הגדרה של איחוד שירותי אימות הזהות של עומסי עבודה באמצעות Active Directory

OIDC

כדי לאפשר לעומסי עבודה להשתמש ב-OIDC, צריך שני רישומי אפליקציה ב-AD FS:

• רישום אפליקציה מסוג אפליקציית נייטיב או אפליקציית שרת.

• רישום אפליקציה מסוג Web API שתואם לספק מאגר זהויות של עומסי עבודה ב- Google Cloud.

רישום אפליקציית הלקוח

צריך ליצור אפליקציית לקוח שמייצגת את עומס העבודה. אם יש מספר עומסי עבודה שצריכים גישה ל- Google Cloud, יכול להיות שצריך ליצור מספר אפליקציות לקוח.

כדי לרשום אפליקציית לקוח ב-AD FS, מבצעים את הפעולות הבאות:

1. פותחים את ההצמדה של MMC ל-AD FS ועוברים אל Application Groups.
2. לוחצים על Add application group.

3. בדף Welcome, מבצעים את הפעולות הבאות:

   1. בשדה הטקסט, מזינים שם של הלקוח.
   2. בוחרים Server application.
   3. לוחצים על Next.

4. בדף Server application, מבצעים את הפעולות הבאות:

   1. בשדה הטקסט text-field מזינים מזהה לקוח (Client ID) והפניה אוטומטית לכתובת URI אחרת.

      אם מתכננים להשתמש רק בסוג הענקה client_credentials, לא ייעשה שימוש בהפניה האוטומטית לכתובת URI אחרת ואפשר להשתמש ב-URI כמו http://localhost/.

   2. לוחצים על Next.

5. בדף Configure application credentials, מבצעים את הפעולות הבאות:

   1. בוחרים איך הלקוח יבצע אימות. כדי להשתמש ב-IWA, מגדירים את Windows Integrated Authentication ל-enabled.
   2. בוחרים את משתמש הדומיין שהאפליקציה מוגדרת לרוץ בשמו.
   3. לוחצים על Next.

6. בדף Summary, בודקים את ההגדרות ולוחצים על Next.

7. לוחצים על Close כדי לסגור את תיבת הדו-שיח.

יצירת אפליקציה של Web API למאגר הזהויות של כוח העבודה

צריך ליצור רישום נוסף של אפליקציה מסוג Web API. האפליקציה הזו תואמת לספק של מאגר זהויות של עומסי עבודה, ומשתמשים בה כדי להגדיר יחסי אמון עם Google Cloud.

כדי ליצור את האפליקציה ב-AD FS, מבצעים את הפעולות הבאות:

1. פותחים את ההצמדה של MMC ל-AD FS ועוברים אל Application Groups.
2. לוחצים על Add application group.
3. בדף Welcome מזינים שם כמו Workload Identity Federation (test environment), ובוחרים Web API. לאחר מכן לוחצים על Next.

4. בדף Configure Web API, מזינים מזהה צד נסמך בשביל ה-Web API.

   במקום להגדיר מזהה צד נסמך בהתאמה אישית, אפשר להשתמש ב-URI הבא כמזהה צד נסמך:

   https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/WORKLOAD_POOL_ID/providers/WORKLOAD_PROVIDER_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • PROJECT_NUMBER: מספר הפרויקט של Google Cloud הפרויקט שבו אתם משתמשים כדי ליצור מאגר זהויות של כוח עבודה.
   • WORKLOAD_POOL_ID: מזהה לבחירתכם, שמזהה את מאגר הזהויות של כוח העבודה. בהמשך תצטרכו להשתמש במזהה הזה כשתיצרו את מאגר הזהויות של כוח העבודה.
   • WORKLOAD_PROVIDER_ID: מזהה לבחירתכם, שמזהה את ספק מאגר הזהויות של כוח העבודה. מאוחר יותר כשיוצרים את מאגר הזהויות של כוח העבודה, צריך להשתמש באותו מזהה.

   סידור ה-URI בצורה כזו מבטיח שמזהה הצד הנסמך יזהה באופן ייחודי ספק של מאגר זהויות של כוח עבודה.

   צריך לדעת את המזהה של הצד הנסמך מאוחר יותר כשתגדירו את ספק מאגר הזהויות של כוח העבודה.

5. לוחצים על Next.

6. בדף Apply access control policy, בוחרים את מדיניות הגישה המתאימה ולוחצים על Next.

7. בדף Configure application permissions מוסיפים את אפליקציית הלקוח שיצרתם מוקדם יותר. לאחר מכן לוחצים על Next.

8. בדף Summary, בודקים את ההגדרות ולוחצים על Next.

9. לוחצים על Close כדי לסגור את תיבת הדו-שיח.

SAML או WS-Trust

יצירת אמון צד נסמך ב-AD FS:

1. פותחים את הצמדת ה-MMC ל-AD FS.
2. עוברים אל Relying party trusts.
3. לוחצים על Add relying party trust.
4. בדף Welcome של האשף Add relying party trust, מבצעים את הפעולות הבאות:
   1. בוחרים Claims aware
   2. לוחצים על Start.
5. בדף Select data source מבצעים את הפעולות הבאות:
   1. בוחרים Enter data about the relying party manually.
   2. לוחצים על Next.

6. בדף Specify display name, מבצעים את הפעולות הבאות:

   1. מזינים שם לאמון.
   2. לוחצים על Next.

7. בדף Configure certificate, לוחצים על Next. איחוד שירותי אימות הזהויות של עומסי עבודה תומך ב-SAML מוצפן, אבל הוא לא מתואר בתהליך הזה. למידע נוסף, אפשר לעיין בהוראות של ה-CLI של gcloud בחלק יצירת המאגר והספק של הזהויות שמופיע בהמשך המדריך.

8. בדף Configure URL, מבצעים את הפעולות הבאות:

   SAML

   משתמשים בהגדרות הבאות:

   • מגדירים את Enable support for the SAML 2.0 WebSSO protocol ל-enabled

   • בשדה Relying party SAML 2.0 SSO service URL, מזינים את כתובת ה-URL הבאה:

     https://sts.googleapis.com/v1/token
     

   WS-Trust

   שמירת הגדרות ברירת המחדל

9. לוחצים על Next.

10. בדף Configure identifiers, מזינים מזהה של צד נסמך.

    במקום להגדיר מזהה צד נסמך בהתאמה אישית, אפשר להשתמש ב-URI הבא כמזהה של גורם נסמך:

    https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/WORKLOAD_POOL_ID/providers/WORKLOAD_PROVIDER_ID
    

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_NUMBER: מספר הפרויקט של Google Cloud הפרויקט שבו אתם משתמשים כדי ליצור מאגר זהויות של כוח עבודה.
    • WORKLOAD_POOL_ID: מזהה לבחירתכם, שמזהה את מאגר הזהויות של כוח העבודה. בהמשך תצטרכו להשתמש במזהה הזה כשתיצרו את מאגר הזהויות של כוח העבודה.
    • WORKLOAD_PROVIDER_ID: מזהה לבחירתכם, שמזהה את ספק מאגר הזהויות של כוח העבודה. בהמשך תצטרכו להשתמש במזהה הזה כשתיצרו ספק של מאגר זהויות של כוח העבודה.

    סידור ה-URI בצורה כזו מבטיח שמזהה הצד הנסמך יזהה באופן ייחודי ספק של מאגר זהויות של כוח עבודה.

    צריך לדעת את המזהה של הצד הנסמך מאוחר יותר כשתגדירו את ספק מאגר הזהויות של כוח העבודה.

11. לוחצים על Next.

12. בדף Choose access control policy, בוחרים את מדיניות הגישה המתאימה ולוחצים על Next.

13. בדף Ready to add trust, בודקים את ההגדרות ולוחצים על Next.

14. בדף Finish, לוחצים על Close כדי לסגור את תיבת הדו-שיח.

כדי שתהיה תאימות עם איחוד שירותי אימות הזהות של עומסי עבודה, צריך לכלול בטענות נכונות (assertions) של SAML לפחות הצהרה אחת שמזהה באופן ייחודי את משתמש ה-Active Directory. בדרך כלל, משתמשים לשם כך בהצהרה מזהה שם שתואמת לערך של הרכיב NameID בטענת הנכונות (assertion) של SAML.

כדי להתאים אישית את קבוצת ההצהרות של טענות הנכונות (assertions) של SAML, צריך לערוך את מדיניות הפקת ההצהרות של אמון הצד הנסמך. כדי לערוך את מדיניות הפקת ההצהרות, צריך לבצע את הפעולות הבאות:

1. ברשימת האמון של צדדים נסמכים, בוחרים את האמון שיצרתם עכשיו ולוחצים על Edit claim issuance policy.
2. לוחצים על Add rule
3. בדף Choose rule type של האשף Add transform claim rule, מבצעים את הפעולות הבאות:
   1. בוחרים Transform an incoming claim.
   2. לוחצים על Next.

4. בדף Configure claim rule, קובעים את ההגדרות הבאות:

   • Claim rule name: Name Identifier.
   • Incoming claim type: בוחרים Primary SID, ‏UPN או הצהרה אחרת כדי לזהות את הנושא באופן ייחודי.
   • Outgoing claim type: ‏Name ID.
   • Outgoing name ID format: ‏Unspecified.

5. בוחרים Pass through all claim values ולוחצים על Finish.

6. אפשר גם להגדיר כללים נוספים כך שיכללו מאפיינים נוספים בטענות הנכונות (assertions) של SAML.

7. לוחצים על OK כדי לסגור את תיבת הדו-שיח של מדיניות הפקת ההצהרות.

OIDC

מיפויי המאפיינים יכולים להשתמש בהצהרות מוטמעות באסימוני גישה של AD FS כמאפייני מקור.

כדי לאמת אפליקציה, אפשר להשתמש במיפוי המאפיינים הבא:

google.subject=assertion.appid

המיפוי מגדיר את google.subject לערך של ההצהרה appid, שמכילה את מזהה הלקוח של האפליקציה של AD FS.

SAML או WS-Trust

מיפויי המאפיינים יכולים להשתמש בהצהרות שמוטמעות בטענת הנכונות (assertion) שהפיקה AD FS, כפי שתיארנו קודם במדריך.

אפשר להשתמש במיפוי הבא כדי לאפשר לאיחוד שירותי אימות הזהויות של עומסי עבודה להשתמש בהצהרה של מזהה שם מטענת הנכונות (assertion) של SAML כדי לזהות את המשתמש באופן ייחודי:

google.subject=assertion.subject

אם הגדרתם שמדיניות הפקת ההצהרות תכלול הצהרות נוספות בטענות הנכונות (assertions) של SAML, אפשר להוסיף עוד מיפויים. לדוגמה:

google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid']
attribute.userip=['http://schemas.microsoft.com/2014/09/requestcontext/claims/userip'][0]

OIDC

אפשר להשתמש בתנאי למאפיין כדי להגביל את הלקוחות שיכולים להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה כדי לקבל אסימוניGoogle Cloud לטווח קצר.

לדוגמה, התנאי הבא מגדיר שהאפליקציות צריכות להשתמש ב-IWA כדי לאמת מול AD FS:

assertion.authmethod=='http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows'

כדי לשלוט ברשימת האפליקציות שיכולות לקבל פרטי כניסה לטווח קצר ל- Google Cloud, לא מגדירים תנאים למאפיינים. במקום זאת, משתמשים בהרשאות לקוח ב-AD FS כדי להגדיר אילו אפליקציות מורשות.

SAML או WS-Trust

אפשר להשתמש בתנאי למאפיין כדי להגביל את המשתמשים ב-Active Directory שיכולים להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה כדי לקבלGoogle Cloud אסימונים לטווח קצר.

לדוגמה, התנאי הבא מאפשר רק טענות נכונות (assertions) של SAML שכוללות הצהרה מסוימת על חברות בקבוצה:

"S-1-5-6" in google.groups

המסוף

1. במסוף Google Cloud , עוברים לדף New workload provider and pool.

   לדף New workload provider and pool

2. בקטע Create an identity pool, מזינים את הפרטים הבאים:

   • Name: השם של המאגר. השם משמש גם כמזהה המאגר. אי אפשר לשנות את מזהה המאגר בשלב מאוחר יותר.
   • Description: טקסט שמתאר את המטרה של המאגר.

3. לוחצים על Continue.

4. קובעים את הגדרות הספק:

   OIDC

   • Select a provider‏: בוחרים את הספק OpenID Connect (OIDC).
   • Provider name: שם הספק. השם משמש גם כמזהה הספק. אי אפשר יהיה לשנות את מזהה הספק מאוחר יותר.
   • Issuer URL: https://ADFS_DOMAIN/adfs. ADFS_DOMAIN הוא השם הדומיין הציבורי של השרת או החווה של AD FS.

   SAML

   כדי להגדיר איחוד שירותי אימות הזהות של עומסי עבודה מ-IdP תואם 2.0 SAML, אפשר להשתמש בהוראות ה-CLI של gcloud.

5. לוחצים על Continue.

6. בקטע Configure provider attributes, מוסיפים את מיפויי המאפיינים שזיהיתם קודם לכן.

7. בקטע Attribute conditions, מזינים את התנאי למאפיין שזיהיתם קודם לכן. אם אין תנאי למאפיין, השאירו את השדה ריק.

8. לוחצים על Save כדי ליצור את הספק ואת מאגר הזהויות של כוח העבודה.

gcloud

1. יוצרים מאגר זהויות חדש של כוח עבודה:

   gcloud iam workload-identity-pools create WORKLOAD_POOL_ID \
       --location="global" \
       --description="DESCRIPTION" \
       --display-name="DISPLAY_NAME"
   

   מחליפים את הערכים בשדות הבאים:

   • WORKLOAD_POOL_ID: מזהה ייחודי של המאגר.
   • DISPLAY_NAME: שם המאגר.
   • DESCRIPTION: תיאור המאגר. התיאור מופיע כשמעניקים גישה לזהויות במאגר.

2. הוספת ספק מאגר זהויות של כוח עבודה:

   OIDC

   gcloud iam workload-identity-pools providers create-oidc WORKLOAD_PROVIDER_ID \
       --location="global" \
       --workload-identity-pool="WORKLOAD_POOL_ID" \
       --issuer-uri="https://ADFS_DOMAIN/adfs" \
       --allowed-audiences="RELYING_PARTY_ID" \
       --attribute-mapping="MAPPINGS" \
       --attribute-condition="CONDITIONS"
   

   מחליפים את הערכים בשדות הבאים:

   • WORKLOAD_PROVIDER_ID: מזהה ייחודי של הספק.
   • WORKLOAD_POOL_ID: מזהה המאגר.
   • ADFS_DOMAIN: שם הדומיין הציבורי של שרת או חוות AD FS.
   • RELYING_PARTY_ID: מזהה הצד הנסמך של אפליקציית Web API למאגר זהויות של כוח עבודה ב-AD FS. הפרמטר נדרש רק אם משתמשים במזהה מותאם אישית של צד נסמך.
   • MAPPINGS: רשימה מופרדת בפסיקים שלמיפויי מאפיינים שזיהיתם קודם לכן.
   • CONDITIONS: התנאי למאפיין שזיהיתם קודם לכן. אם אין לכם תנאי למאפיין, אפשר להסיר את הפרמטר.

   התוספת לשם המאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של מאגר זהויות של כוח עבודה או של ספק מאגר זהויות של כוח עבודה.

   SAML או WS-Trust

   curl -O https://ADFS_DOMAIN/federationmetadata/2007-06/federationmetadata.xml
   
   gcloud iam workload-identity-pools providers create-saml WORKLOAD_PROVIDER_ID \
       --location="global" \
       --workload-identity-pool="POOL_ID" \
       --idp-metadata-path="federationmetadata.xml" \
       --attribute-mapping="MAPPINGS" \
       --attribute-condition="CONDITIONS"
   

   מחליפים את הערכים בשדות הבאים:

   • WORKLOAD_PROVIDER_ID: מזהה ייחודי של הספק.
   • ADFS_DOMAIN: שם הדומיין של שרת AD FS או חוות שרתים.
   • WORKLOAD_POOL_ID: מזהה המאגר.
   • MAPPINGS: רשימה מופרדת בפסיקים שלמיפויי מאפיינים שזיהיתם קודם לכן.
   • CONDITIONS: אופציונלי: תנאי למאפיין שיצרתם מוקדם יותר במדריך.

   התוספת לשם המאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של מאגר זהויות של כוח עבודה או של ספק מאגר זהויות של כוח עבודה.

   דוגמה:

   gcloud iam workload-identity-pools providers create-saml example-provider \
       --location="global" \
       --workload-identity-pool="pool-1" \
       --idp-metadata-path="federationmetadata.xml" \
       --attribute-mapping=google.subject=assertion.subject"
   

   אופציונלי: אישור טענות נכונות (assertions) מוצפנות של SAML מה-IdP

   כדי לאפשר ל-IdP ב-SAML 2.0 ליצור טענות נכוֹנוּת (assertions) של SAML מוצפן שאיחוד שירותי אימות הזהות של עומסי עבודה יכול לאשר, צריך לבצע את הפעולות הבאות:

   • באיחוד שירותי אימות הזהות של עומסי עבודה, מבצעים את הפעולות הבאות:
   • יוצרים זוג מפתחות אסימטריים לספק מאגר הזהויות של כוח העבודה.
   • מורידים קובץ אישור שמכיל את המפתח הציבורי.
   • מגדירים את ספק הזהויות ב-SAML כך שישתמש במפתח הציבורי להצפנה של טענות הנכוֹנוּת שהוא מנפיק ב-SAML.
   • מבצעים את הפעולות הבאות בספק הזהויות:
   • מפעילים הצפנה של טענות נכונות (assertions), שנקראת גם הצפנת אסימונים.
   • מעלים את המפתח הציבורי שיצרתם באיחוד שירותי אימות הזהות של עומסי עבודה.
   • מוודאים שה-IdP מייצר טענות נכונות (assertions) של SAML מוצפן.

   שימו לב שגם אם תגדירו מפתחות של ספק הצפנת SAML, איחוד שירותי אימות הזהות של עומסי עבודה עדיין יוכל לעבד טענת נכונות (assertions) של טקסט ללא הצפנה.

   יצירת מפתחות הצפנה של טענות נכונות (assertions) של SAML לאיחוד שירותי אימות הזהות של עומסי עבודה

   הקטע מסביר איך ליצור זוג מפתחות אסימטריים שמאפשר לאיחוד שירותי אימות הזהות של עומסי עבודה לקבל טענות נכונות (assertions) מוצפנות של SAML.

   Google Cloud משתמש במפתח הפרטי כדי לפענח את טענות הנכונות (assertions) ב-SAML שה-IdP מנפיק. כדי ליצור זוג מפתחות אסימטריים להצפנה ב-SAML, מריצים את הפקודה הבאה. מידע נוסף זמין במאמר אלגוריתמים נתמכים להצפנה ב-SAML.

   gcloud iam workload-identity-pools providers keys create KEY_ID \
       --workload-identity-pool WORKLOAD_POOL_ID \
       --provider WORKLOAD_PROVIDER_ID \
       --location global \
       --use encryption \
       --spec KEY_SPECIFICATION

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫KEY_ID: שם המפתח שבחרתם
   • ‫WORKLOAD_POOL_ID: מזהה המאגר
   • ‫WORKLOAD_PROVIDER_ID: המזהה של ספק מאגר הזהויות של כוח העבודה
   • KEY_SPECIFICATION: מפרט המפתחות, שיכול להיות אחד מאלה: rsa-2048, ‏rsa-3072 או rsa-4096.

   אחרי שיוצרים את זוג המפתחות, מריצים את הפקודה הבאה כדי להוריד את המפתח הציבורי לקובץ האישור. רק לאיחוד שירותי אימות הזהות של עומסי העבודה יש גישה למפתח הפרטי.

   gcloud iam workload-identity-pools providers keys describe KEY_ID \
       --workload-identity-pool WORKLOAD_POOL_ID \
       --provider WORKLOAD_PROVIDER_ID \
       --location global \
       --format "value(keyData.key)" \
       > CERTIFICATE_PATH

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫KEY_ID: שם המפתח
   • ‫WORKLOAD_POOL_ID: מזהה המאגר
   • ‫WORKLOAD_PROVIDER_ID: המזהה של ספק מאגר הזהויות של כוח העבודה
   • CERTIFICATE_PATH: הנתיב שבו האישור ייכתב. לדוגמה: saml-certificate.cer או saml-certificate.pem

   הגדרת ה-IdP שתואם ל-SAML 2.0 להנפקה של טענות נכונות (assertions) מוצפנות של SAML

   1. מעבירים את קובץ האישור לשרת AD FS.
   2. בשרת AD FS, לוחצים לחיצה ימנית על Start (או מקישים על Win+X) ואז לוחצים על Windows PowerShell (Admin).
   3. ב-PowerShell, מריצים את הפקודה הבאה כדי להפעיל את ההצפנה:

              Set-AdfsRelyingPartyTrust `
              -TargetName NAME `
              -SamlResponseSignature MessageAndAssertion `
              -EncryptionCertificate PATH `
              -EncryptClaims $True
          

      מחליפים את הערכים בשדות הבאים:

      • NAME: שם האמון של הצד הנסמך
      • ‫PATH: הנתיב של קובץ האישור

   משתמשי WS-Trust: התכונה זמינה רק כשמשתמשים ב-SAML.

   אחרי שמגדירים את IdP להצפנת טענות נכונות (assertions) של SAML, מומלץ לבדוק שטענות הנכונות (assertions) שנוצרות הן אכן מוצפנות. גם כשמוגדרת הצפנת טענות נכונות (assertions) של SAML, איחוד שירותי אימות הזהות של עומסי עבודה עדיין יכול לעבד טענות נכונות (assertions) בטקסט ללא הצפנה.

   מחיקת מפתחות ההצפנה של איחוד שירותי אימות הזהות של עומסי עבודה

   כדי למחוק מפתחות הצפנה של SAML, צריך להריץ את הפקודה הבאה:

     gcloud iam workload-identity-pools providers keys delete KEY_ID \
         --workload-identity-pool WORKLOAD_POOL_ID \
         --provider WORKLOAD_PROVIDER_ID \
         --location global

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫KEY_ID: שם המפתח
   • ‫WORKLOAD_POOL_ID: מזהה המאגר
   • ‫WORKLOAD_PROVIDER_ID: המזהה של ספק מאגר הזהויות של כוח העבודה

   באילו אלגוריתמים אפשר להשתמש להצפנה ב-SAML

   איחוד שירותי אימות הזהות של עומסי עבודה תומך באלגוריתמים הבאים לתעבורת מפתחות:

   • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
   • http://www.w3.org/2009/xmlenc11#rsa-oaep"
   • http://www.w3.org/2001/04/xmlenc#rsa-1_5"

   איחוד שירותי אימות הזהות של עומסי עבודה תומך באלגוריתמים הבאים של הצפנת בלוקים:

   • http://www.w3.org/2001/04/xmlenc#aes128-cbc
   • http://www.w3.org/2001/04/xmlenc#aes192-cbc
   • http://www.w3.org/2001/04/xmlenc#aes256-cbc
   • http://www.w3.org/2009/xmlenc11#aes128-gcm
   • http://www.w3.org/2009/xmlenc11#aes256-gcm

OIDC

התכונה הזו זמינה רק כשמשתמשים ב-SAML.

SAML או WS-Trust

1. יוצרים מפתח הצפנה לספק מאגר הזהויות של עומסי עבודה:

   gcloud iam workload-identity-pools providers keys create rsa2048 \
       --workload-identity-pool=POOL_ID \
       --provider=WORKLOAD_PROVIDER_ID \
       --location=global \
       --use=ENCRYPTION \
       --spec=RSA_2048
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫WORKLOAD_PROVIDER_ID: מזהה הספק.
   • ‏POOL_ID: מזהה המאגר.

   זוג המפתחות מאוחסן ומנוהל על ידי איחוד שירותי אימות הזהות של עומסי העבודה. אפשר לייצא את המפתח הציבורי, אבל רק לאיחוד שירותי אימות הזהות של עומסי העבודה יש גישה למפתח הפרטי.

2. מייצאים אישור שמכיל את המפתח הציבורי:

   gcloud iam workload-identity-pools providers keys describe rsa2048 \
       --workload-identity-pool=POOL_ID \
       --provider=WORKLOAD_PROVIDER_ID \
       --location=global \
       --format="value(keyData.key)" > workload-identity-federation.cer
   

3. מעבירים את קובץ האישור לשרת AD FS.

4. בשרת AD FS, לוחצים לחיצה ימנית על Start ואז לוחצים על Windows PowerShell (Admin).

5. ב-PowerShell, משנים את אמון הצד הנסמך כך שישתמש בהצפנה:

   Set-AdfsRelyingPartyTrust `
     -TargetName NAME `
     -SamlResponseSignature MessageAndAssertion `
     -EncryptionCertificate PATH `
     -EncryptClaims $True
   

   מחליפים את מה שכתוב בשדות הבאים:

   • NAME: שם האמון של הצד הנסמך
   • ‫PATH: הנתיב של קובץ האישור

גישה ישירה למשאבים

אפשר להעניק גישה לזהות מאוחדת ישירות למשאבים באמצעות מסוף Google Cloud או ה-CLI של gcloud.

התחזות לחשבון שירות

1. כדי ליצור חשבון שירות לעומס העבודה החיצוני, צריך לבצע את הפעולות הבאות:

   1. Enable the IAM, Security Token Service, and Service Account Credentials APIs.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the APIs

   2. יצירת חשבון שירות שמייצג את עומס העבודה. מומלץ להשתמש בחשבון שירות ייעודי לכל עומס עבודה. חשבון השירות לא חייב להיות באותו פרויקט כמו מאגר הזהויות של עומסי העבודה, אבל אתם צריכים להפנות לפרויקט שמכיל את חשבון השירות.

   3. הענקת גישה לחשבון השירות למשאבים שאליהם רוצים שלזהויות חיצוניות תהיה גישה.

2. כדי לאפשר לזהות המאוחדת להתחזות לחשבון השירות, מבצעים את הפעולות הבאות:

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"