuar.
Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.
1. Obrigatório: no OIDC 1, introduza o assunto do IdP. Por exemplo, assertion.sub.
2. Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:
  1. Clique em Adicionar mapeamento.
  2. No Google n, onde n é um número, introduza uma das teclas Google Cloudsuportadas.
  3. No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.
3. Se selecionou o Microsoft Entra ID como IdP, pode aumentar o número de grupos.
  1. Selecione Usar atributos adicionais.
  2. No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
  3. No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
  4. No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
  5. Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
  6. No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a API Microsoft Graph para grupos.
4. Para criar uma condição de atributo, faça o seguinte:
  1. Clique em Adicionar condição.
  2. No campo Condições de atributos, introduza uma condição no formato CEL, por exemplo, assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a função gcp-users podem iniciar sessão através deste fornecedor.
  3. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão Ativar registo de auditoria de valores de atributos.
    A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
    
    Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Para criar o fornecedor, clique em Enviar.

Configure um grande número de grupos no Microsoft Entra ID com SAML 2.0

Esta secção descreve como mapear até 400 grupos do Microsoft Entra ID para a Workforce Identity Federation através do protocolo SAML 2.0.

Configure a sua aplicação do Microsoft Entra ID

Para configurar a sua aplicação, faça o seguinte:

No portal do Microsoft Entra ID, faça o seguinte:
- Para registar uma nova aplicação, siga as instruções em Registe uma nova aplicação.
- Para atualizar uma aplicação existente, faça o seguinte:
  - Aceda a Identidade > Aplicações > Aplicações empresariais.
  - Selecione a aplicação que quer atualizar.
Crie um novo segredo do cliente na aplicação seguindo as instruções em Certificados e segredos. Certifique-se de que regista o valor do segredo do cliente, uma vez que só é apresentado uma vez.
Tenha em atenção os seguintes valores da aplicação que criou ou atualizou. Fornece os valores quando configurar o fornecedor do Workload Identity Pool mais adiante neste documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para obter os grupos do Microsoft Entra ID, adicione a autorização da API para permitir que a Workforce Identity Federation aceda às informações dos utilizadores a partir do Microsoft Entra ID através da API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:
1. Aceda a Autorizações da API.
2. Clique em Adicionar uma autorização.
3. Selecione API Microsoft.
4. Selecione Autorizações da aplicação.
5. No campo de pesquisa, escreva User.ReadBasic.All.
6. Clique em Adicionar autorizações.
Pode obter os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de email do grupo para grupos ativados por email.

Se optar por obter grupos como endereços de email de grupo, o passo seguinte é obrigatório.
Para obter os grupos do Microsoft Entra ID como endereços de email de grupo, faça o seguinte. Se recuperar grupos como identificadores de objetos de grupo, ignore este passo.
1. No campo de pesquisa, introduza GroupMember.Read.All.
2. Clique em Adicionar autorizações.
3. Clique em Conceder consentimento do administrador para o seu nome de domínio.
4. Na caixa de diálogo apresentada, clique em Sim.
5. Aceda à página Vista geral da aplicação Microsoft Entra ID que criou ou atualizou anteriormente.
6. Clique em Pontos finais.
O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

Por exemplo, se o documento de metadados OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor é https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crie um Workforce Identity Pool

gcloud

Para criar o Workforce Identity Pool, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua o seguinte:

WORKFORCE_POOL_ID: um ID que escolhe para representar o seu conjunto de trabalhadores Google Cloud . Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Google Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.
DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workforce Identity Pool.
DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.
SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina durante quanto tempo os tokens de acesso, as sessões de início de sessão da consola (federadas) e as sessões de início de sessão da CLI gcloud deste grupo de colaboradores são válidos. Google Cloud A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).

Consola

Para criar o Workforce Identity Pool, faça o seguinte:

Na Google Cloud consola, aceda à página Workforce Identity Pools:

Aceda aos Workforce Identity Pools
Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar conjunto e faça o seguinte:
1. No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.
2. Opcional: em Descrição, introduza uma descrição do conjunto.
3. Para criar o Workforce Identity Pool, clique em Seguinte.

Configure o fornecedor do Workload Identity Pool SAML 2.0

gcloud

Para criar o fornecedor do Workload Identity Pool SAML, execute o seguinte comando:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua o seguinte:

PROVIDER_ID: um ID do fornecedor exclusivo. O prefixo gcp- está reservado e não pode ser usado num conjunto ou num ID do fornecedor.
WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores.
DISPLAY_NAME: um nome a apresentar para o fornecedor.
XML_METADATA_PATH: o caminho para o ficheiro de metadados XML SAML 2.0.
ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear os atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para mais informações, consulte o artigo Mapeamento de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: o ID de cliente da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: o segredo do cliente adicional da sua aplicação do Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para obter os endereços de email dos grupos. Use azure-ad-groups-id para obter os IDs dos grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro que é usada ao consultar a API Microsoft Graph para grupos. Pode usar este parâmetro para garantir que o número de grupos obtidos do IdP permanece abaixo do limite de 400 grupos.
O exemplo seguinte obtém os grupos que têm o prefixo sales no respetivo ID de email:
```
--extra-attributes-filter='"mail:sales"'
```
A expressão seguinte obtém grupos com um nome a apresentar que contém a string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

Consola

Na Google Cloud consola, aceda à página Workforce Identity Pools:

Aceda aos Workforce Identity Pools

Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na secção Fornecedores, clique em Adicionar fornecedor.
Na lista Selecionar um fornecedor, selecione o seu fornecedor de identidade (IdP).
Se o seu IdP não estiver listado, selecione Fornecedor de identidade genérico.
Em Selecionar um protocolo de autenticação, selecione SAML.
Na secção Criar um fornecedor, faça o seguinte:
1. Em Nome, introduza um nome para o fornecedor.
2. Opcional: em Descrição, introduza uma descrição do fornecedor.
3. Em Ficheiro de metadados do IDP (XML), selecione o ficheiro XML de metadados que gerou anteriormente neste guia.
4. Para criar um fornecedor ativado, certifique-se de que a opção Ativar fornecedor está ativada.
5. Clique em Continuar.
Na secção Partilhe as informações do seu fornecedor, copie os URLs. No IdP, configure o primeiro URL como o ID da entidade, que identifica a sua aplicação no IdP. Configure o outro URL como o URI de redirecionamento, que informa o seu IdP para onde enviar o token de afirmação após iniciar sessão.
Clique em Continuar.
Na secção Configurar fornecedor, faça o seguinte:
1. Em Mapeamento de atributos, introduza uma expressão CEL para google.subject.
2. Opcional: para introduzir outros mapeamentos, clique em Adicionar mapeamento e introduza outros mapeamentos, por exemplo:
3. Se selecionou o Microsoft Entra ID como IdP, pode aumentar o número de grupos.
  1. Selecione Usar atributos adicionais.
  2. No campo URI do emissor de atributos adicionais, introduza o URL do emissor.
  3. No campo ID de cliente de atributos adicionais, introduza o ID de cliente.
  4. No campo Segredo do cliente de atributos adicionais, introduza o segredo do cliente.
  5. Na lista Tipo de atributos adicionais, selecione um tipo de atributo para atributos adicionais.
  6. No campo Filtro de atributos adicionais, introduza uma expressão de filtro que é usada quando consulta a API Microsoft Graph para grupos.
4. Opcional: para adicionar uma condição de atributo, clique em Adicionar condição e introduza uma expressão CEL que represente uma condição de atributo. Por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IPs, pode definir a condição assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condição de exemplo garante que apenas os utilizadores com um endereço IP que comece por 98.11.12. podem iniciar sessão através deste fornecedor de força de trabalho.
5. Clique em Continuar.
6. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão Ativar registo de auditoria de valores de atributos.
  A federação de identidades da força de trabalho registos de auditoria detalhados regista informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do Workload Identity Pool. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
  
  Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Para criar o fornecedor, clique em Enviar.

Conceda funções de IAM a grupos

Nesta secção, atribui funções a grupos em Google Cloud recursos. Para saber mais acerca dos identificadores principais da Workforce Identity Federation, consulte o artigo Represente utilizadores do grupo do Workforce em políticas do IAM.

O exemplo seguinte concede a função de administrador do armazenamento (roles/storage.admin) a utilizadores num grupo do Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Substitua o seguinte:

PROJECT_ID: o ID do projeto
WORKFORCE_POOL_ID: o ID do Workforce Identity Pool
GROUP_ID: o identificador do grupo, que depende do valor de --extra-attributes-type usado para criar o fornecedor do Workload Identity Pool, da seguinte forma:
- azure-ad-groups-mail: o identificador do grupo é um endereço de email, por exemplo: admin-group@altostrat.com
- azure-ad-groups-id: o identificador do grupo é um UUID para o grupo, por exemplo: abcdefgh-0123-0123-abcdef

Nesta secção, inicia sessão como utilizador do Workload Identity Pool e testa se tem acesso aos recursos Google Cloud .

Esta secção mostra-lhe como iniciar sessão como utilizador federado e aceder a Google Cloud recursos.

Para iniciar sessão na Google Cloud consola da federação de identidade da força de trabalho, também conhecida como consola (federada), faça o seguinte:

Aceda à página de início de sessão da consola (federada).

Aceda à consola (federada)

Introduza o nome do fornecedor, que está formatado da seguinte forma:

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Se lhe for pedido, introduza as credenciais do utilizador no Microsoft Entra ID.

Se iniciar um início de sessão iniciado pelo IdP, use o seguinte para o URL de retransmissão: https://console.cloud.google/.

Para iniciar sessão na gcloud CLI através de um fluxo de início de sessão baseado no navegador, faça o seguinte:

Crie um ficheiro de configuração

Para criar o ficheiro de configuração de início de sessão, execute o seguinte comando. Opcionalmente, pode ativar o ficheiro como predefinição para a CLI gcloud adicionando a flag --activate. Em seguida, pode executar o comando gcloud auth login sem especificar o caminho do ficheiro de configuração de cada vez.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Substitua o seguinte:

WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
PROVIDER_ID: o ID do fornecedor
LOGIN_CONFIG_FILE_PATH: o caminho para um ficheiro de configuração que especifica, por exemplo, login.json

O ficheiro contém os pontos finais usados pela CLI gcloud para ativar o fluxo de autenticação baseado no navegador e definir o público-alvo para o IdP que foi configurado no fornecedor do Workload Identity Pool. O ficheiro não contém informações confidenciais.

O resultado tem um aspeto semelhante ao seguinte:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Para impedir que o gcloud auth login use este ficheiro de configuração automaticamente, pode anular a definição executando o comando gcloud config unset auth/login_config_file.

Inicie sessão através da autenticação baseada no navegador

Para autenticar através da autenticação de início de sessão baseada no navegador, pode usar um dos seguintes métodos:

Se usou a flag --activate quando criou o ficheiro de configuração ou se ativou o ficheiro de configuração com gcloud config set auth/login_config_file, a CLI gcloud usa o ficheiro de configuração automaticamente:
```
gcloud auth login
```
Para iniciar sessão especificando a localização do ficheiro de configuração, execute o seguinte comando:
```
gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
```
Para usar uma variável de ambiente para especificar a localização do ficheiro de configuração, defina CLOUDSDK_AUTH_LOGIN_CONFIG_FILE para o caminho de configuração.

Desative o início de sessão baseado no navegador

Para descontinuar a utilização do ficheiro de configuração de início de sessão, faça o seguinte:

Se usou a flag --activate quando criou o ficheiro de configuração ou se ativou o ficheiro de configuração com gcloud config set auth/login_config_file, tem de executar o seguinte comando para anular a definição:
```
gcloud config unset auth/login_config_file
```
Limpe a variável de ambiente CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, se estiver definida.

Para iniciar sessão no Microsoft Entra ID com a CLI gcloud, faça o seguinte:

OIDC

Siga os passos em Envie o pedido de início de sessão. Inicie sessão do utilizador na sua aplicação com o Microsoft Entra ID através do OIDC.
Copie o token de ID do parâmetro id_token do URL de redirecionamento e guarde-o num ficheiro numa localização segura no seu computador local. Num passo posterior, define PATH_TO_OIDC_ID_TOKEN para o caminho deste ficheiro.

Gere um ficheiro de configuração semelhante ao exemplo mais adiante neste passo executando o seguinte comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Substitua o seguinte:

WORKFORCE_POOL_ID: o ID do conjunto de identidades de trabalhadores.
WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool.
PATH_TO_OIDC_ID_TOKEN: o caminho para a localização do ficheiro onde o token do IdP está armazenado.
WORKFORCE_POOL_USER_PROJECT: o número ou o ID do projeto usado para a quota e a faturação. O principal tem de ter autorização serviceusage.services.use neste projeto.

Quando o comando estiver concluído, o Microsoft Entra ID cria o seguinte ficheiro de configuração:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Abra a CLI gcloud e execute o seguinte comando:
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Substitua PATH_TO_OIDC_CREDENTIALS pelo caminho para o ficheiro de saída de um passo anterior.

A CLI gcloud publica de forma transparente as suas credenciais no ponto final do serviço de tokens de segurança. No ponto final, é trocado por tokens de acesso Google Cloud temporários.

Já pode executar comandos da CLI gcloud para Google Cloud.

SAML

Inicie sessão de um utilizador na sua aplicação do Microsoft Entra ID e obtenha a resposta SAML.
Guarde a resposta SAML devolvida pelo Microsoft Entra ID numa localização segura na sua máquina local e, em seguida, armazene o caminho da seguinte forma:
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Para gerar um ficheiro de configuração de credenciais, execute o seguinte comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Substitua o seguinte:

WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool que criou anteriormente neste guia
WORKFORCE_POOL_ID: o ID do Workload Identity Pool que criou anteriormente neste guia
SAML_ASSERTION_PATH: o caminho do ficheiro de declaração SAML
PROJECT_ID: o ID do projeto

O ficheiro de configuração gerado tem um aspeto semelhante ao seguinte:

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Para iniciar sessão na CLI gcloud através da troca de tokens da Workforce Identity Federation, execute o seguinte comando:
```
gcloud auth login --cred-file=config.json
```
Em seguida, a CLI gcloud troca de forma transparente as suas credenciais do Microsoft Entra ID por Google Cloud tokens de acesso temporários. Os tokens de acesso permitem-lhe aceder a Google Cloud.

Vê um resultado semelhante ao seguinte:
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Para listar as contas com credenciais e a sua conta ativa, execute o seguinte comando:
```
gcloud auth list
```

Teste o acesso

Agora, tem acesso aos Google Cloud produtos que suportam a federação de identidade da força de trabalho e aos quais lhe é concedido acesso. Anteriormente, neste documento, concedeu a função de administrador de armazenamento (roles/storage.admin) a todas as identidades no identificador de grupo que especificou no gcloud projects add-iam-policy-binding para o projeto TEST_PROJECT_ID.

Agora, pode testar se tem acesso listando os contentores do Cloud Storage.

Consola (federada)

Para testar se tem acesso através da consola (federada), faça o seguinte:

Aceda à página de armazenamento na nuvem.

Aceda ao Cloud Storage
Verifique se consegue ver uma lista dos contentores existentes para o TEST_PROJECT_ID.

CLI gcloud

Para testar se tem acesso através da CLI gcloud, pode listar os contentores e os objetos do Cloud Storage para o projeto ao qual tem acesso. Para o fazer, execute o seguinte comando. O principal tem de ter a autorização serviceusage.services.use no projeto especificado.

gcloud storage ls --project="TEST_PROJECT_ID"

Eliminar utilizadores

A federação de identidade da força de trabalho cria metadados e recursos do utilizador para identidades de utilizadores federadas. Se optar por eliminar utilizadores no seu IdP, também tem de eliminar explicitamente estes recursos no Google Cloud. Para o fazer, consulte o artigo Elimine utilizadores da Federação de identidades da força de trabalho e os respetivos dados.

Pode ver que os recursos continuam associados a um utilizador que foi eliminado. Isto deve-se ao facto de a eliminação dos metadados e dos recursos do utilizador exigir uma operação de longa duração. Depois de iniciar a eliminação da identidade de um utilizador, os processos que o utilizador iniciou antes da eliminação podem continuar a ser executados até que os processos sejam concluídos ou cancelados.

Configure o SCIM

Esta secção descreve como configurar um inquilino SCIM num conjunto de identidades da força de trabalho.

Cada Workforce Identity Pool suporta apenas um inquilino SCIM. Para configurar um novo inquilino SCIM num conjunto que já tenha um, primeiro tem de eliminar permanentemente o inquilino existente.

A flag --claim-mapping para um inquilino SCIM só pode conter expressões específicas do Idioma de expressão comum (IEC). Para saber que expressões são suportadas, consulte o artigo Mapeie atributos SCIM e tokens.

Importante: certifique-se de que o seu IdP fornece valores únicos para os atributos que mapeia para google.subject e google.group através do SCIM. Para saber mais, consulte o artigo Compatibilidade com SCIM.

Para configurar o System for Cross-domain Identity Management (SCIM), tem de fazer o seguinte:

Configure um inquilino e um token SCIM em Google Cloud
Configure o SCIM no seu IdP

Configure um inquilino e um token SCIM em Google Cloud

Para configurar um inquilino SCIM em Google Cloud, faça o seguinte:

Crie um inquilino SCIM.
```
    gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"
    
```
Substitua o seguinte:
- SCIM_TENANT_ID: um ID para o seu inquilino SCIM.
- WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores que criou anteriormente neste documento.
- PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool que criou anteriormente neste documento.
- SCIM_TENANT_DISPLAY_NAME: um nome a apresentar para o seu inquilino SCIM.
- SCIM_TENANT_DESCRIPTION: uma descrição para o seu inquilino SCIM.
- CLAIM_MAPPING: uma lista separada por vírgulas de mapeamentos de atributos. Recomendamos que use o seguinte mapeamento de atributos:
```
google.subject=user.externalId,google.group=group.externalId
```
  O atributo google.subject que mapeia no inquilino SCIM tem de se referir exclusivamente às mesmas identidades mapeadas no atributo google.subject no fornecedor do conjunto de identidades da força de trabalho através da flag --attribute-mapping. Depois de criar o inquilino SCIM, não pode atualizar o mapeamento de reivindicações. Para o substituir, pode eliminar permanentemente o inquilino SCIM e criar imediatamente um novo. Para saber mais sobre as considerações para usar o SCIM, consulte o artigo Compatibilidade com o SCIM.
Quando o comando for concluído, faça o seguinte:
1. No campo baseUri no resultado, guarde o URI completo, que está formatado como https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Tem de fornecer este URI ao seu IdP.
2. Além disso, a partir do URI, guarde apenas o SCIM_TENANT_UID. Precisa deste UID para definir políticas IAM no inquilino SCIM, mais tarde neste documento.

Crie um token SCIM:

    gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

Substitua o seguinte:

SCIM_TOKEN_ID: um ID para o token SCIM
DISPLAY_NAME: o nome a apresentar do token SCIM
WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
SCIM_TENANT_ID: o ID do inquilino SCIM
PROVIDER_ID: o ID do fornecedor do Workload Identity Pool

Quando o comando gcloud iam workforce-pools providers scim-tenants tokens create estiver concluído, faça o seguinte:
1. No resultado, guarde o valor de SCIM_TOKEN no campo securityToken. Tem de fornecer este token de segurança ao seu IdP. O token de segurança é apresentado apenas neste resultado e, se o perder, tem de criar um novo token SCIM.
2. Para verificar se SCIM_TOKEN é rejeitado pela política da sua organização, execute o seguinte comando:
```
curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
```
  Se o comando falhar com um erro relacionado com autorizações, execute gcloud organizations add-iam-policy-binding, descrito num passo posterior. Se o comando for bem-sucedido, pode ignorar esse passo.
Defina políticas IAM no inquilino e token SCIM. Se o curl comando num passo anterior falhou com um erro relacionado com autorizações, tem de executar o seguinte comando:
```
    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer
    
```
Substitua o seguinte:
- ORGANIZATION_ID: o ID da organização.
- SERVICE_AGENT_EMAIL: o endereço de email do agente do serviço. O endereço de email está no seguinte formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID é devolvido quando cria o inquilino SCIM.

Quando aprovisiona grupos no seu IdP, certifique-se de que o nome a apresentar de cada grupo, conforme indicado no campo displayName, é exclusivo num inquilino SCIM. Para saber mais acerca dos grupos e do SCIM no Microsoft Entra ID, consulte Grupos.

Configure o SCIM no Microsoft Entra ID

Para configurar o SCIM no Microsoft Entra ID, faça o seguinte:

Abra o portal do Azure e inicie sessão como um utilizador com privilégios de administrador global.
Selecione Microsoft Entra ID > Apps empresariais.
Clique em Nova aplicação.
Em Procurar na galeria de apps do Microsoft Entra, clique em Criar a sua própria aplicação.
No painel Crie a sua própria aplicação apresentado, faça o seguinte:
1. Em Qual é o nome da sua app, introduza o nome da app.
2. Selecione Integrar qualquer outra aplicação que não encontre na galeria (não galeria).
3. Para criar a app, clique em Criar.
Na sua candidatura, faça o seguinte:
1. Na secção Gerir, clique em Aprovisionamento.
2. No painel direito apresentado, clique em Nova configuração.
3. Em Credenciais de administrador, no URL do inquilino, introduza o URL SCIM que obteve quando criou o inquilino SCIM, anexado com ?aadOptscim062020. Tem de acrescentar ?aadOptscim062020 ao final do URI base.
  
  Este parâmetro de consulta é exigido pelo Microsoft Entra ID para garantir que os pedidos SCIM PATCH estão em conformidade com as normas SCIM RFC. Para mais detalhes, consulte a documentação da Microsoft.
  
  O URL final do inquilino no Microsoft Entra ID deve estar no seguinte formato:
```
https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020
```
  Substitua SCIM_TENANT_UID pelo UID do inquilino do SCIM.
4. Em Token secreto, introduza o token secreto que obteve quando criou o inquilino SCIM.
5. Para testar a configuração do SCIM com a federação de identidade da força de trabalho, clique em Testar associação.
6. Para guardar a configuração, clique em Criar.
Na secção Gerir, faça o seguinte:
1. Clique em Mapeamento de atributos.
2. Clique em Aprovisionar utilizadores do Microsoft Entra ID.
3. Na página Mapeamento de atributos, faça o seguinte:
  1. Na tabela Mapeamentos de atributos, encontre a linha de externalId e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Fazer corresponder objetos através deste atributo, selecione Yes.
    2. Em Precedência de correspondência, introduza 2.
    3. Na lista pendente Atributo de origem, selecione objectId.
    4. Para guardar o mapeamento de atributos, clique em OK.
  2. Na tabela Mapeamentos de atributos, encontre a linha de userName e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Fazer corresponder objetos através deste atributo, selecione No.
    2. Para guardar o mapeamento de atributos, clique em OK.
  3. Na tabela Mapeamentos de atributos, encontre a linha de externalId e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Precedência de correspondência, introduza 1.
    2. Para guardar o mapeamento de atributos, clique em OK.
4. Clique em Aprovisionar grupos do Microsoft Entra ID.
5. Na página Mapeamento de atributos, faça o seguinte:
  1. Na tabela Mapeamentos de atributos, encontre a linha de externalId e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Fazer corresponder objetos através deste atributo, selecione Yes.
    2. Em Precedência de correspondência, introduza 2.
    3. Na lista pendente Atributo de origem, selecione objectId.
    4. Para guardar o mapeamento de atributos, clique em OK.
  2. Na tabela Mapeamentos de atributos, encontre a linha de displayName e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Fazer corresponder objetos através deste atributo, selecione No.
    2. Para guardar o mapeamento de atributos, clique em OK.
  3. Na tabela Mapeamentos de atributos, encontre a linha de externalId e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Precedência de correspondência, introduza 1.
    2. Para guardar o mapeamento de atributos, clique em OK.

Atualize o fornecedor para ativar o SCIM

Para ativar o SCIM para um fornecedor, faça o seguinte:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Substitua o seguinte:

PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
LOCATION: a localização do conjunto de trabalhadores

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Substitua o seguinte:

PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
LOCATION: a localização do conjunto de trabalhadores

Mapeie atributos de SCIM e tokens

Tem de mapear os atributos de forma consistente, tanto no fornecedor do Workforce Identity Pool como no inquilino SCIM configurado para o fornecedor. Para o fornecedor do Workload Identity Pool, usa a flag --attribute-mapping e, para o inquilino SCIM, usa a flag --claim-mapping. O atributo do IdP mapeado para google.subject para os utilizadores tem de referir-se exclusivamente à mesma identidade, quer esteja definido num token ou num mapeamento SCIM. Para saber mais sobre o mapeamento de atributos quando usa o SCIM, consulte a secção Suporte do SCIM. A tabela seguinte mostra como mapear atributos em reivindicações de tokens e atributos SCIM:

Atributo Google	Mapeamento do fornecedor do Workforce Identity Pool	Mapeamento de inquilinos SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.group` certifique-se de que atualiza o seu fornecedor com `--scim-usage=enabled-for-groups`	`N/A`	`group.externalId`

Force a eliminação de um inquilino SCIM

Para forçar a eliminação de um inquilino SCIM, faça o seguinte:

Se a opção --scim-usage=enabled-for-groups estiver definida para o seu fornecedor, desative-a na configuração do fornecedor:
```
          gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED
        
```
Substitua o seguinte:
- PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
- WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
Elimine o inquilino SCIM:
```
  gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global
```
Substitua o seguinte:
- SCIM_TENANT_ID: o ID do inquilino SCIM a eliminar
- WORKFORCE_POOL_ID: o ID do conjunto de trabalhadores
- PROVIDER_ID: o ID do fornecedor do Workload Identity Pool
Para saber mais sobre o SCIM, incluindo a eliminação de inquilinos SCIM, consulte o artigo Suporte do SCIM.

O que se segue?

Elimine utilizadores da Workforce Identity Federation e os respetivos dados
Saiba que Google Cloud produtos suportam a federação de identidade da força de trabalho
Configure o acesso dos utilizadores à consola (federado)

Configure a federação de identidade da força de trabalho com o Microsoft Entra ID Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Conceitos-chave

Atributos adicionais

Atributos alargados

Antes de começar

Custos

Funções necessárias

Crie uma aplicação do Microsoft Entra ID

OIDC

SAML

Configure um grande número de grupos com o Microsoft Entra ID

Configure um grande número de grupos com o Microsoft Entra ID com o fluxo implícito do OIDC

Configure a sua aplicação do Microsoft Entra ID

Crie um Workforce Identity Pool

gcloud

Consola

Configure o fornecedor do Workload Identity Pool de fluxo implícito do OIDC

gcloud

Consola

Configure um grande número de grupos no Microsoft Entra ID com o fluxo de código OIDC

Configure a sua aplicação do Microsoft Entra ID

Crie um Workforce Identity Pool

gcloud

Consola

Configure o fornecedor do Workload Identity Pool da força de trabalho do fluxo de código OIDC

gcloud

Consola

Configure um grande número de grupos no Microsoft Entra ID com SAML 2.0

Configure a sua aplicação do Microsoft Entra ID

Crie um Workforce Identity Pool

gcloud

Consola

Configure o fornecedor do Workload Identity Pool SAML 2.0

gcloud

Consola

Conceda funções de IAM a grupos

Inicie sessão e teste o acesso

Iniciar sessão

Início de sessão na consola (federado)

Início de sessão baseado no navegador da CLI gcloud

Início de sessão sem interface da CLI gcloud

OIDC

SAML

Teste o acesso

Consola (federada)

CLI gcloud

Eliminar utilizadores

Configure o SCIM

Configure um inquilino e um token SCIM em Google Cloud

Configure o SCIM no Microsoft Entra ID

Atualize o fornecedor para ativar o SCIM

OIDC

SAML

Mapeie atributos de SCIM e tokens

Force a eliminação de um inquilino SCIM

O que se segue?

Configure a federação de identidade da força de trabalho com o Microsoft Entra ID