In diesem Leitfaden wird beschrieben, wie Sie übliche Vorgänge mit der Workforce Identity-Föderation ausführen.
workforce-pools und Anbieter verwalten
Sie können das zulässige Projekt als Abrechnungs-/Kontingentprojekt für den Zugriff auf workforce-Pool-APIs festlegen.
Vorbereitung
Identifizieren Sie ein Abrechnungs-/Kontingentprojekt.
Führen Sie den folgenden Befehl aus, um das Google Cloud-Projekt festzulegen, das für die in der gcloud CLI durchgeführten Vorgänge in Rechnung gestellt und mit einem Kontingent belastet wird:
gcloud config set billing/quota_project PROJECT_IDErsetzen Sie PROJECT_ID durch die Projekt-ID.
Informationen zum Einrichten der Workforce Identity-Föderation finden Sie unter Workforce Identity-Föderation konfigurieren. Eine IdP-spezifische Anleitung finden Sie unter:
Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
gcloud init
Pools verwalten
In diesem Abschnitt wird gezeigt, wie Sie workforce identity Föderations pools verwalten.
Pool erstellen
Führen Sie den folgenden Befehl aus, um einen workforce-pool zu erstellen:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--description=DESCRIPTION \
--location=global
Dabei gilt:
WORKFORCE_POOL_ID: Eine von Ihnen ausgewählte workforce-pool-ID.ORGANIZATION_ID: Ihre Organisations-ID.DESCRIPTION: Die Beschreibung dieses Pools
Pool beschreiben
Führen Sie den folgenden Befehl aus, um einen bestimmten workforce-pool zu beschreiben:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie WORKFORCE_POOL_ID durch die workforce-pool-ID, die Sie beim Erstellen des Pools gewählt haben.
Pools auflisten
Führen Sie den folgenden Befehl aus, um die Workforce-pools in der Organisation aufzulisten:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.
Pool aktualisieren
Führen Sie den folgenden Befehl aus, um einen bestimmten workforce-pool zu aktualisieren:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Dabei gilt:
WORKFORCE_POOL_ID: die ID des Workforce-PoolsDESCRIPTION: die Beschreibung des Pools
Pool löschen
Führen Sie den folgenden Befehl aus, um einen Workforce Identity-Pool zu löschen:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie WORKFORCE_POOL_ID durch die Workforce-pool-ID.
Pool wiederherstellen
Sie können einen workforce identity pool wiederherstellen, der innerhalb der letzten 30 Tage gelöscht wurde.
Führen Sie folgenden Befehl aus, um einen Pool wiederherzustellen:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie WORKFORCE_POOL_ID durch die Workforce-pool-ID.
Anbieter im workforce-pool konfigurieren
In diesem Abschnitt wird erläutert, wie Sie gcloud-Befehle verwenden können, um Anbieter von Workforce-pools zu konfigurieren:
Anbieter erstellen
Führen Sie den folgenden Befehl aus, um einen Anbieter zu erstellen:
gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name=DISPLAY_NAME \
--description=DESCRIPTION \
--issuer-uri="OIDC_ISSUER_URL" \
--client-id="OIDC_CLIENT_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION"
--location=global
Dabei gilt:
PROVIDER_ID: die Anbieter-IDWORKFORCE_POOL_ID: die ID des Workforce-PoolsDISPLAY_NAME: der AnzeigenameDESCRIPTION: Die BeschreibungOIDC_ISSUER_URL: die OIDC-Aussteller-URLOIDC_CLIENT_ID: die OIDC-Client-IDATTRIBUTE_MAPPING: die Attributzuordnung; Beispiel:google.subject=assertion.sub, google.groups=assertion.groupList, google.display_name=assertion.displayName,google.profile_photo=assertion.profilePhoto, attribute.costcenter=assertion.costcenterATTRIBUTE_CONDITION: die Attributbedingung, z. B.assertion.group1=='gcp-users'.
In der Befehlsantwort ist POOL_RESOURCE_NAME der Name des Pools, z. B. locations/global/workforcePools/enterprise-example-organization-employees.
Anbieter beschreiben
Führen Sie folgenden Befehl aus, um einen Anbieter zu beschreiben:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Dabei gilt:
PROVIDER_ID: die Anbieter-IDWORKFORCE_POOL_ID: die ID des Workforce-Pools
Dienstanbieter auflisten
Führen Sie folgenden Befehl aus, um Anbieter aufzulisten:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Ersetzen Sie WORKFORCE_POOL_ID durch die Workforce-pool-ID.
Anbieter aktualisieren
Führen Sie folgenden Befehl aus, um einen OIDC-Anbieter nach dem Erstellen zu aktualisieren:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool= WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--location=global
Dabei gilt:
PROVIDER_ID: die Anbieter-IDWORKFORCE_POOL_ID: die ID des Workforce-PoolsDESCRIPTION: Die Beschreibung
Anbieter löschen
Führen Sie folgenden Befehl aus, um einen Anbieter zu löschen:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Dabei gilt:
PROVIDER_ID: die Anbieter-IDWORKFORCE_POOL_ID: die ID des Workforce-Pools
Anbieter wiederherstellen
Führen Sie folgenden Befehl aus, um einen Anbieter wiederherzustellen, der innerhalb der letzten 30 Tage gelöscht wurde:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Dabei gilt:
PROVIDER_ID: die Anbieter-IDWORKFORCE_POOL_ID: die ID des Workforce-Pools
Nächste Schritte
- Workforce Identity-Föderation mit Azure AD konfigurieren und Nutzer anmelden
- Workforce Identity-Föderation mit Okta konfigurieren und Nutzer anmelden
- Nutzer von Workforce Identity-Föderation und deren Daten löschen
- Weitere Informationen dazu, welche Google Cloud-Produkte die Workforce Identity-Föderation unterstützen