Administra proveedores de grupos de Workload Identity

En esta guía, se describe cómo llevar a cabo operaciones comunes con la federación de identidades de personal. Para configurar la federación de identidades de personal, consulta las siguientes guías:

Antes de comenzar

  1. Debes tener configurada una organización de Google Cloud.

  2. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init

Administra grupos

En esta sección, se muestra cómo administrar grupos de Workforce Identity.

Crea un grupo

Para crear un grupo de personal, ejecuta el siguiente comando:

Console

Para crear el grupo de identidades de personal, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Grupos de identidades de personal:

    Ir a Grupos de identidades de personal

  2. Haz clic en Crear grupo y haz lo siguiente:

    1. En el campo Nombre, ingresa el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto a él.

    2. Opcional: En Descripción, ingresa una descripción del grupo.

    3. La duración de la sesión se establece de forma predeterminada. Para ingresar una duración de la sesión personalizada, haz clic en Editar. La duración de la sesión, que determina el tiempo de acceso a los tokens de acceso de Google Cloud, las sesiones de acceso de la consola (federada) y las sesiones de acceso de la gcloud CLI de este grupo de personal son válidas. La duración debe ser superior a 15 minutos (900 s) y menor a 12 horas (43200 s). Si la duración de la sesión no se establece, el valor predeterminado es de una hora (3,600 s).

    4. Para crear el grupo en el estado habilitado, asegúrate de que la opción Grupo habilitado esté activada.

    5. Para crear el grupo de identidades de personal, haz clic en Siguiente.

gcloud

Para crear el grupo de identidades de personal, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Reemplaza lo siguiente:

  • WORKFORCE_POOL_ID: un ID que elijas para representar el grupo de personal de Google Cloud. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta en la documentación de la API.
  • ORGANIZATION_ID: el ID numérico de la organización de Google Cloud.
  • DISPLAY_NAME: Opcional Un nombre visible para tu grupo de identidad del personal.
  • DESCRIPTION: Opcional Una descripción del grupo de identidad del personal.
  • SESSION_DURATION: Opcional La duración de la sesión, que determina el tiempo de acceso a los tokens de acceso de Google Cloud, las sesiones de acceso de la consola (federada) y las sesiones de acceso de la gcloud CLI de este grupo de personal son válidas. La duración debe ser superior a 15 minutos (900 s) y menor a 12 horas (43200 s). Si la duración de la sesión no se establece, el valor predeterminado es de una hora (3,600 s).

Describe un grupo

Console

Para describir un grupo de personal específico con la consola de Google Cloud, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

    Ir a Grupos de identidades de personal

  2. En Grupos de personal, selecciona el grupo

gcloud

Para describir un grupo de personal específico con la gcloud CLI, ejecuta el siguiente comando:

gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
    --location=global

Reemplaza WORKFORCE_POOL_ID por el ID del grupo de personal que elegiste cuando creaste el grupo.

Enumera grupos

Console

Para mostrar una lista de los grupos de personal con la consola de Google Cloud, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

    Ir a Grupos de identidades de personal

  2. En la tabla, consulta la lista de grupos.

gcloud

Para mostrar una lista de los grupos de personal de la organización, ejecuta el siguiente comando:

gcloud iam workforce-pools list \
    --organization=ORGANIZATION_ID \
    --location=global

Reemplaza ORGANIZATION_ID por el ID de tu organización.

Actualiza un grupo

Console

Para actualizar un grupo de personal específico con la consola de Google Cloud, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

    Ir a Grupos de identidades de personal

  2. En la tabla, elige el grupo.

  3. Actualiza los parámetros del grupo.

  4. Haz clic en Guardar grupo.

gcloud

Para actualizar un grupo de personal específico, ejecuta el siguiente comando:

gcloud iam workforce-pools update WORKFORCE_POOL_ID \
    --description=DESCRIPTION \
    --location=global

Reemplaza lo siguiente:

  • WORKFORCE_POOL_ID: el ID del grupo de personal
  • DESCRIPTION: la descripción del grupo

Borra un grupo

Console

Para borrar un grupo de personal específico con la consola de Google Cloud, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

    Ir a Grupos de identidades de personal

  2. En Grupos de personal, clic en Borrar en el grupo que deseas borrar.

  3. Sigue las instrucciones adicionales.

gcloud

Para borrar un grupo de Workforce Identity, ejecuta el siguiente comando:

gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
    --location=global

Reemplaza WORKFORCE_POOL_ID por el ID del grupo de personal.

Recupera un grupo

Puedes recuperar un grupo de Workforce Identity que se borró en los últimos 30 días.

Para recuperar un grupo, ejecuta el siguiente comando:

gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
    --location=global

Reemplaza WORKFORCE_POOL_ID por el ID del grupo de personal.

Configura un proveedor dentro del grupo de personal

En esta sección, se explica cómo puedes usar los comandos de gcloud para configurar los proveedores de grupos de Workforce Identity:

Crea un proveedor de OIDC

En esta sección, se describe cómo crear un proveedor de grupos de Workforce Identity para un IdP de OIDC.

Console

Flujo de código

  1. En la consola de Google Cloud, ve a la página Grupos de identidades de personal:

    Ir a Grupos de identidades de personal

  2. En la tabla grupos de identidad del personal, selecciona el grupo para el que deseas crear el proveedor.

  3. En la tabla Proveedores, haz clic en Agregar proveedor.

  4. En Seleccionar un protocolo, selecciona Open ID Connect (OIDC).

  5. En Crear un proveedor de grupos, haz lo siguiente:

    1. En Nombre del proveedor, ingresa un nombre para el proveedor.
    2. En Emisor (URL), ingresa el URI de la entidad emisora. El URI de la entidad emisora de OIDC debe tener un formato de URI válido y comenzar con https; por ejemplo, https://example.com/oidc.
    3. Ingresa el ID de cliente, el ID de cliente de OIDC que está registrado con el IdP de OIDC; el ID debe coincidir con la reclamación aud del JWT que emite el IdP.
    4. Para crear un proveedor habilitado, asegúrate de que la opción Enabled Provider esté activada.
    5. Haz clic en Continuar.
  6. En Tipo de respuesta, haz lo siguiente: El tipo de respuesta solo se usa para un flujo de inicio de sesión único basado en la Web.

    1. En Tipo de respuesta, selecciona Código.
    2. En Secreto de cliente, ingresa el secreto de cliente de tu IdP.
    3. En Comportamiento de los reclamos de aserciones, selecciona una de las siguientes opciones:

      • Información del usuario y token de ID
      • Solo token de ID
    4. Haz clic en Continuar.

  7. En Configurar proveedor, puedes configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, haz lo siguiente: Puedes proporcionar el nombre del campo del IdP o una expresión con formato CEL que devuelva una cadena.

    1. Obligatorio: En OIDC 1, ingresa el asunto del IdP, por ejemplo, assertion.sub.

    2. Opcional: Para agregar asignaciones de atributos adicionales, haz lo siguiente:

      1. Haz clic en Agregar asignación.
      2. En Google n, donde n es un número, ingresa una de las claves compatibles con Google Cloud.
      3. En el campo OIDC n correspondiente, ingresa el nombre del campo específico de la IdP que deseas asignar, en formato CEL.
    3. Para crear una condición de atributo, haz lo siguiente:

      1. Haz clic en Agregar condición:
      2. En Condiciones del atributo, ingresa una condición en formato CEL, por ejemplo, assertion.role == 'gcp-users'. Esta condición de ejemplo garantiza que solo los usuarios con el rol gcp-users puedan acceder mediante este proveedor.
  8. Para crear el proveedor, haz clic en Enviar.

    Flujo implícito

    1. En la consola de Google Cloud, ve a la página Grupos de identidades de personal:

      Ir a Grupos de identidades de personal

    2. En la tabla grupos de identidad del personal, selecciona el grupo para el que deseas crear el proveedor.

    3. En la tabla Proveedores, haz clic en Agregar proveedor.

    4. En Seleccionar un protocolo, selecciona Open ID Connect (OIDC).

    5. En Crear un proveedor de grupos, haz lo siguiente:

      1. En Nombre del proveedor, ingresa un nombre para el proveedor.
      2. En Emisor (URL), ingresa el URI de la entidad emisora. El URI de la entidad emisora de OIDC debe tener un formato de URI válido y comenzar con https; por ejemplo, https://example.com/oidc.
      3. Ingresa el ID de cliente, el ID de cliente de OIDC que está registrado con el IdP de OIDC; el ID debe coincidir con la reclamación aud del JWT que emite el IdP.
      4. Para crear un proveedor habilitado, asegúrate de que la opción Enabled Provider esté activada.
      5. Haz clic en Continuar.
    6. En Tipo de respuesta, haz lo siguiente: El tipo de respuesta solo se usa para un flujo de inicio de sesión único basado en la Web.

      1. En Tipo de respuesta, selecciona Token de ID.
      2. Haz clic en Continuar.
    7. En Configurar proveedor, puedes configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, haz lo siguiente: Puedes proporcionar el nombre del campo del IdP o una expresión con formato CEL que devuelva una cadena.

      1. Obligatorio: En OIDC 1, ingresa el asunto del IdP, por ejemplo, assertion.sub.

      2. Opcional: Para agregar asignaciones de atributos adicionales, haz lo siguiente:

        1. Haz clic en Agregar asignación.
        2. En Google n, donde n es un número, ingresa una de las claves compatibles con Google Cloud.
        3. En el campo OIDC n correspondiente, ingresa el nombre del campo específico de la IdP que deseas asignar, en formato CEL.
      3. Para crear una condición de atributo, haz lo siguiente:

        1. Haz clic en Agregar condición:
        2. En Condiciones del atributo, ingresa una condición en formato CEL, por ejemplo, assertion.role == 'gcp-users'. Esta condición de ejemplo garantiza que solo los usuarios con el rol gcp-users puedan acceder mediante este proveedor.

    8. Para crear el proveedor, haz clic en Enviar.

gcloud

Flujo de código

A fin de crear un proveedor de OIDC que use el flujo de código de autorización para el acceso web, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \ --web-sso-response-type="code" \ --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --location=global

Reemplaza lo siguiente:

  • WORKFORCE_PROVIDER_ID: Un ID de proveedor de grupos de identidades de personal único. El prefijo gcp- está reservado y no se puede usar en un grupo de identidad de personal ni en el ID de proveedor del grupo de identidad de personal.
  • WORKFORCE_POOL_ID: El ID del grupo de identidades de personal al que se conecta el IdP.
  • DISPLAY_NAME: un nombre visible opcional, fácil de usar para el proveedor, por ejemplo, idp-eu-employees.
  • DESCRIPTION: una descripción opcional del proveedor de personal, por ejemplo, IdP for Partner Example Organization employees.
  • ISSUER_URI: El URI de la entidad emisora de OIDC, en un formato de URI válido, que comienza con https; por ejemplo: https://example.com/oidc. Nota: Por motivos de seguridad, ISSUER_URI debe usar el esquema HTTPS.
  • OIDC_CLIENT_ID: El ID de cliente de OIDC que está registrado con el IdP de OIDC. El ID debe coincidir con la reclamación aud del JWT que emite el IdP.
  • OIDC_CLIENT_SECRET: El secreto del cliente de OIDC.
  • WEB_SSO_ADDITIONAL_SCOPES: Permisos adicionales opcionales así enviarle al IdP de OIDC para la consola (federada) o el acceso basado en el navegador de la gcloud CLI.
  • ATTRIBUTE_MAPPING: Una asignación de atributos. A continuación, se muestra un ejemplo de una asignación de atributos:
    google.subject=assertion.sub,
    google.groups=assertion.group1,
    attribute.costcenter=assertion.costcenter
    En este ejemplo, se asignan los atributos de IdP subject, group1 y costcenter en la aserción de OIDC a los atributos google.subject, google.groups y attribute.costcenter, respectivamente.
  • ATTRIBUTE_CONDITION: una condición de atributo; por ejemplo, assertion.role == 'gcp-users'. Esta condición de ejemplo garantiza que solo los usuarios con el rol gcp-users puedan acceder mediante este proveedor.
  • JWK_JSON_PATH: Una ruta de acceso opcional a un JWK de OIDC subido de forma local. Si no se proporciona este parámetro, Google Cloud usa la ruta de acceso /.well-known/openid-configuration de tu IdP para obtener los JWK que contienen las claves públicas. Encuentra más información sobre los JWK de OIDC subidos de forma local en Administra los JWK de OIDC.
En la respuesta del comando, POOL_RESOURCE_NAME es el nombre del grupo; por ejemplo, locations/global/workforcePools/enterprise-example-organization-employees.

Flujo implícito

Para crear un proveedor de grupos de Workforce Identity de OIDC que use el flujo implícito para el acceso web, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --location=global

Reemplaza lo siguiente:

  • WORKFORCE_PROVIDER_ID: Un ID de proveedor de grupos de identidades de personal único. El prefijo gcp- está reservado y no se puede usar en un grupo de identidad de personal ni en el ID de proveedor del grupo de identidad de personal.
  • WORKFORCE_POOL_ID: El ID del grupo de identidades de personal al que se conecta el IdP.
  • DISPLAY_NAME: un nombre visible opcional, fácil de usar para el proveedor, por ejemplo, idp-eu-employees.
  • DESCRIPTION: una descripción opcional del proveedor de personal, por ejemplo, IdP for Partner Example Organization employees.
  • ISSUER_URI: El URI de la entidad emisora de OIDC, en un formato de URI válido, que comienza con https; por ejemplo: https://example.com/oidc. Nota: Por motivos de seguridad, ISSUER_URI debe usar el esquema HTTPS.
  • OIDC_CLIENT_ID: El ID de cliente de OIDC que está registrado con el IdP de OIDC. El ID debe coincidir con la reclamación aud del JWT que emite el IdP.
  • WEB_SSO_ADDITIONAL_SCOPES: Permisos adicionales opcionales así enviarle al IdP de OIDC para la consola (federada) o el acceso basado en el navegador de la gcloud CLI.
  • ATTRIBUTE_MAPPING: Una asignación de atributos. A continuación, se muestra un ejemplo de una asignación de atributos:
    google.subject=assertion.sub,
    google.groups=assertion.group1,
    attribute.costcenter=assertion.costcenter
    En este ejemplo, se asignan los atributos de IdP subject, group1 y costcenter en la aserción de OIDC a los atributos google.subject, google.groups y attribute.costcenter, respectivamente.
  • ATTRIBUTE_CONDITION: una condición de atributo; por ejemplo, assertion.role == 'gcp-users'. Esta condición de ejemplo garantiza que solo los usuarios con el rol gcp-users puedan acceder mediante este proveedor.
  • JWK_JSON_PATH: Una ruta de acceso opcional a un JWK de OIDC subido de forma local. Si no se proporciona este parámetro, Google Cloud usa la ruta de acceso /.well-known/openid-configuration de tu IdP para obtener los JWK que contienen las claves públicas. Encuentra más información sobre los JWK de OIDC subidos de forma local en Administra los JWK de OIDC.
En la respuesta del comando, POOL_RESOURCE_NAME es el nombre del grupo; por ejemplo, locations/global/workforcePools/enterprise-example-organization-employees.

Crea un proveedor de SAML

En esta sección, se describe cómo crear un proveedor de grupos de Workforce Identity para un IdP de SAML.

Console

Para configurar el proveedor de SAML con la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Grupos de identidades de personal:

    Ir a Grupos de identidades de personal

  2. En la tabla grupos de identidad del personal, selecciona el grupo para el que deseas crear el proveedor.

  3. En la tabla Proveedores, haz clic en Agregar proveedor.

  4. En Selecciona un protocolo, selecciona SAML.

  5. En Crea un proveedor de grupos, haz lo siguiente:

    1. En Nombre del proveedor, ingresa un nombre para el proveedor.

    2. Opcional: En Descripción, ingresa una descripción para el proveedor.

    3. En Archivo de metadatos de IdP (XML), selecciona el archivo XML de metadatos que generaste antes en esta guía.

    4. Asegúrate de que la opción Proveedor habilitado esté habilitada.

    5. Haz clic en Continuar.

  6. En Configurar proveedor, haz lo siguiente:

    1. En Asignación de atributos, ingresa una expresión CEL para google.subject.

    2. Opcional: Para ingresar otras asignaciones, haz clic en Agregar asignación y, luego, ingresa otras asignaciones:

      google.subject=assertion.subject,
      google.groups=assertion.attributes['https://example.com/aliases'],
      attribute.costcenter=assertion.attributes.costcenter[0]
      En este ejemplo, se asignan los atributos de IdP assertion.subject, assertion.attributes['https://example.com/aliases'] y assertion.attributes.costcenter[0] a los atributos de Google Cloud google.subject, google.groups y google.costcenter, respectivamente.

    3. Opcional: Para agregar una condición de atributo, haz clic en Agregar condición y, luego, ingresa una expresión de CEL que represente una condición de atributo. Por ejemplo, para limitar el atributo ipaddr a un rango de IP determinado, puedes establecer la condición assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo garantiza que solo los usuarios con una dirección IP que comienza con 98.11.12. puedan acceder mediante este proveedor de personal.

    4. Haga clic en Continuar.

  7. Para crear el proveedor, haz clic en Enviar.

gcloud

Para crear la política, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --location="global"

Reemplaza lo siguiente:

  • WORKFORCE_PROVIDER_ID: el ID del proveedor de personal
  • WORKFORCE_POOL_ID: el ID del grupo de personal
  • ATTRIBUTE_MAPPING: una asignación de atributo; por ejemplo, para asignar un asunto, la asignación de atributos es la siguiente:

    
    google.subject=assertion.subject,
    google.groups=assertion.attributes['https://example.com/aliases'],
    attribute.department=assertion.attributes.department[0]
    
  • ATTRIBUTE_CONDITION: una condición de atributo opcional; por ejemplo, assertion.subject.endsWith("@example.com")

  • XML_METADATA_PATH: la ruta de acceso al archivo de metadatos con formato XML desde tu IdP

El prefijo gcp- está reservado y no se puede usar en un grupo de identidad de personal ni en el ID de proveedor del grupo de identidad de personal.

Con este comando, se asigna el sujeto y el departamento en la aserción de SAML a los atributos google.subject y attribute.department, respectivamente. Además, la condición del atributo garantiza que solo los usuarios con un asunto que finalice en @example.com puedan acceder mediante este proveedor de personal.

Describe un proveedor

Console

Para ver un proveedor, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

Ir a Grupos de identidades de personal

  1. En la tabla, elige el grupo para el que deseas ver el proveedor.

  2. En la tabla Proveedores, elige el proveedor.

gcloud

Para describir un proveedor, ejecuta el siguiente comando:

gcloud iam workforce-pools providers describe PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Reemplaza lo siguiente:

  • PROVIDER_ID: el ID del proveedor
  • WORKFORCE_POOL_ID: el ID del grupo de personal

Enumerar proveedores

Console

Para ver un proveedor, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

Ir a Grupos de identidades de personal

  1. En la tabla, elige el grupo para el que deseas enumerar los proveedores.

  2. En la tabla Proveedores, puedes ver una lista de proveedores.

gcloud

Para enumerar los proveedores, ejecuta el siguiente comando:

gcloud iam workforce-pools providers list \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Reemplaza WORKFORCE_POOL_ID por el ID del grupo de personal.

Actualiza un proveedor

Console

Para ver un proveedor, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

Ir a Grupos de identidades de personal

  1. En la tabla, elige el grupo para el que deseas ver el proveedor.

  2. En la tabla Proveedores, haz clic en Editar.

  3. Actualiza el proveedor.

  4. Para guardar el proveedor actualizado, haz clic en Guardar.

gcloud

Para actualizar un proveedor de OIDC después de la creación, ejecuta el siguiente comando:

gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --description="DESCRIPTION" \
    --location=global

Reemplaza lo siguiente:

  • PROVIDER_ID: el ID del proveedor
  • WORKFORCE_POOL_ID: el ID del grupo de personal
  • DESCRIPTION: la descripción

Borra un proveedor

Para borrar un proveedor, ejecuta el siguiente comando:

gcloud iam workforce-pools providers delete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Reemplaza lo siguiente:

  • PROVIDER_ID: el ID del proveedor
  • WORKFORCE_POOL_ID: el ID del grupo de personal

Recupera un proveedor

Para recuperar un proveedor que se borró en los últimos 30 días, ejecuta el siguiente comando:

gcloud iam workforce-pools providers undelete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Reemplaza lo siguiente:

  • PROVIDER_ID: el ID del proveedor
  • WORKFORCE_POOL_ID: el ID del grupo de personal

Administra JWK de OIDC

En esta sección, se muestra cómo administrar JWK de OIDC en proveedores de grupos de trabajadores.

Crea un proveedor y sube JWK de OIDC

Para crear JWK de OIDC, consulta Implementaciones de JWT, JWS, JWE, JWK y JWA.

Para subir un archivo JWK de OIDC cuando creas un proveedor de grupos de trabajadores, ejecuta el comando gcloud iam workforce-pools providers create-oidc con --jwk-json-path="JWK_JSON_PATH". Reemplaza JWK_JSON_PATH por la ruta de acceso al archivo JSON de JWK.

Esta operación sube las claves del archivo.

Actualiza los JWK de OIDC

Para actualizar los JWK de OIDC, ejecuta el comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH". Reemplaza JWK_JSON_PATH por la ruta de acceso al archivo JSON de JWK.

Esta operación reemplaza cualquier clave subida existente por las que están en el archivo.

Borra todos los JWK de OIDC subidos

Para borrar todos los JWK de OIDC subidos y, en su lugar, usar el URI de la entidad emisora y poder recuperar las claves, ejecuta el comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH". Reemplaza JWK_JSON_PATH por la ruta a un archivo vacío. Usa la marca --issuer-uri para establecer el URI de la entidad emisora.

Esta operación borra todas tus claves subidas existentes.

¿Qué sigue?