Ce guide explique comment effectuer des opérations courantes avec la fédération d'identité de personnel.
Gérer les pools et les fournisseurs de personnel
Vous pouvez définir le projet autorisé en tant que projet de facturation/quota pour accéder aux API de pool de personnel.
Avant de commencer
Identifiez un projet de facturation/quota.
Pour définir le projet Google Cloud de facturation/quotas dans gcloud CLI, exécutez la commande suivante :
gcloud config set billing/quota_project PROJECT_IDRemplacez PROJECT_ID par l'ID du projet.
Pour savoir comment configurer la fédération d'identité de personnel, consultez la page Configurer la fédération d'identité de personnel. Pour obtenir des instructions spécifiques à un fournisseur d'identité, consultez les articles suivants :
Installez Google Cloud CLI, puis initialisez-la en exécutant la commande suivante :
gcloud init
Gérer les pools
Cette section explique comment gérer les pools de fédération d'identité de personnel.
Créer un pool
Pour créer un pool de personnel, exécutez la commande suivante :
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--description=DESCRIPTION \
--location=global
Remplacez les éléments suivants :
WORKFORCE_POOL_ID: ID de pool de personnel que vous choisissezORGANIZATION_ID: ID de votre organisation.DESCRIPTION: description de ce pool
Décrire un pool
Pour décrire un pool de personnel spécifique, exécutez la commande suivante :
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Remplacez WORKFORCE_POOL_ID par l'ID de pool de personnel que vous avez choisi lors de la création du pool.
Répertorier les pools
Pour répertorier les pools de personnel de l'organisation, exécutez la commande suivante :
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Remplacez ORGANIZATION_ID par votre ID d'organisation.
Mettre à jour un pool
Pour mettre à jour un pool de personnel spécifique, exécutez la commande suivante :
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Remplacez les éléments suivants :
WORKFORCE_POOL_ID: ID du pool de personnelDESCRIPTION: description du pool
Supprimer un pool
Pour supprimer un pool d'identités de personnel, exécutez la commande suivante :
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Remplacez WORKFORCE_POOL_ID par l'ID du pool de personnel.
Annuler la suppression d'un pool
Vous pouvez annuler la suppression d'un pool d'identités de personnel supprimé au cours des 30 derniers jours.
Pour annuler la suppression d'un pool, exécutez la commande suivante :
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Remplacez WORKFORCE_POOL_ID par l'ID du pool de personnel.
Configurer un fournisseur dans le pool de personnel
Cette section explique comment utiliser les commandes gcloud pour configurer les fournisseurs de pools de personnel :
Créer un fournisseur
Pour créer un fournisseur, exécutez la commande suivante :
gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name=DISPLAY_NAME \
--description=DESCRIPTION \
--issuer-uri="OIDC_ISSUER_URL" \
--client-id="OIDC_CLIENT_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION"
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnelDISPLAY_NAME: nom à afficherDESCRIPTION: descriptionOIDC_ISSUER_URL: URL d'émetteur OIDCOIDC_CLIENT_ID: ID client OIDCATTRIBUTE_MAPPING: mappage d'attributs. Par exemple :google.subject=assertion.sub, google.groups=assertion.groupList, google.display_name=assertion.displayName,google.profile_photo=assertion.profilePhoto, attribute.costcenter=assertion.costcenter.ATTRIBUTE_CONDITION: condition d'attribut. Par exemple :assertion.group1=='gcp-users'.
Dans la réponse de la commande, POOL_RESOURCE_NAME correspond au nom du pool, par exemple locations/global/workforcePools/enterprise-example-organization-employees.
Décrire un fournisseur
Pour décrire un fournisseur, exécutez la commande suivante :
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnel
Répertorier les fournisseurs
Pour répertorier les fournisseurs, exécutez la commande suivante :
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Remplacez WORKFORCE_POOL_ID par l'ID du pool de personnel.
Mettre à jour un fournisseur
Pour mettre à jour un fournisseur OIDC après sa création, exécutez la commande suivante :
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool= WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnelDESCRIPTION: description
Supprimer un fournisseur
Pour supprimer un fournisseur, exécutez la commande suivante :
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnel
Annuler la suppression d'un fournisseur
Pour annuler la suppression d'un fournisseur au cours des 30 derniers jours, exécutez la commande suivante :
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnel
Étape suivante
- Configurer la fédération d'identité de personnel avec Azure AD et connecter les utilisateurs
- Configurer la fédération d'identité de personnel avec Okta et connecter les utilisateurs
- Supprimer des utilisateurs et leurs données de la fédération d'identité de personnel
- Découvrez les produits Google Cloud compatibles avec la fédération d'identité de personnel.