Fédération des identités : produits et limites

• Fiches récapitulatives sur les performances et les sauvegardes
• Données de table des clusters, telles que le pourcentage de processeur et la mémoire disponible

• La gestion des clients OAuth n'est pas prise en charge.
• La gestion des marques OAuth n'est pas prise en charge.

• Container Registry n'est pas compatible avec la fédération d'identité. Une bannière d'informations figure sur la page des paramètres, dans la section Transition à partir de Container Registry.

• Les fonctionnalités suivantes ne prennent pas en charge la fédération des identités des employés avec BigQuery :
  • Feuilles connectées
  • Google Drive
• Les opérations suivantes ne sont pas compatibles avec la fédération des identités des employés :
  • Charger des données depuis Amazon S3 ou Azure Blob Storage via l'API Connection
  • Charger des informations depuis Google Drive

Lorsque vous utilisez le analyzeIamPolicy ou le analyzeIamPolicyLongrunning , les identités fédérées peuvent recevoir des résultats d'analyse incomplets pour les raisons suivantes :

• Les identités fédérées ne peuvent pas vérifier l'appartenance à des groupes Google dans les stratégies d'autorisation. Par conséquent, lorsque les identités fédérées analysent l'accès d'un compte principal, les résultats de la requête n'incluent pas les autorisations ni les rôles dont dispose le compte principal en raison de son appartenance à un groupe.
• Lors de l'analyse de l'accès, les identités fédérées ne peuvent pas activer l'option expand_groups .

analyzeMove n'est pas compatible avec la fédération des identités.

• Seuls les comptes de facturation sont compatibles. Les fonctionnalités suivantes ne sont pas compatibles :
  • Modifier les paramètres d'exportation des tarifs de BigQuery
  • Modifier votre compte de facturation Cloud
  • Consulter les documents de facturation
  • Afficher les transactions de paiement
  • Gérer les utilisateurs du profil de paiement pour la facturation et les paramètres de notification de paiement

• Seuls les comptes de facturation sont compatibles avec la fédération des identités et les API de compte de facturation Cloud suivantes ne sont pas compatibles avec la fédération des identités :
  • billingAccounts.create
  • billingAccounts.patch

• Cloud Composer n'est compatible avec la fédération des identités des employés que pour les environnements créés dans Composer version 2.1.11 ou ultérieure et Airflow version 2.4.3 ou ultérieure. La mise à niveau d'un environnement à partir d'une version antérieure n'active pas la fédération des identités des employés.
• Les e-mails envoyés depuis Airflow n'incluent que le lien vers l'interface utilisateur Airflow accessible par les comptes Google. Pour accéder à l'UI Airflow en tant qu'utilisateur de la fédération des identités des employés, le lien doit être mis à jour manuellement (remplacé par l'URL des utilisateurs de la fédération des identités des employés).
• Les limites de Cloud Storage s'appliquent au bucket de l'environnement Cloud Composer.

• Les préférences linguistiques sont sélectionnées au moment de l'authentification et ne peuvent pas être mises à jour dans la console.
• La page Préférences de communication.ne vous permet pas d'activer les notifications, les mises à jour et les offres de produits.
• La personnalisation basée sur l'activité de la console Google Cloud n'est pas gérée.
• La page Centre de contrôle et de transparence n'est pas disponible.

• En raison des limitations de Cloud Billing pour la fédération des identités des employés, l'assistance liée à la facturation n'est accessible qu'à l'administrateur de l'organisation via le compte Google Cloud utilisé pour configurer le compte de facturation.
• Les utilisateurs de la fédération des identités des employés peuvent importer des fichiers liés à la demande d'assistance, mais pas les télécharger. Ces fichiers sont visibles par les ingénieurs de l'assistance qui traitent vos demandes.
• Une fois que l'assistance a démarré, les coordonnées (par exemple, l'adresse e-mail) ne peuvent plus être modifiées pour les utilisateurs de la fédération des identités des employés.

• Les Connecteurs VPC existants ne sont pas répertoriés pour la fédération des identités des employés. Vous devez les créer manuellement.
• Les pools de nœuds de calcul Build ne sont pas compatibles avec la fédération des identités des employés.
• Les tests de prédéploiement ne sont pas compatibles avec la fédération des identités des employés.

• Les utilisateurs connectés à l'aide de la fédération des identités peuvent afficher les annotations ajoutées aux incidents pour les règles basées sur des métriques, mais pas en ajouter.
• Les utilisateurs connectés à l'aide de la fédération des identités peuvent afficher les annotations ajoutées aux incidents pour les règles basées sur les journaux, mais pas en ajouter.

• Le déploiement continu avec Cloud Build est désactivé pour la fédération des identités des employés.
• Les Connecteurs VPC existants ne sont pas répertoriés pour la fédération des identités des employés. Vous devez les créer manuellement.

• Le déploiement continu avec Cloud Build n'est pas compatible avec la fédération des identités des employés.
• L'enregistrement d'un domaine avec Cloud Domains n'est pas compatible avec la fédération des identités des employés.

• L'onglet Jobs Cron d'App Engine n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
• L'option App Engine dans la configuration du type de cible n'est pas disponible pour les utilisateurs de la fédération des identités des employés.

• L'assistant d'aide n'est pas pris en charge.
• L'authentification IAM pour les bases de données pour les connexions d'utilisateurs n'est pas disponible pour les bases de données Cloud SQL pour MySQL ouCloud SQL pour PostgreSQL.

• L'affichage des détails de l'objet nécessite l'activation de l'accès uniforme au niveau du bucketpour le bucket.
• Le lancement du processus avec Cloud Functions n'est pas pris en charge.
• L'analyse avec Cloud Data Loss Prevention n'est pas prise en charge.

• La fédération des identités des employés avec toutes les API Cloud Storage n'est possible que pour les buckets définis avec un accès uniforme au niveau du bucket. L'accès de la fédération des identités des employés aux buckets avec des listes de contrôle d'accès (LCA) précises est refusé.
• Bien que tous les utilisateurs et toutes les charges de travail puissent utiliser des URL signées existantes, les utilisateurs et les charges de travail de la fédération des identités ne peuvent pas générer d'URL signées.
• Les utilisateurs et les charges de travail de la fédération des identités ne peuvent pas utiliser la notification de modification d'objet.

• Files d'attente App Engine : Puisque les files d'attente App Engine (files d'attente créées à l'aide d'un fichier queue.yaml ou queue.xml ) ne contiennent que des tâches avec des cibles App Engine, toutes les tâches de ces files d'attente ne sont pas compatibles.
• Files d'attente standards : pour les files d'attente Cloud Tasks standards, les tâches avec des cibles HTTP sont compatibles. Les tâches avec des cibles App Engine ne sont pas acceptées (même si la file d'attente n'est pas une file d'attente App Engine).

• L'importation d'images dans un bucket Cloud Storage et leur exportation nécessite l'activation pour le bucket de l'accès uniforme au niveau du bucket.
• VMware Engine n'est pas compatible.
• La solution Bare Metal n'est pas compatible.

• Dans Ajouter des comptes principaux à la console Google Cloud et aux API, le champ de texte ID du groupe n'est pas compatible avec la saisie semi-automatique et ne fournit pas de validation aux utilisateurs de la fédération des identités des employés.
• Pour les utilisateurs de la fédération des identités des employés, les groupes Google sont identifiés par leur ID plutôt que par leur nom.

• Dataplex Explorer Workbench n'est pas compatible avec la fédération des identités des employés.
• Les scripts et les notebooks programmés via Explorer Workbench ne sont pas compatibles avec la fédération des identités des employés.
• La vue sécurisée n'est pas compatible avec la fédération des identités des employés.

• Les utilisateurs de la fédération des identités des employés peuvent effectuer des opérations de création, d'affichage, de mise à jour et de suppression sur les pages de listes des clusters, des jobs et des lots. Les workflows, les règles d'autoscaling et l'échange de composants ne sont pas disponibles pour les utilisateurs de la fédération des identités des employés.
• La fonctionnalité de création de cluster est disponible à l'exception de la création de cluster Dataproc sur GKE, de cluster Compute Engine avec authentification personnelle ou cluster avec la passerelle des composants activée.
• La section Résultat de la page d'informations sur les lots et les jobs n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
• La section Recommandation d'alerte de la page "Liste des clusters et des jobs" n'est pas disponible pour les utilisateurs de la fédération des identités des employés.

• Dataproc sur GKE
• Authentification personnelle de cluster Dataproc
• Architecture mutualisée sécurisée basée sur un compte de service Dataproc

• Les règles de sécurité ne sont pas compatibles avec la fédération des identités des employés.
• Key Visualizer n'est pas compatible avec la fédération des identités des employés.

• Lorsque vous vous connectez à des clusters externes (GKE Enterprise), l'option Utiliser votre identité Google n'est pas disponible pour la fédération des identités des employés.
• Lorsque vous créez ou associez des clusters externes (GKE Enterprise), vous n'êtes pas automatiquement ajouté en tant qu'administrateur pour la fédération des identités des employés.

• Cloud Marketplace contient des liens vers des domaines Google qui peuvent ne pas être compatibles avec la fédération des identités des employés.
• Le bouton Lancer est désactivé pour tous les produits de VM qui utilisent Deployment Manager, car Deployment Manager n'est pas compatible avec la fédération d'identité des employés.
• L'inscription SaaS et la connexion SSO ne sont pas compatibles avec la fédération d'identité des employés.
• Producer Portal n'est pas compatible avec la fédération des identités des employés.
• La demande d'approvisionnement n'est pas compatible avec la fédération d'identité des employés.
• Service Catalog n'est pas compatible avec la fédération des identités des employés.

• L'exportation des rapports sur le coût total de possession (TCO) n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
• L'exportation des composants n'est pas disponible pour les utilisateurs de la fédération des identités des employés.

• La colonne Nom dans la table IAM ne montre pas les noms à afficher pour les identités Google.
• Lorsque vous ajoutez de nouveaux comptes principaux dans les règles d'autorisation, le champ de texte Ajouter des comptes principaux ne permet que la saisie semi-automatique pour les comptes de service.
• Le champ de texte Ajouter un compte principal exempté de la page Journaux d'audit ne permet que la saisie semi-automatique pour les comptes de service.

• Dans l'onglet "Applications", la colonne Méthode est désactivée. Les utilisateurs ne peuvent pas utiliser d'identités externes pour l'autorisation.
• Dans l'onglet "Applications", les ressources App Engine ne peuvent pas être répertoriées.
• L'élément Accéder à la configuration OAuth du menu d'actions more_vert n'est pas disponible.
• Dans l'onglet Applications, les connecteurs sur site ne peuvent pas être ajoutés ni répertoriés.

• Les identités fédérées ne sont pas compatibles avec les ressources Web protégées par IAP, telles que Compute Engine, GKE et App Engine.
• Les identités fédérées pour les ressources de transfert TCP d'IAP ne sont compatibles qu'avec la gcloud CLI.

• Memorystore pour Redis
• Memorystore for Redis Cluster
• Memorystore pour Memcached

Les fonctionnalités suivantes de Policy Intelligence sont soumises aux limites applicables aux utilisateurs de la fédération des identités des employés qui utilisent la console de la fédération des identités des employés Google Cloud :

• Policy Troubleshooter : les utilisateurs de la fédération des identités des employés ne peuvent pas résoudre les problèmes d'accès dans la console (fédérée).
• Policy Analyzer : les utilisateurs de la fédération des identités des employés ne peuvent pas analyser l'accès dans la console (fédérée).
• Policy Simulator : les utilisateurs de la fédération des identités des employés ne peuvent pas simuler les modifications d'une stratégie d'autorisation dans la console (fédérée).
• Outil de recommandation IAM : les utilisateurs de la fédération des identités des employés ne peuvent pas afficher les recommandations dans la console (fédérée).

Les fonctionnalités suivantes de Policy Intelligence présentent des limites d'API pour les identités fédérées :

• Policy Troubleshooter : Les identités fédérées ne peuvent pas vérifier l'appartenance à des groupes Google dans les stratégies d'autorisation et de refus, ni l'appartenance à des comptes Cloud Identity (domaines) dans les stratégies de refus. Lorsque les identités fédérées appellent la méthode iam.troubleshoot , les liaisons de rôles et les règles de refus qui contiennent des groupes ou des domaines affichent le résultat d'accès Inconnu, sauf si la liaison de rôle ou la règle de refus inclut également explicitement le compte principal.

• Lorsque vous appelez la méthode analyzeIamPolicy ou analyzeIamPolicyLongrunning , les identités fédérées peuvent recevoir des résultats d'analyse incomplets pour les raisons suivantes :

  • Les identités fédérées ne peuvent pas vérifier l'appartenance à des groupes Google dans les stratégies d'autorisation. Par conséquent, lorsque les identités fédérées analysent l'accès d'un compte principal, les résultats de la requête n'incluent pas les autorisations ni les rôles dont dispose le compte principal en raison de son appartenance à un groupe.
  • Lors de l'analyse de l'accès, les identités fédérées ne peuvent pas activer l'option expand-groups .

  Les identités fédérées ne peuvent pas utiliser les méthodes d'API suivantes :

  • analyzeMove
• Policy Simulator : les identités fédérées ne peuvent pas utiliser l'API Policy Simulator ( policysimulator.googleapis.com ).
• Activity Analyzer : les identités fédérées ne peuvent pas utiliser l'API Policy Analyzer ( policyanalyzer.googleapis.com ).
• Outil de recommandation IAM : les identités fédérées ne peuvent pas utiliser l'API Recommender ( recommender.googleapis.com ).

• L'authentification multifacteur par e-mail ne peut pas être configurée par les utilisateurs de la fédération des identités des employés. Pour obtenir de l'aide, contactez le service commercial.
• Le site Web de démonstration dans Cloud Shell n'est pas compatible avec les utilisateurs de la fédération des identités des employés.

• Les utilisateurs de la fédération des identités des employés ne peuvent afficher et utiliser que l'organisation pour laquelle la fédération des identités des employés a été configurée. Les autres organisations auxquelles les utilisateurs sont ajoutés ne s'affichent pas dans la console Google Cloud.
• Les temps d'attente pour la prise en compte de certaines opérations dans l'UI sont longs (par exemple la création d'un projet ou d'un dossier).

• Les informations sur les événements utilisateur sont masquées pour les utilisateurs de la fédération des identités des employés.
• Les comptes Merchant Center ne sont pas compatibles avec les utilisateurs de la fédération des identités des employés.
• Les analyses des configurations de diffusion et le nombre d'utilisations sont masqués pour les utilisateurs de la fédération des identités des employés.
• Les exigences concernant les données de modèle sont masquées pour les utilisateurs de la fédération des identités des employés.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Exporter des résultats dans un fichier CSV
• Exporter des résultats vers Cloud Storage
• Bouton Envoyer des commentaires
• Les paramètres d'exportation Chronicle ne peuvent pas être gérés dans l'environnement fédéré. Par conséquent, la bannière Chronicle n'est pas disponible sur la page Exportations continues.
• Boîte de dialogue d'avertissement indiquant que l'état d'activation est hérité par défaut sur la page "Activation de service"
• Le service Security Posture ne peut pas être géré à l'aide de la console Google Cloud.

1. Ajoutez un compte de service pour les propriétaires de domaines grâce à l'API de validation de site
2. Empruntez l'identité de ce compte de service pour créer un service géré

• Colab Enterprise n'est pas compatible avec la fédération des identités des employés.
• Vertex AI Workbench n'est pas compatible avec la fédération des identités des employés.

• Règles d'accès
• Règles d'entrée et de sortie dans les périmètres de service

• Les API v1alpha ne sont pas disponibles pour les identités fédérées.
• Les utilisateurs de la fédération des identités des employés ne peuvent pas être ajoutés aux règles d'entrée d'un périmètre de service.
• Les charges de travail de la fédération d'identité de charge de travail ne peuvent pas être ajoutées aux règles d'entrée et de sortie d'un périmètre de service. Vous devez utiliser l'emprunt d'identité du compte de service au lieu de la fédération d'identité de charge de travail.