Esta página foi traduzida pela API Cloud Translation.

Configurar a federação de identidade de colaboradores com o Microsoft Entra ID

É possível configurar a federação de identidade de colaboradores com o provedor de identidade (IdP) do Microsoft Entra ID e mapear até 400 grupos do Microsoft Entra ID para Google Cloud usando o Microsoft Graph. Em seguida, você pode conceder papéis do IAM a esses grupos e fazer login dos usuários do Microsoft Entra ID que são membros dos grupos no Google Cloud. Em seguida, os usuários podem acessar os produtos do Google Cloud a que receberam acesso do IAM e que também são compatíveis com a federação de identidade de colaboradores.

Para mapear menos de 150 grupos do Microsoft Entra ID para Google Cloud, consulte Configurar a federação de identidade de colaboradores com o Microsoft Entra ID e fazer login de usuários.

Principais conceitos

Nesta seção, descrevemos os conceitos usados para configurar a federação de identidade de colaboradores, mais adiante neste documento.

Atributos extras

Para mapear até 400 grupos, use atributos extras especificando flags extra-attributes ao criar o provedor de pool de identidades da força de trabalho. É possível usar atributos extras com os seguintes protocolos:

OIDC com fluxo implícito
OIDC com fluxo de código
Protocolo SAML 2.0

Um aplicativo do Microsoft Entra ID pode emitir até 150 endereços de e-mail de grupo em um token para SAML e 200 para JWT. Para saber mais sobre esse limite, consulte Configurar declarações de grupo para aplicativos usando o Microsoft Entra ID. Para recuperar mais grupos, a federação de identidade de colaboradores usa o fluxo de credenciais do cliente OAuth 2.0 da Microsoft Identity (em inglês) para receber credenciais que permitem que a federação de identidade de colaboradores consulte a API Microsoft Graph e busque os grupos de um usuário.

Para usar atributos extras, em geral, você faz o seguinte:

Crie um aplicativo do Microsoft Entra ID ou atualize o aplicativo atual para receber as associações de grupo dos usuários da API Microsoft Graph. Para saber mais sobre como o Microsoft Graph recupera um grande número de grupos do Microsoft Entra ID, consulte Excedentes de grupos.
Ao criar o provedor de pool de identidade de colaboradores, use as flags extra-attributes para configurar a federação de identidade de colaboradores e recuperar os endereços de e-mail do grupo dos usuários na API Microsoft Graph.

A federação de identidade de colaboradores pode recuperar no máximo 999 grupos da API Microsoft Graph. Se a API Microsoft Graph retornar mais de 999 grupos, o login vai falhar.

Para reduzir o número de grupos retornados pela API Microsoft Graph, refine a consulta da federação de identidade de colaboradores usando a flag --extra-attributes-filter ao criar o provedor de pool de identidade de colaboradores.

Depois que a federação de identidade de colaboradores recupera os grupos da API Microsoft Graph, ela gera o token de acesso. A federação de identidade da força de trabalho pode adicionar um máximo de 400 grupos ao token de acesso. Para filtrar ainda mais o número de grupos para 400 ou menos, especifique um mapeamento de atributos que contenha expressões da linguagem de expressão comum (CEL, na sigla em inglês) ao criar o provedor de pool de identidades da força de trabalho.

Atributos estendidos

Para usuários do Gemini Enterprise, é possível usar atributos estendidos para mapear até 1.000 grupos do Microsoft Entra ID. Esse limite é maior do que o de atributos extras. Para usar atributos estendidos, especifique as flags extended-attributes ao criar o provedor do pool de identidades de colaboradores. Ao usar atributos estendidos, a federação de identidade de colaboradores recupera IDs de grupo (UUIDs) do Microsoft Entra ID.

Para permitir que os usuários do Gemini Enterprise insiram nomes de grupos legíveis por humanos, em vez de UUIDs, na interface de compartilhamento de notebooks do Gemini Enterprise, também é necessário configurar o SCIM.

Você configura o SCIM na federação de identidade da força de trabalho e no IdP, conforme descrito mais adiante neste documento.

Configure atributos estendidos usando as seguintes flags:

--extended-attributes-issuer-uri
--extended-attributes-client-id
--extended-attributes-client-secret-value

Ao usar atributos estendidos, as seguintes limitações também se aplicam:

Não é necessário configurar google.groups no mapeamento de atributos porque os atributos de grupo não são usados. No entanto, outros mapeamentos de atributos são usados.
É possível configurar outras flags de provedor de pool de identidade de colaboradores conforme documentado, mas essas configurações se aplicam a produtos que não sejam o Gemini Enterprise e que oferecem suporte à federação de identidade de colaboradores.
Os atributos estendidos são atualizados e atualizados periodicamente em segundo plano durante a sessão, mesmo depois do login.
No ID do Microsoft Entra, conceda ao aplicativo a permissão User.Read.All em vez de User.Read, User.ReadBasic.All ou GroupMember.Read.All.
A flag de tipo de atributos estendidos --extended-attributes-type oferece suporte apenas ao tipo azure-ad-groups-id.
Os atributos estendidos são compatíveis com até 1.000 grupos. Em contraste, a flag --extra-attributes é compatível com até 400 grupos.
Os atributos estendidos só podem ser usados para fazer login na Web com vertexaisearch.cloud.google, não para logins no console e nem para logins na CLI gcloud.

Antes de começar

Verifique se você tem uma organização do Google Cloud configurada.
Instale a CLI do Google Cloud. Após a instalação, inicialize a CLI do Google Cloud executando o seguinte comando:
```
gcloud init
```
Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

Observação: se você já instalou a gcloud CLI, execute o comando gcloud components update para verificar se você tem a versão mais recente.
No Microsoft Entra ID, verifique se os tokens de ID estão ativados para fluxo implícito. Para mais informações, consulte Ativar a concessão implícita de token de ID.
Para fazer login, seu IdP precisa fornecer informações de autenticação assinadas. Os IdPs OIDC precisam fornecer um JWT, e as respostas do IdP SAML precisam ser assinadas.
Para receber informações importantes sobre mudanças na sua organização ou nosGoogle Cloud produtos, forneça os Contatos essenciais. Para mais informações, consulte a visão geral da federação de identidade de colaboradores.
Todos os grupos que você pretende mapear precisam ser marcados como grupos de segurança no Microsoft Entra ID.
Importante:é possível buscar no máximo 999 grupos.

Custos

A federação de identidade da força de trabalho está disponível como um recurso sem custo financeiro. No entanto, o registro de auditoria detalhado da federação de identidade da força de trabalho usa o Cloud Logging. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.

Funções exigidas

Para receber as permissões necessárias para configurar a federação de identidade de colaboradores, peça ao administrador para conceder a você o papel do IAM de Administrador de pool de colaboradores do IAM (roles/iam.workforcePoolAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Se você estiver configurando permissões em um ambiente de desenvolvimento ou teste, mas não em um ambiente de produção, conceda o papel básico Proprietário do IAM (roles/owner), que também inclui permissões para a federação de identidade da força de trabalho.

Criar um aplicativo do Microsoft Entra ID

Nesta seção, mostramos como criar um aplicativo do Microsoft Entra ID usando o portal de administrador do Microsoft Entra. Como alternativa, é possível atualizar o aplicativo atual. Para mais detalhes, consulte Estabelecer aplicativos no ecossistema do Microsoft Entra ID.

Os pools de identidade de colaboradores aceitam a federação usando os protocolos OIDC e SAML.

OIDC

Para criar um registro de aplicativo do Microsoft Entra ID que use o protocolo OIDC, faça o seguinte:

Faça login no portal do administrador do Microsoft Entra.
Acesse Identidade > Aplicativos > Registros de aplicativos.
Para começar a configurar o registro do aplicativo, faça o seguinte:
1. Clique em New registration.
2. Insira um nome para o aplicativo.
3. Em Tipos de contas compatíveis, selecione uma opção.
4. Na seção Redirecionar URI, na lista suspensa Selecione uma plataforma, selecione Web.
5. No campo de texto, insira um URL de redirecionamento. Seus usuários serão redirecionados para esse URL após o login. Se você estiver configurando o acesso ao console (federado), use o seguinte formato de URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Substitua:
  - WORKFORCE_POOL_ID: um ID de pool de identidade de colaboradores que você vai usar ao criar o pool de identidade de colaboradores mais adiante neste documento. Por exemplo: entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID: um ID de provedor de pool de identidade de colaboradores que você vai usar ao criar o provedor de pool de identidade de colaboradores mais adiante neste documento. Por exemplo: entra-id-oidc-pool-provider
    
    Para informações sobre como formatar o ID, consulte a seção Parâmetros de consulta na documentação da API.
6. Para criar o registro do aplicativo, clique em Registrar.
7. Para usar o mapeamento de atributo de exemplo que será fornecido posteriormente neste documento, você precisa criar um atributo department personalizado.

SAML

Para criar um registro de aplicativo do Microsoft Entra ID que use o protocolo SAML, faça o seguinte:

Faça login no portal do administrador do Microsoft Entra.
No menu de navegação à esquerda, acesse Entra ID > Apps empresariais.
Para começar a configurar o aplicativo empresarial, faça o seguinte:
1. Clique em Novo aplicativo > Criar seu próprio aplicativo.
2. No painel Criar seu próprio aplicativo, insira um nome para o aplicativo.
3. Clique em Criar.
4. Acesse Logon único > SAML.
5. Atualize a Configuração básica de SAML da seguinte maneira:
  1. No campo Identificador (ID da entidade), insira o seguinte valor:
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Substitua:
    - WORKFORCE_POOL_ID: um ID de pool de identidade da força de trabalho que você vai usar ao criar o pool de identidade da força de trabalho mais adiante neste documento. Por exemplo: entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID: um ID de provedor de pool de identidade da força de trabalho que você vai usar ao criar o provedor de pool de identidade da força de trabalho mais adiante neste documento. Por exemplo: entra-id-saml-pool-provider
      
      Para informações sobre como formatar o ID, consulte a seção Parâmetros de consulta na documentação da API.
  2. No campo URL de resposta (URL do serviço de declaração do consumidor), insira um URL de redirecionamento. Seus usuários serão redirecionados para esse URL após o login. Se você estiver configurando o acesso ao console (federado), use o seguinte formato de URL:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Substitua:
    - WORKFORCE_POOL_ID: o ID do pool de identidade da força de trabalho
    - WORKFORCE_PROVIDER_ID: o ID do provedor de identidade da força de trabalho
  3. Para ativar o login iniciado pelo IdP, defina o campo Relay State com o seguinte valor:
```
https://console.cloud.google/
```
  4. Para salvar a configuração do aplicativo SAML, clique em Salvar.
6. Para usar o mapeamento de atributo de exemplo que será fornecido posteriormente neste documento, você precisa criar um atributo department personalizado.

Configurar um grande número de grupos com o Microsoft Entra ID

Nesta seção, descrevemos como mapear até 400 grupos do Microsoft Entra ID para a federação de identidade de colaboradores usando os protocolos OIDC e SAML.

Configurar um grande número de grupos com o Microsoft Entra ID usando o fluxo implícito do OIDC

Esta seção descreve como mapear até 400 grupos do Microsoft Entra ID para a federação de identidade de colaboradores usando o protocolo OpenID Connect (OIDC) com fluxo implícito.

Configurar o aplicativo do Microsoft Entra ID

É possível configurar um aplicativo do Microsoft Entra ID ou criar um novo. Para configurar o aplicativo, faça o seguinte:

No portal do Microsoft Entra ID, faça o seguinte:
- Para registrar um novo aplicativo, siga as instruções em Registrar um novo aplicativo.
- Para atualizar um aplicativo, faça o seguinte:
  - Acesse Identidade > Aplicativos > Aplicativos empresariais.
  - Selecione o aplicativo que você quer atualizar.
Crie uma nova chave secreta do cliente no aplicativo seguindo as instruções em Certificados e chaves secretas. Registre o valor da chave secreta do cliente porque ele é mostrado apenas uma vez.
Anote os seguintes valores do aplicativo que você criou ou atualizou. Você vai fornecer os valores ao configurar o provedor de pool de identidades da força de trabalho mais adiante neste documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para recuperar os grupos do Microsoft Entra ID, adicione a permissão de API para permitir que a federação de identidade de colaboradores acesse as informações dos usuários do Microsoft Entra ID usando a API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:
1. Acesse Permissões da API.
2. Clique em Adicionar uma permissão.
3. Selecione API da Microsoft.
4. Selecione Permissões do aplicativo.
5. No campo de pesquisa, digite User.ReadBasic.All.
6. Clique em Adicionar permissões
É possível recuperar os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de e-mail do grupo para grupos ativados por e-mail.

Se você escolher recuperar grupos como endereços de e-mail de grupo, a próxima etapa será necessária.
Para recuperar os grupos do Microsoft Entra ID como endereços de e-mail de grupo, faça o seguinte. Se você recuperar grupos como identificadores de objetos de grupo, pule esta etapa.
1. No GroupMember.Read.All campo de pesquisa, insira .
2. Clique em Adicionar permissões
3. Clique em Conceder consentimento de administrador para seu nome de domínio.
4. Na caixa de diálogo exibida, clique em Sim.
5. Acesse a página Visão geral do aplicativo Microsoft Entra ID que você criou ou atualizou anteriormente.
6. Clique em Endpoints.
O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

Por exemplo, se o documento de metadados do OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor será https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Criar um pool de identidades da força de trabalho

gcloud

Para criar o pool de identidade de colaboradores, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua:

WORKFORCE_POOL_ID: um ID escolhido para representar o Google Cloud pool de forças de trabalho. Para informações sobre como formatar o ID, consulte a seção Parâmetros de consulta na documentação da API.
ORGANIZATION_ID: o ID numérico da organização Google Cloud para o pool de identidade da força de trabalho. Os pools de identidades da força de trabalho estão disponíveis em todos os projetos e pastas da organização.
DISPLAY_NAME: opcional. Um nome de exibição para o pool de identidade de colaboradores.
DESCRIPTION: opcional. : uma descrição do pool de identidade de colaboradores
SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina por quanto tempo os tokens de acesso do Google Cloud , as sessões de login do console (federado) e o login da CLI gcloud deste pool de força de trabalho são válidos. A duração padrão da sessão é de uma hora (3.600 segundos). O valor da duração da sessão precisa estar entre 15 minutos (900s) e 12 horas (43.200s).

Console

Para criar o pool de identidades de colaboradores, faça o seguinte:

No console Google Cloud , acesse a página Pools de identidade da força de trabalho:

Acessar pools de identidade de colaboradores
Selecione a organização do pool de identidade de colaboradores. Os pools de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar pool e faça o seguinte:
1. No campo Nome, digite o nome de exibição do pool. O ID do pool é derivado automaticamente do nome à medida que você digita e é exibido no campo Nome. Para atualizar o ID do pool, clique em Editar ao lado dele.
2. Opcional: em Descrição, insira uma descrição do pool.
3. Para criar o pool de identidades de colaboradores, clique em Próxima.

A duração da sessão do pool de identidade de colaboradores é de uma hora (3.600 segundos) por padrão. A duração da sessão determina por quanto tempo os tokens de acesso do Google Cloud , o console (federado) e as sessões de login da CLI gcloud desse pool de força de trabalho são válidos. Depois de criar o pool, é possível atualizá-lo para definir uma duração de sessão personalizada. A duração da sessão precisa ser de 15 minutos (900s) a 12 horas (43200s).

Configurar o provedor de pool de identidade de colaboradores de fluxo implícito do OIDC

gcloud

Para criar o provedor de pool de identidade da força de trabalho do OIDC, execute o seguinte comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua:

PROVIDER_ID: um ID de provedor exclusivo. O prefixo gcp- é reservado e não pode ser usado em um ID de pool ou provedor.
WORKFORCE_POOL_ID: o ID do pool da força de trabalho.
DISPLAY_NAME: um nome de exibição para o provedor.
ISSUER_URI: o URI do emissor do aplicativo Microsoft Entra ID que você criou anteriormente neste documento.
CLIENT_ID: o ID do cliente do seu aplicativo Microsoft Entra ID.
ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para mais informações, consulte Mapeamento de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor do aplicativo do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: o ID do cliente do seu aplicativo Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: a chave secreta do cliente extra do seu aplicativo Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para recuperar os endereços de e-mail dos grupos. Use azure-ad-groups-id para recuperar os IDs dos grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro usada ao consultar a API Microsoft Graph para grupos. É possível usar esse parâmetro para garantir que o número de grupos buscados do IdP permaneça abaixo do limite de 400 grupos.
O exemplo a seguir busca os grupos que têm o prefixo sales no ID de e-mail:
```
--extra-attributes-filter='"mail:sales"'
```
A expressão a seguir busca grupos com um nome de exibição que contém a string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
A federação de identidade de colaboradores registro de auditoria detalhado registra as informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.

Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag --detailed-audit-logging ao executar gcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.

Console

No console Google Cloud , acesse a página Pools de identidade da força de trabalho:

Acessar pools de identidade de colaboradores

Na tabela Pools de identidade de colaboradores, selecione o pool em que você quer criar o provedor.
Na seção Provedores, clique em Adicionar provedor.
Na lista Selecionar um fornecedor de provedor, escolha seu provedor de identidade (IdP).
Se o IdP não estiver na lista, selecione Provedor de identidade genérico.
Em Selecionar um protocolo de autenticação, escolha OpenID Connect (OIDC).
Na seção Criar um provedor, faça o seguinte:
1. Em Nome, insira o nome do provedor.
2. Em Descrição, insira a descrição do provedor.
3. Em Emissor (URL), insira o URI do emissor. O URI do emissor do OIDC precisa estar em um formato de URI válido e começar com https. por exemplo, https://example.com/oidc.
4. Em ID do cliente, insira o ID do cliente OIDC registrado no seu IdP OIDC. O ID precisa corresponder à declaração aud do JWT emitido pelo IdP.
5. Para criar um provedor ativado, verifique se a opção Ativar provedor está ativada.
6. Clique em Continuar.
Na seção Compartilhe as informações do seu provedor com o IdP, copie o URL. No IdP, configure este URL como o URI de redirecionamento, que informa ao IdP para onde enviar o token de declaração após o login.
Clique em Continuar.
Na seção Configurar o login na Web do OIDC, faça o seguinte:
Na lista Tipo de fluxo, selecione Token de ID.
Na lista Comportamento das reivindicações de declaração, Token de ID está selecionado.
Opcional: se você selecionou Okta como seu IdP, adicione outros escopos de OIDC no campo Outros escopos além de openid, perfil e e-mail.

Clique em Continuar.

Em Configurar provedor, é possível configurar um mapeamento e uma condição de atributo. Para criar um mapeamento de atributo, faça o seguinte. É possível fornecer o nome do campo do IdP ou uma expressão formatada em CEL que retorne uma string.

Obrigatório: em OIDC 1, digite o assunto do IdP, por exemplo, assertion.sub.
Opcional: para adicionar outros mapeamentos de atributos, faça o seguinte:
1. Clique em Adicionar mapeamento.
2. Em Google n, em que n é um número, insira uma das chaves compatíveis com oGoogle Cloud.
3. No campo OIDC n correspondente, insira o nome do campo específico do IdP a ser mapeado, no formato CEL.
Se você selecionou Microsoft Entra ID como seu IdP, é possível aumentar o número de grupos.
1. Selecione Usar atributos extras.
2. No campo URI do emissor de atributos extras, insira o URL do emissor.
3. No campo ID do cliente de atributos extras, insira o ID do cliente.
4. No campo Chave secreta do cliente para atributos extras, insira a chave secreta do cliente.
5. Na lista Tipo de atributos extras, selecione um tipo de atributo para atributos extras.
6. No campo Filtro de atributos extras, insira uma expressão de filtro usada ao consultar a API Microsoft Graph para grupos.
Para criar uma condição de atributo, faça o seguinte:
1. Clique em Adicionar condição.
2. No campo Condições de atributo, insira uma condição no formato CEL. Por exemplo, assertion.role == 'gcp-users'. Este exemplo de condição garante que apenas os usuários com o papel gcp-users possam fazer login usando este provedor.
3. Para ativar o registro de auditoria detalhado, em Registro detalhado, clique no botão Ativar a geração de registros de auditoria do valor do atributo.
  A federação de identidade de colaboradores registro de auditoria detalhado registra as informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
  
  Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag --detailed-audit-logging ao executar gcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.

Para criar o provedor, clique em Enviar.

Configurar um grande número de grupos no Microsoft Entra ID com o fluxo de código OIDC

Nesta seção, descrevemos como mapear até 400 grupos do Microsoft Entra ID para a federação de identidade de colaboradores usando o protocolo OIDC com fluxo de código.

Configurar o aplicativo do Microsoft Entra ID

É possível configurar um aplicativo do Microsoft Entra ID ou criar um novo. Para configurar o aplicativo, faça o seguinte:

No portal do Microsoft Entra ID, faça o seguinte:
- Para registrar um novo aplicativo, siga as instruções em Registrar um novo aplicativo.
- Para atualizar um aplicativo, faça o seguinte:
  - Acesse Identidade > Aplicativos > Aplicativos empresariais.
  - Selecione o aplicativo que você quer atualizar.
Crie uma nova chave secreta do cliente no aplicativo seguindo as instruções em Certificados e chaves secretas. Registre o valor da chave secreta do cliente porque ele é mostrado apenas uma vez.
Anote os seguintes valores do aplicativo que você criou ou atualizou. Você vai fornecer os valores ao configurar o provedor de pool de identidades da força de trabalho mais adiante neste documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para recuperar os grupos do Microsoft Entra ID, adicione a permissão de API para permitir que a federação de identidade de colaboradores acesse as informações dos usuários do Microsoft Entra ID usando a API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:
1. Acesse Permissões da API.
2. Clique em Adicionar uma permissão.
3. Selecione API da Microsoft.
4. Selecione Permissões delegadas.
5. No campo de pesquisa, digite User.Read.
6. Clique em Adicionar permissões
É possível recuperar os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de e-mail do grupo para grupos ativados por e-mail.

Se você escolher recuperar grupos como endereços de e-mail de grupo, a próxima etapa será necessária.
Para recuperar os grupos do Microsoft Entra ID como endereços de e-mail de grupo, faça o seguinte. Se você recuperar grupos como identificadores de objetos de grupo, pule esta etapa.
1. No GroupMember.Read.All campo de pesquisa, insira .
2. Clique em Adicionar permissões
3. Clique em Conceder consentimento de administrador para seu nome de domínio.
4. Na caixa de diálogo exibida, clique em Sim.
5. Acesse a página Visão geral do aplicativo Microsoft Entra ID que você criou ou atualizou anteriormente.
6. Clique em Endpoints.
O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

Por exemplo, se o documento de metadados do OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor será https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Criar um pool de identidades da força de trabalho

gcloud

Para criar o pool de identidade de colaboradores, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua:

WORKFORCE_POOL_ID: um ID escolhido para representar o Google Cloud pool de forças de trabalho. Para informações sobre como formatar o ID, consulte a seção Parâmetros de consulta na documentação da API.
ORGANIZATION_ID: o ID numérico da organização Google Cloud para o pool de identidade da força de trabalho. Os pools de identidades da força de trabalho estão disponíveis em todos os projetos e pastas da organização.
DISPLAY_NAME: opcional. Um nome de exibição para o pool de identidade de colaboradores.
DESCRIPTION: opcional. : uma descrição do pool de identidade de colaboradores
SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina por quanto tempo os tokens de acesso do Google Cloud , as sessões de login do console (federado) e o login da CLI gcloud deste pool de força de trabalho são válidos. A duração padrão da sessão é de uma hora (3.600 segundos). O valor da duração da sessão precisa estar entre 15 minutos (900s) e 12 horas (43.200s).

Console

Para criar o pool de identidades de colaboradores, faça o seguinte:

No console Google Cloud , acesse a página Pools de identidade da força de trabalho:

Acessar pools de identidade de colaboradores
Selecione a organização do pool de identidade de colaboradores. Os pools de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar pool e faça o seguinte:
1. No campo Nome, digite o nome de exibição do pool. O ID do pool é derivado automaticamente do nome à medida que você digita e é exibido no campo Nome. Para atualizar o ID do pool, clique em Editar ao lado dele.
2. Opcional: em Descrição, insira uma descrição do pool.
3. Para criar o pool de identidades de colaboradores, clique em Próxima.

Configurar o provedor de pool de identidade da força de trabalho de fluxo de código OIDC

gcloud

Para criar o provedor de pool de identidade da força de trabalho OIDC, execute o seguinte comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua:

PROVIDER_ID: um ID de provedor exclusivo. O prefixo gcp- é reservado e não pode ser usado em um ID de pool ou provedor.
WORKFORCE_POOL_ID: o ID do pool da força de trabalho.
DISPLAY_NAME: um nome de exibição para o provedor.
ISSUER_URI: o URI do emissor do aplicativo Microsoft Entra ID que você criou anteriormente neste documento.
CLIENT_ID: o ID do cliente do seu aplicativo Microsoft Entra ID.
ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para mais informações, consulte Mapeamento de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor do aplicativo do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: o ID do cliente do seu aplicativo Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: a chave secreta do cliente extra do seu aplicativo Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para recuperar os endereços de e-mail dos grupos. Use azure-ad-groups-id para recuperar os IDs dos grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro usada ao consultar a API Microsoft Graph para grupos. É possível usar esse parâmetro para garantir que o número de grupos buscados do IdP permaneça abaixo do limite de 400 grupos.
O exemplo a seguir busca os grupos que têm o prefixo sales no ID de e-mail:
```
--extra-attributes-filter='"mail:sales"'
```
A expressão a seguir busca grupos com um nome de exibição que contém a string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
A federação de identidade de colaboradores registro de auditoria detalhado registra as informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.

Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag --detailed-audit-logging ao executar gcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.

Console

No console Google Cloud , acesse a página Pools de identidade da força de trabalho:

Acessar pools de identidade de colaboradores

Na tabela Pools de identidade de colaboradores, selecione o pool em que você quer criar o provedor.
Na seção Provedores, clique em Adicionar provedor.
Na lista Selecionar um fornecedor de provedor, escolha seu provedor de identidade (IdP).
Se o IdP não estiver na lista, selecione Provedor de identidade genérico.
Em Selecionar um protocolo de autenticação, escolha OpenID Connect (OIDC).
Na seção Criar um provedor, faça o seguinte:
1. Em Nome, insira o nome do provedor.
2. Em Descrição, insira a descrição do provedor.
3. Em Emissor (URL), insira o URI do emissor. O URI do emissor do OIDC precisa estar em um formato de URI válido e começar com https. por exemplo, https://example.com/oidc.
4. Em ID do cliente, insira o ID do cliente OIDC registrado no seu IdP OIDC. O ID precisa corresponder à declaração aud do JWT emitido pelo IdP.
5. Para criar um provedor ativado, verifique se a opção Ativar provedor está ativada.
6. Clique em Continuar.
Na seção Compartilhe as informações do seu provedor com o IdP, copie o URL. No IdP, configure este URL como o URI de redirecionamento, que informa ao IdP para onde enviar o token de declaração após o login.
Clique em Continuar.
Na seção Configurar o login na Web do OIDC, faça o seguinte:
1. Na lista Tipo de fluxo, selecione Código.
2. Na lista Comportamento das reivindicações de declaração, selecione uma das seguintes opções:
3. No campo Chave secreta do cliente, insira a chave secreta do cliente do IdP.
4. Opcional: se você selecionou Okta como seu IdP, adicione outros escopos de OIDC no campo Outros escopos além de openid, perfil e e-mail.
Clique em Continuar.
Em Configurar provedor, é possível configurar um mapeamento e uma condição de atributo. Para criar um mapeamento de atributo, faça o seguinte. É possível fornecer o nome do campo do IdP ou uma expressão formatada em CEL que retorne uma string.
1. Obrigatório: em OIDC 1, digite o assunto do IdP, por exemplo, assertion.sub.
2. Opcional: para adicionar outros mapeamentos de atributos, faça o seguinte:
  1. Clique em Adicionar mapeamento.
  2. Em Google n, em que n é um número, insira uma das chaves compatíveis com oGoogle Cloud.
  3. No campo OIDC n correspondente, insira o nome do campo específico do IdP a ser mapeado, no formato CEL.
3. Se você selecionou Microsoft Entra ID como seu IdP, é possível aumentar o número de grupos.
  1. Selecione Usar atributos extras.
  2. No campo URI do emissor de atributos extras, insira o URL do emissor.
  3. No campo ID do cliente de atributos extras, insira o ID do cliente.
  4. No campo Chave secreta do cliente para atributos extras, insira a chave secreta do cliente.
  5. Na lista Tipo de atributos extras, selecione um tipo de atributo para atributos extras.
  6. No campo Filtro de atributos extras, insira uma expressão de filtro usada ao consultar a API Microsoft Graph para grupos.
4. Para criar uma condição de atributo, faça o seguinte:
  1. Clique em Adicionar condição.
  2. No campo Condições de atributo, insira uma condição no formato CEL. Por exemplo, assertion.role == 'gcp-users'. Este exemplo de condição garante que apenas os usuários com o papel gcp-users possam fazer login usando este provedor.
  3. Para ativar o registro de auditoria detalhado, em Registro detalhado, clique no botão Ativar a geração de registros de auditoria do valor do atributo.
    A federação de identidade de colaboradores registro de auditoria detalhado registra as informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
    
    Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag --detailed-audit-logging ao executar gcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.
Para criar o provedor, clique em Enviar.

Configurar um grande número de grupos no Microsoft Entra ID com SAML 2.0

Nesta seção, descrevemos como mapear até 400 grupos do Microsoft Entra ID para a federação de identidade de colaboradores usando o protocolo SAML 2.0.

Configurar o aplicativo do Microsoft Entra ID

Para configurar o aplicativo, faça o seguinte:

No portal do Microsoft Entra ID, faça o seguinte:
- Para registrar um novo aplicativo, siga as instruções em Registrar um novo aplicativo.
- Para atualizar um aplicativo, faça o seguinte:
  - Acesse Identidade > Aplicativos > Aplicativos empresariais.
  - Selecione o aplicativo que você quer atualizar.
Crie uma nova chave secreta do cliente no aplicativo seguindo as instruções em Certificados e chaves secretas. Registre o valor da chave secreta do cliente porque ele é mostrado apenas uma vez.
Anote os seguintes valores do aplicativo que você criou ou atualizou. Você vai fornecer os valores ao configurar o provedor de pool de identidades da força de trabalho mais adiante neste documento.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Para recuperar os grupos do Microsoft Entra ID, adicione a permissão de API para permitir que a federação de identidade de colaboradores acesse as informações dos usuários do Microsoft Entra ID usando a API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:
1. Acesse Permissões da API.
2. Clique em Adicionar uma permissão.
3. Selecione API da Microsoft.
4. Selecione Permissões do aplicativo.
5. No campo de pesquisa, digite User.ReadBasic.All.
6. Clique em Adicionar permissões
É possível recuperar os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de e-mail do grupo para grupos ativados por e-mail.

Se você escolher recuperar grupos como endereços de e-mail de grupo, a próxima etapa será necessária.
Para recuperar os grupos do Microsoft Entra ID como endereços de e-mail de grupo, faça o seguinte. Se você recuperar grupos como identificadores de objetos de grupo, pule esta etapa.
1. No GroupMember.Read.All campo de pesquisa, insira .
2. Clique em Adicionar permissões
3. Clique em Conceder consentimento de administrador para seu nome de domínio.
4. Na caixa de diálogo exibida, clique em Sim.
5. Acesse a página Visão geral do aplicativo Microsoft Entra ID que você criou ou atualizou anteriormente.
6. Clique em Endpoints.
O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

Por exemplo, se o documento de metadados do OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor será https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Criar um pool de identidades da força de trabalho

gcloud

Para criar o pool de identidade de colaboradores, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua:

WORKFORCE_POOL_ID: um ID escolhido para representar o Google Cloud pool de forças de trabalho. Para informações sobre como formatar o ID, consulte a seção Parâmetros de consulta na documentação da API.
ORGANIZATION_ID: o ID numérico da organização Google Cloud para o pool de identidade da força de trabalho. Os pools de identidades da força de trabalho estão disponíveis em todos os projetos e pastas da organização.
DISPLAY_NAME: opcional. Um nome de exibição para o pool de identidade de colaboradores.
DESCRIPTION: opcional. : uma descrição do pool de identidade de colaboradores
SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina por quanto tempo os tokens de acesso do Google Cloud , as sessões de login do console (federado) e o login da CLI gcloud deste pool de força de trabalho são válidos. A duração padrão da sessão é de uma hora (3.600 segundos). O valor da duração da sessão precisa estar entre 15 minutos (900s) e 12 horas (43.200s).

Console

Para criar o pool de identidades de colaboradores, faça o seguinte:

No console Google Cloud , acesse a página Pools de identidade da força de trabalho:

Acessar pools de identidade de colaboradores
Selecione a organização do pool de identidade de colaboradores. Os pools de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar pool e faça o seguinte:
1. No campo Nome, digite o nome de exibição do pool. O ID do pool é derivado automaticamente do nome à medida que você digita e é exibido no campo Nome. Para atualizar o ID do pool, clique em Editar ao lado dele.
2. Opcional: em Descrição, insira uma descrição do pool.
3. Para criar o pool de identidades de colaboradores, clique em Próxima.

Configurar o provedor de pool de identidade da força de trabalho SAML 2.0

gcloud

Para criar o provedor de pool de identidade de colaboradores SAML, execute o seguinte comando:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua:

PROVIDER_ID: um ID de provedor exclusivo. O prefixo gcp- é reservado e não pode ser usado em um ID de pool ou provedor.
WORKFORCE_POOL_ID: o ID do pool da força de trabalho.
DISPLAY_NAME: um nome de exibição para o provedor.
XML_METADATA_PATH: o caminho para o arquivo XML de metadados SAML 2.0.
ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.sub"
```
Para mais informações, consulte Mapeamento de atributos.
EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor do aplicativo do Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_ID: o ID do cliente do seu aplicativo Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET: a chave secreta do cliente extra do seu aplicativo Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para recuperar os endereços de e-mail dos grupos. Use azure-ad-groups-id para recuperar os IDs dos grupos.
EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro usada ao consultar a API Microsoft Graph para grupos. É possível usar esse parâmetro para garantir que o número de grupos buscados do IdP permaneça abaixo do limite de 400 grupos.
O exemplo a seguir busca os grupos que têm o prefixo sales no ID de e-mail:
```
--extra-attributes-filter='"mail:sales"'
```
A expressão a seguir busca grupos com um nome de exibição que contém a string sales.
```
--extra-attributes-filter='"displayName:sales"'
```
A federação de identidade de colaboradores registro de auditoria detalhado registra as informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.

Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag --detailed-audit-logging ao executar gcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.

Console

No console Google Cloud , acesse a página Pools de identidade da força de trabalho:

Acessar pools de identidade de colaboradores

Na tabela Pools de identidade de colaboradores, selecione o pool em que você quer criar o provedor.
Na seção Provedores, clique em Adicionar provedor.
Na lista Selecionar um fornecedor de provedor, escolha seu provedor de identidade (IdP).
Se o IdP não estiver listado, selecione Provedor de identidade genérico.
Em Selecionar um protocolo de autenticação, escolha SAML.
Na seção Criar um provedor, faça o seguinte:
1. Em Nome, digite um nome para o provedor.
2. Opcional: em Descrição, digite uma descrição para o provedor.
3. Em Arquivo de metadados do IdP (XML), selecione o arquivo XML de metadados gerado anteriormente neste guia.
4. Para criar um provedor ativado, verifique se a opção Ativar provedor está ativada.
5. Clique em Continuar.
Na seção Compartilhe as informações do provedor, copie os URLs. No IdP, configure o primeiro URL como o ID da entidade, que identifica seu aplicativo para o IdP. Configure o outro URL como o URI de redirecionamento, que informa ao IdP para onde enviar o token de declaração após o login.
Clique em Continuar.
Na seção Configurar provedor, faça o seguinte:
1. Em Mapeamento de atributos, insira uma expressão CEL para google.subject.
2. Opcional: para inserir outros mapeamentos, clique em Adicionar mapeamento e insira outros, por exemplo:
3. Se você selecionou Microsoft Entra ID como seu IdP, é possível aumentar o número de grupos.
  1. Selecione Usar atributos extras.
  2. No campo URI do emissor de atributos extras, insira o URL do emissor.
  3. No campo ID do cliente de atributos extras, insira o ID do cliente.
  4. No campo Chave secreta do cliente para atributos extras, insira a chave secreta do cliente.
  5. Na lista Tipo de atributos extras, selecione um tipo de atributo para atributos extras.
  6. No campo Filtro de atributos extras, insira uma expressão de filtro usada ao consultar a API Microsoft Graph para grupos.
4. Opcional: para adicionar uma condição de atributo, clique em Adicionar condição e insira uma expressão CEL que represente uma condição de atributo. Por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IP, defina a condição assertion.attributes.ipaddr.startsWith('98.11.12.'). Este exemplo de condição garante que apenas os usuários com um endereço IP que comece com 98.11.12. possam fazer login usando esse provedor de força de trabalho.
5. Clique em Continuar.
6. Para ativar o registro de auditoria detalhado, em Registro detalhado, clique no botão Ativar a geração de registros de auditoria do valor do atributo.
  A federação de identidade de colaboradores registro de auditoria detalhado registra as informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
  
  Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag --detailed-audit-logging ao executar gcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.
Para criar o provedor, clique em Enviar.

Conceder papéis do IAM a grupos

Nesta seção, você vai conceder papéis a grupos em recursos do Google Cloud . Para saber mais sobre os identificadores principais da Federação de identidade de colaboradores, consulte Representar usuários do pool de colaboradores nas políticas do IAM.

O exemplo a seguir concede o papel de Administrador do Storage (roles/storage.admin) a usuários em um grupo do Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Substitua:

PROJECT_ID: o ID do projeto;
WORKFORCE_POOL_ID: o ID do pool de identidade da força de trabalho
GROUP_ID: o identificador do grupo, que depende do valor de --extra-attributes-type usado para criar o provedor de pool de identidade da força de trabalho, da seguinte forma:
- azure-ad-groups-mail: o identificador do grupo é um endereço de e-mail, por exemplo, admin-group@altostrat.com.
- azure-ad-groups-id: o identificador do grupo é um UUID para o grupo, por exemplo: abcdefgh-0123-0123-abcdef

Nesta seção, faça login como usuário do pool de identidades de força de trabalho e teste se tem acesso aos recursos do Google Cloud .

Nesta seção, mostramos como fazer login como um usuário federado e acessar recursos doGoogle Cloud .

Para fazer login no console da Google Cloud federação de identidade de colaboradores, também conhecido como console (federado), faça o seguinte:

Acesse a página de login no console (federada).

Acesse o console (federado)

Digite o nome do provedor no formato a seguir:

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Se solicitado, insira as credenciais do usuário no Microsoft Entra ID.

Se você iniciar um login orientado por IdP, use o seguinte para o URL de retransmissão: https://console.cloud.google/.

Para fazer login na CLI gcloud usando um fluxo de login baseado em navegador, faça o seguinte:

Criar um arquivo de configuração

Para criar o arquivo de configuração de login, execute o comando a seguir. Também é possível ativar o arquivo como padrão para a CLI gcloud adicionando a flag --activate. Assim, você pode executar gcloud auth login sem especificar o caminho do arquivo de configuração todas as vezes.

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Substitua:

WORKFORCE_POOL_ID: o ID do pool de colaboradores
PROVIDER_ID: o ID do provedor
LOGIN_CONFIG_FILE_PATH: o caminho para um arquivo de configuração especificado. Por exemplo, login.json.

O arquivo contém os endpoints usados pela CLI gcloud para ativar o fluxo de autenticação baseado em navegador e definir o público como o IdP configurado no provedor do pool de identidades dos colaboradores. O arquivo não contém informações confidenciais.

A saída será assim:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Para impedir que o gcloud auth login use esse arquivo de configuração automaticamente, execute gcloud config unset auth/login_config_file.

Fazer login usando autenticação baseada no navegador

Para usar a autenticação de login baseada em navegador, use um dos seguintes métodos:

Se você usou a flag --activate ao criar o arquivo de configuração ou ativou esse arquivo com gcloud config set auth/login_config_file, a gcloud CLI fará uso dele automaticamente:
```
gcloud auth login
```
Para fazer login especificando o local do arquivo de configuração, execute o seguinte comando:
```
gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
```
Para usar uma variável de ambiente para especificar o local do arquivo de configuração, defina CLOUDSDK_AUTH_LOGIN_CONFIG_FILE como o caminho de configuração.

Desativar o login baseado no navegador

Para interromper o uso do arquivo de configuração de login, faça o seguinte:

Se você usou a flag --activate ao criar o arquivo de configuração ou ativou esse arquivo com gcloud config set auth/login_config_file, execute o seguinte comando para cancelar a definição:
```
gcloud config unset auth/login_config_file
```
Limpe a variável de ambiente CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, se ela estiver definida.

Para fazer login no Microsoft Entra ID com a gcloud CLI, faça o seguinte:

OIDC

Siga as etapas em Enviar a solicitação de login. Faça login do usuário no seu aplicativo com o Microsoft Entra ID usando o OIDC.
Copie o token de ID do parâmetro id_token do URL de redirecionamento e salve-o em um arquivo em um local seguro da sua máquina local. Na etapa posterior, você define PATH_TO_OIDC_ID_TOKEN como o caminho para esse arquivo.

Gere um arquivo de configuração semelhante ao exemplo mais adiante nesta etapa executando o seguinte comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Substitua:

WORKFORCE_POOL_ID: o ID do pool de identidade de colaboradores.
WORKFORCE_PROVIDER_ID: o ID do provedor do pool de identidade da força de trabalho.
PATH_TO_OIDC_ID_TOKEN: o caminho para o local do arquivo em que o token do IdP é armazenado.
WORKFORCE_POOL_USER_PROJECT: o número ou o ID do projeto usado para a cota e o faturamento. O principal precisa ter a permissão serviceusage.services.use neste projeto.

Quando o comando é concluído, o arquivo de configuração a seguir é criado pelo Microsoft Entra ID:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Abra a gcloud CLI e execute o seguinte comando:
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Substitua PATH_TO_OIDC_CREDENTIALS pelo caminho do arquivo de saída de uma etapa anterior.

A CLI gcloud posta suas credenciais de forma transparente no endpoint do Serviço de token de segurança. No endpoint, ela é trocada por tokens de acesso temporários do Google Cloud .

Agora é possível executar comandos da CLI gcloud paraGoogle Cloud.

SAML

Faça login de um usuário no aplicativo Microsoft Entra ID e receba a resposta SAML.
Salve a resposta SAML retornada pelo Microsoft Entra ID em um local seguro da máquina local e armazene o caminho da seguinte maneira:
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Para gerar um arquivo de configuração de credencial, execute o seguinte comando:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Substitua:

WORKFORCE_PROVIDER_ID: o ID do provedor de pool de identidade de colaboradores que você criou anteriormente neste guia
WORKFORCE_POOL_ID: o ID do pool de identidade de colaboradores que você criou anteriormente neste guia
SAML_ASSERTION_PATH: o caminho do arquivo de declaração SAML
PROJECT_ID: o ID do projeto;

O arquivo de configuração gerado é semelhante ao seguinte:

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Para fazer login na CLI gcloud usando a troca de tokens da federação de identidade de colaboradores, execute o seguinte comando:
```
gcloud auth login --cred-file=config.json
```
Em seguida, a CLI gcloud troca de forma transparente suas credenciais do Microsoft Entra ID por tokens de acesso temporários do Google Cloud . Os tokens de acesso permitem que você acesse Google Cloud.

Você verá uma saída semelhante a esta:
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Para listar as contas credenciadas e a conta ativa, execute o seguinte comando:
```
gcloud auth list
```

Testar acesso

Agora você tem acesso aos produtos do Google Cloud que oferecem suporte à federação de identidade de colaboradores e a que você tem acesso. No início deste documento, você concedeu o papel de Administrador do Storage (roles/storage.admin) a todas as identidades no identificador de grupo especificado em gcloud projects add-iam-policy-binding para o projeto TEST_PROJECT_ID.

Para testar o acesso, liste os buckets do Cloud Storage.

Console (federado)

Para testar se você tem acesso usando o console (federado), faça o seguinte:

Acesse a página do Cloud Storage.

Acesse o Cloud Storage
Verifique se é possível ver uma lista de buckets para o TEST_PROJECT_ID.

CLI da gcloud

Para testar se você tem acesso usando a CLI gcloud, liste os buckets e objetos do Cloud Storage do projeto a que você tem acesso. Para isso, execute o comando a seguir. O principal precisa ter a permissão serviceusage.services.use no projeto especificado.

gcloud storage ls --project="TEST_PROJECT_ID"

Excluir usuários

A federação de identidade de colaboradores cria metadados e recursos de usuários para identidades de usuários federadas. Se você optar por excluir usuários no seu IdP, também será necessário excluir explicitamente esses recursos no Google Cloud. Para fazer isso, consulte Excluir usuários da federação de identidade de colaboradores e os dados deles.

Talvez você veja que os recursos continuam associados a um usuário que foi excluído. Isso ocorre porque a exclusão de metadados e recursos do usuário requer uma operação de longa duração. Depois de iniciar uma exclusão da identidade de um usuário, os processos que o usuário iniciou antes da exclusão podem continuar em execução até que sejam concluídos ou cancelados.

Configurar o SCIM

Nesta seção, descrevemos como configurar um locatário do SCIM em um pool de identidades de colaboradores.

Cada pool de identidades de colaboradores aceita apenas um locatário do SCIM. Para configurar um novo locatário do SCIM em um pool que já tem um, primeiro exclua permanentemente o locatário atual.

A flag --claim-mapping de um locatário do SCIM pode conter apenas expressões específicas da Common Expression Language (CEL). Para saber quais expressões são compatíveis, consulte Mapear atributos de token e SCIM.

Importante:verifique se o IdP fornece valores exclusivos para os atributos que você mapeia para google.subject e google.group usando o SCIM. Para saber mais, consulte Suporte ao SCIM.

Para configurar o Sistema para gerenciamento de identidade entre domínios (SCIM), faça o seguinte:

Configurar um locatário e um token do SCIM em Google Cloud
Configurar o SCIM no IdP

Configurar um locatário e um token do SCIM em Google Cloud

Para configurar um locatário do SCIM em Google Cloud, faça o seguinte:

Crie um locatário do SCIM.
```
    gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
        --workforce-pool="WORKFORCE_POOL_ID" \
        --provider="PROVIDER_ID" \
        --display-name="SCIM_TENANT_DISPLAY_NAME" \
        --description="SCIM_TENANT_DESCRIPTION" \
        --claim-mapping="CLAIM_MAPPING" \
        --location="global"
    
```
Substitua:
- SCIM_TENANT_ID: um ID do seu locatário do SCIM.
- WORKFORCE_POOL_ID: o ID do pool de força de trabalho que você criou anteriormente neste documento.
- PROVIDER_ID: o ID do provedor de pool de identidade de colaboradores que você criou anteriormente neste documento.
- SCIM_TENANT_DISPLAY_NAME: um nome de exibição para seu locatário do SCIM.
- SCIM_TENANT_DESCRIPTION: uma descrição para seu locatário do SCIM.
- CLAIM_MAPPING: uma lista separada por vírgulas de mapeamentos de atributos. Recomendamos que você use o seguinte mapeamento de atributos:
```
google.subject=user.externalId,google.group=group.externalId
```
  O atributo google.subject que você mapeia no locatário do SCIM precisa se referir de forma exclusiva às mesmas identidades mapeadas no atributo google.subject no provedor de pool de identidades de colaboradores usando a flag --attribute-mapping. Depois que o locatário do SCIM é criado, não é possível atualizar o mapeamento de declarações. Para substituir, exclua permanentemente o locatário do SCIM e crie um novo imediatamente. Para saber mais sobre as considerações ao usar o SCIM, consulte Suporte ao SCIM.
Quando o comando for concluído, faça o seguinte:
1. No campo baseUri da saída, salve o URI inteiro, que está formatado como https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. Você precisa fornecer esse URI ao seu IdP.
2. Além disso, salve apenas o SCIM_TENANT_UID do URI. Você vai precisar desse UID para definir políticas do IAM no locatário do SCIM, mais adiante neste documento.

Crie um token do SCIM:

    gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
        --display-name DISPLAY_NAME \
        --scim-tenant SCIM_TENANT_ID \
        --workforce-pool WORKFORCE_POOL_ID \
        --provider PROVIDER_ID \
        --location global

Substitua:

SCIM_TOKEN_ID: um ID para o token do SCIM
DISPLAY_NAME: o nome de exibição do token do SCIM
WORKFORCE_POOL_ID: o ID do pool de colaboradores
SCIM_TENANT_ID: o ID do locatário do SCIM
PROVIDER_ID: o ID do provedor do pool de identidade da força de trabalho

Quando o comando gcloud iam workforce-pools providers scim-tenants tokens create for concluído, faça o seguinte:
1. Na saída, salve o valor de SCIM_TOKEN no campo securityToken. Você precisa fornecer esse token de segurança ao seu IdP. O token de segurança é mostrado apenas nessa saída e, se for perdido, você precisará criar um novo token do SCIM.
2. Para verificar se o SCIM_TOKEN foi rejeitado pela política da sua organização, execute o seguinte comando:
```
curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
```
  Se o comando falhar com um erro relacionado a permissões, execute gcloud organizations add-iam-policy-binding, descrito em uma etapa posterior. Se o comando for bem-sucedido, pule essa etapa.
Defina políticas do IAM no locatário e no token do SCIM. Se o curl comando em uma etapa anterior falhou com um erro relacionado a permissões, execute o seguinte comando:
```
    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member=serviceAccount:SERVICE_AGENT_EMAIL \
        --role roles/iam.scimSyncer
    
```
Substitua:
- ORGANIZATION_ID: o ID da organização.
- SERVICE_AGENT_EMAIL: o endereço de e-mail do agente de serviço. O endereço de e-mail está no seguinte formato: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. SCIM_TENANT_UID é retornado quando você cria o locatário do SCIM.

Ao provisionar grupos no IdP, verifique se o nome de exibição de cada grupo, conforme fornecido no campo displayName, é exclusivo em um locatário do SCIM. Para saber mais sobre grupos e SCIM no Microsoft Entra ID, consulte Grupos.

Configurar o SCIM no Microsoft Entra ID

Para configurar o SCIM no Microsoft Entra ID, faça o seguinte:

Abra o portal do Azure e faça login como um usuário com privilégios de administrador global.
Selecione Microsoft Entra ID > Apps empresariais.
Clique em Novo aplicativo.
Em Procurar na galeria de apps do Microsoft Entra, clique em Criar seu próprio aplicativo.
No painel Criar seu próprio aplicativo, faça o seguinte:
1. Em Qual é o nome do seu app?, insira o nome do app.
2. Selecione Integrar outros apps que você não encontra na galeria (não galeria).
3. Para criar o app, clique em Criar.
No seu aplicativo, faça o seguinte:
1. Na seção Gerenciar, clique em Provisionamento.
2. No painel à direita, clique em Nova configuração.
3. Em Credenciais de administrador, no URL do locatário, insira o URL do SCIM que você recebeu ao criar o locatário do SCIM, anexado com ?aadOptscim062020. Adicione ?aadOptscim062020 ao final do URI base.
  
  Esse parâmetro de consulta é exigido pelo Microsoft Entra ID para garantir que as solicitações PATCH do SCIM estejam em conformidade com os padrões da RFC do SCIM. Para mais detalhes, consulte a documentação da Microsoft.
  
  O URL final do locatário no Microsoft Entra ID precisa estar no seguinte formato:
```
https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020
```
  Substitua SCIM_TENANT_UID pelo UID do locatário do SCIM.
4. Em Token secreto, insira o token secreto que você recebeu ao criar o locatário do SCIM.
5. Para testar a configuração do SCIM com a federação de identidade de colaboradores, clique em Testar conexão.
6. Para salvar a configuração, clique em Criar.
Na seção Gerenciar, faça o seguinte:
1. Clique em Mapeamento de atributos.
2. Clique em Provisionar usuários do Microsoft Entra ID.
3. Na página Mapeamento de atributos, faça o seguinte:
  1. Na tabela Mapeamentos de atributos, encontre a linha de externalId e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Corresponder objetos usando este atributo, selecione Yes.
    2. Em Precedência de correspondência, insira 2.
    3. Na lista suspensa Atributo de origem, selecione objectId.
    4. Para salvar o mapeamento de atributos, clique em Ok.
  2. Na tabela Mapeamentos de atributos, encontre a linha de userName e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Corresponder objetos usando este atributo, selecione No.
    2. Para salvar o mapeamento de atributos, clique em Ok.
  3. Na tabela Mapeamentos de atributos, encontre a linha de externalId e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Precedência de correspondência, insira 1.
    2. Para salvar o mapeamento de atributos, clique em Ok.
4. Clique em Provisionar grupos do Microsoft Entra ID.
5. Na página Mapeamento de atributos, faça o seguinte:
  1. Na tabela Mapeamentos de atributos, encontre a linha de externalId e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Corresponder objetos usando este atributo, selecione Yes.
    2. Em Precedência de correspondência, insira 2.
    3. Na lista suspensa Atributo de origem, selecione objectId.
    4. Para salvar o mapeamento de atributos, clique em Ok.
  2. Na tabela Mapeamentos de atributos, encontre a linha de displayName e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Corresponder objetos usando este atributo, selecione No.
    2. Para salvar o mapeamento de atributos, clique em Ok.
  3. Na tabela Mapeamentos de atributos, encontre a linha de externalId e clique em Editar nessa linha. Na página Editar atributos, faça o seguinte:
    1. Em Precedência de correspondência, insira 1.
    2. Para salvar o mapeamento de atributos, clique em Ok.

Atualizar o provedor para ativar o SCIM

Para ativar o SCIM em um provedor, faça o seguinte:

OIDC

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Substitua:

PROVIDER_ID: o ID do provedor do pool de identidade da força de trabalho
WORKFORCE_POOL_ID: o ID do pool de colaboradores
LOCATION: o local do pool de colaboradores

SAML

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups

Substitua:

PROVIDER_ID: o ID do provedor do pool de identidade da força de trabalho
WORKFORCE_POOL_ID: o ID do pool de colaboradores
LOCATION: o local do pool de colaboradores

Mapear atributos de token e SCIM

É necessário mapear atributos de forma consistente, tanto no provedor do pool de identidades de colaboradores quanto no locatário do SCIM configurado para o provedor. Para o provedor de pool de identidade de colaboradores, use a flag --attribute-mapping. Para o locatário do SCIM, use a flag --claim-mapping. O atributo do IdP mapeado para google.subject dos usuários precisa se referir exclusivamente à mesma identidade, seja ela definida em um token ou em um mapeamento do SCIM. Para saber mais sobre o mapeamento de atributos ao usar o SCIM, consulte a seção Suporte ao SCIM. A tabela a seguir mostra como mapear atributos em declarações de token e atributos do SCIM:

Atributo do Google	Mapeamento de provedores de pool de identidade de colaboradores	Mapeamento de locatário do SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.group` atualize seu provedor com `--scim-usage=enabled-for-groups`	`N/A`	`group.externalId`

Forçar a exclusão de um locatário do SCIM

Para forçar a exclusão de um locatário do SCIM, faça o seguinte:

Se --scim-usage=enabled-for-groups estiver definido para seu provedor, desative-o na configuração do provedor:

          gcloud iam workforce-pools providers update-oidc
          --provider=PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location= global
          --scim-usage=SCIM_USAGE_UNSPECIFIED

Substitua:

PROVIDER_ID: o ID do provedor do pool de identidade da força de trabalho
WORKFORCE_POOL_ID: o ID do pool de colaboradores

Exclua o locatário do SCIM:
```
  gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
      --workforce-pool=WORKFORCE_POOL_ID \
      --provider=PROVIDER_ID \
      --hard-delete \
      --location=global
```
Substitua:
- SCIM_TENANT_ID: o ID do locatário do SCIM a ser excluído
- WORKFORCE_POOL_ID: o ID do pool de colaboradores
- PROVIDER_ID: o ID do provedor do pool de identidade da força de trabalho
Para saber mais sobre o SCIM, incluindo a exclusão de locatários do SCIM, consulte Suporte ao SCIM.

A seguir

Excluir os usuários da federação de identidade de colaboradores e respectivos dados
Saiba quais produtos do Google Cloud são compatíveis com a federação de identidade de colaboradores
Configurar o acesso do usuário ao console (federado)

Configurar a federação de identidade de colaboradores com o Microsoft Entra ID Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Principais conceitos

Atributos extras

Atributos estendidos

Antes de começar

Custos

Funções exigidas

Criar um aplicativo do Microsoft Entra ID

OIDC

SAML

Configurar um grande número de grupos com o Microsoft Entra ID

Configurar um grande número de grupos com o Microsoft Entra ID usando o fluxo implícito do OIDC

Configurar o aplicativo do Microsoft Entra ID

Criar um pool de identidades da força de trabalho

gcloud

Console

Configurar o provedor de pool de identidade de colaboradores de fluxo implícito do OIDC

gcloud

Console

Configurar um grande número de grupos no Microsoft Entra ID com o fluxo de código OIDC

Configurar o aplicativo do Microsoft Entra ID

Criar um pool de identidades da força de trabalho

gcloud

Console

Configurar o provedor de pool de identidade da força de trabalho de fluxo de código OIDC

gcloud

Console

Configurar um grande número de grupos no Microsoft Entra ID com SAML 2.0

Configurar o aplicativo do Microsoft Entra ID

Criar um pool de identidades da força de trabalho

gcloud

Console

Configurar o provedor de pool de identidade da força de trabalho SAML 2.0

gcloud

Console

Conceder papéis do IAM a grupos

Fazer login e testar o acesso

Fazer login

Fazer login no console (federado)

Login baseado no navegador da CLI gcloud

Login headless da gcloud CLI

OIDC

SAML

Testar acesso

Console (federado)

CLI da gcloud

Excluir usuários

Configurar o SCIM

Configurar um locatário e um token do SCIM em Google Cloud

Configurar o SCIM no Microsoft Entra ID

Atualizar o provedor para ativar o SCIM

OIDC

SAML

Mapear atributos de token e SCIM

Forçar a exclusão de um locatário do SCIM

A seguir

Configurar a federação de identidade de colaboradores com o Microsoft Entra ID