Accedi agli ambienti con la federazione delle identità della forza lavoro

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Questa pagina descrive come configurare l'accesso utente al tuo ambiente Cloud Composer con la federazione delle identità della forza lavoro.

Informazioni sulla federazione delle identità della forza lavoro in Cloud Composer

La federazione delle identità della forza lavoro ti consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare una forza lavoro, ovvero un gruppo di utenti, come dipendenti, partner e appaltatori, utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud. Per ulteriori informazioni sulla forza lavoro federazione delle identità, consulta Federazione delle identità per la forza lavoro.

Se nel tuo progetto è configurata la federazione delle identità per la forza lavoro, puoi accedere al tuo ambiente nei seguenti modi:

  • Pagina Cloud Composer nella console Google Cloud
  • Interfaccia utente di Airflow
  • Interfaccia a riga di comando Google Cloud, inclusa l'esecuzione di comandi Airflow CLI
  • API Cloud Composer
  • API REST Airflow

Prima di iniziare

  • Tutti i nuovi ambienti Cloud Composer creati a partire dalla versione 2.1.11 e dalla versione 2.4.3 di Airflow supportano la federazione delle identità del personale. Non è necessario configurare in qualsiasi modo specifico per supportare la federazione delle identità della forza lavoro.

  • Gli ambienti creati prima della versione 2.1.11 e della versione Airflow 2.4.3 e di cui è stato eseguito l'upgrade alle versioni successive non supportano la federazione delle identità del personale. Puoi verificare se il tuo ambiente supporta la federazione delle identità della forza lavoro.

  • Limitazioni di Cloud Storage per la federazione delle identità della forza lavoro si applicano al bucket dell'ambiente. In particolare, devi abilitare l'accesso uniforme a livello di bucket. sul bucket dell'ambiente per consentire alle identità esterne di caricare i DAG in questo bucket.

  • Le email inviate da Airflow includono solo l'URL dell'interfaccia utente di Airflow per gli account Google. Poiché le identità esterne possono accedere all'interfaccia utente di Airflow solo tramite l'URL dell'interfaccia utente di Airflow per le identità esterne, il link deve essere modificato (deve essere impostato sull'URL per le identità esterne).

Configura l'accesso all'ambiente con la federazione delle identità della forza lavoro

Questa sezione descrive i passaggi per configurare l'accesso per le identità esterne al tuo ambiente Cloud Composer.

Configura il tuo provider di identità

Configura la federazione delle identità per la forza lavoro per il tuo provider di identità seguendo la guida Configurare la federazione delle identità per la forza lavoro.

Concedi ruoli IAM a identità esterne

In Identity and Access Management, concedi i ruoli IAM a insiemi di identità esterne in modo che possano accedere e interagire con il tuo ambiente:

Verifica che i nuovi utenti ricevano i ruoli di Airflow corretti nel controllo dell'accesso alla UI di Airflow

Cloud Composer gestisce gli utenti di Airflow per le identità esterne allo stesso modo degli utenti di Account Google. Invece di un indirizzo email, viene utilizzato un identificatore principale. Quando un'identità esterna accede alla UI di Airflow per la prima volta, viene L'utente Airflow viene registrato automaticamente nell'accesso basato sui ruoli di Airflow di controllo con il ruolo predefinito.

Verifica che i nuovi utenti ricevano i ruoli Airflow corretti in Controllo dell'accesso all'UI di Airflow. Sono disponibili due opzioni:

  • Consenti alle identità esterne di ricevere il ruolo predefinito dopo aver eseguito l'accesso per la prima volta all'UI di Airflow. Se necessario, gli utenti amministratori di Airflow possono quindi modificare questo ruolo a un altro.
  • Preregistra le identità esterne con un set dei ruoli richiesti aggiungendo i record utente Airflow con il nome utente e campi email impostati sugli identificatori entità. In questo modo, le risorse esterne alle identità viene assegnato il ruolo che hai assegnato loro, non il ruolo predefinito.

Verificare se un ambiente supporta la federazione delle identità della forza lavoro

Per verificare se il tuo ambiente supporta la federazione delle identità per la forza lavoro, esegui il seguente comando Google Cloud CLI. Se l'output mostra un URI, il tuo ambiente supporta la federazione delle identità della forza lavoro.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Sostituisci:

  • ENVIRONMENT_NAME con il nome dell'ambiente.
  • LOCATION con la regione in cui si trova l'ambiente.

Esempio:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Accedi alla pagina Cloud Composer nella console Google Cloud

La console della federazione delle identità per la forza lavoro di Google Cloud consente di accedere alla pagina di Cloud Composer.

Dalla pagina Composer della console della federazione delle identità della forza lavoro di Google Cloud, puoi accedere all'interfaccia utente per la gestione degli ambienti, dei log di Cloud Composer, del monitoraggio e dell'interfaccia utente DAG.

Tutti i link alla UI di Airflow nella console federata puntano alla UI di Airflow punto di accesso per le identità esterne.

Gli ambienti in versioni precedenti alla 2.1.11 e/o alle versioni di Airflow precedenti alla 2.4.3 potrebbero avere i link all'interfaccia utente di Airflow contrassegnati come "Non disponibile". Ciò indica che questo ambiente non supporta gli utenti della federazione delle identità della forza lavoro nell'interfaccia utente di Airflow. È possibile accedere all'interfaccia utente di Airflow per questo ambiente solo con gli Account Google.

Accedi alla UI di Airflow

Gli ambienti Cloud Composer hanno due URL per l'interfaccia utente di Airflow: uno per gli Account Google e un altro per le identità esterne. Identità esterne deve accedere alla UI di Airflow tramite l'URL per le identità esterne.

  • L'URL per le identità esterne è https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.

  • L'URL per gli Account Google è https://<UNIQUE_ID>.composer.googleusercontent.com.

Solo gli utenti autenticati con identità esterne possono accedere all'URL. per le identità esterne. Se un utente visita l'URL per le identità esterne senza aver eseguito l'accesso, viene prima reindirizzato al portale di autenticazione, dove deve specificare il nome del provider del pool di personale, poi al proprio provider di identità per accedere e infine all'interfaccia utente di Airflow dell'ambiente.

Accedi all'interfaccia utente del DAG nella console Google Cloud

L'UI DAG è disponibile per gli utenti con identità esterni nell'ambito della console federata. Puoi controllare l'accesso con i criteri IAM.

Accesso basato sui ruoli di Airflow negli ambienti con identità della forza lavoro completa viene preso in considerazione anche il supporto della federazione e può essere utilizzato per limitare quali I DAG sono visibili per i singoli utenti impostando ruoli, come descritto in Usare il controllo dell'accesso alla UI di Airflow.

Accedi a Google Cloud CLI

Per accedere all'ambiente tramite Google Cloud CLI, le identità esterne devono segui questi passaggi:

  1. Accedi con Google Cloud CLI utilizzando un'identità esterna.
  2. Esegui i comandi gcloud composer environments.

Accedere all'API Cloud Composer

L'API Cloud Composer può essere utilizzata con identità esterne per gestire tutti gli ambienti Composer con i metodi di autenticazione supportati, come i token OAuth.

API REST Airflow

L'API REST di Airflow è disponibile all'endpoint per le identità esterne con i metodi di autenticazione supportati, come i token OAuth.

Per ottenere l'URL dell'endpoint per le identità esterne del tuo ambiente, utilizza il comando gcloud composer environments describe, come mostrato nella sezione Verificare se un ambiente supporta la federazione delle identità per la forza lavoro.

Passaggi successivi