Configura la federación de identidades de personal con PingOne AIC

En este documento, se muestra cómo configurar la federación de Workforce Identity con PingOne Advanced Identity Cloud (AIC) como proveedor de identidad (IdP) y administrar el acceso aGoogle Cloud. Después de configurar el IdP de PingOne AIC, los usuarios federados pueden acceder a los servicios de Google Cloud que admiten la federación de identidades de personalcon el protocolo SAML 2.0.

Antes de comenzar

  1. Asegúrate de configurar una organización Google Cloud .

  2. Instala Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando: 

    gcloud init

    Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

    3. Crea un IdP alojado

    1. En Native Consoles > Access Management, ve a Realms > REALM_NAME > Dashboard y haz clic en SAML Applications.
    2. Haz clic en Add Entity Provider > Hosted.

    3. Ingresa un ID de la entidad. Registra este valor para usarlo más adelante.

      1. Verifica que el valor de la URL base del proveedor de entidades sea correcto. Advanced Identity Cloud usa este valor para todos los extremos relacionados con SAML 2.0.
      2. En la sección Meta Aliases, proporciona un valor compatible con URLs en la propiedad Identity Provider Meta Alias. Este alias debe ser único en el círculo de confianza.
      3. Haz clic en Crear.
      4. En la pestaña Procesamiento de aserciones, en la sección Asignador de atributos, asigna nombres de atributos de SAML a nombres de atributos locales. Los nombres de los atributos de SAML son los que se usan en una aserción.
      5. Haz clic en Agregar o Actualizar para cada asignación.
      6. Haz clic en Guardar cambios.

    Usa atributos

    En esta sección, se describe cómo usar los atributos de la aserción SAML.

    En los siguientes ejemplos, los atributos de la aserción de SAML se asignan a atributos locales:

    Atributo de SAML Atributo local
    IDPEmail mail
    FirstName givenName
    groups groups

    Configura los atributos obligatorios en la sección de asignación de atributos. Asignarás estos atributos cuando crees el proveedor de grupos de identidades de personal más adelante en esta guía.

    Exporta metadatos del proveedor

    Puedes acceder a los metadatos de SAML 2.0 de tu proveedor alojado de una de las siguientes maneras:

    • A través de REST

      Ejecuta el comando siguiente:

      curl --output METADATA_XML \
    "https://TENANT_ENV_FQDN/am/ExportSamlMetadata?entityid=ENTITY_ID&realm=/REALM"

    • En un navegador

      Abre la URL de metadatos de tu entorno de arrendatario en un navegador para descargar el archivo en formato XML: https://TENANT_ENV_FQDN/am/ExportSamlMetadata?entityid=ENTITY_ID&realm=/REALM

    1. Guarda el archivo XML en tu máquina local.

    Importa Google como un SP remoto

    1. Prepara el XML de metadatos del SP de Google Cloud . Usa la siguiente plantilla y reemplaza los valores de marcador de posición:

      <?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID">
   <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
      <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID" index="0" isDefault="true"/>
   </md:SPSSODescriptor>
</md:EntityDescriptor>

    2. Importa los metadatos de una de las siguientes maneras:

      • En la consola

        1. En la consola del administrador de PingOne AIC, navega a SAML Applications.
        2. Haz clic en Add Entity Provider > Remote.
        3. Sube el archivo XML de metadatos de Google Cloud SP que acabas de crear.
        4. Haz clic en Crear.

      • A través de REST

        1. Convierte los metadatos XML en una cadena codificada en base64url.
        2. Obtén un token de acceso.

        3. Ejecuta el comando siguiente:

          curl --request POST \
    --header 'authorization: Bearer ACCESS_TOKEN' \
    --header 'Content-Type: application/json' \
    --header 'Accept-API-Version: resource=1.0' \
    --data-raw '{"standardMetadata": "BASE64URL_ENCODED_METADATA"}' \
    'https://TENANT_ENV_FQDN/am/json/realms/root/realms/alpha/realm-config/saml2/remote?_action=importEntity'

    Crea un círculo de confianza (CoT)

    1. Navega a Realms > REALM_NAME > Applications > Federation > Circles of Trust.
    2. Haz clic en Agregar círculo de confianza.
    3. Ingresa un nombre y haz clic en Crear.
    4. En la página Circle of Trust, en la propiedad Entity Providers, selecciona tu IdP alojado y el SP remoto Google Cloud .
    5. Haz clic en Guardar cambios.

    Crea el proveedor de grupos de identidades de personal de PingOne AIC

    En esta sección, se describe cómo crear un proveedor de grupos de identidades de personal para permitir que los usuarios de tu IdP accedan a Google Cloud. Puedes configurar el proveedor para que use el protocolo SAML.

    Crea un proveedor de grupos de identidades de personal de SAML

    1. Para crear un proveedor de grupo de identidades para trabajadores de SAML, debes asegurarte de que los metadatos de tu proveedor de identidad incluyan al menos el ID de la entidad de SAML, la URL de inicio de sesión único y una clave pública de firma. Para ello, sigue estos pasos:

      gcloud

      1. Guarda los metadatos de SAML de tu app de PingOne AIC.

      2. Para crear el proveedor de grupos de identidades de personal de SAML, ejecuta el siguiente comando:

        gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --location=global

        Reemplaza lo siguiente:

        • WORKFORCE_PROVIDER_ID: ID de proveedor.
        • WORKFORCE_POOL_ID: El ID del grupo de Workforce Identity.
        • DISPLAY_NAME: Es un nombre visible.
        • DESCRIPTION: Una descripción.
        • XML_METADATA_PATH: Es la ruta de acceso al archivo de metadatos con formato XML que exportaste desde PingOne AIC.
        • ATTRIBUTE_MAPPING: la asignación de atributos; por ejemplo, google.subject=assertion.subject,google.groups=assertion.attributes.groups,attribute.department=assertion.attributes.department[0]
        • ATTRIBUTE_CONDITION: una condición de atributo opcional; por ejemplo, para limitar el atributo ipaddr a un rango de IP determinado, puedes establecer la condición assertion.ipaddr.startsWith('98.11.12.').

        Para obtener más información, consulta Asignación de atributos.

        Con este comando, se asigna subject, groups y department en la aserción de SAML a los atributos google.subject, google.groups y attribute.department, respectivamente. La condición del atributo también garantiza que solo los usuarios dentro de un rango de IP determinado puedan acceder con este proveedor de personal.

      Console

      Para configurar el proveedor de SAML con la consola de Google Cloud , haz lo siguiente:

      1. En la consola de Google Cloud , ve a la página Grupos de identidades de personal: Ir a Grupos de identidades de personal
      2. En la tabla Workforce Identity Pools, selecciona el grupo para el que deseas crear el proveedor.
      3. En la sección Proveedores, haz clic en Agregar proveedor.
      4. En la lista Selecciona un proveedor de identidad, elige Proveedor de identidad genérico.
      5. En Selecciona un protocolo de autenticación, selecciona SAML.
      6. En la sección Crear un proveedor, haz lo siguiente:
        1. En Nombre del proveedor, ingresa un nombre para el proveedor.
        2. Opcional: En Descripción, ingresa una descripción para el proveedor.
        3. En Archivo de metadatos de IdP (XML), selecciona el archivo XML de metadatos que exportaste desde PingOne AIC.
        4. Asegúrate de que la opción Proveedor habilitado esté habilitada.
        5. Haz clic en Continuar.
      7. En la sección Comparte la información de tu proveedor, haz clic en Continuar.

      8. En la sección Configurar proveedor, haz lo siguiente:

        1. En Asignación de atributos, ingresa una expresión CEL para google.subject (por ejemplo, assertion.subject).

        2. Opcional: Para ingresar otras asignaciones, haz clic en Agregar asignación y, luego, ingresa otras asignaciones:

          google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]

        3. Opcional: Para agregar una condición de atributo, haz clic en Agregar condición y, luego, ingresa una expresión de CEL que represente una condición de atributo. Por ejemplo, para limitar el atributo ipaddr a un rango de IP determinado, puedes establecer la condición assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo garantiza que solo los usuarios con una dirección IP que comienza con 98.11.12. puedan acceder mediante este proveedor de personal.

      9. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el botón de activación Habilitar el registro de auditoría del valor de atributos.

      10. Para crear el proveedor, haz clic en Enviar.

    Administra el acceso a los recursos de Google Cloud

    En esta sección, se muestra cómo administrar el acceso a los recursos de Google Cloud para los usuarios de PingOne AIC.

    El proyecto de muestra que se usa en esta guía puede ser diferente del proyecto que usaste para configurar la federación de identidades de personal.

    Puedes administrar roles para identidades individuales, un grupo de identidades o un grupo completo. Para obtener más información, consulta Representa a los usuarios del grupo de la identidad de personal en políticas del IAM.

    Usa atributos de departamento asignados

    Para otorgar el rol de administrador de almacenamiento (roles/storage.admin) a todas las identidades dentro de un departamento específico para el proyecto TEST_PROJECT_ID, ejecuta el siguiente comando:

    gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"

    Reemplaza lo siguiente:

    • TEST_PROJECT_ID: Es el ID del proyecto.
    • WORKFORCE_POOL_ID: El ID del grupo de Workforce Identity.
    • DEPARTMENT_VALUE: Es el valor attribute.department asignado.

    Usa grupos asignados

    Para otorgar el rol de administrador de almacenamiento (roles/storage.admin) a todas las identidades dentro del grupo GROUP_ID para el proyecto TEST_PROJECT_ID, ejecuta el siguiente comando:

    gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Reemplaza lo siguiente:

    • TEST_PROJECT_ID: Es el ID del proyecto.
    • WORKFORCE_POOL_ID: El ID del grupo de Workforce Identity.
    • GROUP_ID: Un grupo en la reclamación google.groups asignada.

    Accede y prueba el acceso

    En esta sección, accederás como un usuario del grupo de identidades de personal y probarás tu acceso.

    Acceder

    acceso a la consola (federada)

    Para acceder a la consola de Google Cloud federación de identidades de personal, también conocida como la consola (federada), haz lo siguiente:

    1. Ve a la página de acceso de la consola (federada).

      Ir a la consola (federada)

    2. Ingresa el nombre del proveedor, que tiene el siguiente formato: 
      locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
      3. Cuando se te solicite, ingresa tus credenciales de AIC de PingOne.

    Acceso con el navegador de la Google Cloud CLI

    Para acceder a la gcloud CLI con un flujo de acceso basado en el navegador, haz lo siguiente:

    Para crear el archivo de configuración de acceso, ejecuta el siguiente comando. De manera opcional, puedes activar el archivo como predeterminado para la gcloud CLI agregando la marca --activate. Luego, puedes ejecutar gcloud auth login sin especificar la ruta de acceso al archivo de configuración cada vez. 

    gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

    Reemplaza lo siguiente:

    • WORKFORCE_POOL_ID: el ID del grupo de personal
    • PROVIDER_ID: el ID del proveedor
    • LOGIN_CONFIG_FILE_PATH: la ruta de acceso a un archivo de configuración que especifiques, por ejemplo, login.json

    El archivo contiene los extremos que usa la gcloud CLI para habilitar el flujo de autenticación basado en el navegador y establecer el público en el IdP que se configuró en el proveedor del grupo de identidades de personal. El archivo no contiene información confidencial.

    El resultado es similar al siguiente:

    {
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

    Para evitar que gcloud auth login use este archivo de configuración automáticamente, puedes anular su configuración con gcloud config unset auth/login_config_file.

    Para autenticar con la autenticación de acceso basada en el navegador, puedes usar uno de los siguientes métodos:

    • Si usaste la marca --activate cuando creaste el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, gcloud CLI usa el archivo de configuración de forma automática: 

      gcloud auth login

    • Para acceder mediante la especificación de la ubicación del archivo de configuración, ejecuta el siguiente comando: 

      gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
    • Para usar una variable de entorno a fin de especificar la ubicación del archivo de configuración, establece CLOUDSDK_AUTH_LOGIN_CONFIG_FILE en la ruta de configuración.

    Para dejar de usar el archivo de configuración de acceso, haz lo siguiente:

    • Si usaste la marca --activate cuando creaste el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, debes ejecutar el siguiente comando para anularlo: 

      gcloud config unset auth/login_config_file
    • Borra la variable de entorno CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, si está configurada.

    Acceso sin interfaz gráfica de la gcloud CLI

    Para acceder a PingOne AIC con la gcloud CLI a través del protocolo SAML, haz lo siguiente:

    1. Haz que un usuario acceda a tu aplicación de PingOne AIC y obtén la respuesta de SAML.
    2. Guarda la respuesta SAML que muestra PingOne AIC en una ubicación segura de tu máquina local. Almacena la ruta de acceso en una variable de entorno, por ejemplo, SAML_ASSERTION_PATH=/tmp/saml_assertion.xml.

    3. Genera un archivo de configuración:

      gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH \
    --workforce-pool-user-project=PROJECT_ID \
    --output-file=config.json

      Reemplaza lo siguiente:

      • SAML_ASSERTION_PATH: la ruta de acceso del archivo de aserción de SAML.
      • PROJECT_ID: Es el ID del proyecto.

    4. El archivo de configuración que se genera es similar al siguiente:

      {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
  "token_url": "https://sts.googleapis.com/v1/token",
  "credential_source": {
    "file": "SAML_ASSERTION_PATH"
  },
  "workforce_pool_user_project": "PROJECT_ID"
}

    5. Para acceder a gcloud CLI con el intercambio de tokens, ejecuta el siguiente comando:

      gcloud auth login --cred-file=config.json

      Luego, gcloud intercambia de manera transparente tus credenciales de PingOne AIC por tokens de acceso temporales de Google Cloud , lo que te permite realizar otras llamadas de gcloud a Google Cloud. El resultado es similar a lo siguiente:

      Authenticated with external account user credentials for: [principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

    6. Para enumerar las cuentas con credenciales y la cuenta activa, ejecuta el siguiente comando:

      gcloud auth list

    Prueba el acceso

    Puedes acceder a los servicios de Google Cloud que admiten la federación de identidades de personal a los que se te otorgó acceso. En una sección anterior de esta guía, otorgaste el rol de administrador de almacenamiento a todas las identidades dentro de un departamento o grupo específico para el proyecto TEST_PROJECT_ID. Para probar que tienes acceso, enumera los buckets de Cloud Storage.

    acceso a la consola (federada)

    Para verificar tu acceso en la consola (federada), haz lo siguiente:

    1. Ve a la página Cloud Storage.
    2. Verifica que puedas ver la lista de buckets existentes para el proyecto TEST_PROJECT_ID.

    gcloud CLI

    Para enumerar los buckets y los objetos de Cloud Storage para el proyecto al que tienes acceso, ejecuta el siguiente comando:

    gcloud alpha storage ls --project="TEST_PROJECT_ID"

    La principal debe tener el permiso serviceusage.services.use en el proyecto establecido en la sesión de la gcloud CLI: PROJECT_ID.

    ¿Qué sigue?