Kelola penyedia workforce identity pool

Panduan ini menjelaskan cara Anda melakukan operasi umum dengan Workforce Identity Federation. Untuk menyiapkan Workforce Identity Federation, lihat panduan berikut:

Sebelum memulai

  1. Anda harus menyiapkan organisasi Google Cloud.

  2. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init

Mengelola kumpulan

Bagian ini menunjukkan cara mengelola workforce identity pool.

Buat kumpulan

Untuk membuat kumpulan workforce, jalankan perintah berikut:

Konsol

Untuk membuat workforce identity pool, lakukan hal berikut:

  1. Di Konsol Google Cloud, buka halaman Workforce Identity Pool:

    Buka Workforce Identity Pools

  2. Klik Buat pool dan lakukan tindakan berikut:

    1. Di kolom Name, masukkan nama tampilan kumpulan. ID kumpulan otomatis diambil dari nama saat Anda mengetik, dan ditampilkan di kolom Nama. Anda dapat memperbarui ID pool dengan mengklik Edit di samping ID pool.

    2. Opsional: Di Deskripsi, masukkan deskripsi pool.

    3. Durasi sesi ditetapkan secara default. Untuk memasukkan durasi sesi khusus, klik Edit. Durasi sesi menentukan durasi validnya token akses Google Cloud, sesi login konsol (federasi), dan sesi login gcloud CLI dari workforce pool ini. Durasi harus lebih dari 15 menit (900 detik) dan kurang dari 12 jam (43200 detik). Jika durasi sesi tidak ditentukan, durasi default adalah durasi satu jam (3600 detik).

    4. Untuk mengaktifkan pool, pastikan Mengaktifkan Pool aktif.

    5. Untuk membuat workforce identity pool, klik Berikutnya.

gcloud

Untuk membuat workforce identity pool, jalankan perintah berikut:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ganti kode berikut:

  • WORKFORCE_POOL_ID: ID yang Anda pilih untuk mewakili workforce pool Google Cloud Anda. Untuk mengetahui informasi tentang cara memformat ID, lihat bagian Parameter kueri dalam dokumentasi API.
  • ORGANIZATION_ID: ID organisasi numerik dari organisasi Google Cloud Anda.
  • DISPLAY_NAME: Opsional. Nama tampilan untuk kumpulan identitas tenaga kerja Anda.
  • DESCRIPTION: Opsional. Deskripsi kumpulan identitas tenaga kerja.
  • SESSION_DURATION: Opsional. Durasi sesi, yang menentukan durasi validnya token akses Google Cloud, sesi login konsol (federasi), dan sesi login gcloud CLI dari workforce pool ini. Durasi harus lebih dari 15 menit (900 detik) dan kurang dari 12 jam (43200 detik). Jika durasi sesi tidak disetel, maka durasi defaultnya adalah satu jam (3600 detik).

Menjelaskan pool

Konsol

Untuk menjelaskan workforce pool tertentu menggunakan konsol Google Cloud, lakukan hal berikut:

  1. Buka halaman Workforce Identity Pool:

    Buka Workforce Identity Pools

  2. Di Workforce pool, pilih pool

gcloud

Untuk mendeskripsikan workforce pool tertentu menggunakan gcloud CLI, jalankan perintah berikut:

gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
    --location=global

Ganti WORKFORCE_POOL_ID dengan ID workforce pool yang Anda pilih ketika Anda membuat pool.

Mencantumkan pool

Konsol

Untuk mencantumkan workforce pool menggunakan konsol Google Cloud, lakukan hal berikut:

  1. Buka halaman Workforce Identity Pool:

    Buka Workforce Identity Pools

  2. Pada tabel, lihat daftar pool.

gcloud

Untuk mencantumkan workforce pool di organisasi, jalankan perintah berikut:

gcloud iam workforce-pools list \
    --organization=ORGANIZATION_ID \
    --location=global

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Memperbarui pool

Konsol

Untuk memperbarui workforce pool tertentu menggunakan konsol Google Cloud, lakukan hal berikut:

  1. Buka halaman Workforce Identity Pool:

    Buka Workforce Identity Pools

  2. Pada tabel, pilih pool.

  3. Perbarui parameter pool.

  4. Klik Simpan Pool.

gcloud

Untuk memperbarui workforce pool tertentu, jalankan perintah berikut:

gcloud iam workforce-pools update WORKFORCE_POOL_ID \
    --description=DESCRIPTION \
    --location=global

Ganti kode berikut:

  • WORKFORCE_POOL_ID: ID workforce pool
  • DESCRIPTION: deskripsi pool

Menghapus pool

Konsol

Untuk menghapus workforce pool tertentu menggunakan konsol Google Cloud, lakukan hal berikut:

  1. Buka halaman Workforce Identity Pool:

    Buka Workforce Identity Pools

  2. Di Workforce pools, klik Hapus pada pool yang ingin Anda hapus.

  3. Ikuti petunjuk tambahan.

gcloud

Untuk menghapus workforce identity pool, jalankan perintah berikut:

gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
    --location=global

Ganti WORKFORCE_POOL_ID dengan ID workforce pool.

Membatalkan penghapusan pool

Anda dapat membatalkan penghapusan workforce identity pool yang sudah dihapus dalam 30 hari.

Untuk membatalkan penghapusan pool, jalankan perintah berikut:

gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
    --location=global

Ganti WORKFORCE_POOL_ID dengan ID workforce pool.

Mengonfigurasi penyedia dalam workforce pool

Bagian ini menjelaskan cara Anda menggunakan perintah gcloud untuk mengonfigurasi penyedia workforce identity pool:

Membuat penyedia OIDC

Bagian ini menjelaskan cara membuat penyedia workforce identity pool untuk IdP OIDC.

Konsol

Alur kode

  1. Di Konsol Google Cloud, buka halaman Workforce Identity Pool:

    Buka Workforce Identity Pool

  2. Di tabel Workforce Identity Pool, pilih pool tempat Anda ingin membuat penyedia.

  3. Di tabel Penyedia, klik Tambah Penyedia.

  4. Di bagian Pilih protokol, pilih Open ID Connect (OIDC).

  5. Di bagian Buat penyedia pool, lakukan hal berikut:

    1. Di bagian Nama, masukkan nama penyedia.
    2. Di bagian Penerbit (URL), masukkan URI penerbit. URI penerbit OIDC harus dalam format URI yang valid dan diawali dengan https; misalnya, https://example.com/oidc.
    3. Masukkan Client ID, client ID OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
    4. Untuk membuat penyedia yang diaktifkan, pastikan Penyedia yang Diaktifkan telah aktif.
    5. Klik Lanjutkan.
  6. Di bagian Jenis respons, lakukan hal berikut. Jenis respons hanya digunakan untuk alur single sign-on berbasis web.

    1. Di bagian Jenis respons, pilih Kode.
    2. Di bagian Rahasia klien, masukkan rahasia klien dari IdP Anda.
    3. Pada Perilaku klaim pernyataan, pilih salah satu opsi berikut:

      • Info pengguna dan token ID
      • Hanya token ID
    4. Klik Lanjutkan.

  7. Di bagian Konfigurasi penyedia, Anda dapat mengonfigurasi pemetaan atribut dan kondisi atribut. Untuk membuat pemetaan atribut, lakukan hal berikut. Anda dapat memberikan nama kolom IdP atau ekspresi berformat CEL yang menampilkan string.

    1. Wajib: Pada OIDC 1, masukkan subjek dari IdP; misalnya, assertion.sub.

    2. Opsional: Untuk menambahkan pemetaan atribut tambahan, lakukan hal berikut:

      1. Klik Tambahkan pemetaan.
      2. Pada Google n, dengan n adalah angka, masukkan salah satu kunci yang didukung Google Cloud.
      3. Di kolom OIDC n yang sesuai, masukkan nama kolom khusus IdP yang akan dipetakan, dalam format CEL.
    3. Untuk membuat kondisi atribut, lakukan hal berikut:

      1. Klik Add condition.
      2. Di bagian Kondisi Atribut, masukkan kondisi dalam format CEL; misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.
  8. Untuk membuat penyedia, klik Kirim.

    Alur implisit

    1. Di Konsol Google Cloud, buka halaman Workforce Identity Pool:

      Buka Workforce Identity Pool

    2. Di tabel Workforce Identity Pool, pilih pool tempat Anda ingin membuat penyedia.

    3. Di tabel Penyedia, klik Tambah Penyedia.

    4. Di bagian Pilih protokol, pilih Open ID Connect (OIDC).

    5. Di bagian Buat penyedia pool, lakukan hal berikut:

      1. Di bagian Nama, masukkan nama penyedia.
      2. Di bagian Penerbit (URL), masukkan URI penerbit. URI penerbit OIDC harus dalam format URI yang valid dan diawali dengan https; misalnya, https://example.com/oidc.
      3. Masukkan Client ID, client ID OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
      4. Untuk membuat penyedia yang diaktifkan, pastikan Penyedia yang Diaktifkan telah aktif.
      5. Klik Lanjutkan.
    6. Di bagian Jenis respons, lakukan hal berikut. Jenis respons hanya digunakan untuk alur single sign-on berbasis web.

      1. Pada Jenis respons, pilih Token ID.
      2. Klik Lanjutkan.
    7. Di bagian Konfigurasi penyedia, Anda dapat mengonfigurasi pemetaan atribut dan kondisi atribut. Untuk membuat pemetaan atribut, lakukan hal berikut. Anda dapat memberikan nama kolom IdP atau ekspresi berformat CEL yang menampilkan string.

      1. Wajib: Pada OIDC 1, masukkan subjek dari IdP; misalnya, assertion.sub.

      2. Opsional: Untuk menambahkan pemetaan atribut tambahan, lakukan hal berikut:

        1. Klik Tambahkan pemetaan.
        2. Pada Google n, dengan n adalah angka, masukkan salah satu kunci yang didukung Google Cloud.
        3. Di kolom OIDC n yang sesuai, masukkan nama kolom khusus IdP yang akan dipetakan, dalam format CEL.
      3. Untuk membuat kondisi atribut, lakukan hal berikut:

        1. Klik Tambahkan kondisi.
        2. Di bagian Kondisi Atribut, masukkan kondisi dalam format CEL; misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.

    8. Untuk membuat penyedia, klik Kirim.

gcloud

Alur kode

Untuk membuat penyedia OIDC yang menggunakan alur kode otorisasi untuk login web, jalankan perintah berikut:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \ --web-sso-response-type="code" \ --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --location=global

Ganti kode berikut:

  • WORKFORCE_PROVIDER_ID: ID penyedia kumpulan identitas tenaga kerja yang unik. Awalan gcp- dicadangkan dan tidak dapat digunakan di workforce identity pool atau ID penyedia workforce identity pool.
  • WORKFORCE_POOL_ID: ID workforce identity pool yang akan dihubungkan dengan IdP Anda.
  • DISPLAY_NAME: Nama tampilan opsional yang mudah digunakan untuk penyedia; misalnya, idp-eu-employees.
  • DESCRIPTION: Deskripsi penyedia workforce opsional; misalnya, IdP for Partner Example Organization employees.
  • ISSUER_URI: URI penyedia OIDC, dalam format URI yang valid, yang diawali dengan https; misalnya, https://example.com/oidc. Catatan: Untuk alasan keamanan, ISSUER_URI harus menggunakan skema HTTPS.
  • OIDC_CLIENT_ID: ID klien OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
  • OIDC_CLIENT_SECRET: Rahasia klien OIDC.
  • WEB_SSO_ADDITIONAL_SCOPES: Cakupan tambahan opsional yang akan dikirim ke IdP OIDC untuk login berbasis browser konsol (federasi) atau gcloud CLI.
  • ATTRIBUTE_MAPPING: Pemetaan atribut. Berikut adalah contoh pemetaan atribut:
    google.subject=assertion.sub,
    google.groups=assertion.group1,
    attribute.costcenter=assertion.costcenter
    Contoh ini memetakan atribut IdP subject, group1, dan costcenter dalam pernyataan OIDC ke masing-masing atribut google.subject, google.groups, dan attribute.costcenter.
  • ATTRIBUTE_CONDITION: Kondisi atribut; misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.
  • JWK_JSON_PATH: Jalur opsional ke JWK OIDC yang diupload secara lokal. Jika parameter ini tidak disediakan, Google Cloud akan menggunakan jalur /.well-known/openid-configuration IdP Anda untuk mendapatkan JWK yang berisi kunci publik. Untuk informasi selengkapnya tentang JWK OIDC yang diupload secara lokal, lihat mengelola JWK OIDC.
Dalam respons perintah, POOL_RESOURCE_NAME adalah nama pool; misalnya, locations/global/workforcePools/enterprise-example-organization-employees.

Alur implisit

Untuk membuat penyedia workforce identity pool OIDC yang menggunakanalur implisit untuk login web, jalankan perintah berikut:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --location=global

Ganti kode berikut:

  • WORKFORCE_PROVIDER_ID: ID penyedia kumpulan identitas tenaga kerja yang unik. Awalan gcp- dicadangkan dan tidak dapat digunakan di workforce identity pool atau ID penyedia workforce identity pool.
  • WORKFORCE_POOL_ID: ID workforce identity pool yang akan dihubungkan dengan IdP Anda.
  • DISPLAY_NAME: Nama tampilan opsional yang mudah digunakan untuk penyedia; misalnya, idp-eu-employees.
  • DESCRIPTION: Deskripsi penyedia workforce opsional; misalnya, IdP for Partner Example Organization employees.
  • ISSUER_URI: URI penyedia OIDC, dalam format URI yang valid, yang diawali dengan https; misalnya, https://example.com/oidc. Catatan: Untuk alasan keamanan, ISSUER_URI harus menggunakan skema HTTPS.
  • OIDC_CLIENT_ID: ID klien OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
  • WEB_SSO_ADDITIONAL_SCOPES: Cakupan tambahan opsional yang akan dikirim ke IdP OIDC untuk login berbasis browser konsol (federasi) atau gcloud CLI.
  • ATTRIBUTE_MAPPING: Pemetaan atribut. Berikut adalah contoh pemetaan atribut:
    google.subject=assertion.sub,
    google.groups=assertion.group1,
    attribute.costcenter=assertion.costcenter
    Contoh ini memetakan atribut IdP subject, group1, dan costcenter dalam pernyataan OIDC ke masing-masing atribut google.subject, google.groups, dan attribute.costcenter.
  • ATTRIBUTE_CONDITION: Kondisi atribut; misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.
  • JWK_JSON_PATH: Jalur opsional ke JWK OIDC yang diupload secara lokal. Jika parameter ini tidak disediakan, Google Cloud akan menggunakan jalur /.well-known/openid-configuration IdP Anda untuk mendapatkan JWK yang berisi kunci publik. Untuk informasi selengkapnya tentang JWK OIDC yang diupload secara lokal, lihat mengelola JWK OIDC.
Dalam respons perintah, POOL_RESOURCE_NAME adalah nama pool; misalnya, locations/global/workforcePools/enterprise-example-organization-employees.

Buat penyedia SAML

Bagian ini menjelaskan cara membuat penyedia workforce identity pool untuk IdP SAML.

Konsol

Untuk mengonfigurasi penyedia SAML menggunakan konsol Google Cloud, lakukan hal berikut:

  1. Di Konsol Google Cloud, buka halaman Workforce Identity Pool:

    Buka Workforce Identity Pool

  2. Di tabel Workforce Identity Pool, pilih pool yang ingin Anda buatkan penyedia.

  3. Di tabel Penyedia, klik Tambah Penyedia.

  4. Pada bagian Pilih protokol, pilih SAML.

  5. Di bagian Buat penyedia pool lakukan hal berikut:

    1. Di bagian Nama, masukkan nama penyedia.

    2. Opsional: Di bagian Deskripsi, masukkan deskripsi penyedia.

    3. Di file metadata IDP (XML), pilih file XML metadata yang Anda buat sebelumnya dalam panduan ini.

    4. Pastikan bagian Aktifkan provider sudah aktif.

    5. Klik Lanjutkan.

  6. Di Penyedia konfigurasi, lakukan langkah berikut:

    1. Di Pemetaan atribut, masukkan ekspresi CEL untuk google.subject.

    2. Opsional: Untuk memasukkan pemetaan lain, klik Tambahkan pemetaan, lalu masukkan pemetaan lain, misalnya:

      google.subject=assertion.subject,
      google.groups=assertion.attributes['https://example.com/aliases'],
      attribute.costcenter=assertion.attributes.costcenter[0]
      Contoh ini memetakan atribut IdP assertion.subject, assertion.attributes['https://example.com/aliases'], dan assertion.attributes.costcenter[0] ke atribut Google Cloud google.subject, google.groups, dan google.costcenter.

    3. Opsional: Untuk menambahkan kondisi atribut, klik Tambahkan kondisi, lalu masukkan ekspresi CEL yang mewakili kondisi atribut. Misalnya, untuk membatasi atribut ipaddr ke rentang IP tertentu, Anda dapat mengatur kondisi menjadi assertion.attributes.ipaddr.startsWith('98.11.12.'). Contoh kondisi ini memastikan bahwa hanya pengguna dengan alamat IP yang diawali dengan 98.11.12. yang dapat login menggunakan penyedia workforce ini.

    4. Klik Lanjutkan.

  7. Untuk membuat penyedia, klik Kirim.

gcloud

Untuk membuat penyedia, jalankan perintah berikut:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --location="global"

Ganti kode berikut:

  • WORKFORCE_PROVIDER_ID: ID penyedia workforce
  • WORKFORCE_POOL_ID: ID workforce pool
  • ATTRIBUTE_MAPPING: pemetaan atribut; misalnya, untuk memetakan subjek, pemetaan atributnya adalah sebagai berikut:

    
    google.subject=assertion.subject,
    google.groups=assertion.attributes['https://example.com/aliases'],
    attribute.department=assertion.attributes.department[0]
    
  • ATTRIBUTE_CONDITION: kondisi atribut opsional; misalnya, assertion.subject.endsWith("@example.com")

  • XML_METADATA_PATH: jalur ke file metadata berformat XML dari IdP Anda

Awalan gcp- dicadangkan dan tidak dapat digunakan di workforce identity pool atau ID penyedia workforce identity pool.

Perintah ini menetapkan subjek dan departemen dalam pernyataan SAML ke atribut google.subject dan attribute.department. Selain itu, kondisi atribut memastikan bahwa hanya pengguna dengan subjek yang berakhiran @example.com yang dapat login menggunakan penyedia workforce ini.

Menjelaskan penyedia

Konsol

Untuk melihat penyedia, lakukan tindakan berikut:

  1. Buka halaman Workforce Identity Pool:

Buka Workforce Identity Pools

  1. Di tabel, pilih pool tempat Anda ingin melihat penyedia.

  2. Di tabel Penyedia, pilih penyedia.

gcloud

Untuk mendeskripsikan penyedia, jalankan perintah berikut:

gcloud iam workforce-pools providers describe PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ganti kode berikut:

  • PROVIDER_ID: ID penyedia
  • WORKFORCE_POOL_ID: ID workforce pool

Mencantumkan Penyedia

Konsol

Untuk melihat penyedia, lakukan tindakan berikut:

  1. Buka halaman Workforce Identity Pool:

Buka Workforce Identity Pools

  1. Pada tabel, pilih pool tempat Anda ingin mencantumkan penyedia.

  2. Dalam tabel Penyedia, Anda dapat melihat daftar penyedia.

gcloud

Untuk mencantumkan penyedia, jalankan perintah berikut:

gcloud iam workforce-pools providers list \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ganti WORKFORCE_POOL_ID dengan ID workforce pool.

Memperbarui penyedia

Konsol

Untuk melihat penyedia, lakukan tindakan berikut:

  1. Buka halaman Workforce Identity Pool:

Buka Workforce Identity Pools

  1. Di tabel, pilih pool tempat Anda ingin melihat penyedia.

  2. Di tabel Penyedia, klik Edit.

  3. Perbarui penyedia.

  4. Untuk menyimpan penyedia yang diperbarui, klik Simpan.

gcloud

Untuk memperbarui penyedia OIDC setelah dibuat, jalankan perintah berikut:

gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --description="DESCRIPTION" \
    --location=global

Ganti kode berikut:

  • PROVIDER_ID: ID penyedia
  • WORKFORCE_POOL_ID: ID workforce pool
  • DESCRIPTION: deskripsi

Menghapus penyedia

Untuk menghapus penyedia, jalankan perintah berikut:

gcloud iam workforce-pools providers delete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ganti kode berikut:

  • PROVIDER_ID: ID penyedia
  • WORKFORCE_POOL_ID: ID workforce pool

Membatalkan penghapusan penyedia

Untuk membatalkan penghapusan penyedia yang dihapus dalam 30 hari terakhir, jalankan perintah berikut:

gcloud iam workforce-pools providers undelete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ganti kode berikut:

  • PROVIDER_ID: ID penyedia
  • WORKFORCE_POOL_ID: ID workforce pool

Kelola JWK OIDC

Bagian ini menunjukkan cara mengelola JWK OIDC di penyedia workforce pool kepada Anda.

Membuat penyedia dan mengupload JWK OIDC

Untuk membuat JWK OIDC, lihat Implementasi JWT, JWS, JWE, JWK, dan JWA.

Untuk mengupload file JWK OIDC saat membuat penyedia workforce pool, jalankan perintah gcloud iam team-pools providers create-oidc dengan --jwk-json-path="JWK_JSON_PATH". Ganti JWK_JSON_PATH dengan jalur ke file JWK JSON.

Operasi ini mengupload kunci dari file.

Perbarui JWK OIDC

Untuk memperbarui JWK OIDC, jalankan perintah gcloud iam team-pools providers update-oidc dengan --jwk-json-path="JWK_JSON_PATH". Ganti JWK_JSON_PATH dengan jalur ke file JWK JSON.

Operasi ini mengganti setiap kunci yang sudah diupload dengan kunci yang ada dalam file.

Menghapus semua JWK OIDC yang diupload

Untuk menghapus semua JWK OIDC yang diupload dan menggunakan URI issuer untuk mengambil kunci, jalankan perintah gcloud iam jobs-pools providers update-oidc dengan --jwk-json-path="JWK_JSON_PATH". Ganti JWK_JSON_PATH dengan jalur ke file kosong. Gunakan tanda --issuer-uri untuk menetapkan URI issuer.

Operasi ini menghapus semua kunci yang sudah diupload.

Langkah selanjutnya