Identity-Föderation: Produkte und Einschränkungen

• Zusammenfassungskarten für Leistung und Sicherungen
• Daten in der Clustertabelle, z. B. verfügbarer CPU-Prozentsatz und Arbeitsspeicher

• Die Verwaltung von OAuth-Marken wird nicht unterstützt.
• Die Verwaltung von OAuth-Marken wird nicht unterstützt.

• Container Registry unterstützt keine Identitätsföderation. Auf der Seite „Einstellungen“ befindet sich ein Info-Banner in der Container Registry-Umstellung.

• Die folgenden Features unterstützen die Workload Identity-Föderation mit BigQuery nicht:
  • Verbundene Tabellenblätter
  • Google Drive
• Die folgenden Vorgänge unterstützen die Workload Identity-Föderation nicht:
  • Daten aus Amazon S3- oder Azure Blob-Speicher über die 101} Connection API
  • Daten aus Google Drive laden

Bei Verwendung der analyzeIamPolicy oder analyzeIamPolicyLongrunning -Methode können föderierte Identitäten aus folgenden Gründen unvollständige Analyseergebnisse erhalten:

• Föderierte Identitäten können nicht die Mitgliedschaft von Google-Gruppen in Zulassungsrichtlinien prüfen. Wenn föderierte Identitäten den Zugriff für ein Hauptkonto analysieren, enthalten die Abfrageergebnisse daher keine Berechtigungen und Rollen, die das Hauptkonto aufgrund seiner Mitgliedschaft in einer Gruppe hat.
• Bei der Analyse des Zugriffs können föderierte Identitäten die Option expand_groups nicht aktivieren.

analyzeMove wird von der Identitätsföderation nicht unterstützt.

• Nur Rechnungskonten mit monatlicher Abrechnung werden unterstützt. Folgende Funktionen werden nicht unterstützt:
  • BigQuery-Preisexporteinstellungen bearbeiten
  • Cloud-Rechnungskonto ändern
  • Rechnungsdokumente zu Zahlungen ansehen
  • Zahlungstransaktionen ansehen
  • Abrechnungsnutzer des Zahlungsprofils und Benachrichtigungseinstellungen zu Zahlungen verwalten

• Nur Rechnungskonten mit monatlicher Abrechnung unterstützen die Identitätsföderation und die folgenden Cloud Billing Account APIs unterstützen nicht die Identitätsföderation:
  • billingAccounts.create
  • billingAccounts.patch

• Cloud Composer unterstützt die Workforce Identity-Föderation nur für Umgebungen, die in Composer Version 2.1.11 oder höher und in Airflow-Version 2.4.3 oder höher erstellt wurden. Durch das Upgrade einer Umgebung von einer früheren Version wird die Workforce Identity Federation-Unterstützung nicht aktiviert.
• Von Airflow gesendete E-Mails enthalten nur den Link zur Airflow-Benutzeroberfläche, auf den Google-Konten zugreifen können. Für den Zugriff auf die Airflow-UI als Nutzer der Mitarbeiteridentitätsföderation muss der Link manuell aktualisiert werden (in die URL für Nutzer der Mitarbeiteridentitätsföderation geändert werden).
• Für den Cloud Composer-Umgebungs-Bucket gelten die Cloud Storage-Einschränkungen.

• Die Spracheinstellung wird bei der Anmeldung gewählt und kann nicht in der Console aktualisiert werden.
• Produktbenachrichtigungen, Aktualisierungen und Angebote können nicht auf der Seite Kommunikationseinstellungen aktiviert werden.
• Die Personalisierung auf Basis Ihrer Aktivitäten in der Google Cloud Console wird nicht unterstützt.
• Die Seite Zentrum für Transparenz und Kontrolle ist nicht verfügbar.

• Aufgrund der Einschränkungen von Cloud Billing für die Identitätsföderation von Mitarbeitern ist der Support für die Abrechnung nur für den Administrator der Organisation über das Google Cloud-Konto zugänglich, das zum Einrichten des Rechnungskonto verwendet wurde.
• Nutzer von Identitätsföderationen können Dateien mit Supportfall hochladen, aber nicht herunterladen. Diese Dateien sind für die Supporttechniker sichtbar, die Ihre Fälle bearbeiten.
• Kontaktdaten (z. B. E-Mail-Adresse) können für Nutzer von Identitäts-Föderationen nicht mehr geändert werden, sobald die Interaktion mit dem Support begonnen hat.

• Vorhandene VPC-Connectors werden nicht für die Workforce Identity-Föderation aufgeführt. Sie müssen sie manuell erstellen.
• Worker-Pools erstellen werden für die Mitarbeiteridentitätsföderation nicht unterstützt.
• Das Testen vor der Bereitstellung wird für die Mitarbeiteridentitätsföderation nicht unterstützt.

• Nutzer, die mit einer Identitätsföderation angemeldet wurden, können Annotationen aufrufen, die Vorfällen zu messwertbasierten Richtlinien hinzugefügt werden. Diese Nutzer können jedoch keine Annotationen hinzufügen.
• Nutzer, die mit einer Identitätsföderation angemeldet wurden, können Annotationen aufrufen, die Vorfällen zu logbasierten Richtlinien hinzugefügt werden. Diese Nutzer können jedoch keine Annotationen hinzufügen.

• Die kontinuierliche Bereitstellung mit Cloud Build ist für die Workforce Identity-Föderation deaktiviert.
• Vorhandene VPC-Connectors werden nicht für die Workforce Identity-Föderation aufgeführt. Sie müssen sie manuell erstellen.

• Die kontinuierliche Bereitstellung mit Cloud Build unterstützt nicht die Mitarbeiteridentitätsföderation.
• Die Registrierung einer Domain bei Cloud Domains unterstützt nicht die Mitarbeiteridentitätsföderation.

• Der Tab „App Engine-Cronjobs“ ist für Nutzer der Workforce Identity-Föderation nicht verfügbar.
• Die App Engine-Option in der Zieltypkonfiguration ist für Nutzer der Workforce Identity-Föderation nicht verfügbar.

• Der Hilfeassistent wird nicht unterstützt.
• Die IAM-Datenbankauthentifizierung für Nutzeranmeldungen wird für Datenbanken von Cloud SQL for MySQL oder Cloud SQL for PostgreSQL nicht unterstützt.

• Zum Aufrufen von Objektdetails muss ein einheitlicher Zugriff auf Bucket-Ebene für den Bucket aktiviert sein.
• Die Verarbeitung mit Cloud Functions wird nicht unterstützt.
• Das Scannen mit Cloud Data Loss Prevention wird nicht unterstützt.

• Die Identitätsföderation mit allen Cloud Storage APIs wird nur für Buckets mit einheitlichem Zugriff auf Bucket-Ebene unterstützt. Der Zugriff im Rahmen der Identitätsföderation auf Buckets mit detaillierten Zugriffssteuerungslisten (Access Control Lists, ACLs) wird verweigert.
• Alle Nutzer und Arbeitslasten können vorhandene signierte URLs verwenden. Nutzer und Arbeitslasten der Identitätsföderation können jedoch keine signierten URLs generieren.
• Nutzer und Arbeitslasten von Identitätsföderationen können keine Änderungsbenachrichtigung für Objekte verwenden.

• App Engine-Warteschlangen: Da App Engine-Warteschlangen (Warteschlangen, die mithilfe einer queue.yaml or queue.xml -Datei) nur Aufgaben mit App Engine-Zielen enthalten, werden Aufgaben in diesen Warteschlangen nicht unterstützt.
• Reguläre Warteschlangen: Für reguläre Cloud Tasks-Warteschlangen werden Aufgaben mit HTTP-Zielen unterstützt. Aufgaben mit App Engine-Zielen werden nicht unterstützt, obwohl die Warteschlange keine App Engine-Warteschlange ist.

• Für den Image-Import und -Export in/aus einen Cloud Storage-Bucket muss der einheitliche Zugriff auf Bucket-Ebene für den Bucket aktiviert sein.
• VMware Engine wird nicht unterstützt.
• Bare-Metal-Lösung wird nicht unterstützt.

• In Hauptkonten der Google Cloud Console und den APIs hinzufügen , unterstützt das Textfeld Gruppen-ID nicht die automatische Vervollständigung oder bietet keine Validierung für Nutzer der Mitarbeiteridentitätsföderation.
• Bei Nutzern der Mitarbeiteridentitätsföderation werden Google-Gruppen anhand ihrer IDs anstelle ihrer Namen identifiziert.

• Dataplex Explore Workbench unterstützt nicht die Workforce Identity-Föderation.
• Geplante Skripts und Notebooks über die Workbench unterstützen nicht die Mitarbeiteridentitätsföderation.
• Die Sichere Ansicht unterstützt nicht die Mitarbeiteridentitätsföderation.

• Nutzer von Identitätsföderationen für Mitarbeiter können Vorgänge zum Erstellen, Aufrufen, Aktualisieren und Löschen auf Seiten der Cluster-, Job- und Batch-Liste ausführen. Workflows, Autoscaling-Richtlinien und Komponentenaustausch sind für Nutzer von Identitätsföderationen nicht verfügbar.
• Die Funktion zur Clustererstellung ist verfügbar, mit Ausnahme von Dataproc in GKE-Clustererstellung, Dataproc Compute Engine-Cluster mit persönlicher Authentifizierung oder mit aktiviertem Component Gateway.
• Der Bereich Ausgabe auf der Seite „Batch- und Jobdetails“ ist für Nutzer von Workforce Identity Federation nicht verfügbar.
• Der Abschnitt Benachrichtigung empfehlen auf der Seite "Cluster und Jobliste" ist für Nutzer von Workforce Identity Federation nicht verfügbar.

• Dataproc auf GKE
• Persönliche Cluster Dataproc-Authentifizierung
• Dataproc-Dienstkonto – sichere Mehrmandantenfähigkeit

• Sicherheitsregeln unterstützen nicht die Mitarbeiteridentitätsföderation.
• Key Visualizer unterstützt nicht die Mitarbeiteridentitätsföderation.

• Wenn Sie sich bei einem externen (GKE-Enterprise-)Cluster anmelden, ist die Option Google-Identität verwenden nicht für die Mitarbeiteridentitätsföderation verfügbar.
• Wenn Sie externe (GKE Enterprise) Cluster erstellen oder anhängen, werden Sie nicht automatisch als Administrator für die Mitarbeiteridentitätsföderation hinzugefügt.

• Cloud Marketplace enthält Links zu Google-Domains, die möglicherweise keine Mitarbeiteridentitätsföderation unterstützen.
• Die Schaltfläche Starten ist für alle VM-Produkte deaktiviert, die Deployment Manager verwenden, da Deployment Manager die Workforce Identity-Föderation nicht unterstützt.
• Die SaaS-Registrierung und die SSO-Anmeldung unterstützen keine Workforce Identity Federation.
• Producer Portal unterstützt keine Mitarbeiteridentitätsföderation.
• Beschaffung anfordern unterstützt keine Mitarbeiteridentitätsföderation.
• Service Catalog unterstützt keine Mitarbeiteridentitätsföderation.

• Das Exportieren der Gesamtbetriebskostenberichte (TCO Berichte) wird für Nutzer der Mitarbeiteridentitätsföderation nicht unterstützt.
• Das Exportieren von Assets wird für Nutzer der Mitarbeiteridentitätsföderation nicht unterstützt.

• In der Spalte Name der IAM-Tabelle werden keine Anzeigenamen für Google-Identitäten angezeigt.
• Wenn Sie neue Hauptkonten hinzufügen, um Richtlinien zuzulassen, unterstützt das Textfeld Hauptkonten hinzufügen nur die automatische Vervollständigung von Dienstkonten.
• Das Textfeld Ausgenommenes Hauptkonto hinzufügen auf der Seite Audit-Logs unterstützt Automatische Vervollständigung von Dienstkonten

• Auf dem Tab "Anwendungen" ist die Spalte Methode deaktiviert, sodass Nutzer keine externen Identitäten für die Autorisierung verwenden können.
• Auf dem Tab "Anwendungen" können App Engine-Ressourcen nicht aufgelistet werden.
• Das Element Zur OAuth-Konfiguration im more_vert -Aktionsmenü ist nicht verfügbar.
• Auf dem Tab Anwendungen können lokale Connectors nicht hinzugefügt oder aufgelistet werden.

• Föderierte Identitäten werden für IAP-geschützte Webressourcen wie Compute Engine, GKE und App Engine nicht unterstützt.
• Föderierte Identitäten für TCP-Weiterleitungsressourcen von IAP werden nur in der gcloud CLI unterstützt.

• Memorystore for Redis
• Memorystore for Redis Cluster
• Memorystore for Memcached

Die folgenden Policy Intelligence-Features haben Einschränkungen für Nutzer von Workforce Identity Federation, die die Google Cloud Workforce Identity Federation-Konsole verwenden:

• Richtlinien-Fehlerbehebung : Nutzer der Mitarbeiteridentitätsföderation können den Zugriff in der Console (föderiert) nicht beheben.
• Policy Analyzer : Nutzer der Mitarbeiteridentitätsföderation können den Zugriff in der Console (föderiert) nicht analysieren.
• Richtliniensimulator : Nutzer der Mitarbeiteridentitätsföderation können keine Änderungen an einer Zulassungsrichtlinie in der Console (föderiert) simulieren.
• IAM Recommender : Nutzer der Mitarbeiteridentitätsföderation können keine Empfehlungen in der Console (föderiert) ansehen.

Die folgenden Policy Intelligence-Features haben API-Einschränkungen für föderierte Identitäten:

• Richtlinien-Fehlerbehebung : Föderierte Identitäten können nicht die Mitgliedschaft von Google-Gruppen in Zulassungs- und Ablehnungsrichtlinien oder die Mitgliedschaft von Cloud Identity-Konten (Domains) in Ablehnungsrichtlinien prüfen. 101} Wenn föderierte Identitäten die iam.troubleshoot Methoden aufrufen, haben Rollenbindungen und Ablehnungsregeln, die Gruppen oder Domänen enthalten, ein Zugriffsergebnis von Unbekannt , es sei denn, die Rollenbindung oder Ablehnungsregel schließt das Hauptkonto ausdrücklich ein.

• Beim Aufrufen der analyzeIamPolicy oder analyzeIamPolicyLongrunning -Methode erhalten föderierte Identitäten aus folgenden Gründen unvollständige Analyseergebnisse, weil:

  • Föderierte Identitäten können nicht die Mitgliedschaft von Google-Gruppen in Zulassungsrichtlinien prüfen. Wenn föderierte Identitäten den Zugriff für ein Hauptkonto analysieren, enthalten die Abfrageergebnisse daher keine Berechtigungen und Rollen, die das Hauptkonto aufgrund seiner Mitgliedschaft in einer Gruppe hat.
  • Bei der Analyse des Zugriffs können föderierte Identitäten die Option expand-groups nicht aktivieren.

  Föderierte Identitäten können die folgenden API-Methoden nicht verwenden:

  • analyzeMove
• Policy Simulator : Föderierte Identitäten können die Policy Simulator API ( policysimulator.googleapis.com ) nicht verwenden.
• Activity Analyzer : Föderierte Identitäten können die Policy Analyzer API ( policyanalyzer.googleapis.com ) nicht verwenden.
• IAM Recommender : Föderierte Identitäten können die Recommender API ( recommender.googleapis.com ) nicht verwenden.

• Die Multi-Faktor-Authentifizierung per E-Mail kann von Nutzern der Workforce Identity Federation nicht konfiguriert werden. Wenn Sie Hilfe benötigen, wenden Sie sich an den Vertrieb .
• Die Demowebsite in Cloud Shell wird für Nutzer von Workforce Identity Federation nicht unterstützt.

• Nutzer von Identitätsföderationen können nur die Organisation aufrufen und bearbeiten, für die sie konfiguriert wurden. Andere Organisationen, denen die Nutzer hinzugefügt werden, werden in der Google Cloud Console nicht angezeigt.
• Die Wartezeit für bestimmte Vorgänge dauert es länger, bis z. B. ein Projekt oder ein Ordner erstellt wird.

• Informationen zu Nutzerereignissen sind für Nutzer von Workforce Identity Federation ausgeblendet.
• Merchant Center-Konten werden für Nutzer der Mitarbeiterföderation nicht unterstützt.
• Bereitstellungskonfigurationen -Analysen und Nutzungsanzahl werden für Nutzer von Workforce Identity Federation ausgeblendet.
• Modelldatenanforderungen sind für Nutzer von Workforce Identity Federation ausgeblendet.

• UpdateCatalog
• ImportCompletionData
• TuneModel
• ImportProducts
• PurgeProducts
• ImportUserEvents
• ImportUserEvents
• PurgeUserEvents
• RejoinUserEvents

• Ergebnisse in eine CSV-Datei exportieren
• Ergebnisse nach Cloud Storage exportieren
• Schaltfläche Feedback senden
• Google SecOps-Exporteinstellungen können in der föderierten Umgebung nicht verwaltet werden, sodass auf der Seite Kontinuierliche Exporte das Google SecOps-Banner nicht verfügbar ist.
• Warndialog, der angibt, dass der Aktivierungsstatus standardmäßig auf der Seite „Dienstaktivierung“ übernommen wird
• Der Sicherheitsstatus-Dienst kann nicht über die Google Cloud Console verwaltet werden.

1. Hinzufügen eines Dienstkontos für Domaininhaber mit Websiteüberprüfungs-API
2. Nehmen Sie die Identität dieses Dienstkontos an , um einen verwalteten Dienst zu erstellen.

• Colab Enterprise unterstützt keine Mitarbeiteridentitätsföderation.
• Vertex AI Workbench unterstützt nicht die Mitarbeiteridentitätsföderation.

• Zugriffsrichtlinien
• Regeln für ein- und ausgehenden Traffic in Dienstperimetern

• v1alpha APIs sind für föderierte Identitäten nicht verfügbar.
• Nutzer der Mitarbeiteridentitätsföderation können nicht zu Regeln für eingehenden Traffic für Dienstperimeter hinzugefügt werden.
• Workload Identity-Föderationsarbeitslasten können nicht zu Regeln für eingehenden und ausgehenden Traffic für Dienstperimeter hinzugefügt werden. Sie müssen die Identität des Dienstkontos anstelle der Workload Identity-Föderation verwenden.