Questo documento mostra come configurare la federazione delle identità per la forza lavoro con PingOne Advanced Identity Cloud (AIC) come provider di identità (IdP) e gestire l'accesso a Google Cloud. Dopo aver configurato l'IdP PingOne AIC, gli utenti federati possono accedere ai servizi Google Cloud che supportano la federazione delle identità della forza lavoro utilizzando il protocollo SAML 2.0.
Prima di iniziare
- Assicurati di configurare un' Google Cloud organizzazione.
-
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
gcloud initSe utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
- In Console native > Gestione accessi, vai a Realm > REALM_NAME > Dashboard e fai clic su Applicazioni SAML.
- Fai clic su Aggiungi provider di entità > Ospitato.
Inserisci un ID entità. Registra questo valore per utilizzarlo in un secondo momento.
- Verifica che il valore di URL di base del fornitore di entità sia corretto. Advanced Identity Cloud utilizza questo valore per tutti gli endpoint correlati a SAML 2.0.
- Nella sezione Alias meta, fornisci un valore compatibile con gli URL nella proprietà Alias meta del provider di identità. Questo alias deve essere univoco nel cerchio di attendibilità.
- Fai clic su Crea.
- Nella scheda Assertion Processing (Elaborazione asserzione), nella sezione Attribute Mapper (Mappatore attributi), mappa i nomi degli attributi SAML ai nomi degli attributi locali. I nomi degli attributi SAML sono i nomi utilizzati in un'asserzione.
- Fai clic su Aggiungi o Aggiorna per ogni mappatura.
- Fai clic su Salva modifiche.
Tramite REST
Esegui questo comando:
curl --output METADATA_XML \ "https://TENANT_ENV_FQDN/am/ExportSamlMetadata?entityid=ENTITY_ID&realm=/REALM"In un browser
Apri l'URL dei metadati dell'ambiente tenant in un browser per scaricare il file XML:
https://TENANT_ENV_FQDN/am/ExportSamlMetadata?entityid=ENTITY_ID&realm=/REALM- Salva il file XML nella macchina locale.
Prepara il file XML dei metadati del Google Cloud service provider. Utilizza il seguente modello, sostituendo i valori segnaposto:
<?xml version="1.0" encoding="UTF-8"?> <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID"> <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID" index="0" isDefault="true"/> </md:SPSSODescriptor> </md:EntityDescriptor>Importa i metadati in uno dei seguenti modi:
Nella console
- Nella console di amministrazione PingOne AIC, vai ad Applicazioni SAML.
- Fai clic su Aggiungi provider di entità > Telecomando.
- Carica il file XML dei metadati del Google Cloud service provider appena creato.
- Fai clic su Crea.
Tramite REST
- Converti i metadati XML in una stringa con codifica base64url.
- Ottenere un token di accesso.
Esegui questo comando:
curl --request POST \ --header 'authorization: Bearer ACCESS_TOKEN' \ --header 'Content-Type: application/json' \ --header 'Accept-API-Version: resource=1.0' \ --data-raw '{"standardMetadata": "BASE64URL_ENCODED_METADATA"}' \ 'https://TENANT_ENV_FQDN/am/json/realms/root/realms/alpha/realm-config/saml2/remote?_action=importEntity'
- Vai a Realm > REALM_NAME > Applicazioni > Federazione > Cerchie di attendibilità.
- Fai clic su Aggiungi cerchia di persone fidate.
- Inserisci un nome e fai clic su Crea.
- Nella pagina Cerchia di attendibilità, nella proprietà Fornitori di entità, seleziona il tuo IdP ospitato e il Google Cloud serviceSPo.
- Fai clic su Salva modifiche.
Per creare un provider di identità del pool di identità della forza lavoro SAML, devi assicurarti che i metadati del provider di identità includano almeno l'ID entità SAML, l'URL Single Sign-On e una chiave pubblica di firma. A questo scopo, procedi nel seguente modo:
gcloud
Salva i metadati SAML dall'app PingOne AIC.
Per creare il fornitore del pool di identità della forza lavoro SAML, esegui questo comando:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --display-name="DISPLAY_NAME" \ --description="DESCRIPTION" \ --idp-metadata-path="XML_METADATA_PATH" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --location=globalSostituisci quanto segue:
WORKFORCE_PROVIDER_ID: un ID fornitore.WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro.DISPLAY_NAME: un nome visualizzato.DESCRIPTION: una descrizione.XML_METADATA_PATH: il percorso del file di metadati in formato XML che hai esportato da PingOne AIC.ATTRIBUTE_MAPPING: la mappatura degli attributi, ad esempiogoogle.subject=assertion.subject,google.groups=assertion.attributes.groups,attribute.department=assertion.attributes.department[0].ATTRIBUTE_CONDITION: una condizione dell'attributo facoltativa; ad esempio, per limitare l'attributoipaddra un determinato intervallo IP, puoi impostare la condizioneassertion.ipaddr.startsWith('98.11.12.').
Per saperne di più, vedi Mappatura degli attributi.
Questo comando assegna
subject,groupsedepartmentnell'asserzione SAML agli attributigoogle.subject,google.groupseattribute.department, rispettivamente. La condizione dell'attributo garantisce inoltre che solo gli utenti all'interno di un determinato intervallo IP possano accedere utilizzando questo provider della forza lavoro.
Console
Per configurare il provider SAML utilizzando la console Google Cloud , procedi nel seguente modo:
- Nella console Google Cloud , vai alla pagina Pool di identità per la forza lavoro: Vai a Pool di identità per la forza lavoro
- Nella tabella Pool di identità per la forza lavoro, seleziona il pool per cui vuoi creare il provider.
- Nella sezione Fornitori, fai clic su Aggiungi fornitore.
- Nell'elenco Seleziona un fornitore di provider, seleziona Provider di identità generico.
- In Select an authentication protocol (Seleziona un protocollo di autenticazione), seleziona SAML.
- Nella sezione Crea un fornitore, segui questi passaggi:
- In Nome, inserisci un nome per il provider.
- (Facoltativo) In Descrizione, inserisci una descrizione del fornitore.
- In File di metadati IDP (XML), seleziona il file XML dei metadati che hai esportato da PingOne AIC.
- Assicurati che l'opzione Fornitore abilitato sia attivata.
- Fai clic su Continua.
- Nella sezione Condividi le informazioni del tuo fornitore, fai clic su Continua.
Nella sezione Configura provider, segui questi passaggi:
- In Mappatura degli attributi, inserisci un'espressione CEL per
google.subject(ad esempio,assertion.subject). (Facoltativo) Per inserire altre mappature, fai clic su Aggiungi mappatura e inserisci altre mappature, ad esempio:
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0](Facoltativo) Per aggiungere una condizione dell'attributo, fai clic su Aggiungi condizione e inserisci un'espressione CEL che rappresenta una condizione dell'attributo. Ad esempio, per limitare l'attributo
ipaddra un determinato intervallo IP, puoi impostare la condizioneassertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con98.11.12.possano accedere utilizzando questo provider di forza lavoro.
- In Mappatura degli attributi, inserisci un'espressione CEL per
Per attivare il logging dettagliato degli audit, in Logging dettagliato, fai clic sul pulsante di attivazione/disattivazione Abilita l'audit logging dei valori degli attributi.
Per creare il fornitore, fai clic su Invia.
TEST_PROJECT_ID: l'ID progettoWORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro.DEPARTMENT_VALUE: il valoreattribute.departmentmappato.TEST_PROJECT_ID: l'ID progettoWORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro.GROUP_ID: un gruppo nell'attestazionegoogle.groupsmappata.-
Vai alla pagina di accesso alla console (federata).
-
Inserisci il nome del fornitore, formattato come segue:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Quando richiesto, inserisci le tue credenziali PingOne AIC. WORKFORCE_POOL_ID: l'ID del pool di Federazione delle identità della forza lavoro.WORKFORCE_PROVIDER_ID: l'ID del provider di Federazione delle identità della forza lavoro.-
LOGIN_CONFIG_PATH: il percorso in cui scrivere il file di configurazione di accesso. Ad esempio,login-config.json. -
Imposta la variabile di ambiente
CLOUDSDK_AUTH_LOGIN_CONFIG_FILEsul percorso del file di configurazione di accesso. -
Esegui questo comando:
gcloud auth login
- gcloud CLI fa riferimento alla variabile di ambiente per trovare il file di configurazione di accesso, quindi avvia il processo di autenticazione. Segui il flusso basato sul browser per autenticare e autorizzare gcloud CLI ad accedere alle risorse per tuo conto per i comandi futuri.
-
Imposta la proprietà
auth/login_config_filedella configurazione gcloud CLI attiva sul percorso del file di configurazione di accesso con il seguente comando:gcloud config set auth/login_config_file LOGIN_CONFIG_PATH
-
Esegui questo comando:
gcloud auth login
- gcloud CLI fa riferimento alla proprietà di configurazione per trovare il file di configurazione di accesso e poi avvia il processo di autenticazione. Segui il flusso basato sul browser per autenticare e autorizzare gcloud CLI ad accedere alle risorse per tuo conto per i comandi futuri.
-
Se hai utilizzato il flag
--activatedurante la creazione del file di configurazione di accesso, esegui questo comando:gcloud auth login
-
Se non hai utilizzato il flag
--activatedurante la creazione del file di configurazione di accesso, esegui il seguente comando:Linux e macOS
gcloud auth login \ --login-config=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud auth login ` --login-config=LOGIN_CONFIG_PATH
Sostituisci LOGIN_CONFIG_PATH con il percorso del file di configurazione di accesso.
- Accedi a un utente all'applicazione PingOne AIC e ottieni la risposta SAML.
- Salva la risposta SAML restituita da PingOne AIC in una posizione sicura sulla tua macchina locale. Archivia il percorso in una variabile di ambiente, ad esempio
SAML_ASSERTION_PATH=/tmp/saml_assertion.xml. Genera un file di configurazione:
gcloud iam workforce-pools create-cred-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \ --credential-source-file=SAML_ASSERTION_PATH \ --workforce-pool-user-project=PROJECT_ID \ --output-file=config.jsonSostituisci quanto segue:
SAML_ASSERTION_PATH: il percorso del file di asserzione SAML.PROJECT_ID: l'ID progetto
Il file di configurazione generato è simile al seguente:
{ "type": "external_account", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "subject_token_type": "urn:ietf:params:oauth:token-type:saml2", "token_url": "https://sts.googleapis.com/v1/token", "credential_source": { "file": "SAML_ASSERTION_PATH" }, "workforce_pool_user_project": "PROJECT_ID" }Per accedere a gcloud CLI utilizzando lo scambio di token, esegui questo comando:
gcloud auth login --cred-file=config.jsongcloudquindi scambia in modo trasparente le tue credenziali PingOne AIC con token di accesso temporanei, consentendoti di effettuare altre chiamategclouda Google Cloud. Google Cloud L'output è simile al seguente:Authenticated with external account user credentials for: [principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].Per elencare gli account con credenziali e l'account attivo, esegui questo comando:
gcloud auth list- Vai alla pagina Cloud Storage.
- Verifica di poter visualizzare l'elenco dei bucket esistenti per il progetto
TEST_PROJECT_ID.
Crea un IdP ospitato
Utilizzare gli attributi
Questa sezione descrive come utilizzare gli attributi dell'asserzione SAML.
Negli esempi seguenti, gli attributi nell'asserzione SAML vengono mappati agli attributi locali:
| Attributo SAML | Attributo locale |
|---|---|
IDPEmail |
mail |
FirstName |
givenName |
groups |
groups |
Configura gli attributi richiesti nella sezione di mappatura degli attributi. Mapperai questi attributi quando creerai il provider di pool di identità per la forza lavoro più avanti in questa guida.
Esportare i metadati del fornitore
Puoi accedere ai metadati SAML 2.0 per il tuo provider ospitato in uno dei seguenti modi:
Importare Google come SP remoto
Crea un cerchio di attendibilità (CoT)
Crea il provider di pool di identità per la forza lavoro PingOne AIC
Questa sezione descrive come creare un provider del pool di identità per la forza lavoro per consentire agli utenti IdP di accedere a Google Cloud. Puoi configurare il provider in modo che utilizzi il protocollo SAML.
Crea un provider di pool di identità per la forza lavoro SAML
Gestire l'accesso alle risorse Google Cloud
Questa sezione mostra come gestire l'accesso alle risorse Google Cloud per gli utenti di PingOne AIC.
Il progetto di esempio utilizzato in questa guida può essere diverso da quello che hai utilizzato per configurare la federazione delle identità per la forza lavoro.
Puoi gestire i ruoli per singole identità, un gruppo di identità o un intero pool. Per ulteriori informazioni, consulta Identificatori delle entità della forza lavoro per le policy di autorizzazione.
Utilizzare gli attributi di reparto mappati
Per concedere il ruolo Amministratore Storage (roles/storage.admin) a tutte le identità all'interno di un reparto specifico per il progetto TEST_PROJECT_ID, esegui questo comando:
gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
--role="roles/storage.admin" \
--member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"
Sostituisci quanto segue:
Utilizzare i gruppi mappati
Per concedere il ruolo Storage Admin (roles/storage.admin) a tutte le identità all'interno del gruppo GROUP_ID per il progetto TEST_PROJECT_ID, esegui questo comando:
gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
--role="roles/storage.admin" \
--member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Sostituisci quanto segue:
Accedi e verifica l'accesso
In questa sezione, accedi come utente del pool di identità per la forza lavoro e verifica il tuo accesso.
Accedi
accesso alla console (federato)
Per accedere alla console della federazione delle identità per la forza lavoro, nota anche come console (federata), segui questi passaggi: Google Cloud
Accesso basato su browser di Google Cloud CLI
Per accedere a gcloud CLI utilizzando un flusso di accesso basato sul browser:
Esegui questo comando per creare un file di configurazione di accesso:
Linux e macOS
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --output-file=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud iam workforce-pools create-login-config ` locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID ` --output-file=LOGIN_CONFIG_PATH
Sostituisci quanto segue:
Il file di configurazione dell'accesso contiene gli endpoint utilizzati da gcloud CLI per attivare il flusso di autenticazione basato su browser e impostare il pubblico sull'IdP configurato nel provider del pool di identità per la forza lavoro. Il file non contiene informazioni riservate.
Il contenuto del file di configurazione di accesso è simile al seguente:
{ "universe_domain": "googleapis.com", "universe_cloud_web_domain": "cloud.google", "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect" }
Indica il file di configurazione di accesso con una variabile di ambiente, una proprietà nella configurazione
gcloud CLI attiva oppure utilizzalo direttamente con il comando gcloud auth login:
Variabile di ambiente
Per utilizzare il file di configurazione dell'accesso con una variabile di ambiente, completa le seguenti istruzioni:
Per interrompere l'utilizzo del file di configurazione di accesso per i comandi gcloud auth login, cancella
la variabile di ambiente CLOUDSDK_AUTH_LOGIN_CONFIG_FILE.
Configurazione di gcloud CLI
Per utilizzare il file di configurazione dell'accesso con una proprietà di configurazione gcloud CLI, completa le seguenti istruzioni:
Per interrompere l'utilizzo del file di configurazione di accesso per i comandi gcloud auth login, annulla l'impostazione
della proprietà con il seguente comando:
gcloud config unset auth/login_config_file
gcloud auth login
Per utilizzare il file di configurazione di accesso direttamente con il comando gcloud auth login, segui queste istruzioni:
Il comando gcloud auth login memorizza le credenziali di accesso nella tua home directory. L'entità autenticata diventa l'entità attiva nella configurazione dell'interfaccia allagcloud CLId attiva. Se non vengono sostituite, gcloud CLI utilizza queste credenziali archiviate per accedere a Google Cloud.
Accesso headless gcloud CLI
Per accedere a PingOne AIC con gcloud CLI utilizzando il protocollo SAML, segui questi passaggi:
Controlla l'accesso
Puoi accedere ai servizi Google Cloud che supportano la federazione delle identità per la forza lavoro a cui ti è stato concesso l'accesso. In precedenza in questa guida, hai concesso il ruolo di amministratore dello spazio di archiviazione a tutte le identità all'interno di un reparto o gruppo specifico per il progetto TEST_PROJECT_ID. Puoi verificare di avere accesso elencando i bucket Cloud Storage.
accesso alla console (federato)
Per verificare l'accesso nella console (federato):
gcloud CLI
Per elencare i bucket e gli oggetti Cloud Storage per il progetto a cui hai accesso, esegui questo comando:
gcloud alpha storage ls --project="TEST_PROJECT_ID"
L'entità deve disporre dell'autorizzazione serviceusage.services.use per il progetto impostato nella sessione gcloud CLI: PROJECT_ID.