Fédération des identités : produits et limites

Présentation

Cette page fournit des détails sur les limites et le niveau de compatibilité de chaque produit Google Cloud pouvant utiliser la fédération des identités des employés ou la fédération d'identité de charge de travail, collectivement fédération des identités.

Fédération des identités des employés

La fédération des identités des employés permet à votre personnel (employés, fournisseurs, partenaires et autres utilisateurs) d'accéder aux produits Google Cloud via un fournisseur d'identité (IdP). Vos employés peuvent accéder à Google Cloud via la console de fédération des identités des employé Google Cloud, également appelée console (fédérée), la Google Cloud CLI ou une API Google Cloud.

Les limites de la fédération des identités des employés pour la console (fédérée), la Google Cloud CLI et l'API Google Cloud sont répertoriées dans les entrées de l'interface utilisateur et de l'API pour chaque produit.

Fédération d'identité de charge de travail

La fédération d'identité de charge de travail permet à vos charges de travail d'accéder de façon programmatique aux produits Google Cloud à l'aide d'identités fournies par la charge de travail, telles que les rôles IAM pour les charges de travail AWS, les comptes de service Kubernetes pour les charges de travail GKE ou les identités GitHub pour vos pipelines de déploiement.

Les limites de la fédération d'identité de charge de travail pour la Google Cloud CLI et les API Google Cloud, collectivement les limites d'API, sont répertoriées dans les entrées Google Cloud API limitations pour chaque produit, plus loin dans ce document.

Utilisateurs de VPC Service Controls : les règles d'entrée et de sortie du périmètre de service pour les charges de travail n'acceptent que les comptes de service. Par conséquent, les charges de travail de la fédération d'identité de charge de travail peuvent accéder aux ressources situées dans un périmètre uniquement via l'emprunt d'identité d'un compte de service. Découvrez comment utiliser l'emprunt d'identité d'un compte de service pour les charges de travail fédérées.

Produits Google Cloud et limites

Le tableau de cette section répertorie les produits, leur niveau de compatibilité avec la fédération des identités, leurs limites et d'autres informations.

Organisation

Le tableau des limites est organisé de la manière suivante :

  • Produit : nom du produit
  • Étape de lancement de la fédération des identités:fait référence à l'étape de lancement de la compatibilité du produit avec la fédération des identités. L'étape de lancement ne fait pas référence à l'étape de lancement du produit lui-même.
  • Colonnes décrivant les produits compatibles:
    • API Google Cloud:limites liées à la fédération des identités du produit associées aux méthodes d'API et aux commandes de la gcloud CLI qui accèdent à ces méthodes
    • Console (fédérée) : limites de l'interface utilisateur de la console (fédérée) liée à la fédération des identités des employés du produit
    • Autres:limites liées à la fédération des identités du produit qui ne sont pas des limites de l'API Google Cloud ou de la console (fédérée)
  • Colonnes décrivant les produits non compatibles:
    • Alternatives:pour les produits non compatibles avec la fédération des identités, cette colonne décrit d'autres produits compatibles avec la fédération des identités et fournissant des fonctionnalités similaires.

Liste des produits et limites

Étape de lancement
Produit Étape de lancement de la fédération des identités Limites

Access Approval

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

Access Context Manager

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Les API v1alpha ne sont pas disponibles pour les identités fédérées.
Autre : Aucune limitation connue

Access Transparency

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

Agent Assist

DG
Console (fédérée) : Pour utiliser la passation d'agent virtuel avec un agent Dialogflow ES, les appelants d'API ne peuvent pas utiliser la fédération des identités des employés pour se connecter.
API Google Cloud : L' importation des transcriptions de conversation dans des ensembles de données de conversation par Agent Assist n'est pas compatible avec la fédération des identités des employés.
Autre : Aucune limitation connue

AlloyDB pour PostgreSQL

DG
Console (fédérée) : Les fonctionnalités d'état de parc suivantes ne sont pas compatibles avec la fédération des identités des employés :
  • Fiches récapitulatives sur les performances et les sauvegardes
  • Données de table des clusters, telles que le pourcentage de processeur et la mémoire disponible
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

Anti Money Laundering AI

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

API Gateway

Non compatible
Alternatives : Aucune alternative disponible

Apigee

DG
Console (fédérée) :
  • L'interface utilisateur classique d'Apigee n'est pas disponible pour les utilisateurs de la fédération des identités des employés. Les boutons permettant de passer à l'interface utilisateur classique d'Apigee ne sont pas disponibles. Les fonctionnalités suivantes, qui ne peuvent être consultées qu'à l'aide de l'interface utilisateur classique d'Apigee, ne sont pas compatibles avec les utilisateurs de la fédération des identités des employés:

    • Monétisation de l'API Apigee
    • Analyse des développeurs
    • Analyse des utilisateurs finaux
    • Portails intégrés
  • Les fonctionnalités de la version Preview ne sont pas disponibles pour les utilisateurs de la fédération des identités des employés. Cela inclut les fonctionnalités suivantes:

    • Détection des abus
    • Hub d'API
    • Gemini Code Assist avec Apigee
    • intégration de Looker Studio
    • Évaluation des risques
    • Actions de sécurité
    • Détection d'API Shadow
  • Le développement local avec Apigee dans Cloud Code n'est pas disponible pour les utilisateurs de la fédération des identités des employés.

API Google Cloud :
Autre : Aucune limitation connue

Le hub d'API Apigee

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

API et services

DG
Console (fédérée) :
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

App Engine

Non compatible
Alternatives : Google recommande d'utiliser Cloud Run comme alternative.

App Hub

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

Application Integration

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

Artifact Registry

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre :
  • Container Registry n'est pas compatible avec la fédération d'identité. Une bannière d'informations figure sur la page des paramètres, dans la section Transition à partir de Container Registry.

Assured Workloads

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

Service de sauvegarde et de reprise après sinistre

Aperçu
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

Lot

DG
Console (fédérée) : Aucune limitation connue
API Google Cloud : Aucune limitation connue
Autre : Aucune limitation connue

BigQuery

DG
Console (fédérée) : L'enregistrement des requêtes n'est pas possible.
API Google Cloud :
  • Le service de migration BigQuery n'est pas compatible avec la fédération des identités.
  • Autre :

    Bigtable

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Binary Authorization

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Blockchain Analytics

    Aperçu
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Blockchain Node Engine

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Empreinte carbone

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Certificate Authority Service

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Gestionnaire de certificats

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Channel Services

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Inventaire des éléments cloud

    DG
    Console (fédérée) : Dans l'onglet Stratégie IAM, le bouton Analyser l'accès complet est indisponible pour les utilisateurs de la fédération des identités des employés.
    API Google Cloud :

    Lorsque vous utilisez le analyzeIamPolicy ou le analyzeIamPolicyLongrunning , les identités fédérées peuvent recevoir des résultats d'analyse incomplets pour les raisons suivantes :

    • Les identités fédérées ne peuvent pas vérifier l'appartenance à des groupes Google dans les stratégies d'autorisation. Par conséquent, lorsque les identités fédérées analysent l'accès d'un compte principal, les résultats de la requête n'incluent pas les autorisations ni les rôles dont dispose le compte principal en raison de son appartenance à un groupe.
    • Lors de l'analyse de l'accès, les identités fédérées ne peuvent pas activer l'option expand_groups .

    analyzeMove n'est pas compatible avec la fédération des identités.

    Autre : Aucune limitation connue

    Cloud Billing

    DG
    Console (fédérée) :
    API Google Cloud :
    Autre : Aucune limitation connue

    Cloud Build

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud CDN

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Code

    Non compatible
    Alternatives : Aucune alternative disponible

    Cloud Composer

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre :
    • Cloud Composer n'est compatible avec la fédération des identités des employés que pour les environnements créés dans Composer version 2.1.11 ou ultérieure et Airflow version 2.4.3 ou ultérieure. La mise à niveau d'un environnement à partir d'une version antérieure n'active pas la fédération des identités des employés.
    • Les e-mails envoyés depuis Airflow n'incluent que le lien vers l'interface utilisateur Airflow accessible par les comptes Google. Pour accéder à l'UI Airflow en tant qu'utilisateur de la fédération des identités des employés, le lien doit être mis à jour manuellement (remplacé par l'URL des utilisateurs de la fédération des identités des employés).
    • Les limites de Cloud Storage s'appliquent au bucket de l'environnement Cloud Composer.

    Console Cloud

    DG
    Console (fédérée) : Les utilisateurs de la fédération des identités des employés ne peuvent accéder qu'à la console de fédération des identités des employés Google Cloud, également appelée console (fédérée). Ils ne peuvent pas accéder à la console Google Cloud. La console (fédérée) fournit un accès limité aux seuls produits Google Cloud compatibles avec la fédération des identités des employés. Pour en savoir plus, consultez la section À propos de la console (fédération). De plus, la console (fédération) présente les limites suivantes :
    • Les préférences linguistiques sont sélectionnées au moment de l'authentification et ne peuvent pas être mises à jour dans la console.
    • La page Préférences de communication.ne vous permet pas d'activer les notifications, les mises à jour et les offres de produits.
    • La personnalisation basée sur l'activité de la console Google Cloud n'est pas gérée.
    • La page Centre de contrôle et de transparence n'est pas disponible.
    API Google Cloud : Aucune limitation connue
    Autre : Les utilisateurs de la fédération des identités des employés ne sont pas éligibles à l'essai gratuit de Google Cloud.

    Cloud Customer Care

    DG
    Console (fédérée) :
    • En raison des limitations de Cloud Billing pour la fédération des identités des employés, l'assistance liée à la facturation n'est accessible qu'à l'administrateur de l'organisation via le compte Google Cloud utilisé pour configurer le compte de facturation.
    • Les utilisateurs de la fédération des identités des employés peuvent importer des fichiers liés à la demande d'assistance, mais pas les télécharger. Ces fichiers sont visibles par les ingénieurs de l'assistance qui traitent vos demandes.
    • Une fois que l'assistance a démarré, les coordonnées (par exemple, l'adresse e-mail) ne peuvent plus être modifiées pour les utilisateurs de la fédération des identités des employés.
    • Les utilisateurs de la fédération des identités des employés ne peuvent pas créer de demandes via le canal d'assistance par chat en direct.
    API Google Cloud : L'API Cloud Support n'est pas compatible avec la fédération des identités des employés.
    Autre : Aucune limitation connue

    Cloud Data Fusion

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Deploy

    DG
    Console (fédérée) : L'accès uniforme au niveau du bucket doit être activé sur les buckets Cloud Storage pour afficher les artefacts Cloud Deploy.
    API Google Cloud : Aucune limitation connue
    Autre : L'accès uniforme au niveau du bucket est activé sur les buckets Cloud Storage créés via Cloud Deploy.

    Cloud Deployment Manager

    Non compatible
    Alternatives : Aucune alternative disponible

    Cloud DNS

    DG
    Console (fédérée) : La page Cloud Domains n'est pas disponible.
    API Google Cloud : Cloud DNS limite le nombre de segments du serveur de noms. Pour en savoir plus, consultez Limites du serveur de noms. Avant d'allouer le segment final du serveur de noms, Cloud DNS valide la propriété du domaine, ce qui ne peut pas être effectué par les identités fédérées.
    Autre : Aucune limitation connue

    Cloud Domains

    Non compatible
    Alternatives : Aucune alternative disponible

    Cloud Endpoints

    Non compatible
    Alternatives : Aucune alternative disponible

    Optimisation cloud des tournées de véhicules

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    API Cloud Healthcare

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud HSM

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Intrusion Detection System

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Key Management Service

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Load Balancing

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Logging

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Mobile App

    Non compatible
    Alternatives : Aucune alternative disponible

    Cloud Monitoring

    DG
    Console (fédérée) :
    API Google Cloud : Aucune limitation connue
    Autre : L'ancien agent Cloud Monitoring n'est pas compatible avec l'envoi de métriques avec la fédération d'identité. À la place, les utilisateurs de la fédération des identités des employés peuvent installer l'agent Ops.

    Cloud NAT

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Pare-feu Cloud nouvelle génération

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Profiler

    Non compatible
    Alternatives : Aucune alternative disponible

    Cloud Run

    DG
    Console (fédérée) :
    API Google Cloud : Aucune limitation connue
    Autre : L'autorisation IAM run.routes.invoke , qui gère l'accès aux points de terminaison du service Cloud Run, n'est pas compatible avec la fédération des identités des employés.

    Fonctions Cloud Run

    DG
    Console (fédérée) :
    • Les Connecteurs VPC existants ne sont pas répertoriés pour la fédération des identités des employés. Vous devez les créer manuellement.
    • Les pools de nœuds de calcul Build ne sont pas compatibles avec la fédération des identités des employés.
    • Les tests de prédéploiement ne sont pas compatibles avec la fédération des identités des employés.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Scheduler

    DG
    Console (fédérée) :
    • L'onglet Jobs Cron d'App Engine n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
    • L'option App Engine dans la configuration du type de cible n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
    API Google Cloud : L'API Cloud Scheduler n'est pas compatible avec la fédération des identités pour les jobs dont l'attribut target est défini sur appEngineHttpTarget . Pour envoyer un job à une cible App Engine à l'aide de la fédération des identités des employés, créez-le avec le type target défini sur httpTarget et le champ uri défini sur le chemin d'URI complet de votre cible App Engine.
    Autre : Aucune limitation connue

    Cloud Service Mesh

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Le plan de contrôle au sein du cluster n'est pas compatible avec la fédération des identités.
    Autre : Aucune limitation connue

    Cloud Shell

    Non compatible
    Alternatives : Google recommande d'utiliser Cloud Workstations comme alternative.

    Cloud Source Repositories

    Non compatible
    Alternatives : Aucune alternative disponible

    Cloud SQL

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre :

    Cloud Storage

    DG
    Console (fédérée) :
    • L'affichage des détails de l'objet nécessite l'activation de l'accès uniforme au niveau du bucketpour le bucket.
    • Le lancement du processus avec des fonctions Cloud Run n'est pas pris en charge.
    • L'analyse avec Cloud Data Loss Prevention n'est pas prise en charge.
    API Google Cloud :
    • La fédération des identités des employés avec toutes les API Cloud Storage n'est possible que pour les buckets définis avec un accès uniforme au niveau du bucket. L'accès de la fédération des identités des employés aux buckets avec des listes de contrôle d'accès (LCA) précises est refusé.
    • Bien que tous les utilisateurs et toutes les charges de travail puissent utiliser des URL signées existantes, les utilisateurs et les charges de travail de la fédération des identités ne peuvent pas générer d'URL signées.
    • Les utilisateurs et les charges de travail de la fédération des identités ne peuvent pas utiliser la notification de modification d'objet.
    Autre : Les jetons d'accès Google Cloud basés sur des identifiants de la fédération des identités des employés ne peuvent pas être limités aux limites d'accès aux identifiants.

    Cloud Talent Solution

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Tasks

    DG
    Console (fédérée) : L'option de remplacement du routage App Engine n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
    API Google Cloud : L'API Cloud Tasks n'est pas compatible avec la fédération des identités pour les tâches comportant des cibles App Engine, par exemple :
    • Files d'attente App Engine : Puisque les files d'attente App Engine (files d'attente créées à l'aide d'un fichier queue.yaml ou queue.xml ) ne contiennent que des tâches avec des cibles App Engine, toutes les tâches de ces files d'attente ne sont pas compatibles.
    • Files d'attente standards : pour les files d'attente Cloud Tasks standards, les tâches avec des cibles HTTP sont compatibles. Les tâches avec des cibles App Engine ne sont pas acceptées (même si la file d'attente n'est pas une file d'attente App Engine).
    Autre : Aucune limitation connue

    Cloud Trace

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Translation

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    API Cloud Vision

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Cloud Workstations

    DG
    Console (fédérée) : Les utilisateurs de la fédération des identités des employés qui souhaitent lancer un poste de travail Cloud Workstations doivent utiliser la console Google Cloud ou l'API Workstations. Pour utiliser l'API Workstations, consultez la section Se connecter au poste de travail dans votre navigateur.
    La fédération des identités des employés n'est pas compatible avec la réauthentification en accédant directement à un poste de travail existant, par exemple si vous avez déjà ajouté votre poste de travail à vos favoris. À la place, les utilisateurs de la fédération des identités des employés peuvent s'authentifier de nouveau, comme décrit précédemment dans cette section.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Compute Engine

    DG
    Console (fédérée) : Pour utiliser SSH dans votre navigateur, vous devez configurer les mappages d'attributs google.posix_username .
    API Google Cloud :
    Autre : Aucune limitation connue

    Confidential Space

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Context-Aware Access

    DG
    Console (fédérée) :
    • Dans Ajouter des comptes principaux à la console Google Cloud et aux API, le champ de texte ID du groupe n'est pas compatible avec la saisie semi-automatique et ne fournit pas de validation aux utilisateurs de la fédération des identités des employés.
    • Pour les utilisateurs de la fédération des identités des employés, les groupes Google sont identifiés par leur ID plutôt que par leur nom.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Conversational Insights

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Data Catalog

    DG
    Console (fédérée) : Dans la boîte de dialogue de modification de responsable de la page des détails de l'entrée, les suggestions de contacts ne sont pas affichées.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Database Migration Service

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Dataflow

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : google.dataflow.v1beta3.SqlValidator.Validate  : les API Dataflow SQL Validator ne sont pas compatibles avec la fédération des identités.
    Autre : Aucune limitation connue

    Dataform

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Dataplex

    DG
    Console (fédérée) :
    API Google Cloud : L'exploration des API d'environnements et de sessions associées sur Dataplex ne sont pas compatibles avec la fédération des identités.
    Autre : Aucune limitation connue

    Dataproc

    DG
    Console (fédérée) :
    • Les utilisateurs de la fédération des identités des employés peuvent effectuer des opérations de création, d'affichage, de mise à jour et de suppression sur les pages de listes des clusters, des jobs et des lots. Les workflows, les règles d'autoscaling et l'échange de composants ne sont pas disponibles pour les utilisateurs de la fédération des identités des employés.
    • La fonctionnalité de création de cluster est disponible à l'exception de la création de cluster Dataproc sur GKE, de cluster Compute Engine avec authentification personnelle ou cluster avec la passerelle des composants activée.
    • La section Résultat de la page d'informations sur les lots et les jobs n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
    • La section Recommandation d'alerte de la page "Liste des clusters et des jobs" n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
    API Google Cloud : Les méthodes suivantes ne sont pas compatibles avec la fédération des identités :
    Autre : Aucune limitation connue

    Dataproc Metastore

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Datastore

    DG
    Console (fédérée) : Key Visualizer n'est pas compatible avec la fédération des identités des employés.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Datastream

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Dialogflow

    DG
    Console (fédérée) : Dialogflow ES n'est pas disponible dans la console Google Cloud pour les utilisateurs de la fédération des identités des employés.
    API Google Cloud : La fédération des identités des employés n'est compatible qu'avec les API Dialogflow CX.
    Autre : Aucune limitation connue

    Document AI

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Validation des points de terminaison

    Non compatible
    Alternatives : Aucune alternative disponible

    Enterprise Knowledge Graph

    Non compatible
    Alternatives : Aucune alternative disponible

    Error Reporting

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Eventarc

    DG
    Console (fédérée) : Bien que vous puissiez utiliser un workflow existant comme destination de déclencheur Eventarc, les utilisateurs de la fédération des identités des employés ne peuvent pas créer de workflows.
    API Google Cloud : La publication d'événements tiers à l'aide d'une ressource ChannelConnection n'est pas compatible avec la fédération des identités.
    Autre : Aucune limitation connue

    Filestore

    DG
    Console (fédérée) : Les informations de facturation ne sont pas visibles sur les pages Créer une instance ,Modifier une instance et Restaurer une sauvegarde sur une nouvelle instance.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Firestore

    DG
    Console (fédérée) :
    • Les règles de sécurité ne sont pas compatibles avec la fédération des identités des employés.
    • Key Visualizer n'est pas compatible avec la fédération des identités des employés.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Gemini

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : La gestion des licences Gemini pour Google Cloud n'est pas compatible avec la fédération des identités des employés.

    GKE Enterprise

    DG
    Console (fédérée) :
    • Lorsque vous vous connectez à des clusters externes (GKE Enterprise), l'option Utiliser votre identité Google n'est pas disponible pour la fédération des identités des employés.
    • Lorsque vous créez ou associez des clusters externes (GKE Enterprise), vous n'êtes pas automatiquement ajouté en tant qu'administrateur pour la fédération des identités des employés.
    API Google Cloud : Aucune limitation connue
    Autre : gkeadm , gkectl et bmctl ne sont pas compatibles avec la fédération des identités des employés.

    Google Cloud Armor

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Google Cloud Contact Center as a Service

    DG
    Console (fédérée) : Google Cloud CCaaS ne peut pas être configuré par un utilisateur de la fédération des identités des employés via la console Google Cloud CCaaS.
    API Google Cloud : Aucune limitation connue
    Autre : Pour configurer Google Cloud CCaaS via la gcloud CLI, les utilisateurs de la fédération des identités des employés doivent contacter le service client.

    Google Cloud Managed Service pour Apache Kafka

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : L'authentification Open Source des API Apache Kafka via le mécanisme OAuthBearer n'est pas disponible pour les clients utilisant la fédération d'identité de charge de travail pour GKE. Vous pouvez également associer des comptes de service Kubernetes à IAM .

    Google Cloud Marketplace

    DG
    Console (fédérée) :
    • Cloud Marketplace contient des liens vers des domaines Google qui peuvent ne pas être compatibles avec la fédération des identités des employés.
    • Le bouton Lancer est désactivé pour tous les produits de VM qui utilisent Deployment Manager, car Deployment Manager n'est pas compatible avec la fédération d'identité des employés.
    • L'inscription SaaS et la connexion SSO ne sont pas compatibles avec la fédération d'identité des employés.
    • Producer Portal n'est pas compatible avec la fédération des identités des employés.
    • La demande d'approvisionnement n'est pas compatible avec la fédération d'identité des employés.
    • Service Catalog n'est pas compatible avec la fédération des identités des employés.
    API Google Cloud : L'API Partner n'est pas compatible avec la fédération d'identité des employés.
    Autre : Les clients ne reçoivent pas de notifications si aucune adresse e-mail n'est fournie par les administrateurs de compte de facturation ou les propriétaires de produits.

    Centre de migration Google Cloud

    Aperçu
    Console (fédérée) :
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Google Cloud NetApp Volumes

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    SDK Google Cloud

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Les bibliothèques clientes Cloud Ruby et PHP ne sont pas compatibles avec la fédération des identités des employés.

    Google Distributed Cloud

    Non compatible
    Alternatives : Aucune alternative disponible

    Google Earth Engine

    Non compatible
    Alternatives : Aucune alternative disponible

    Google Kubernetes Engine

    DG
    Console (fédérée) : L'onglet Container Registry n'est pas disponible pour la fédération des identités des employés. Artifact Registry est disponible.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Google Security Operations

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Connectivité hybride

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Identity and Access Management

    DG
    Console (fédérée) :
    • La colonne Nom dans la table IAM ne montre pas les noms à afficher pour les identités Google.
    • Lorsque vous ajoutez de nouveaux comptes principaux dans les règles d'autorisation, le champ de texte Ajouter des comptes principaux ne permet que la saisie semi-automatique pour les comptes de service.
    • Le champ de texte Ajouter un compte principal exempté de la page Journaux d'audit ne permet que la saisie semi-automatique pour les comptes de service.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Identity-Aware Proxy

    Aperçu
    Console (fédérée) :
    • Dans l'onglet "Applications", la colonne Méthode est désactivée. Les utilisateurs ne peuvent pas utiliser d'identités externes pour l'autorisation.
    • Dans l'onglet "Applications", les ressources App Engine ne peuvent pas être répertoriées.
    • L'élément Accéder à la configuration OAuth du menu d'actions n'est pas disponible.
    • Dans l'onglet Applications, les connecteurs sur site ne peuvent pas être ajoutés ni répertoriés.
    API Google Cloud : Les identités fédérées pour les ressources de transfert TCP d'IAP ne sont compatibles qu'avec la gcloud CLI.
    Autre : Aucune limitation connue

    Identity Platform

    DG
    Console (fédérée) : Il n'est pas possible d'activer Identity Platform via la console de fédération des identités des employés Google Cloud. Les administrateurs de fédération des identités des employés doivent activer Identity Platform soit via la console Firebase Authentication, soit en se connectant à la console Google Cloud à l'aide d'un compte Cloud Identity ou Workspace avant que les utilisateurs de la fédération des identités des employés puissent accéder à Identity Platform via la console (fédérée).
    API Google Cloud : InitializeIdentityPlatform n'est pas compatible avec la fédération des identités.
    Autre : Aucune limitation connue

    Flux immersif pour XR

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Integration Connectors

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Key Access Justifications

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Knative serving

    DG
    Console (fédérée) :
    API Google Cloud : Aucune limitation connue
    Autre : Lorsque vous utilisez la fédération des identités des employés, le service Knative nécessite un cluster avec Cloud Service Mesh géré.

    API Live Stream

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Looker (Google Cloud Core)

    Aperçu
    Console (fédérée) : Les utilisateurs de la fédération des identités des employés peuvent créer, mettre à jour et supprimer des instances, mais ils ne peuvent pas accéder à des instances individuelles.
    API Google Cloud : Les utilisateurs de la fédération des identités des employés ne peuvent gérer que les instances, par exemple en créant, en mettant à jour et en supprimant une instance, mais ne peuvent pas accéder à des instances individuelles.
    Autre : Aucune limitation connue

    Looker Studio

    Non compatible
    Alternatives : Aucune alternative disponible

    Service géré pour Microsoft Active Directory

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Les utilisateurs de la fédération des identités des employés ne peuvent pas utiliser le transfert TCP d'IAP pour accéder à la VM de gestion Active Directory.

    Media CDN

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Memorystore

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Les API suivantes sont compatibles avec la fédération des identités des employés :
    Autre : Aucune limitation connue

    Migrate to Containers

    Aperçu
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Migrate to Virtual Machines

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Network Connectivity Center

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Network Intelligence Center

    DG
    Console (fédérée) : Il n'est pas possible d'exporter Firewall Insights aux formats JSON ou CSV.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Niveaux de service réseau

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Service de règles d'organisation

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Personalized Service Health

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Policy Intelligence

    DG
    Console (fédérée) :

    Les fonctionnalités suivantes de Policy Intelligence sont soumises aux limites applicables aux utilisateurs de la fédération des identités des employés qui utilisent la console de la fédération des identités des employés Google Cloud :

    • Policy Troubleshooter : les utilisateurs de la fédération des identités des employés ne peuvent pas résoudre les problèmes d'accès dans la console (fédérée).
    • Policy Analyzer : les utilisateurs de la fédération des identités des employés ne peuvent pas analyser l'accès dans la console (fédérée).
    • Policy Simulator : les utilisateurs de la fédération des identités des employés ne peuvent pas simuler les modifications d'une stratégie d'autorisation dans la console (fédérée).
    • Outil de recommandation IAM : les utilisateurs de la fédération des identités des employés ne peuvent pas afficher les recommandations dans la console (fédérée).
    API Google Cloud :

    Les fonctionnalités suivantes de Policy Intelligence présentent des limites d'API pour les identités fédérées :

    • Policy Troubleshooter : Les identités fédérées ne peuvent pas vérifier l'appartenance à des groupes Google dans les stratégies d'autorisation et de refus, ni l'appartenance à des comptes Cloud Identity (domaines) dans les stratégies de refus. Lorsque les identités fédérées appellent la méthode iam.troubleshoot , les liaisons de rôles et les règles de refus qui contiennent des groupes ou des domaines affichent le résultat d'accès Inconnu, sauf si la liaison de rôle ou la règle de refus inclut également explicitement le compte principal.
    • Lorsque vous appelez la méthode analyzeIamPolicy ou analyzeIamPolicyLongrunning , les identités fédérées peuvent recevoir des résultats d'analyse incomplets pour les raisons suivantes :

      • Les identités fédérées ne peuvent pas vérifier l'appartenance à des groupes Google dans les stratégies d'autorisation. Par conséquent, lorsque les identités fédérées analysent l'accès d'un compte principal, les résultats de la requête n'incluent pas les autorisations ni les rôles dont dispose le compte principal en raison de son appartenance à un groupe.
      • Lors de l'analyse de l'accès, les identités fédérées ne peuvent pas activer l'option expand-groups .

      Les identités fédérées ne peuvent pas utiliser les méthodes d'API suivantes :

    • Policy Simulator : les identités fédérées ne peuvent pas utiliser l'API Policy Simulator ( policysimulator.googleapis.com ).
    • Activity Analyzer : les identités fédérées ne peuvent pas utiliser l'API Policy Analyzer ( policyanalyzer.googleapis.com ).
    • Outil de recommandation IAM : les identités fédérées ne peuvent pas utiliser l'API Recommender ( recommender.googleapis.com ).
    Autre : Aucune limitation connue

    Private Service Connect

    DG
    Console (fédérée) : Lors de la publication d'un service, la configuration DNS n'est pas disponible.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Pub/Sub

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : L'API Pub/Sub Lite ne dispose pas de points de terminaison compatibles avec la fédération des identités des employés.
    Autre : Aucune limitation connue

    reCAPTCHA

    DG
    Console (fédérée) :
    • L'authentification multifacteur par e-mail ne peut pas être configurée par les utilisateurs de la fédération des identités des employés. Pour obtenir de l'aide, contactez le service commercial.
    • Le site Web de démonstration dans Cloud Shell n'est pas compatible avec les utilisateurs de la fédération des identités des employés.
    API Google Cloud : MigrateKey n'est pas compatible avec les identités fédérées.
    Autre : Aucune limitation connue

    Outil de recommandation

    DG
    Console (fédérée) : L'exportation des recommandations vers BigQuery n'est pas possible avec la fédération des identités des employés.
    API Google Cloud : Aucune limitation connue
    Autre : L'outil de recommandation peut recommander des produits et des fonctionnalités qui ne sont pas compatibles avec la fédération des identités des employés.

    Resource Manager

    DG
    Console (fédérée) :
    • Les utilisateurs de la fédération des identités des employés ne peuvent afficher et utiliser que l'organisation pour laquelle la fédération des identités des employés a été configurée. Les autres organisations auxquelles les utilisateurs sont ajoutés ne s'affichent pas dans la console Google Cloud.
    • Les temps d'attente pour la prise en compte de certaines opérations dans l'UI sont longs (par exemple la création d'un projet ou d'un dossier).
    API Google Cloud : L'API Organizations n'est pas compatible avec la fédération des identités.
    Autre : Aucune limitation connue

    API Retail

    DG
    Console (fédérée) :
    API Google Cloud : Les méthodes suivantes ne sont pas compatibles avec la fédération des identités :
    Autre : Aucune limitation connue

    Secret Manager

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Secure Source Manager

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud :
    • Les utilisateurs de la fédération d'identités doivent se connecter via l' interface Web de l'instance de Secure Source Manager avant d'exécuter l'une des commandes suivantes :
    • Les utilisateurs de la fédération des identités doivent se connecter via l' interface Web de l'instance Secure Source Manager après chaque expiration de session pour continuer à utiliser les commandes de la CLI SSH Git avec les clés SSH de l'utilisateur.
    Autre :
    • Vous devez créer une instance de Secure Source Manager pour utiliser Workforce Identity Federation. Il est impossible de mettre à jour des instances existantes.
    • Les fournisseurs de pools d'identités du personnel utilisés pour Secure Source Manager doivent fournir des mappages d'attributs google.subject et google.email .
    • Vous ne pouvez utiliser votre identité fédérée que pour vous connecter à une instance de Secure Source Manager configurée pour utiliser la fédération des identités des employés.
    • Les notifications par e-mail de Secure Source Manager ne sont pas compatibles avec les instances configurées pour la fédération des identités des employés.

    Security Command Center

    DG
    Console (fédérée) : Les fonctionnalités suivantes ne sont pas disponibles pour les utilisateurs de la fédération des identités des employés :
    • Exporter des résultats dans un fichier CSV
    • Exporter des résultats vers Cloud Storage
    • Bouton Envoyer des commentaires
    • Les paramètres d'exportation Google SecOps ne peuvent pas être gérés dans l'environnement fédéré. Par conséquent, la bannière Google SecOps n'est pas disponible sur la page Exportations continues.
    • Boîte de dialogue d'avertissement indiquant que l'état d'activation est hérité par défaut sur la page "Activation de service"
    • Le service Security Posture ne peut pas être géré à l'aide de la console Google Cloud.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Protection des données sensibles

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Accès au VPC sans serveur

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Annuaire des services

    Aperçu
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Service Infrastructure

    Aperçu
    Console (fédérée) : La gestion des quotas dans Cloud Endpoints n'est pas disponible.
    API Google Cloud : API Service Management : la création d'un service géré n'est pas compatible avec la fédération des identités. Pour valider la propriété du domaine et créer un service géré, procédez comme suit :
    1. Ajoutez un compte de service pour les propriétaires de domaines grâce à l'API de validation de site
    2. Empruntez l'identité de ce compte de service pour créer un service géré
    Autre : Aucune limitation connue

    Spanner

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Speaker ID

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Speech-to-Text

    DG
    Console (fédérée) : Seules les pages d'interface utilisateur v2 sont compatibles avec la fédération des identités des employés.
    API Google Cloud : Seule l'API v2 est compatible avec la fédération des identités des employés.
    Autre : Aucune limitation connue

    Service de transfert de stockage

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Text-to-Speech

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    API Transcoder

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Transfer Appliance

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Translation Hub

    Non compatible
    Alternatives : Aucune alternative disponible

    Vertex AI

    DG
    Console (fédérée) : Lorsque des utilisateurs de la fédération des identités des employés créent un job de surveillance de modèle, Vertex AI ne préremplit pas l'entrée d'adresse e-mail d'alerte avec leur adresse e-mail.
    API Google Cloud : Vertex AI n'envoie pas d'e-mails aux utilisateurs de la fédération des identités des employés.
    Autre : Colab Enterprise n'est pas compatible avec la fédération des identités des employés.

    Agent Builder Vertex AI

    Aperçu
    Console (fédérée) :
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Vertex AI Vision

    DG
    Console (fédérée) : La lecture de flux vidéo n'est pas disponible pour les utilisateurs de la fédération des identités des employés.
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Vertex AI Workbench

    Aperçu
    Console (fédérée) : Aucune limitation connue
    API Google Cloud :
    Autre : Aucune limitation connue

    API Video Intelligence

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    API Video Stitcher

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : La fédération des identités des employés n'est pas compatible avec les ressources LiveConfig et Slate lorsque les champs Google Ad Manager (GAM) sont définis.
    Autre : Aucune limitation connue

    Cloud privé virtuel

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    VPC Service Controls

    Aperçu
    Console (fédérée) : Les suggestions de saisie automatique ne sont pas disponibles lors de l'ajout d'identités d'utilisateurs dans les champs suivants :
    API Google Cloud :
    Autre : Aucune limitation connue

    Web Risk

    DG
    Console (fédérée) : Aucune limitation connue
    API Google Cloud : Aucune limitation connue
    Autre : Aucune limitation connue

    Workflows

    DG
    Console (fédérée) : Le bouton Accorder, qui attribue à l'utilisateur de la fédération des identités des employés le rôle d'utilisateur du compte de service ( roles/iam.serviceAccountUser ) sur le projet, est inactif.
    API Google Cloud : Les API Workflows et Workflows Execution sont compatibles avec la fédération des identités. Toutefois, lorsque vous appelez d'autres services lors de l'exécution d'un workflow, la fédération des identités n'est pas compatible.
    Autre : Aucune limitation connue