Configura la federazione delle identità della forza lavoro con Okta e fai accedere gli utenti

Questa guida mostra come configurare la federazione delle identità per la forza lavoro utilizzando Okta come provider di identità (IdP), gestire l'accesso e consentire agli utenti di accedere ai serviziGoogle Cloud che supportano la federazione delle identità per la forza lavoro.

Prima di iniziare

  1. Assicurati di aver configurato un'organizzazione Google Cloud .

  2. Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente: 

    gcloud init

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  3. Per l'accesso, l'IdP deve fornire informazioni di autenticazione firmate: gli IdP OIDC devono fornire un JWT e le risposte degli IdP SAML devono essere firmate.
  4. Per ricevere informazioni importanti sulle modifiche apportate alla tua organizzazione o ai prodottiGoogle Cloud , devi fornire i contatti essenziali. Per ulteriori informazioni, consulta la panoramica della federazione delle identità per la forza lavoro.

Costi

La federazione delle identità per la forza lavoro è disponibile come funzionalità senza costi. Tuttavia, l'audit logging dettagliato della federazione delle identità della forza lavoro utilizza Cloud Logging. Per informazioni sui prezzi di Logging, consulta Prezzi di Google Cloud Observability.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare la federazione delle identità della forza lavoro, chiedi all'amministratore di concederti il ruolo IAM IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

In alternativa, il ruolo di base Proprietario IAM (roles/owner) include anche le autorizzazioni per configurare la federazione delle identità per la forza lavoro. Non devi concedere ruoli di base in un ambiente di produzione, ma puoi concederli in un ambiente di sviluppo o di test.

Crea un pool di identità per la forza lavoro

gcloud

Per creare il pool di identità per la forza lavoro, esegui questo comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Sostituisci quanto segue:

  • WORKFORCE_POOL_ID: un ID che scegli per rappresentare il tuo pool di forza lavoro Google Cloud . Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
  • ORGANIZATION_ID: l'ID numerico dell'organizzazione della tua organizzazione Google Cloud per il pool di identità della forza lavoro. I pool di identità della forza lavoro sono disponibili in tutti i progetti e nelle cartelle dell'organizzazione.
  • DISPLAY_NAME: (Facoltativo) Un nome visualizzato per il tuo pool di identità della forza lavoro.
  • DESCRIPTION: (Facoltativo) Una descrizione del pool di identità della forza lavoro.
  • SESSION_DURATION: (Facoltativo) La durata della sessione, espressa come numero a cui è aggiunto s, ad esempio 3600s. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e le sessioni di accesso a gcloud CLI di questo pool di forza lavoro. Per impostazione predefinita, la durata della sessione è di un'ora (3600 secondi). Il valore della durata della sessione deve essere compreso tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Console

Per creare il pool di identità per la forza lavoro:

  1. Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

    Vai a Pool di identità per la forza lavoro

  2. Seleziona l'organizzazione per il tuo pool di identità della forza lavoro. I pool di identità del personale sono disponibili in tutti i progetti e le cartelle di un'organizzazione.

  3. Fai clic su Crea pool e segui questi passaggi:

    1. Nel campo Nome, inserisci il nome visualizzato del pool. L'ID pool viene derivato automaticamente dal nome durante la digitazione e viene visualizzato sotto il campo Nome. Puoi aggiornare l'ID pool facendo clic su Modifica accanto all'ID pool.

    2. (Facoltativo) In Descrizione, inserisci una descrizione del pool.

    3. Per creare il pool di identità per la forza lavoro, fai clic su Avanti.

La durata della sessione del pool di identità della forza lavoro è impostata su un'ora (3600 secondi) per impostazione predefinita. La durata della sessione determina per quanto tempo sono validi i token di accesso Google Cloud , le sessioni di accesso alla console (federata) e a gcloud CLI da questo pool di forza lavoro. Dopo aver creato il pool, puoi aggiornarlo per impostare una durata della sessione personalizzata. La durata della sessione deve essere compresa tra 15 minuti (900 secondi) e 12 ore (43.200 secondi).

Crea un'integrazione di app Okta

Questa sezione fornisce i passaggi per creare un'integrazione di app Okta utilizzando la Console di amministrazione Okta. Per maggiori dettagli, vedi Creare integrazioni di app personalizzate.

I pool di identità della forza lavoro supportano la federazione utilizzando i protocolli OIDC e SAML.

Per maggiori dettagli, consulta la guida all'integrazione OIDC e SAML di Okta. La configurazione di base è descritta in questa sezione.

OIDC

Per creare un'integrazione di app Okta che utilizza il protocollo OIDC, segui questi passaggi:

  1. Accedi alla console di amministrazione di Okta.
  2. Vai ad Applicazioni > Applicazioni.

  3. Per iniziare a configurare l'integrazione dell'app:

    1. Fai clic su Crea integrazione app.
    2. In Sign-in method (Metodo di accesso), seleziona OIDC - OpenID Connect.
    3. In Tipo di applicazione, seleziona un tipo di applicazione, ad esempio Applicazione web.
    4. Per creare l'app, fai clic su Avanti.
    5. In Nome integrazione app, inserisci un nome per l'app.
    6. Nella sezione Tipo di concessione, seleziona la casella di controllo Implicito (ibrido).

    7. Nella sezione URI di reindirizzamento per l'accesso, inserisci un URL di reindirizzamento nel campo di testo. I tuoi utenti vengono reindirizzati a questo URL dopo aver eseguito l'accesso. Se stai configurando l'accesso alla console (federata), utilizza il seguente formato URL:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Sostituisci quanto segue:

      • WORKFORCE_POOL_ID: l'ID del pool di forza lavoro creato in precedenza in questa guida.
      • WORKFORCE_PROVIDER_ID: un ID fornitore di identità della forza lavoro a tua scelta, ad esempio okta-oidc-provider. Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.

    8. Seleziona la casella di controllo Salta assegnazione dei gruppi per ora.

    9. Per salvare l'integrazione dell'app, fai clic su Salva.

  4. Assegnare un'integrazione app a un utente.

  5. (Facoltativo) Per aggiungere attributi personalizzati per un profilo utente Okta, procedi nel seguente modo:

    1. In Tipo di dati, seleziona string.
    2. In Nome visualizzato, inserisci Department.
    3. In Nome variabile, inserisci department.
    4. Per salvare la mappatura, fai clic su Salva.

    Per saperne di più sull'aggiunta di attributi personalizzati, vedi Aggiungere attributi personalizzati a un profilo utente Okta.

  6. (Facoltativo) Per creare mappature per gli attributi inviati nel token OIDC, in Directory, fai clic su Editor profili e procedi nel seguente modo:

    1. Trova l'applicazione OIDC che hai creato in precedenza in questa guida.
    2. Fai clic su Mappature.
    3. Seleziona la scheda Utente Okta ad app.
    4. Nella scheda Okta User User Profile (Profilo utente Okta), in una casella combinata disponibile, inserisci department. Okta completa automaticamente il campo con user.department.
    5. Per salvare le mappature, fai clic su Salva mappature. Per maggiori dettagli, consulta Aggiungere la mappatura degli attributi.

    Per saperne di più sui mapping, consulta Mappare gli attributi Okta agli attributi dell'app nell'editor di profili.

  7. (Facoltativo) Per configurare un'attestazione dei gruppi:

    1. Se utilizzi un server di autorizzazione dell'organizzazione, procedi nel seguente modo:

      1. Vai ad Applicazioni > Applicazioni
      2. Seleziona l'applicazione client OpenID Connect che hai creato in precedenza in questa sezione.
      3. Vai alla scheda Sign On.
      4. Nella sezione OpenID Connect ID Token (Token ID OpenID Connect), fai clic su Modifica.
      5. Nella sezione Tipo di rivendicazione dei gruppi, puoi selezionare una delle seguenti opzioni:
        • Seleziona Espressione.
        • Seleziona Corrisponde a regex e inserisci .*.
      6. Per salvare l'attributo dei gruppi, fai clic su Salva.

      7. Se vuoi che gli utenti accedano utilizzando la console (federata) o il flusso di accesso basato sul browser di gcloud CLI, esegui le seguenti operazioni quando crei il provider del pool di identità della forza lavoro, più avanti in questo documento:

        1. Assicurati di utilizzare le istruzioni di gcloud CLI per poter utilizzare il flag --web-sso-additional-scopes.

        2. Quando crei il provider del pool di identità per la forza lavoro, trasmetti groups come ambito aggiuntivo in --web-sso-additional-scopes. In questo modo, durante l'accesso viene richiesta l'attestazione dei gruppi da Okta.

    2. Se utilizzi un server di autorizzazione personalizzato:

      1. Nella Console di amministrazione, dal menu Sicurezza, seleziona API.
      2. Seleziona il server di autorizzazione personalizzato che vuoi configurare.
      3. Vai alla scheda Rivendicazioni e fai clic su Aggiungi rivendicazione.
      4. Inserisci un nome per la richiesta. Per questo esempio, chiamalo groups.
      5. Nella rivendicazione, in Includi nel tipo di token, seleziona Token ID e Sempre.
      6. Seleziona Gruppi come Tipo di valore.
      7. Nel menu a discesa Filtro, seleziona Corrisponde alla regex, quindi inserisci la seguente espressione come valore: .*
      8. Fai clic su Crea.

Per maggiori dettagli sulle rivendicazioni di gruppo, consulta Aggiungere una rivendicazione di gruppo.

SAML

Per creare un'integrazione di app Okta che utilizza il protocollo SAML, segui questi passaggi:

  1. Accedi alla console di amministrazione di Okta.
  2. Vai ad Applicazioni > Applicazioni.
  3. Fai clic su Crea integrazione app.
  4. In Sign-in method (Metodo di accesso), seleziona SAML 2.0 e fai clic su Next (Avanti).
  5. Inserisci un nome per l'app e fai clic su Avanti per procedere con le opzioni di Configurazione SAML.

  6. In Single Sign On URL (URL Single Sign-On), inserisci un URL di reindirizzamento. Si tratta dell'URL a cui vengono reindirizzati gli utenti dopo aver eseguito l'accesso. Se stai configurando l'accesso alla console, utilizza il seguente formato URL. 

    https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

  7. Inserisci l'URI Audience (SP Entity ID). L'ID è formattato nel seguente modo:

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Sostituisci quanto segue:

    • WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro che hai creato in precedenza in questa guida
    • WORKFORCE_PROVIDER_ID: un ID provider di identità della forza lavoro a tua scelta, ad esempio: okta-saml-provider

    Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.

  8. (Facoltativo) Utilizza le istruzioni degli attributi per specificare eventuali attributi personalizzati che vuoi inviare nell'asserzione SAML. Dopo la configurazione, questi attributi possono essere utilizzati in Google Cloud per creare criteri di gestione dell'accesso o nell'attribute_condition; ad esempio, in questa guida mappi il reparto nel seguente modo:

    Nome Valore
    department user.department

    (Facoltativo) Per aggiungere l'attributo gruppi, utilizzato più avanti in questa guida, consulta Come trasmettere l'iscrizione a gruppi di un utente in un'asserzione SAML.

  9. Completa la creazione dell'integrazione dell'app Okta.

Crea un provider di pool di identità per la forza lavoro

Questa sezione descrive come creare un provider del pool di identità per la forza lavoro per consentire agli utenti IdP di accedere a Google Cloud. Puoi configurare il provider in modo che utilizzi il protocollo OIDC o SAML.

Crea un provider di pool di identità per la forza lavoro OIDC

Per creare un provider del pool di identità per la forza lavoro per l'integrazione dell'app Okta utilizzando il protocollo OIDC, segui questi passaggi:

  1. Per ottenere l'ID client per l'integrazione dell'app Okta:

    1. Vai all'integrazione dell'app Okta.
    2. Fai clic sulla scheda Generale.
    3. Copia i contenuti del campo ID client.

  2. Per creare un provider di pool di identità per la forza lavoro OIDC per l'accesso basato sul web, procedi nel seguente modo:

    gcloud

    Flusso codice

    In Okta:

    1. In Autenticazione client, seleziona Client secret.

    2. Nella tabella Client secret, individua il secret e fai clic su Copia.

    In Google Cloud, per creare un provider OIDC che utilizza il flusso del codice di autorizzazione per l'accesso web, esegui questo comando:

    gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
        --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

    Sostituisci quanto segue:

    • WORKFORCE_PROVIDER_ID: un ID provider del pool di identità forza lavoro univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.
    • WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui connettere il tuo IdP.
    • DISPLAY_NAME: Un nome visualizzato facoltativo e intuitivo per il fornitore, ad esempio idp-eu-employees.
    • DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempio IdP for Partner Example Organization employees.
    • ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia con https; ad esempio, https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.
    • OIDC_CLIENT_ID: l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
    • OIDC_CLIENT_SECRET: il client secret OIDC.
    • WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato sul browser alla console (federata) o alla gcloud CLI; ad esempio, groups per richiedere l'attestazione dei gruppi da Okta se utilizzi il server di autorizzazione dell'organizzazione di Okta.
    • ATTRIBUTE_MAPPING: una mappatura degli attributi. Di seguito è riportato un esempio di mapping degli attributi: 
      google.subject=assertion.sub,
google.groups=assertion.groups,
attribute.costcenter=assertion.costcenter
       Questo esempio mappa gli attributi IdP subject, groups e costcenter nell'asserzione OIDC agli attributi google.subject, google.groups e attribute.costcenter, rispettivamente.
    • ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio, assertion.subject.endsWith('@example.com') quando il valore di subject mappato in precedenza contiene un indirizzo email che termina con @example.com.
    • JWK_JSON_PATH: un percorso facoltativo per un JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sulle chiavi JWK OIDC caricate localmente, consulta Gestire le chiavi JWK OIDC.

    • La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

      Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

    Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio, locations/global/workforcePools/enterprise-example-organization-employees.

    Flusso implicito

    Per creare un provider OIDC che utilizza il flusso implicito per l'accesso web, esegui questo comando:

    gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

    Sostituisci quanto segue:

    • WORKFORCE_PROVIDER_ID: un ID provider del pool di identità forza lavoro univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.
    • WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui connettere il tuo IdP.
    • DISPLAY_NAME: Un nome visualizzato facoltativo e intuitivo per il fornitore, ad esempio idp-eu-employees.
    • DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempio IdP for Partner Example Organization employees.
    • ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia con https; ad esempio, https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.
    • OIDC_CLIENT_ID: l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
    • WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare al provider di identità OIDC per l'accesso basato sul browser alla console (federata) o alla gcloud CLI; ad esempio, groups per richiedere l'attestazione dei gruppi da Okta se utilizzi il server di autorizzazione dell'organizzazione di Okta.
    • ATTRIBUTE_MAPPING: una mappatura degli attributi. Di seguito è riportato un esempio di mapping degli attributi: 
      google.subject=assertion.sub,
google.groups=assertion.groups,
attribute.costcenter=assertion.costcenter
       Questo esempio mappa gli attributi IdP subject, groups e costcenter nell'asserzione OIDC agli attributi google.subject, google.groups e attribute.costcenter, rispettivamente.
    • ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio, assertion.subject.endsWith('@example.com') quando il valore di subject mappato in precedenza contiene un indirizzo email che termina con @example.com.
    • JWK_JSON_PATH: un percorso facoltativo per un JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sulle chiavi JWK OIDC caricate localmente, consulta Gestisci le chiavi JWK OIDC.

    • La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione degli audit dettagliata, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

      Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

    Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio, locations/global/workforcePools/enterprise-example-organization-employees.

    Console

    Flusso codice

    1. In Okta:

      1. In Autenticazione client, seleziona Client secret.

      2. Nella tabella Client secret, individua il secret e fai clic su Copia.

    2. Nella console Google Cloud , per creare un provider OIDC che utilizza il flusso del codice di autorizzazione, segui questi passaggi:

      1. Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

        Vai a Pool di identità per la forza lavoro

      2. Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.

      3. Nella sezione Provider, fai clic su Aggiungi provider.

      4. Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

        Se il tuo IdP non è elencato, seleziona Provider di identità generico.

      5. In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).

      6. Nella sezione Crea un fornitore, segui questi passaggi:

        1. In Nome, inserisci il nome del provider.
        2. In Descrizione, inserisci la descrizione del fornitore.
        3. In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.
        4. In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.

        5. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attivata.

        6. Fai clic su Continua.

      7. Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nel tuo IdP, configura questo URL come URI di reindirizzamento, che comunica all'IdP dove inviare il token di asserzione dopo l'accesso.

      8. Fai clic su Continua.

      9. Nella sezione Configura l'accesso web OIDC, segui questi passaggi:

        1. Nell'elenco Tipo di flusso, seleziona Codice.

        2. Nell'elenco Comportamento delle rivendicazioni di asserzione, seleziona una delle seguenti opzioni:

          • Informazioni utente e token ID
          • Solo token ID

        3. Nel campo Client secret, inserisci il client secret del tuo IdP.

        4. (Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.

      10. Fai clic su Continua.

      11. In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi, svolgi i seguenti passaggi. Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.

        1. Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.

        2. (Facoltativo) Per aggiungere altre mappature degli attributi:

          1. Fai clic su Aggiungi mappatura.
          2. In Google n, dove n è un numero, inserisci uno dei tasti supportati daGoogle Cloud.
          3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare, in formato CEL.

        3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.

          1. Seleziona Usa attributi aggiuntivi.
          2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
          3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
          4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
          5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
          6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.

        4. Per creare una condizione dell'attributo:

          1. Fai clic su Aggiungi condizione.
          2. Nel campo Attribute Conditions (Condizioni attributo), inserisci una condizione in formato CEL; ad esempio, assertion.subject.endsWith('@example.com') quando il valore di subject mappato in precedenza contiene un indirizzo email che termina con @example.com.

        5. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.

          La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

          Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

      12. Per creare il fornitore, fai clic su Invia.

    Flusso implicito

    1. Nella console Google Cloud Google Cloud , segui questi passaggi:

      1. Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

        Vai a Pool di identità per la forza lavoro

      2. Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.

      3. Nella sezione Provider, fai clic su Aggiungi provider.

      4. Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

        Se il tuo IdP non è elencato, seleziona Provider di identità generico.

      5. In Seleziona un protocollo di autenticazione, seleziona OpenID Connect (OIDC).

      6. Nella sezione Crea un fornitore, segui questi passaggi:

        1. In Nome, inserisci il nome del provider.
        2. In Descrizione, inserisci la descrizione del fornitore.
        3. In Emittente (URL), inserisci l'URI emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio, https://example.com/oidc.
        4. In ID client, inserisci l'ID client OIDC registrato con il tuo IdP OIDC; l'ID deve corrispondere all'attestazione aud del JWT emesso dal tuo IdP.
        5. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attiva.
        6. Fai clic su Continua.

      7. Nella sezione Condividi le informazioni del tuo provider con l'IdP, copia l'URL. Nel tuo IdP, configura questo URL come URI di reindirizzamento, che comunica all'IdP dove inviare il token di asserzione dopo l'accesso.

      8. Fai clic su Continua.

      9. Nella sezione Configura l'accesso web OIDC, segui questi passaggi:

        1. Nell'elenco Tipo di flusso, seleziona Token ID.

        2. Nell'elenco Comportamento delle rivendicazioni di asserzione, è selezionato Token ID.

        3. (Facoltativo) Se hai selezionato Okta come IdP, aggiungi eventuali ambiti OIDC aggiuntivi nel campo Ambiti aggiuntivi oltre a openid, profile ed email.

      10. Fai clic su Continua.

      11. In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi, svolgi i seguenti passaggi. Puoi fornire il nome del campo IdP o un'espressione formattata in CEL che restituisce una stringa.

        1. Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio assertion.sub.

        2. (Facoltativo) Per aggiungere altre mappature degli attributi:

          1. Fai clic su Aggiungi mappatura.
          2. In Google n, dove n è un numero, inserisci uno dei tasti supportati daGoogle Cloud.
          3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare, in formato CEL.

        3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi.

          1. Seleziona Usa attributi aggiuntivi.
          2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
          3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
          4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
          5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
          6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.

        4. Per creare una condizione dell'attributo:

          1. Fai clic su Aggiungi condizione.
          2. Nel campo Attribute Conditions (Condizioni attributo), inserisci una condizione in formato CEL; ad esempio, assertion.subject.endsWith('@example.com') quando il valore di subject mappato in precedenza contiene un indirizzo email che termina con @example.com.

        5. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.

          La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

          Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

      12. Per creare il fornitore, fai clic su Invia.

Crea un provider di pool di identità per la forza lavoro SAML

  1. Nel tuo IdP SAML, registra una nuova applicazione per la federazione delle identità per la forza lavoro Google Cloud.

  2. Imposta il pubblico per le asserzioni SAML. Di solito è il campo SP Entity ID nella configurazione dell'IdP. Devi impostarlo sul seguente URL:

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

  3. Imposta l'URL di reindirizzamento, noto anche come URL Assertion Consumer Service (ACS). Per impostare l'URL di reindirizzamento, individua il campo dell'URL di reindirizzamento nel tuo IdP SAML ed esegui una delle seguenti operazioni:

    • Per configurare l'accesso basato sul browser tramite la console Google Cloud o un altro metodo di accesso basato sul browser, inserisci il seguente URL:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Sostituisci quanto segue:

      • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro

      • WORKFORCE_PROVIDER_ID: l'ID del provider del pool di identità forza lavoro che crei più avanti in questo documento.

    • Per configurare l'accesso programmatico tramite l'IdP, inserisci il seguente URL:

      localhost

    Per ulteriori dettagli sulla configurazione dell'accesso alla console, consulta Configurare l'accesso utente alla console.

  4. In Google Cloud, crea un provider di pool di identità della forza lavoro SAML utilizzando il documento dei metadati SAML del tuo IdP. Puoi scaricare il documento XML dei metadati SAML dal tuo IdP. Il documento deve includere almeno quanto segue:

    • Un ID entità SAML per il tuo IdP.
    • L'URL Single Sign-On per l'IdP.
    • Almeno una chiave pubblica di firma. Per informazioni dettagliate sulle chiavi di firma, consulta la sezione Requisiti delle chiavi più avanti in questa guida.

gcloud

Per creare un provider di pool di identità per la forza lavoro per l'integrazione dell'app Okta, utilizzando il protocollo SAML:

  1. Per salvare i metadati SAML per l'app Okta:

    1. Vai all'app Okta.
    2. Fai clic sulla scheda Sign On.
    3. Nella sezione Certificati di firma SAML, fai clic su Azioni > Visualizza metadati IdP per il certificato attivo.
    4. Nella nuova pagina visualizzata, copia i metadati XML.
    5. Salva i metadati come file XML locale.

  2. Per creare un provider della forza lavoro per la tua app Okta, esegui questo comando:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --detailed-audit-logging \
    --location="global"

    Sostituisci quanto segue:

    • WORKFORCE_PROVIDER_ID: l'ID fornitore di forza lavoro che hai creato in precedenza in questa guida.
    • WORKFORCE_POOL_ID: l'ID del pool di identità per la forza lavoro che hai creato in precedenza in questa guida.

    • ATTRIBUTE_MAPPING: una mappatura degli attributi, ad esempio:

      google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
       Questo esempio mappa gli attributi IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] agli attributi Google Cloud google.subject, google.groups e google.costcenter, rispettivamente.

    • ATTRIBUTE_CONDITION: una condizione dell'attributo facoltativa. Ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con 98.11.12. possano accedere utilizzando questo provider di forza lavoro.

    • XML_METADATA_PATH: il percorso del file di metadati in formato XML per l'app Okta che hai creato in precedenza in questa guida.

    Il prefisso gcp- è riservato e non può essere utilizzato in un pool di identità della forza lavoro o nell'ID provider di pool di identità della forza lavoro.

    • La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dall'IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

      Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

    (Facoltativo) Accetta le asserzioni SAML criptate dal tuo IdP

    Per consentire al tuo IdP SAML 2.0 di produrre asserzioni SAML criptate che possono essere accettate dalla federazione delle identità per la forza lavoro, procedi nel seguente modo:

    • Nella federazione delle identità per la forza lavoro, procedi nel seguente modo:
      • Crea una coppia di chiavi asimmetriche per il provider di pool di identità per la forza lavoro.
      • Scarica un file di certificato contenente la chiave pubblica.
      • Configura l'IdP SAML in modo che utilizzi la chiave pubblica per criptare le asserzioni SAML che emette.
    • Nel tuo IdP:
      • Attiva la crittografia delle asserzioni, nota anche come crittografia dei token.
      • Carica la chiave pubblica che hai creato nella federazione delle identità per la forza lavoro.
      • Conferma che il tuo IdP produce asserzioni SAML criptate.
    Tieni presente che, anche con le chiavi del fornitore di crittografia SAML configurate, la federazione delle identità per la forza lavoro può comunque elaborare un'asserzione in testo non crittografato.

    Crea chiavi di crittografia dell'asserzione SAML della federazione delle identità per la forza lavoro

    Questa sezione ti guida nella creazione di una coppia di chiavi asimmetriche che consente alla federazione delle identità per la forza lavoro di accettare asserzioni SAML criptate.

    Google Cloud utilizza la chiave privata per decriptare le asserzioni SAML emesse dal tuo IdP. Per creare una coppia di chiavi asimmetriche da utilizzare con la crittografia SAML, esegui il seguente comando. Per saperne di più, consulta Algoritmi di crittografia SAML supportati. 

    gcloud iam workforce-pools providers keys create KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --use encryption \
    --spec KEY_SPECIFICATION

    Sostituisci quanto segue:

    • KEY_ID: un nome della chiave a tua scelta
    • WORKFORCE_POOL_ID: l'ID pool
    • WORKFORCE_PROVIDER_ID: l'ID provider del pool di identità della forza lavoro
    • KEY_SPECIFICATION: la specifica della chiave, che può essere rsa-2048, rsa-3072 e rsa-4096.

    Dopo aver creato la coppia di chiavi, esegui il seguente comando per scaricare la chiave pubblica in un file di certificato. Solo la federazione delle identità per la forza lavoro ha accesso alla chiave privata. 

    gcloud iam workforce-pools providers keys describe KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --format "value(keyData.key)" \
    > CERTIFICATE_PATH

    Sostituisci quanto segue:

    • KEY_ID: il nome della chiave
    • WORKFORCE_POOL_ID: l'ID pool
    • WORKFORCE_PROVIDER_ID: l'ID provider del pool di identità della forza lavoro
    • CERTIFICATE_PATH: il percorso in cui scrivere il certificato, ad esempio saml-certificate.cer o saml-certificate.pem

    Configurare l'IdP conforme a SAML 2.0 per l'emissione di asserzioni SAML criptate

    Per configurare Okta in modo da criptare le asserzioni SAML:

    • Vai alla dashboard di Okta e accedi.
    • Vai ad Applicazioni>Applicazioni.
    • Fai clic sulla tua app.
    • Nella scheda Generale, nella sezione Impostazioni SAML, fai clic su Modifica.
    • Fai clic su Avanti per visualizzare le impostazioni SAML.
    • Fai clic su Mostra impostazioni avanzate.
    • In SAML Settings (Impostazioni SAML), esegui le seguenti operazioni:
      • In Risposta (opzione preferita) o Firma dell'asserzione, seleziona Signed.
      • In Signature Algorithm (Algoritmo di firma) e Digest Algorithm (Algoritmo di digest), seleziona un'opzione qualsiasi.
      • Imposta i seguenti valori:
        • Crittografia delle asserzioni:criptata.
        • Algoritmo di crittografia:qualsiasi algoritmo tu scelga.
        • Encryption Certificate (Certificato di crittografia): carica il file del certificato che hai generato in precedenza in questa guida.
    • Per salvare la configurazione, fai clic su Avanti e poi su Fine.

    Dopo aver configurato l'IdP per criptare le asserzioni SAML, ti consigliamo di verificare che le asserzioni generate siano effettivamente criptate. Anche con la crittografia delle asserzioni SAML configurata, la federazione delle identità per la forza lavoro può comunque elaborare le asserzioni in testo normale.

    Elimina le chiavi di crittografia della federazione delle identità per la forza lavoro

    Per eliminare le chiavi di crittografia SAML, esegui questo comando: 
      gcloud iam workforce-pools providers keys delete KEY_ID \
      --workforce-pool WORKFORCE_POOL_ID \
      --provider WORKFORCE_PROVIDER_ID \
      --location global

    Sostituisci quanto segue:

    • KEY_ID: il nome della chiave
    • WORKFORCE_POOL_ID: l'ID pool
    • WORKFORCE_PROVIDER_ID: l'ID provider del pool di identità della forza lavoro

    Algoritmi di crittografia SAML supportati

    La federazione delle identità per la forza lavoro supporta i seguenti algoritmi di trasporto delle chiavi:

    La federazione delle identità per la forza lavoro supporta i seguenti algoritmi di crittografia a blocchi:

Console

Per configurare il provider SAML utilizzando la console Google Cloud , procedi nel seguente modo:

  1. Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro:

    Vai a Pool di identità per la forza lavoro

  2. Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.

  3. Nella sezione Fornitori, fai clic su Aggiungi fornitore.

  4. Nell'elenco Seleziona un fornitore di provider, seleziona il tuo IdP.

    Se il tuo IdP non è elencato, seleziona Provider di identità generico.

  5. In Seleziona un protocollo di autenticazione, seleziona SAML.

  6. Nella sezione Crea un fornitore, segui questi passaggi:

    1. In Nome, inserisci un nome per il provider.

    2. (Facoltativo) In Descrizione, inserisci una descrizione del fornitore.

    3. In IDP metadata file (XML) (File di metadati IDP (XML)), seleziona il file XML di metadati che hai generato in precedenza in questa guida.

    4. Per creare un provider abilitato, assicurati che l'opzione Abilita provider sia attiva.

    5. Fai clic su Continua.

  7. Nella sezione Condividi le informazioni del provider, copia gli URL. Nel tuo IdP, configura il primo URL come ID entità, che identifica la tua applicazione per l'IdP. Configura l'altro URL come URI di reindirizzamento, che indica all'IdP dove inviare il token di asserzione dopo l'accesso.

  8. Fai clic su Continua.

  9. Nella sezione Configura provider, segui questi passaggi:

    1. In Mappatura degli attributi, inserisci un'espressione CEL per google.subject.

    2. (Facoltativo) Per inserire altre mappature, fai clic su Aggiungi mappatura e inserisci altre mappature, ad esempio:

      google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
       Questo esempio mappa gli attributi IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] agli attributi Google Cloud google.subject, google.groups e google.costcenter, rispettivamente.

    3. Se hai selezionato Microsoft Entra ID come IdP, puoi aumentare il numero di gruppi nel seguente modo:

      1. Seleziona Usa attributi aggiuntivi.
      2. Nel campo URI dell'emittente degli attributi aggiuntivi, inserisci l'URL dell'emittente.
      3. Nel campo ID client attributi aggiuntivi, inserisci l'ID client.
      4. Nel campo Client secret attributi aggiuntivi, inserisci il client secret.
      5. Nell'elenco Tipo di attributi aggiuntivi, seleziona un tipo di attributo per gli attributi aggiuntivi.
      6. Nel campo Filtro attributi aggiuntivi, inserisci un'espressione di filtro utilizzata quando si esegue una query sull'API Microsoft Graph per i gruppi.

    4. (Facoltativo) Per aggiungere una condizione dell'attributo, fai clic su Aggiungi condizione e inserisci un'espressione CEL che rappresenta una condizione dell'attributo. Ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP, puoi impostare la condizione assertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con 98.11.12. possano accedere utilizzando questo provider di forza lavoro.

    5. Fai clic su Continua.

    6. Per attivare il logging di controllo dettagliato, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.

      La registrazione dettagliata dei log di controllo della federazione delle identità per la forza lavoro registra le informazioni ricevute dal tuo IdP in Logging. La registrazione dettagliata degli audit può aiutarti a risolvere i problemi di configurazione del provider del pool di identità della forza lavoro. Per scoprire come risolvere i problemi relativi agli errori di mappatura degli attributi con la registrazione dettagliata degli audit, vedi Errori generali di mappatura degli attributi. Per informazioni sui prezzi di Logging, consulta la pagina Prezzi di Google Cloud Observability.

      Per disabilitare la registrazione di controllo dettagliata per un provider di pool di identità per la forza lavoro, ometti il flag --detailed-audit-logging quando esegui gcloud iam workforce-pools providers create. Per disattivare il logging di controllo dettagliato, puoi anche aggiornare il fornitore.

  10. Per creare il fornitore, fai clic su Invia.

Gestire l'accesso alle risorse Google Cloud

Questa sezione fornisce un esempio che mostra come gestire l'accesso alle risorseGoogle Cloud da parte degli utenti della federazione delle identità per la forza lavoro.

In questo esempio, concedi un ruolo Identity and Access Management (IAM) a un progetto di esempio. Gli utenti possono quindi accedere e utilizzare questo progetto per accedere ai prodottiGoogle Cloud .

Puoi gestire i ruoli IAM per singole identità, gruppi di identità o un intero pool. Per ulteriori informazioni, consulta Rappresenta gli utenti del pool di identità della forza lavoro nelle policy IAM.

Per una singola identità

Per concedere il ruolo Storage Admin (roles/storage.admin) a una singola identità per il progetto TEST_PROJECT_ID, esegui questo comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"

Sostituisci quanto segue:

  • TEST_PROJECT_ID: ID del progetto
  • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
  • SUBJECT_VALUE: l'identità utente

Utilizzo dell'attributo reparto mappato

Per concedere il ruolo Amministratore Storage (roles/storage.admin) a tutte le identità all'interno di un reparto specifico per il progetto TEST_PROJECT_ID, esegui questo comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"

Sostituisci quanto segue:

  • TEST_PROJECT_ID: ID del progetto
  • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
  • DEPARTMENT_VALUE: il valore attribute.department mappato

Utilizzo dei gruppi mappati

Per concedere il ruolo Amministratore Storage (roles/storage.admin) a tutte le identità all'interno di un gruppo specifico per il progetto TEST_PROJECT_ID, esegui questo comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Sostituisci quanto segue:

  • TEST_PROJECT_ID: ID del progetto
  • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
  • GROUP_ID: un gruppo nella rivendicazione google.groups mappata.

Accedi e verifica l'accesso

In questa sezione, accedi come utente del pool di identità per la forza lavoro e verifica di avere accesso a un prodotto Google Cloud .

Accedi

Questa sezione mostra come accedere come utente federato e accedere Google Cloud alle risorse.

Accesso basato sul browser gcloud CLI

Per accedere a gcloud CLI utilizzando un flusso di accesso basato sul browser, segui questi passaggi:

Creare un file di configurazione

Per creare il file di configurazione di accesso, esegui questo comando. Se vuoi, puoi attivare il file come predefinito per gcloud CLI aggiungendo il flag --activate. Puoi quindi eseguire gcloud auth login senza specificare il percorso del file di configurazione ogni volta. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Sostituisci quanto segue:

  • WORKFORCE_POOL_ID: l'ID pool di forza lavoro
  • PROVIDER_ID: l'ID fornitore
  • LOGIN_CONFIG_FILE_PATH: il percorso di un file di configurazione che specifichi, ad esempio login.json

Il file contiene gli endpoint utilizzati da gcloud CLI per attivare il flusso di autenticazione basato sul browser e impostare il pubblico sul provider del pool di identità per la forza lavoro configurato. Il file non contiene informazioni riservate.

L'output è simile al seguente:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Per impedire a gcloud auth login di utilizzare automaticamente questo file di configurazione, puoi annullarne l'impostazione eseguendo gcloud config unset auth/login_config_file.

Accedere utilizzando l'autenticazione basata sul browser

Per eseguire l'autenticazione utilizzando l'autenticazione di accesso basata sul browser, puoi utilizzare uno dei seguenti metodi:

  • Se hai utilizzato il flag --activate quando hai creato il file di configurazione o se hai attivato il file di configurazione con gcloud config set auth/login_config_file, gcloud CLI utilizza automaticamente il file di configurazione: 

    gcloud auth login

  • Per accedere specificando la posizione del file di configurazione, esegui il seguente comando: 

    gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
  • Per utilizzare una variabile di ambiente per specificare la posizione del file di configurazione, imposta CLOUDSDK_AUTH_LOGIN_CONFIG_FILE sul percorso di configurazione.

Disattivare l'accesso basato sul browser

Per interrompere l'utilizzo del file di configurazione dell'accesso:

  • Se hai utilizzato il flag --activate quando hai creato il file di configurazione o se hai attivato il file di configurazione con gcloud config set auth/login_config_file, devi eseguire il seguente comando per annullarne l'impostazione: 

    gcloud config unset auth/login_config_file
  • Cancella la variabile di ambiente CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, se è impostata.

Accesso senza interfaccia utente di gcloud CLI

Per accedere a gcloud CLI utilizzando un flusso headless:

OIDC

  1. Accedi a un utente nella tua app Okta e ottieni il token OIDC da Okta.

  2. Salva il token OIDC restituito da Okta in una posizione sicura sul tuo computer locale.

  3. Per generare un file di configurazione come l'esempio più avanti in questo passaggio, esegui questo comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type="urn:ietf:params:oauth:token-type:id_token" \
    --credential-source-file="PATH_TO_OIDC_ID_TOKEN" \
    --workforce-pool-user-project="WORKFORCE_POOL_USER_PROJECT" \
    --output-file="config.json"

Sostituisci quanto segue:

  • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro
  • WORKFORCE_PROVIDER_ID: l'ID fornitore
  • PATH_TO_OIDC_TOKEN: il percorso del file delle credenziali del provider di identità OIDC
  • WORKFORCE_POOL_USER_PROJECT: il numero di progetto associato al progetto utente dei pool di forza lavoro

L'entità deve disporre dell'autorizzazione serviceusage.services.use per questo progetto.

Quando esegui il comando, viene generato un file di configurazione IdP OIDC formattato in modo simile al seguente:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS_FILE"
  }
}

SAML

  1. Accedi a un utente alla tua app Okta e ottieni la risposta SAML da Okta.

  2. Salva la risposta SAML restituita da Okta in una posizione sicura sulla tua macchina locale, quindi memorizza il percorso nel seguente modo:

    SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

  3. Per generare un file di configurazione, esegui questo comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type="urn:ietf:params:oauth:token-type:saml2" \
    --credential-source-file="SAML_ASSERTION_PATH"  \
    --workforce-pool-user-project="PROJECT_ID"  \
    --output-file="config.json"

    Sostituisci quanto segue:

    • WORKFORCE_PROVIDER_ID: l'ID fornitore della forza lavoro che hai creato in precedenza in questa guida.
    • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro creato in precedenza in questa guida.
    • SAML_ASSERTION_PATH: il percorso del file di asserzione SAML.
    • PROJECT_ID: l'ID progetto

    Il file di configurazione generato è simile al seguente:

    {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
  "token_url": "https://sts.googleapis.com/v1/token",
  "credential_source": {
    "file": "SAML_ASSERTION_PATH"
  },
  "workforce_pool_user_project": "PROJECT_ID"
}

Per accedere a gcloud utilizzando lo scambio di token, esegui questo comando:

gcloud auth login --cred-file="config.json"

gcloud scambia poi in modo trasparente le tue credenziali Okta con token di accesso temporaneiGoogle Cloud , consentendoti di effettuare altre chiamate gcloud a Google Cloud.

Vedi un output simile al seguente:

Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

Per elencare gli account con credenziali e l'account attualmente attivo, esegui questo comando:

gcloud auth list

Accesso alla console (federata)

Per accedere alla console della federazione delle identità per la forza lavoro, nota anche come console (federata), segui questi passaggi: Google Cloud

  1. Vai alla pagina di accesso alla console (federata).

    Vai alla console (federata)

  2. Inserisci il nome del fornitore, formattato come segue: 
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    1. Se richiesto, inserisci le credenziali utente nell'integrazione dell'app Okta.

    Se avvii un accesso avviato dall'IdP, utilizza il seguente URL in Impostazioni SAML per il parametro nidificato Default RelayState: https://console.cloud.google/.

Controlla l'accesso

Ora hai accesso ai servizi Google Cloud che supportano la federazione delle identità della forza lavoro e a cui ti è stato concesso l'accesso. In precedenza in questa guida, hai concesso il ruolo Storage Admin (roles/storage.admin) a tutte le identità all'interno di un reparto specifico per il progetto TEST_PROJECT_ID. Ora puoi verificare di avere accesso elencando i bucket Cloud Storage.

Interfaccia a riga di comando gcloud

Per elencare i bucket e gli oggetti Cloud Storage per il progetto a cui hai accesso, esegui questo comando:

gcloud storage ls --project="TEST_PROJECT_ID"

L'entità deve disporre dell'autorizzazione serviceusage.services.use per il progetto specificato.

Console (federata)

Per elencare i bucket Cloud Storage utilizzando la console (federata), segui questi passaggi:

  • Vai alla pagina Cloud Storage.
  • Verifica di poter visualizzare l'elenco dei bucket esistenti per TEST_PROJECT_ID

Eliminare utenti

La federazione delle identità della forza lavoro crea metadati e risorse utente per le identità utente federate. Se scegli di eliminare gli utenti nel tuo IdP, devi eliminare esplicitamente anche queste risorse in Google Cloud. Per farlo, consulta Eliminare gli utenti della federazione delle identità per la forza lavoro e i relativi dati.

Potresti notare che le risorse continuano a essere associate a un utente eliminato. Questo perché l'eliminazione dei metadati e delle risorse utente richiede un'operazione di lunga durata. Dopo aver avviato l'eliminazione dell'identità di un utente, i processi che l'utente ha avviato prima dell'eliminazione possono continuare a essere eseguiti fino al completamento o all'annullamento.

Passaggi successivi