In diesem Leitfaden wird beschrieben, wie Sie übliche Vorgänge mit der Workforce Identity-Föderation ausführen. Informationen zum Einrichten der Workforce Identity-Föderation finden Sie in den folgenden Anleitungen:
- Workforce Identity-Föderation mit Azure AD konfigurieren und Nutzer anmelden
- Workforce Identity-Föderation mit Okta konfigurieren und Nutzer anmelden
- Workforce Identity-Föderation bei einem IdP konfigurieren, der OIDC oder SAML unterstützt
Hinweise
Sie müssen eine Google Cloud-Organisation eingerichtet haben.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Pools verwalten
In diesem Abschnitt wird gezeigt, wie Sie Workforce Identity-Pools verwalten.
Pool erstellen
Führen Sie den folgenden Befehl aus, um einen workforce-pool zu erstellen:
Console
So erstellen Sie den Workforce Identity-Pool:
Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:
Klicken Sie auf Pool erstellen und gehen Sie so vor:
Geben Sie unter Name den Namen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet.
Optional: Klicken Sie auf Bearbeiten, um die ID zu aktualisieren.
Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.
Die Sitzungsdauer ist standardmäßig festgelegt. Klicken Sie auf Bearbeiten, um eine benutzerdefinierte Sitzungsdauer einzugeben. Die Sitzungsdauer bestimmt, wie lange die Google Cloud-Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.
Damit der Pool im aktivierten Status erstellt werden kann, muss Aktivierter Pool aktiviert sein.
Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.
gcloud
Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID
: Eine ID, die Sie wählen, um den Google Cloud-Workforce-pool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.ORGANIZATION_ID
: die numerische Organisations-ID Ihrer Google Cloud-Organisation.DESCRIPTION
: Beschreibung des Workforce Identity-Pools.SESSION_DURATION
: die Sitzungsdauer, die bestimmt, wie lange die Google Cloud-Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.
Pool beschreiben
Console
So beschreiben Sie einen bestimmten workforce-pool mit der Google Cloud Console:
Rufen Sie die Seite Workforce Identity-Pools auf:
Wählen Sie unter Workforce-Pools den Pool aus.
gcloud
Führen Sie den folgenden Befehl aus, um einen bestimmten Workforce-pool mithilfe der gcloud CLI zu beschreiben:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie WORKFORCE_POOL_ID
durch die workforce-pool-ID, die Sie beim Erstellen des Pools gewählt haben.
Pools auflisten
Console
So listen Sie eine Workforce-Pools mit der Google Cloud Console auf:
Rufen Sie die Seite Workforce Identity-Pools auf:
Rufen Sie in der Tabelle die Liste der Pools auf.
gcloud
Führen Sie den folgenden Befehl aus, um die Workforce-pools in der Organisation aufzulisten:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.
Pool aktualisieren
Console
So aktualisieren Sie einen bestimmten workforce-pool mit der Google Cloud Console:
Rufen Sie die Seite Workforce Identity-Pools auf:
Wählen Sie in der Tabelle den Pool aus.
Aktualisieren Sie die Poolparameter.
Klicken Sie auf Pool speichern.
gcloud
Führen Sie den folgenden Befehl aus, um einen bestimmten workforce-pool zu aktualisieren:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID
: die ID des Workforce-PoolsDESCRIPTION
: die Beschreibung des Pools
Pool löschen
Console
So löschen Sie einen bestimmten workforce-pool mit der Google Cloud Console:
Rufen Sie die Seite Workforce Identity-Pools auf:
In Workforce-Pools, klicken Sie auf
Löschen für den Pool, den Sie löschen möchten.Folgen Sie dazu der zusätzlichen Anleitung.
gcloud
Führen Sie den folgenden Befehl aus, um einen Workforce Identity-Pool zu löschen:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie WORKFORCE_POOL_ID
durch die Workforce-pool-ID.
Pool wiederherstellen
Sie können einen workforce identity pool wiederherstellen, der innerhalb der letzten 30 Tage gelöscht wurde.
Führen Sie folgenden Befehl aus, um einen Pool wiederherzustellen:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie WORKFORCE_POOL_ID
durch die Workforce-pool-ID.
Anbieter im workforce-pool konfigurieren
In diesem Abschnitt wird erläutert, wie Sie gcloud
-Befehle verwenden können, um Anbieter von Mitarbeiteridentitätspools zu konfigurieren:
OIDC-Anbieter erstellen
In diesem Abschnitt wird beschrieben, wie Sie einen Anbieter von Mitarbeiteridentitätspools für einen OIDC-IdP erstellen.
Console
Codeablauf
Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:
Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
Klicken Sie in der Tabelle Anbieter auf Anbieter hinzufügen.
Wählen Sie unter Protokoll auswählen die Option Open ID Connect (OIDC) aus.
Gehen Sie unter Pool-Anbieter erstellen so vor:
- Geben Sie unter Name einen Namen für den Anbieter ein.
- Geben Sie unter Aussteller (URL) den URI des Ausstellers ein. Der OIDC-Aussteller-URI muss ein gültiges URI-Format haben und mit
https
beginnen. Beispiel:https://example.com/oidc
- Geben Sie die Client-ID ein. Dies ist die OIDC-Client-ID, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der
aud
-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird. - Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Aktivierter Anbieter aktiviert sein.
- Klicken Sie auf Weiter.
Gehen Sie unter Antworttyp so vor: Der Antworttyp wird nur für eine webbasierte Einmalanmeldung verwendet.
- Wählen Sie unter Antworttyp die Option Code aus.
- Geben Sie unter Clientschlüssel den Clientschlüssel von Ihrem IdP ein.
Wählen Sie unter Verhalten bei Assertion-Anforderungen eine der folgenden Optionen aus:
- Nutzerinformationen und ID-Token
- Nur ID-Token
Klicken Sie auf Weiter.
Unter Anbieter konfigurieren können Sie eine Attributzuordnung und eine Attributbedingung konfigurieren. So erstellen Sie eine Attributzuordnung: Sie können entweder den Namen des IdP-Felds oder einen CEL-formatierten Ausdruck angeben, der einen String zurückgibt.
- Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein. Beispiel:
assertion.sub
Optional: So fügen Sie zusätzliche Attributzuordnungen hinzu:
- Klicken Sie auf Zuordnung hinzufügen.
- Geben Sie in Google n, wobei n eine Zahl ist, einen der von Google Cloud unterstützten Schlüssel ein.
- Geben Sie im entsprechenden Feld OIDC n den Namen des IdP-spezifischen Felds im CEL-Format ein.
So erstellen Sie eine Attributbedingung:
- Klicken Sie auf Bedingung hinzufügen.
- Geben Sie unter Attributbedingungen eine Bedingung im CEL-Format ein, z. B.
assertion.role == 'gcp-users'
. Mit dieser Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rollegcp-users
über diesen Anbieter anmelden können.
- Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein. Beispiel:
Klicken Sie auf Senden, um den Anbieter zu erstellen.
Impliziter Ablauf
Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:
Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
Klicken Sie in der Tabelle Anbieter auf Anbieter hinzufügen.
Wählen Sie unter Protokoll auswählen die Option Open ID Connect (OIDC) aus.
Gehen Sie unter Pool-Anbieter erstellen so vor:
- Geben Sie unter Name einen Namen für den Anbieter ein.
- Geben Sie unter Aussteller (URL) den URI des Ausstellers ein. Der OIDC-Aussteller-URI muss ein gültiges URI-Format haben und mit
https
beginnen. Beispiel:https://example.com/oidc
- Geben Sie die Client-ID ein. Dies ist die OIDC-Client-ID, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der
aud
-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird. - Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Aktivierter Anbieter aktiviert sein.
- Klicken Sie auf Weiter.
Gehen Sie unter Antworttyp so vor: Der Antworttyp wird nur für eine webbasierte Einmalanmeldung verwendet.
- Wählen Sie unter Antworttyp die Option ID-Token aus.
- Klicken Sie auf Weiter.
Unter Anbieter konfigurieren können Sie eine Attributzuordnung und eine Attributbedingung konfigurieren. So erstellen Sie eine Attributzuordnung: Sie können entweder den Namen des IdP-Felds oder einen CEL-formatierten Ausdruck angeben, der einen String zurückgibt.
Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein. Beispiel:
assertion.sub
Optional: So fügen Sie zusätzliche Attributzuordnungen hinzu:
- Klicken Sie auf Zuordnung hinzufügen.
- Geben Sie in Google n, wobei n eine Zahl ist, einen der von Google Cloud unterstützten Schlüssel ein.
- Geben Sie im entsprechenden Feld OIDC n den Namen des IdP-spezifischen Felds im CEL-Format ein.
So erstellen Sie eine Attributbedingung:
- Klicken Sie auf Bedingung hinzufügen.
- Geben Sie unter Attributbedingungen eine Bedingung im CEL-Format ein, z. B.
assertion.role == 'gcp-users'
. Mit dieser Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rollegcp-users
über diesen Anbieter anmelden können.
Klicken Sie auf Senden, um den Anbieter zu erstellen.
gcloud
Codeablauf
Führen Sie den folgenden Befehl aus, um einen OIDC-Anbieter zu erstellen, der den Autorisierungscode-Ablauf für die Webanmeldung verwendet:
gcloud iam workforce-pools providers create-oidc PROVIDER_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --display-name="DISPLAY_NAME" \ --description="DESCRIPTION" \ --issuer-uri="ISSUER_URI" \ --client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \ --web-sso-response-type="code" \ --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --location=global
Ersetzen Sie Folgendes:
PROVIDER_ID
: eine eindeutige Anbieter-ID Das Präfixgcp-
ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.WORKFORCE_POOL_ID
: die ID des Mitarbeiteridentitätspools, mit dem Ihr IdP verbunden werden sollDISPLAY_NAME
: ein optionaler nutzerfreundlicher Anzeigename für den Anbieter; Beispiel:idp-eu-employees
DESCRIPTION
: eine optionale Beschreibung des Mitarbeiter-Anbieters. Beispiel:IdP for Partner Example Organization employees
ISSUER_URI
: der OIDC-Aussteller-URI in einem gültigen URI-Format, das mithttps
beginnt. Beispiel:https://example.com/oidc
. Hinweis: Aus Sicherheitsgründen mussISSUER_URI
das HTTPS-Schema verwenden.OIDC_CLIENT_ID
: die OIDC-Client-ID, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit deraud
-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.OIDC_CLIENT_SECRET
: der OIDC-ClientschlüsselWEB_SSO_ADDITIONAL_SCOPES
: optionale zusätzliche Bereiche, die an den OIDC-IdP für die Console (föderiert) oder die browserbasierte Anmeldung mit der gcloud CLI gesendet werdenATTRIBUTE_MAPPING
: eine Attributzuordnung; Beispiel: In diesem Beispiel werden die IdP-Attributegoogle.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcenter
subject
,assertion.group1
undcostcenter
in der OIDC-Assertion den Attributengoogle.subject
,google.groups
bzw.attribute.costcenter
zugeordnet.ATTRIBUTE_CONDITION
: eine Attributbedingung; Beispiel:assertion.role == 'gcp-users'
Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rollegcp-users
über diesen Anbieter anmelden können.JWK_JSON_PATH
: Ein optionaler Pfad zu einem lokal hochgeladenen OIDC-JWKs. Wenn dieser Parameter nicht angegeben ist, verwendet Google Cloud stattdessen den Pfad „/.well-known/openid-configuration“ Ihres IdP, um die JWKs mit den öffentlichen Schlüsseln zu beziehen. Weitere Informationen zu lokal hochgeladenen OIDC JWKs finden Sie unter OIDC-JWKs verwalten.
locations/global/workforcePools/enterprise-example-organization-employees
.
Impliziter Ablauf
Führen Sie den folgenden Befehl aus, um einen OIDC-Anbieter von Mitarbeiteridentitätspools zu erstellen, der den impliziten Ablauf für die Webanmeldung verwendet:
gcloud iam workforce-pools providers create-oidc PROVIDER_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --display-name="DISPLAY_NAME" \ --description="DESCRIPTION" \ --issuer-uri="ISSUER_URI" \ --client-id="OIDC_CLIENT_ID" \ --web-sso-response-type="id-token" \ --web-sso-assertion-claims-behavior="only-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --location=global
Ersetzen Sie Folgendes:
PROVIDER_ID
: eine eindeutige Anbieter-ID Das Präfixgcp-
ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.WORKFORCE_POOL_ID
: die ID des Mitarbeiteridentitätspools, mit dem Ihr IdP verbunden werden sollDISPLAY_NAME
: ein optionaler nutzerfreundlicher Anzeigename für den Anbieter; Beispiel:idp-eu-employees
DESCRIPTION
: eine optionale Beschreibung des Mitarbeiter-Anbieters. Beispiel:IdP for Partner Example Organization employees
ISSUER_URI
: der OIDC-Aussteller-URI in einem gültigen URI-Format, das mithttps
beginnt. Beispiel:https://example.com/oidc
. Hinweis: Aus Sicherheitsgründen mussISSUER_URI
das HTTPS-Schema verwenden.OIDC_CLIENT_ID
: die OIDC-Client-ID, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit deraud
-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.WEB_SSO_ADDITIONAL_SCOPES
: optionale zusätzliche Bereiche, die an den OIDC-IdP für die Console (föderiert) oder die browserbasierte Anmeldung mit der gcloud CLI gesendet werdenATTRIBUTE_MAPPING
: eine Attributzuordnung; Beispiel: In diesem Beispiel werden die IdP-Attributegoogle.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcenter
subject
,assertion.group1
undcostcenter
in der OIDC-Assertion den Attributengoogle.subject
,google.groups
bzw.attribute.costcenter
zugeordnet.ATTRIBUTE_CONDITION
: eine Attributbedingung; Beispiel:assertion.role == 'gcp-users'
Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rollegcp-users
über diesen Anbieter anmelden können.JWK_JSON_PATH
: Ein optionaler Pfad zu einem lokal hochgeladenen OIDC-JWKs. Wenn dieser Parameter nicht angegeben ist, verwendet Google Cloud stattdessen den Pfad „/.well-known/openid-configuration“ Ihres IdP, um die JWKs mit den öffentlichen Schlüsseln zu beziehen. Weitere Informationen zu lokal hochgeladenen OIDC JWKs finden Sie unter OIDC-JWKs verwalten.
locations/global/workforcePools/enterprise-example-organization-employees
.
SAML-Anbieter erstellen
In diesem Abschnitt wird beschrieben, wie Sie einen Anbieter von Mitarbeiteridentitätspools für einen SAML-IdP erstellen.
Console
So konfigurieren Sie den SAML-Anbieter mit der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:
Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
Klicken Sie in der Tabelle Anbieter auf Anbieter hinzufügen.
Wählen Sie unter Protokoll auswählen die Option SAML aus.
Gehen Sie unter Pool-Anbieter erstellen so vor:
Geben Sie unter Name einen Namen für den Anbieter ein.
Optional: Geben Sie unter Beschreibung eine Beschreibung für den Anbieter ein.
Wählen Sie in der IdP-Metadatendatei (XML) die XML-Metadatendatei aus, die Sie zuvor in dieser Anleitung generiert haben.
Prüfen Sie, ob Aktivierter Anbieter aktiviert ist.
Klicken Sie auf Weiter.
Führen Sie unter Anbieter konfigurieren die folgenden Schritte aus:
Geben Sie unter Attributzuordnung einen CEL-Ausdruck für
google.subject
ein.Optional: Wenn Sie andere Zuordnungen eingeben möchten, klicken Sie auf Zuordnung hinzufügen und geben Sie andere Zuordnungen ein. Beispiel:
In diesem Beispiel werden die IdP-Attributegoogle.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]
assertion.subject
,assertion.attributes['https://example.com/aliases']
undassertion.attributes.costcenter[0]
den Google Cloud-Attributengoogle.subject
,google.groups
bzw.google.costcenter
zugeordnet.Optional: Klicken Sie auf Bedingung hinzufügen und geben Sie einen CEL-Ausdruck ein, der eine Attributbedingung darstellt, um eine Attributbedingung hinzuzufügen. Wenn Sie beispielsweise das Attribut
ipaddr
auf einen bestimmten IP-Bereich beschränken möchten, können Sie die Bedingungassertion.attributes.ipaddr.startsWith('98.11.12.')
festlegen. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit einer IP-Adresse, die mit98.11.12.
beginnt, über diesen Workforce-anbieter anmelden können.Klicken Sie auf Weiter.
Klicken Sie auf Senden, um den Anbieter zu erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um den Anbieter zu erstellen:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--location="global"
Ersetzen Sie Folgendes:
WORKFORCE_PROVIDER_ID
: die ID des Mitarbeiter-AnbietersWORKFORCE_POOL_ID
: die ID des Workforce-PoolsATTRIBUTE_MAPPING
: eine Attributzuordnung; um beispielsweise ein Thema zuzuordnen, lautet die Attributzuordnung folgendermaßen:google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]
ATTRIBUTE_CONDITION
: eine optionale Attributbedingung, z. B.assertion.subject.endsWith("@example.com")
XML_METADATA_PATH
: der Pfad zur XML-formatierten Metadatendatei von Ihrem IdP
Das Präfix gcp-
ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
Mit diesem Befehl werden das Thema und die Abteilung in der SAML-Assertion den Attributen google.subject
bzw. attribute.department
zugewiesen.
Durch die Attributbedingung wird außerdem sichergestellt, dass sich nur Nutzer mit einem Thema, das auf @example.com
endet, sich über diesen Workforce-Anbieter anmelden können.
Anbieter beschreiben
Console
So rufen Sie einen Anbieter auf:
- Rufen Sie die Seite Workforce Identity-Pools auf:
Wählen Sie in der Tabelle den Pool aus, für den Sie den Anbieter aufrufen möchten.
Wählen Sie in der Tabelle Anbieter den Anbieter aus.
gcloud
Führen Sie den folgenden Befehl aus, um einen Anbieter zu beschreiben:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie Folgendes:
PROVIDER_ID
: die Anbieter-IDWORKFORCE_POOL_ID
: die ID des Workforce-Pools
Dienstanbieter auflisten
Console
So rufen Sie einen Anbieter auf:
- Rufen Sie die Seite Workforce Identity-Pools auf:
Wählen Sie in der Tabelle den Pool aus, für den Sie die Anbieter auflisten möchten.
In der Tabelle Anbieter sehen Sie eine Liste der Anbieter.
gcloud
Führen Sie folgenden Befehl aus, um Anbieter aufzulisten:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie WORKFORCE_POOL_ID
durch die Workforce-pool-ID.
Anbieter aktualisieren
Console
So rufen Sie einen Anbieter auf:
- Rufen Sie die Seite Workforce Identity-Pools auf:
Wählen Sie in der Tabelle den Pool aus, für den Sie den Anbieter aufrufen möchten.
In der Tabelle Anbieter, klicken Sie auf
Bearbeiten.Aktualisieren Sie den Anbieter.
Klicken Sie auf Speichern, um den aktualisierten Anbieter zu speichern.
gcloud
Führen Sie folgenden Befehl aus, um einen OIDC-Anbieter nach dem Erstellen zu aktualisieren:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--location=global
Ersetzen Sie Folgendes:
PROVIDER_ID
: die Anbieter-IDWORKFORCE_POOL_ID
: die ID des Workforce-PoolsDESCRIPTION
: Die Beschreibung
Anbieter löschen
Führen Sie folgenden Befehl aus, um einen Anbieter zu löschen:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie Folgendes:
PROVIDER_ID
: die Anbieter-IDWORKFORCE_POOL_ID
: die ID des Workforce-Pools
Anbieter wiederherstellen
Führen Sie folgenden Befehl aus, um einen Anbieter wiederherzustellen, der innerhalb der letzten 30 Tage gelöscht wurde:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie Folgendes:
PROVIDER_ID
: die Anbieter-IDWORKFORCE_POOL_ID
: die ID des Workforce-Pools
OIDC-JWKs verwalten
In diesem Abschnitt erfahren Sie, wie Sie OIDC-JWKs bei Personalpoolanbietern verwalten.
Anbieter erstellen und OIDC-JWKs hochladen
Informationen zum Erstellen von OIDC-JWKs finden Sie unter JWT-, JWS-, JWE-, JWK- und JWA-Implementierungen.
Zum Hochladen einer OIDC-JWK-Datei beim Erstellen eines Personalpoolanbieters führen Sie den Befehl gcloud iam workforce-pools providers create-oidc mit --jwk-json-path="JWK_JSON_PATH"
aus.
Ersetzen Sie JWK_JSON_PATH
durch den Pfad zur JWKs-JSON-Datei.
Bei diesem Vorgang werden die Schlüssel aus der Datei hochgeladen.
OIDC-JWKs aktualisieren
Führen Sie den Befehl gcloud iam workforce-pools providers update-oidc mit --jwk-json-path="JWK_JSON_PATH"
aus, um OIDC-JWKs zu aktualisieren.
Ersetzen Sie JWK_JSON_PATH
durch den Pfad zur JWKs-JSON-Datei.
Dieser Vorgang ersetzt alle vorhandenen hochgeladenen Schlüssel durch die in der Datei.
Alle hochgeladenen OIDC-JWKs löschen
Wenn Sie alle hochgeladenen OIDC JWKs löschen und stattdessen die Aussteller-URI zum Abrufen der Schlüssel verwenden möchten, führen Sie den Befehl gcloud iam workforce-pools providers update-oidc mit --jwk-json-path="JWK_JSON_PATH"
aus.
Ersetzen Sie JWK_JSON_PATH
durch den Pfad zu einer leeren Datei.
Mit dem Flag --issuer-uri
können Sie den Aussteller-URI festlegen.
Bei diesem Vorgang werden alle vorhandenen hochgeladenen Schlüssel gelöscht.
Nächste Schritte
- Workforce Identity-Föderation mit Azure AD konfigurieren und Nutzer anmelden
- Workforce Identity-Föderation mit Okta konfigurieren und Nutzer anmelden
- Nutzer von Workforce Identity-Föderation und deren Daten löschen
- Weitere Informationen dazu, welche Google Cloud-Produkte die Workforce Identity-Föderation unterstützen