Questa pagina è stata tradotta dall'API Cloud Translation.

Gestisci i provider di pool di identità della forza lavoro

Questa guida descrive come eseguire operazioni comuni con la federazione delle identità della forza lavoro. Per configurare la federazione delle identità per la forza lavoro, consulta seguenti guide:

Configura la federazione delle identità per la forza lavoro con Microsoft Entra ID e accedi agli utenti
Configurare la federazione delle identità della forza lavoro con Okta e far accedere gli utenti
Configurare la federazione delle identità della forza lavoro su un IdP che supporta OIDC o SAML

Prima di iniziare

Devi aver configurato un'organizzazione Google Cloud.
Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.

Gestisci pool

Questa sezione mostra come gestire i pool di identità della forza lavoro.

Crea un pool

Per creare un pool di risorse umane, esegui il seguente comando:

Console

Per creare il pool di identità della forza lavoro, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Pool di identità del personale:

Vai ai pool di identità della forza lavoro
Fai clic su Crea pool e segui questi passaggi:
1. Nel campo Nome, inserisci il nome visualizzato del pool. L'ID pool viene ricavato automaticamente dal nome durante la digitazione e visualizzato nel campo Nome. Puoi aggiornare l'ID pool facendo clic su Modifica accanto all'ID pool.
2. (Facoltativo) In Descrizione, inserisci una descrizione del pool.
3. La durata della sessione è impostata per impostazione predefinita. Per inserire una durata personalizzata della sessione, fai clic su Modifica. La durata della sessione determina la durata di validità dei token di accesso di Google Cloud, delle sessioni di accesso alla console (federata) e delle sessioni di accesso a gcloud CLI di questo pool di personale. La durata deve essere superiore a 15 minuti (900 secondi) e inferiore a 12 ore (43200 secondi). Se la durata della sessione non è impostata, viene utilizzata per impostazione predefinita durata di un'ora (3600 s).
4. Per creare il pool in stato Attivato, assicurati che Il pool abilitato è attivo.
5. Per creare il pool di identità della forza lavoro, fai clic su Avanti.

gcloud

Per creare il pool di identità del personale, esegui il seguente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Sostituisci quanto segue:

WORKFORCE_POOL_ID: un ID che scegli per rappresentare la tua forza lavoro Google Cloud. Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di ricerca nella documentazione dell'API.
ORGANIZATION_ID: l'ID numerico dell'organizzazione di nella tua organizzazione Google Cloud.
DISPLAY_NAME: facoltativo. Un nome visualizzato per il pool di identità della forza lavoro.
DESCRIPTION: facoltativo. Un pool di identità della forza lavoro o l'audiodescrizione.
SESSION_DURATION: facoltativo. Durata della sessione, che determina per quanto tempo Google Cloud token di accesso, console (federata) sessioni di accesso e le sessioni di accesso gcloud CLI pool di forza lavoro sono validi. La durata deve essere superiore a 15 minuti (900 secondi) e inferiore a 12 ore (43200 secondi). Se la durata della sessione non è impostata, viene utilizzata per impostazione predefinita durata di un'ora (3600 s).

Descrivere un pool

Console

Per descrivere un pool di risorse specifiche utilizzando la console Google Cloud, segui questi passaggi:

Vai alla pagina Pool di identità della forza lavoro:

Vai a Pool di identità della forza lavoro
In Pool di forza lavoro, seleziona il pool

gcloud

Per descrivere un pool di risorse specifiche utilizzando gcloud CLI, esegui il seguente comando:

gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
    --location=global

Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro scelto quando hai creato il pool.

Elenca pool

Console

Per elencare i pool di forza lavoro utilizzando la console Google Cloud, segui questi passaggi:

Vai alla pagina Pool di identità della forza lavoro:

Vai ai pool di identità della forza lavoro
Nella tabella, visualizza l'elenco dei pool.

gcloud

Per elencare i pool di forza lavoro nell'organizzazione, esegui questo comando:

gcloud iam workforce-pools list \
    --organization=ORGANIZATION_ID \
    --location=global

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Aggiorna un pool

Console

Per aggiornare un pool di personale specifico utilizzando la console Google Cloud, segui questi passaggi:

Vai alla pagina Pool di identità della forza lavoro:

Vai ai pool di identità della forza lavoro
Nella tabella, seleziona il pool.
Aggiorna i parametri del pool.
Fai clic su Save Pool (Salva pool).

gcloud

Per aggiornare un pool di risorse specifiche, esegui il seguente comando:

gcloud iam workforce-pools update WORKFORCE_POOL_ID \
    --description=DESCRIPTION \
    --location=global

Sostituisci quanto segue:

WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
DESCRIPTION: la descrizione del pool

Elimina un pool

Console

Per eliminare un pool di risorse specifiche utilizzando la console Google Cloud, procedi nel seguente modo:

Vai alla pagina Pool di identità della forza lavoro:

Vai a Pool di identità della forza lavoro
In Pool di forza lavoro, fai clic su Elimina per il pool che vuoi eliminare.
Segui le istruzioni aggiuntive.

gcloud

Per eliminare un pool di identità della forza lavoro, esegui questo comando:

gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
    --location=global

Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro.

Annulla eliminazione di un pool

Puoi annullare l'eliminazione di un pool di identità per la forza lavoro eliminato negli ultimi 30 giorni.

Per annullare l'eliminazione di un pool, esegui il seguente comando:

gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
    --location=global

Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro.

Configura un provider nel pool di forza lavoro

Questa sezione spiega come utilizzare i comandi gcloud per configurare la forza lavoro Provider di pool di identità:

Crea un provider OIDC

Questa sezione descrive come creare un provider di pool di identità della forza lavoro per un IdP OIDC.

Console

Flusso codice

Nella console Google Cloud, vai alla pagina Pool di identità del personale:

Vai ai pool di identità della forza lavoro
Nella tabella Pool di identità della forza lavoro, seleziona il pool per il quale vuoi creare il provider.
Nella tabella Providers (Provider), fai clic su Add Provider (Aggiungi provider).
In Seleziona un protocollo, seleziona OpenID Connect (OIDC).
In Crea un provider di pool, segui questi passaggi:
1. In Nome, inserisci un nome per il provider.
2. In Emittente (URL), inserisci l'URI dell'emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio https://example.com/oidc.
3. Inserisci l'ID client, ovvero l'ID client OIDC registrato con il tuo IdP OIDC. L'ID deve corrispondere al claim aud del JWT emesso dal tuo IdP.
4. Per creare un provider abilitato, assicurati che l'opzione Provider abilitato sia attiva.
5. Fai clic su Continua.
In Tipo di risposta, procedi nel seguente modo. Il tipo di risposta viene utilizzato solo per un flusso di Single Sign-On basato sul web.
1. In Tipo di risposta, seleziona Codice.
2. In Client secret, inserisci il client secret del tuo IdP.
3. In Comportamento delle rivendicazioni per affermazioni, seleziona una delle seguenti opzioni:
  - Informazioni utente e token ID
  - Solo token ID
4. Fai clic su Continua.
In Configura provider, puoi configurare una mappatura degli attributi e una condizione dell'attributo. Per creare una mappatura degli attributi: Puoi fornire il nome del campo dell'IDP o un'espressione in formato CEL che restituisce una stringa.
1. Obbligatorio: in OIDC 1, inserisci l'oggetto dell'IdP; ad esempio assertion.sub.
2. (Facoltativo) Per aggiungere altre mappature degli attributi, segui questi passaggi:
  1. Fai clic su Aggiungi mappatura.
  2. In Google n, dove n è un numero, inserisci una delle chiavi supportate da Google Cloud.
  3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IDP da mappare, in formato CEL.
3. Per creare una condizione dell'attributo:
  
  Avviso: se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, vedi Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
  1. Fai clic su Aggiungi condizione.
  2. In Condizioni attributi, inserisci una condizione in formato CEL, ad esempio assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
Per creare il provider, fai clic su Invia.

Flusso implicito
1. Nella console Google Cloud, vai alla pagina Pool di identità per la forza lavoro:
  
  Vai ai pool di identità della forza lavoro
2. Nella tabella Pool di identità della forza lavoro, seleziona il pool per il quale vuoi creare il provider.
3. Nella tabella Providers (Provider), fai clic su Add Provider (Aggiungi provider).
4. In Seleziona un protocollo, seleziona OpenID Connect (OIDC).
5. In Crea un provider di pool, segui questi passaggi:
  1. In Nome, inserisci un nome per il provider.
  2. In Emittente (URL), inserisci l'URI dell'emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con https; ad esempio https://example.com/oidc.
  3. Inserisci l'ID client, ovvero l'ID client OIDC registrato con il tuo IdP OIDC. L'ID deve corrispondere al claim aud del JWT emesso dal tuo IdP.
  4. Per creare un provider abilitato, assicurati che l'opzione Provider abilitato sia attiva.
  5. Fai clic su Continua.
6. In Tipo di risposta, segui questi passaggi: Il tipo di risposta viene utilizzato solo per un flusso di Single Sign-On basato sul web.
  1. In Tipo di risposta, seleziona Token ID.
  2. Fai clic su Continua.
7. In Configura provider, puoi configurare una mappatura degli attributi e una condizione dell'attributo. Per creare una mappatura degli attributi: procedi nel seguente modo. Puoi fornire il nome del campo dell'IdP o Formato CEL che restituisce una stringa.
  1. Obbligatorio: in OIDC 1, inserisci l'oggetto dell'IdP; ad esempio assertion.sub.
  2. (Facoltativo) Per aggiungere altre mappature degli attributi, segui questi passaggi:
    1. Fai clic su Aggiungi mappatura.
    2. In Google n, dove n è un numero, inserisci uno tra le chiavi supportate da Google Cloud.
    3. Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IDP da mappare, in formato CEL.
  3. Per creare una condizione dell'attributo:
    1. Fai clic su Aggiungi condizione.
    2. In Condizioni attributi, inserisci una condizione nel formato CEL; ad esempio assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.
      
      Avviso: se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per maggiori informazioni, vedi Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
8. Per creare il provider, fai clic su Invia.

gcloud

Flusso codice

Per creare un provider OIDC che utilizzi il flusso del codice di autorizzazione per l'accesso web, esegui seguente comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: un ID provider univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool o nell'ID provider.
WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui collegare l'IdP.
DISPLAY_NAME: un nome visualizzato facoltativo e facile da usare per il fornitore, ad esempio idp-eu-employees.
DESCRIPTION: un fornitore di forza lavoro facoltativo descrizione; ad esempio IdP for Partner Example Organization employees.
ISSUER_URI: l'URI dell'emittente OIDC, in un URI valido, che inizia con https; ad esempio https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.
OIDC_CLIENT_ID: l'ID client OIDC registrato con l'IdP OIDC. L'ID deve corrispondere al claim aud del JWT emesso dall'IdP.
OIDC_CLIENT_SECRET: il client secret OIDC.
WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso alla console (federato) o basato su browser dell'interfaccia a riga di comando gcloud.
ATTRIBUTE_MAPPING: una mappatura degli attributi. Di seguito è riportato un esempio di mappatura degli attributi:
```
google.subject=assertion.sub,
google.groups=assertion.group1,
attribute.costcenter=assertion.costcenter
```
Questo esempio mappa gli attributi IdP subject, group1 e costcenter nell'affermazione OIDC agli attributi google.subject, google.groups e attribute.costcenter, rispettivamente.
ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.

JWK_JSON_PATH: un percorso facoltativo dei JWK OIDC caricati localmente. Se questo parametro non viene fornito, Google Cloud utilizza invece il percorso /.well-known/openid-configuration dell'IdP per trovare i JWK contenenti le chiavi pubbliche. Per saperne di più sui JWK OIDC caricati localmente, vedi Gestire i JWK OIDC.

Nota: i JWK OIDC locali possono essere caricati tramite flusso implicito o di codice, ma possono essere utilizzate solo nel flusso programmatico, Puoi chiamare direttamente l'endpoint /token STS con una credenziale dell'IdP di terze parti per scambiare un token di accesso Google Cloud per il pool di forza lavoro.

Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool, ad esempio locations/global/workforcePools/enterprise-example-organization-employees.

Flusso implicito

Per creare un provider di pool di identità forza lavoro OIDC che utilizza il flusso implicito per l'accesso web, esegui il seguente comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: un ID provider univoco. Il prefisso gcp- è riservato e non può essere utilizzato in un pool o nell'ID provider.
WORKFORCE_POOL_ID: l'ID del pool di identità forza lavoro a cui collegare l'IdP.
DISPLAY_NAME: un nome visualizzato facoltativo e facile da usare per il fornitore, ad esempio idp-eu-employees.
DESCRIPTION: un fornitore di forza lavoro facoltativo descrizione; ad esempio IdP for Partner Example Organization employees.
ISSUER_URI: l'URI dell'emittente OIDC, in un URI valido, che inizia con https; ad esempio https://example.com/oidc. Nota: per motivi di sicurezza, ISSUER_URI deve utilizzare lo schema HTTPS.
OIDC_CLIENT_ID: l'ID client OIDC registrato con l'IdP OIDC. L'ID deve corrispondere al claim aud del JWT emesso dall'IdP.
WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso alla console (federato) o basato su browser dell'interfaccia a riga di comando gcloud.
ATTRIBUTE_MAPPING: una mappatura degli attributi. Di seguito è riportato un esempio di mappatura degli attributi:
```
google.subject=assertion.sub,
google.groups=assertion.group1,
attribute.costcenter=assertion.costcenter
```
Questo esempio mappa gli attributi IdP subject, group1 e costcenter nell'affermazione OIDC agli attributi google.subject, google.groups e attribute.costcenter, rispettivamente.
ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio assertion.role == 'gcp-users'. Questa condizione di esempio garantisce che solo gli utenti con il ruolo gcp-users possano accedere utilizzando questo provider.

JWK_JSON_PATH: un percorso facoltativo a un file JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza il percorso /.well-known/openid-configuration del tuo IdP per recuperare le JWK contenenti le chiavi pubbliche. Per ulteriori informazioni sui JWK OIDC caricati localmente, vedi Gestire i JWK OIDC.

Nella risposta al comando, POOL_RESOURCE_NAME è il nome del pool; ad esempio locations/global/workforcePools/enterprise-example-organization-employees.

Crea un provider SAML

Questa sezione descrive come creare un provider di pool di identità di forza lavoro per un provider di identità SAML.

Console

Per configurare il provider SAML utilizzando la console Google Cloud, esegui la seguenti:

Nella console Google Cloud, vai alla pagina Pool di identità del personale:

Vai a Pool di identità della forza lavoro
Nella tabella Pool di identità della forza lavoro, seleziona il pool vuoi creare il provider.
Nella tabella Providers (Provider), fai clic su Add Provider (Aggiungi provider).
In Seleziona un protocollo, seleziona SAML.
In Crea un provider di pool, segui questi passaggi:
1. In Nome, inserisci un nome per il provider.
2. (Facoltativo) In Descrizione, inserisci una descrizione per il fornitore.
3. In File di metadati IDP (XML), seleziona il file XML dei metadati che hai generato in precedenza in questa guida.
4. Assicurati che l'opzione Provider abilitato sia attivata.
5. Fai clic su Continua.
In Configura provider, segui questi passaggi:
1. In Mappatura attributi, inserisci un'espressione CEL per google.subject.
2. (Facoltativo) Per inserire altre mappature, fai clic su Aggiungi mappatura e inserisci altre mappature, ad esempio:
```
google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
```
  Questo esempio mappa gli attributi IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] agli attributi Google Cloud google.subject, google.groups e google.costcenter, rispettivamente.
3. (Facoltativo) Per aggiungere una condizione dell'attributo, fai clic su Aggiungi condizione e inserisci un'espressione CEL che rappresenta una condizione dell'attributo. Ad esempio, per limitare l'attributo ipaddr a un determinato intervallo IP puoi impostare la condizione assertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con 98.11.12. possano accedere utilizzando questo provider di forza lavoro.
  
  Avviso: se il tuo IdP multi-tenant ha un singolo URI emittente, devi utilizzare condizioni degli attributi per assicurarti che l'accesso sia limitato al tenant corretto. Per ulteriori informazioni, consulta Utilizzare le condizioni degli attributi durante la federazione con GitHub o altri provider di identità multi-tenant.
4. Fai clic su Continua.
Per creare il provider, fai clic su Invia.

gcloud

Per creare il provider, esegui questo comando:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --location="global"

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: l'ID del provider di forza lavoro
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro

ATTRIBUTE_MAPPING: una mappatura degli attributi. ad esempio, per mappare un argomento, la mappatura degli attributi è la seguente:


google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.department=assertion.attributes.department[0]

ATTRIBUTE_CONDITION: una condizione dell'attributo facoltativa; ad esempio assertion.subject.endsWith("@example.com")
XML_METADATA_PATH: il percorso del file in formato XML dal tuo IdP

Il prefisso gcp- è riservato e non può essere utilizzato in un ID pool o provider.

Questo comando assegna l'oggetto e il reparto nell'affermazione SAML agli attributi google.subject e attribute.department, rispettivamente. Inoltre, la condizione dell'attributo garantisce che solo gli utenti con un oggetto che termina con @example.com possano accedere utilizzando questo fornitore di personale.

Descrivere un fornitore

Console

Per visualizzare un fornitore:

Vai alla pagina Pool di identità della forza lavoro:

Vai ai pool di identità della forza lavoro

Nella tabella, seleziona il pool per il quale vuoi visualizzare il provider.
Nella tabella Providers (Provider), seleziona il provider.

gcloud

Per descrivere un provider, esegui questo comando:

gcloud iam workforce-pools providers describe PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: l'ID provider
WORKFORCE_POOL_ID: l'ID pool di forza lavoro

Elenca provider

Console

Per visualizzare un fornitore:

Vai alla pagina Pool di identità della forza lavoro:

Vai ai pool di identità della forza lavoro

Nella tabella, seleziona il pool per cui vuoi elencare i fornitori.
Nella tabella Provider puoi visualizzare un elenco di provider.

gcloud

Per elencare i provider, esegui il seguente comando:

gcloud iam workforce-pools providers list \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Sostituisci WORKFORCE_POOL_ID con l'ID del pool di personale.

Aggiornare un fornitore

Console

Per visualizzare un fornitore:

Vai alla pagina Pool di identità della forza lavoro:

Vai a Pool di identità della forza lavoro

Nella tabella, seleziona il pool per il quale vuoi visualizzare il provider.
Nella tabella Provider, fai clic su Modifica.
Aggiorna il provider.
Per salvare il provider aggiornato, fai clic su Salva.

gcloud

Per aggiornare un provider OIDC dopo la creazione, esegui il seguente comando:

gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --description="DESCRIPTION" \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: l'ID provider
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro
DESCRIPTION: la descrizione

Elimina un provider

Per eliminare un fornitore, esegui il seguente comando:

gcloud iam workforce-pools providers delete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: l'ID provider
WORKFORCE_POOL_ID: l'ID del pool di forza lavoro

Annullare l'eliminazione di un provider

Per annullare l'eliminazione di un provider eliminato negli ultimi 30 giorni, esegui questo comando: :

gcloud iam workforce-pools providers undelete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Sostituisci quanto segue:

PROVIDER_ID: l'ID provider
WORKFORCE_POOL_ID: l'ID pool di forza lavoro

Gestisci JWK OIDC

Questa sezione mostra come gestire i JWK OIDC nel pool forza lavoro di Google Cloud.

Crea un provider e carica i JWK OIDC

Per creare JWK OIDC, consulta Implementazioni JWT, JWS, JWE, JWK e JWA.

Per caricare un file JWK OIDC quando crei un provider di pool di forza lavoro, esegui il comando gcloud iam force-pools provider create-oidc con --jwk-json-path="JWK_JSON_PATH". Sostituisci JWK_JSON_PATH con il percorso del file JSON JWKs. .

Questa operazione carica le chiavi dal file.

Aggiornare i JWK OIDC

Per aggiornare i JWK OIDC, esegui il Comando gcloud iam force-pools provider update-oidc con --jwk-json-path="JWK_JSON_PATH". Sostituisci JWK_JSON_PATH con il percorso del file JSON JWK.

Questa operazione sostituisce le eventuali chiavi caricate esistenti con quelle presenti nella .

Elimina tutti i JWK OIDC caricati

Per eliminare tutti i JWK OIDC caricati e utilizzare invece l'URI dell'emittente per recuperare le chiavi, esegui il comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH". Sostituisci JWK_JSON_PATH con il percorso di un file vuoto. Utilizza il flag --issuer-uri per impostare l'URI dell'emittente.

Questa operazione elimina tutte le chiavi caricate esistenti.

Gestisci i provider di pool di identità della forza lavoro

Prima di iniziare

Gestisci pool

Crea un pool

Console

gcloud

Descrivere un pool

Console

gcloud

Elenca pool

Console

gcloud

Aggiorna un pool

Console

gcloud

Elimina un pool

Console

gcloud

Annulla eliminazione di un pool

Configura un provider nel pool di forza lavoro

Crea un provider OIDC

Console

Flusso codice

Flusso implicito

gcloud

Flusso codice

Flusso implicito

Crea un provider SAML

Console

gcloud

Descrivere un fornitore

Console

gcloud

Elenca provider

Console

gcloud

Aggiornare un fornitore

Console

gcloud

Elimina un provider

Annullare l'eliminazione di un provider

Gestisci JWK OIDC

Crea un provider e carica i JWK OIDC

Aggiornare i JWK OIDC

Elimina tutti i JWK OIDC caricati

Passaggi successivi