Mengonfigurasi Workforce Identity Federation dengan PingOne AIC

Dokumen ini menunjukkan cara mengonfigurasi Workforce Identity Federation dengan PingOne Advanced Identity Cloud (AIC) sebagai penyedia identitas (IdP) dan mengelola akses ke Google Cloud. Setelah Anda mengonfigurasi IdP AIC PingOne, pengguna yang difederasi dapat mengakses Google Cloud layanan yang mendukung Workforce Identity Federation dengan menggunakan protokol SAML 2.0.

Sebelum memulai

  1. Pastikan Anda menyiapkan organisasi Google Cloud .
  2. Instal Google Cloud CLI. Setelah penginstalan, inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:

    gcloud init

    Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  3. Membuat IdP yang dihosting

    1. Di Native Consoles > Access Management, buka Realms > REALM_NAME > Dashboard, lalu klik SAML Applications.
    2. Klik Tambahkan Penyedia Entitas > Dihosting.
    3. Masukkan ID Entitas. Catat nilai ini untuk digunakan nanti.

      1. Pastikan nilai Entity Provider Base URL sudah benar. Advanced Identity Cloud menggunakan nilai ini untuk semua endpoint terkait SAML 2.0.
      2. Di bagian Meta Aliases, berikan nilai yang sesuai untuk URL di properti Identity Provider Meta Alias. Alias ini harus unik dalam lingkaran kepercayaan.
      3. Klik Create.
      4. Di tab Assertion Processing, di bagian Attribute Mapper, petakan nama atribut SAML ke nama atribut lokal. Nama atribut SAML adalah nama yang digunakan dalam pernyataan.
      5. Klik Tambahkan atau Perbarui untuk setiap pemetaan.
      6. Klik Simpan Perubahan.

    Menggunakan atribut

    Bagian ini menjelaskan cara menggunakan atribut dari pernyataan SAML.

    Dalam contoh berikut, atribut dalam pernyataan SAML dipetakan ke atribut lokal:

    Atribut SAML Atribut lokal
    IDPEmail mail
    FirstName givenName
    groups groups

    Siapkan atribut yang diperlukan di bagian pemetaan atribut. Anda akan memetakan atribut ini saat membuat penyedia kumpulan identitas tenaga kerja nanti dalam panduan ini.

    Mengekspor metadata penyedia

    Anda dapat mengakses metadata SAML 2.0 untuk penyedia yang dihosting dengan salah satu cara berikut:

    • Over REST

      Jalankan perintah berikut:

      curl --output METADATA_XML \
          "https://TENANT_ENV_FQDN/am/ExportSamlMetadata?entityid=ENTITY_ID&realm=/REALM"
      
    • Di browser

      Buka URL metadata lingkungan tenant Anda di browser untuk mendownload file XML: https://TENANT_ENV_FQDN/am/ExportSamlMetadata?entityid=ENTITY_ID&realm=/REALM

    1. Simpan file XML ke komputer lokal Anda.

    Mengimpor Google sebagai SP jarak jauh

    1. Siapkan Google Cloud XML metadata SP. Gunakan template berikut, dengan mengganti nilai placeholder:

      <?xml version="1.0" encoding="UTF-8"?>
      <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID">
         <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
            <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
            <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
            <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID" index="0" isDefault="true"/>
         </md:SPSSODescriptor>
      </md:EntityDescriptor>
      
    2. Impor metadata dengan salah satu cara berikut:

      • Di konsol

        1. Di konsol admin AIC PingOne, buka SAML Applications.
        2. Klik Tambahkan Penyedia Entitas > Jarak Jauh.
        3. Upload file XML metadata SP yang baru saja Anda buat. Google Cloud
        4. Klik Create.
      • Over REST

        1. Konversi metadata XML menjadi string berenkode base64url.
        2. Mendapatkan token akses.
        3. Jalankan perintah berikut:

          curl --request POST \
              --header 'authorization: Bearer ACCESS_TOKEN' \
              --header 'Content-Type: application/json' \
              --header 'Accept-API-Version: resource=1.0' \
              --data-raw '{"standardMetadata": "BASE64URL_ENCODED_METADATA"}' \
              'https://TENANT_ENV_FQDN/am/json/realms/root/realms/alpha/realm-config/saml2/remote?_action=importEntity'
          

    Buat lingkaran kepercayaan (CoT)

    1. Buka Realms > REALM_NAME > Applications > Federation > Circles of Trust.
    2. Klik Tambahkan Lingkaran Kepercayaan.
    3. Masukkan nama, lalu klik Buat.
    4. Di halaman Circle of Trust, di properti Entity Providers, pilih IdP yang dihosting dan SP jarak jauh Google Cloud .
    5. Klik Simpan Perubahan.

    Membuat penyedia workforce identity pool PingOne AIC

    Bagian ini menjelaskan cara membuat penyedia workforce identity pool untuk memungkinkan pengguna IdP Anda mengakses Google Cloud. Anda dapat mengonfigurasi penyedia untuk menggunakan protokol SAML.

    Membuat penyedia workforce identity pool SAML

    1. Untuk membuat penyedia workforce identity pool SAML, Anda harus memastikan bahwa metadata penyedia identitas Anda menyertakan setidaknya ID entitas SAML, URL single sign-on, dan satu kunci publik penandatanganan. Untuk melakukannya, ikuti langkah-langkah ini:

      gcloud

      1. Simpan metadata SAML dari aplikasi AIC PingOne Anda.

      2. Untuk membuat penyedia workforce identity pool SAML, jalankan perintah berikut:

        gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
            --workforce-pool="WORKFORCE_POOL_ID" \
            --display-name="DISPLAY_NAME" \
            --description="DESCRIPTION" \
            --idp-metadata-path="XML_METADATA_PATH" \
            --attribute-mapping="ATTRIBUTE_MAPPING" \
            --attribute-condition="ATTRIBUTE_CONDITION" \
            --location=global
        

        Ganti kode berikut:

        • WORKFORCE_PROVIDER_ID: ID penyedia.
        • WORKFORCE_POOL_ID: ID kumpulan identitas tenaga kerja.
        • DISPLAY_NAME: nama tampilan.
        • DESCRIPTION: deskripsi.
        • XML_METADATA_PATH: jalur ke file metadata berformat XML yang Anda ekspor dari PingOne AIC.
        • ATTRIBUTE_MAPPING: pemetaan atribut; misalnya, google.subject=assertion.subject,google.groups=assertion.attributes.groups,attribute.department=assertion.attributes.department[0].
        • ATTRIBUTE_CONDITION: kondisi atribut opsional; misalnya, untuk membatasi atribut ipaddr ke rentang IP tertentu, Anda dapat menetapkan kondisi assertion.ipaddr.startsWith('98.11.12.').

        Untuk mengetahui informasi selengkapnya, lihat Pemetaan atribut.

        Perintah ini menetapkan subject, groups, dan department dalam pernyataan SAML ke atribut google.subject, google.groups, dan attribute.department. Kondisi atribut juga memastikan bahwa hanya pengguna dalam rentang IP tertentu yang dapat login menggunakan penyedia workforce ini.

      Konsol

      Untuk mengonfigurasi penyedia SAML menggunakan Google Cloud konsol, lakukan langkah berikut:

      1. Di konsol Google Cloud , buka halaman Workforce Identity Pools: Buka Workforce Identity Pools
      2. Di tabel Workforce Identity Pool, pilih pool yang ingin Anda buatkan penyedia.
      3. Di bagian Penyedia, klik Tambahkan Penyedia.
      4. Di daftar Select a Provider vendor, pilih Generic Identity Provider.
      5. Di bagian Pilih protokol autentikasi, pilih SAML.
      6. Di bagian Buat penyedia, lakukan hal berikut:
        1. Di bagian Nama, masukkan nama penyedia.
        2. Opsional: Di bagian Deskripsi, masukkan deskripsi penyedia.
        3. Di IDP metadata file (XML), pilih file XML metadata yang Anda ekspor dari PingOne AIC.
        4. Pastikan bagian Aktifkan provider sudah aktif.
        5. Klik Lanjutkan.
      7. Di bagian Bagikan informasi penyedia Anda, klik Lanjutkan.
      8. Di bagian Konfigurasi penyedia, lakukan hal berikut:

        1. Di Pemetaan atribut, masukkan ekspresi CEL untuk google.subject (misalnya, assertion.subject).
        2. Opsional: Untuk memasukkan pemetaan lain, klik Tambahkan pemetaan, lalu masukkan pemetaan lain, misalnya:

          google.subject=assertion.subject,
          google.groups=assertion.attributes['https://example.com/aliases'],
          attribute.costcenter=assertion.attributes.costcenter[0]
          
        3. Opsional: Untuk menambahkan kondisi atribut, klik Tambahkan kondisi, lalu masukkan ekspresi CEL yang mewakili kondisi atribut. Misalnya, untuk membatasi atribut ipaddr ke rentang IP tertentu, Anda dapat menetapkan kondisi assertion.attributes.ipaddr.startsWith('98.11.12.'). Contoh kondisi ini memastikan bahwa hanya pengguna dengan alamat IP yang diawali dengan 98.11.12. yang dapat login menggunakan penyedia workforce ini.

      9. Untuk mengaktifkan logging audit mendetail, di Logging mendetail, klik tombol Aktifkan logging audit nilai atribut.

      10. Untuk membuat penyedia, klik Kirim.

    Mengelola akses ke Google Cloud resource

    Bagian ini menunjukkan cara mengelola akses ke Google Cloud resource untuk pengguna AIC PingOne.

    Project contoh yang digunakan dalam panduan ini dapat berbeda dengan project yang Anda gunakan untuk menyiapkan Workforce Identity Federation.

    Anda dapat mengelola peran untuk satu identitas, grup identitas, atau keseluruhan pool. Untuk mengetahui informasi selengkapnya, lihat ID principal tenaga kerja untuk kebijakan izin.

    Menggunakan atribut departemen yang dipetakan

    Untuk memberikan peran Storage Admin (roles/storage.admin) ke semua identitas dalam departemen tertentu untuk project TEST_PROJECT_ID, jalankan perintah berikut:

    gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
        --role="roles/storage.admin" \
        --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"
    

    Ganti kode berikut:

    • TEST_PROJECT_ID: project ID.
    • WORKFORCE_POOL_ID: ID kumpulan identitas tenaga kerja.
    • DEPARTMENT_VALUE: nilai attribute.department yang dipetakan.

    Menggunakan grup yang dipetakan

    Untuk memberikan peran Storage Admin (roles/storage.admin) ke semua identitas dalam grup GROUP_ID untuk project TEST_PROJECT_ID, jalankan perintah berikut:

    gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
        --role="roles/storage.admin" \
        --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
    

    Ganti kode berikut:

    • TEST_PROJECT_ID: project ID.
    • WORKFORCE_POOL_ID: ID kumpulan identitas tenaga kerja.
    • GROUP_ID: grup dalam klaim google.groups yang dipetakan.

    Login dan uji akses

    Di bagian ini, Anda akan login sebagai pengguna workforce identity pool dan menguji akses Anda.

    Login

    login konsol (gabungan)

    Untuk login ke konsol Google Cloud Workforce Identity Federation, yang juga dikenal sebagai konsol (gabungan), lakukan tindakan berikut:

    1. Buka halaman login konsol (gabungan).

      Buka konsol (gabungan)

    2. Masukkan nama penyedia, dengan format berikut:
      locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
    3. Masukkan kredensial AIC PingOne Anda saat diminta.

    Login berbasis browser Google Cloud CLI

    Untuk login ke gcloud CLI menggunakan alur login berbasis browser:

    Jalankan perintah berikut untuk membuat file konfigurasi login:

    Linux and macOS

    gcloud iam workforce-pools create-login-config \
        locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
        --output-file=LOGIN_CONFIG_PATH

    Windows (PowerShell)

    gcloud iam workforce-pools create-login-config `
        locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID `
        --output-file=LOGIN_CONFIG_PATH

    Ganti kode berikut:

    • WORKFORCE_POOL_ID: ID pool Federasi Identitas Tenaga Kerja.
    • WORKFORCE_PROVIDER_ID: ID penyedia Workforce Identity Federation.
    • LOGIN_CONFIG_PATH: Jalur untuk menulis file konfigurasi login ke. Contoh, login-config.json.

    File konfigurasi login berisi endpoint yang digunakan oleh gcloud CLI untuk mengaktifkan alur autentikasi berbasis browser dan menetapkan audience ke IdP yang dikonfigurasi di penyedia workforce identity pool. File tidak berisi informasi rahasia.

    Konten file konfigurasi login akan terlihat seperti berikut:

    {
      "universe_domain": "googleapis.com",
      "universe_cloud_web_domain": "cloud.google",
      "type": "external_account_authorized_user_login_config",
      "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
      "auth_url": "https://auth.cloud.google/authorize",
      "token_url": "https://sts.googleapis.com/v1/oauthtoken",
      "token_info_url": "https://sts.googleapis.com/v1/introspect"
    }

    Arahkan ke file konfigurasi login dengan variabel lingkungan, properti dalam konfigurasi gcloud CLI aktif, atau gunakan secara langsung dengan perintah gcloud auth login:

    Variabel lingkungan

    Untuk menggunakan file konfigurasi login dengan variabel lingkungan, selesaikan petunjuk berikut:

    1. Tetapkan variabel lingkungan CLOUDSDK_AUTH_LOGIN_CONFIG_FILE ke jalur file konfigurasi login.
    2. Jalankan perintah berikut:

      gcloud auth login
    3. gcloud CLI mereferensikan variabel lingkungan untuk menemukan file konfigurasi login, lalu memulai proses autentikasi. Ikuti alur berbasis browser untuk mengautentikasi dan mengizinkan gcloud CLI mengakses resource atas nama Anda untuk perintah mendatang.

    Untuk berhenti menggunakan file konfigurasi login untuk perintah gcloud auth login, hapus variabel lingkungan CLOUDSDK_AUTH_LOGIN_CONFIG_FILE.

    Konfigurasi gcloud CLI

    Untuk menggunakan file konfigurasi login dengan properti konfigurasi gcloud CLI, selesaikan petunjuk berikut:

    1. Tetapkan properti auth/login_config_file konfigurasi gcloud CLI aktif ke jalur file konfigurasi login dengan perintah berikut:

      gcloud config set auth/login_config_file LOGIN_CONFIG_PATH
    2. Jalankan perintah berikut:

      gcloud auth login
    3. gcloud CLI mereferensikan properti konfigurasi untuk menemukan file konfigurasi login, lalu memulai proses autentikasi. Ikuti alur berbasis browser untuk mengautentikasi dan mengizinkan gcloud CLI mengakses resource atas nama Anda untuk perintah mendatang.

    Untuk berhenti menggunakan file konfigurasi login untuk perintah gcloud auth login, hapus setelan properti dengan perintah berikut:

    gcloud config unset auth/login_config_file

    gcloud auth login

    Untuk menggunakan file konfigurasi login secara langsung dengan perintah gcloud auth login, selesaikan petunjuk berikut:

    • Jika Anda menggunakan flag --activate saat membuat file konfigurasi login, jalankan perintah berikut:

      gcloud auth login
    • Jika Anda tidak menggunakan flag --activate saat membuat file konfigurasi login, jalankan perintah berikut:

      Linux and macOS

      gcloud auth login \
          --login-config=LOGIN_CONFIG_PATH

      Windows (PowerShell)

      gcloud auth login `
          --login-config=LOGIN_CONFIG_PATH

      Ganti LOGIN_CONFIG_PATH dengan jalur file konfigurasi login Anda.

    Perintah gcloud auth login menyimpan kredensial akses di direktori beranda Anda. Principal yang diautentikasi menjadi principal aktif dalam konfigurasi gcloud CLI aktif Anda. Kecuali diganti, gcloud CLI menggunakan kredensial tersimpan ini untuk mengakses Google Cloud.

    Login headless gcloud CLI

    Untuk login ke PingOne AIC dengan gcloud CLI menggunakan protokol SAML, lakukan langkah berikut:

    1. Buat pengguna login ke aplikasi AIC PingOne dan dapatkan respons SAML.
    2. Simpan respons SAML yang ditampilkan oleh PingOne AIC di lokasi yang aman di komputer lokal Anda. Simpan jalur dalam variabel lingkungan—misalnya: SAML_ASSERTION_PATH=/tmp/saml_assertion.xml.
    3. Buat file konfigurasi:

      gcloud iam workforce-pools create-cred-config \
          locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
          --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
          --credential-source-file=SAML_ASSERTION_PATH \
          --workforce-pool-user-project=PROJECT_ID \
          --output-file=config.json
      

      Ganti kode berikut:

      • SAML_ASSERTION_PATH: jalur file pernyataan SAML.
      • PROJECT_ID: project ID.
    4. File konfigurasi yang dihasilkan akan terlihat mirip dengan berikut:

      {
        "type": "external_account",
        "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
        "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
        "token_url": "https://sts.googleapis.com/v1/token",
        "credential_source": {
          "file": "SAML_ASSERTION_PATH"
        },
        "workforce_pool_user_project": "PROJECT_ID"
      }
      
    5. Untuk login ke gcloud CLI menggunakan pertukaran token, jalankan perintah berikut:

      gcloud auth login --cred-file=config.json
      

      gcloud kemudian secara transparan menukar kredensial AIC PingOne Anda dengan token akses sementara Google Cloud , sehingga Anda dapat melakukan panggilan gcloud lainnya ke Google Cloud. Outputnya mirip dengan hal berikut ini:

      Authenticated with external account user credentials for: [principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

    6. Untuk mencantumkan akun berkredensial dan akun aktif, jalankan perintah berikut:

      gcloud auth list
      

    Menguji akses

    Anda dapat mengakses layanan Google Cloud yang mendukung Workforce Identity Federation yang aksesnya diberikan kepada Anda. Sebelumnya dalam panduan ini, Anda telah memberikan peran Storage Admin ke semua identitas dalam departemen atau grup tertentu untuk project TEST_PROJECT_ID. Anda dapat menguji apakah Anda memiliki akses dengan mencantumkan bucket Cloud Storage.

    login konsol (gabungan)

    Untuk memverifikasi akses Anda di konsol (gabungan), lakukan hal berikut:

    1. Buka halaman Cloud Storage.
    2. Pastikan Anda dapat melihat daftar bucket yang ada untuk project TEST_PROJECT_ID.

    gcloud CLI

    Untuk mencantumkan bucket dan objek Cloud Storage untuk project yang dapat Anda akses, jalankan perintah berikut:

    gcloud alpha storage ls --project="TEST_PROJECT_ID"
    

    Akun utama harus memiliki izin serviceusage.services.use pada project yang ditetapkan di sesi gcloud CLI: PROJECT_ID.

    Langkah berikutnya