En esta guía, se describe cómo realizar operaciones comunes con la federación de Workforce Identity.
Administra proveedores y grupos de personal
Puedes configurar el proyecto permitido como el proyecto de facturación/cuota para acceder a las API del grupo de personal.
Antes de comenzar
Identifica un proyecto de facturación o cuota.
Para configurar el proyecto de Google Cloud que se factura y al que se le cobra la cuota de las operaciones realizadas en la CLI de gcloud, ejecuta el siguiente comando:
gcloud config set billing/quota_project PROJECT_IDReemplaza PROJECT_ID por el ID del proyecto.
Alternativamente, para obtener más información sobre cómo configurar la federación de Workforce Identity, consulta Configura la federación de Workforce Identity. Para obtener instrucciones específicas del IdP, consulta los siguientes vínculos:
Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
gcloud init
Administra grupos
En esta sección, se muestra cómo administrar grupos de federación de Workforce Identity.
Crea un grupo
Para crear un grupo de personal, ejecuta el siguiente comando:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--description=DESCRIPTION \
--location=global
Reemplaza lo siguiente:
WORKFORCE_POOL_ID: un ID de grupo de personal que elijasORGANIZATION_ID: El ID de tu organizaciónDESCRIPTION: la descripción de este grupo
Describe un grupo
Para describir un grupo de personal específico, ejecute el siguiente comando:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Reemplaza WORKFORCE_POOL_ID por el ID del grupo de personal que elegiste cuando creaste el grupo.
Enumera grupos
Para mostrar una lista de los grupos de personal de la organización, ejecuta el siguiente comando:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Reemplaza ORGANIZATION_ID por el ID de tu organización.
Actualiza un grupo
Para actualizar un grupo de personal específico, ejecuta el siguiente comando:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Reemplaza lo siguiente:
WORKFORCE_POOL_ID: el ID del grupo de personalDESCRIPTION: la descripción del grupo
Borra un grupo
Para borrar un grupo de Workforce Identity, ejecuta el siguiente comando:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Reemplaza WORKFORCE_POOL_ID por el ID del grupo de personal.
Recupera un grupo
Puedes recuperar un grupo de Workforce Identity que se borró en los últimos 30 días.
Para recuperar un grupo, ejecuta el siguiente comando:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Reemplaza WORKFORCE_POOL_ID por el ID del grupo de personal.
Configura un proveedor dentro del grupo de personal
En esta sección, se explica cómo puedes usar los comandos de gcloud para configurar los proveedores de grupos de personal:
Crea un proveedor
Para crear una política, ejecuta el siguiente comando:
gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name=DISPLAY_NAME \
--description=DESCRIPTION \
--issuer-uri="OIDC_ISSUER_URL" \
--client-id="OIDC_CLIENT_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION"
--location=global
Reemplaza lo siguiente:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personalDISPLAY_NAME: el nombre visibleDESCRIPTION: la descripciónOIDC_ISSUER_URL: la URL del emisor de OIDCOIDC_CLIENT_ID: el ID de cliente de OIDCATTRIBUTE_MAPPING: la asignación de atributos; por ejemplo,google.subject=assertion.sub, google.groups=assertion.groupList, google.display_name=assertion.displayName,google.profile_photo=assertion.profilePhoto, attribute.costcenter=assertion.costcenterATTRIBUTE_CONDITION: la condición de atributo; por ejemplo,assertion.group1=='gcp-users'.
En la respuesta del comando, POOL_RESOURCE_NAME es el nombre del grupo; por ejemplo, locations/global/workforcePools/enterprise-example-organization-employees.
Describe un proveedor
Para describir un proveedor, ejecuta el siguiente comando:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Reemplaza lo siguiente:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personal
Enumerar proveedores
Para enumerar los proveedores, ejecuta el siguiente comando:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Reemplaza WORKFORCE_POOL_ID por el ID del grupo de personal.
Actualiza un proveedor
Para actualizar un proveedor de OIDC después de la creación, ejecuta el siguiente comando:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool= WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--location=global
Reemplaza lo siguiente:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personalDESCRIPTION: la descripción
Borra un proveedor
Para borrar un proveedor, ejecuta el siguiente comando:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Reemplaza lo siguiente:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personal
Recupera un proveedor
Para recuperar un proveedor que se borró en los últimos 30 días, ejecuta el siguiente comando:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Reemplaza lo siguiente:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de personal
¿Qué sigue?
- Configura la federación de Workforce Identity con Azure AD y permite el acceso de usuarios
- Configura la federación de Workforce Identity con Okta y permite el acceso de usuarios
- Borra los usuarios de la federación de Workforce Identity y sus datos
- Obtén información sobre qué productos de Google Cloud admiten la federación de Workforce Identity.