Questa guida descrive come eseguire operazioni comuni con la federazione delle identità per la forza lavoro. Per configurare la federazione delle identità per la forza lavoro, consulta le seguenti guide:
- Configura la federazione delle identità per la forza lavoro con Azure AD e accedi agli utenti
- Configurare la federazione delle identità per la forza lavoro con Okta e accedere agli utenti
- Configura la federazione delle identità per la forza lavoro su un IdP che supporti OIDC o SAML
Prima di iniziare
Devi aver configurato un'organizzazione Google Cloud.
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Gestisci pool
Questa sezione mostra come gestire i pool di identità della forza lavoro.
Crea un pool
Per creare un pool di forza lavoro, esegui questo comando:
Console
Per creare il pool di identità della forza lavoro:
Nella console Google Cloud, vai alla pagina Pool di identità della forza lavoro:
Fai clic su Crea pool ed esegui queste operazioni:
In Nome, inserisci il nome del pool. L'ID pool viene ricavato automaticamente dal nome durante la digitazione.
(Facoltativo) Per aggiornare l'ID, fai clic su Modifica.
(Facoltativo) In Descrizione, inserisci una descrizione del pool.
La durata della sessione è impostata per impostazione predefinita. Per inserire una durata personalizzata della sessione, fai clic su Modifica. La durata della sessione determina per quanto tempo sono validi i token di accesso a Google Cloud, le sessioni di accesso alla console (federate) e le sessioni di accesso a gcloud CLI da questo pool di forza lavoro. La durata deve essere superiore a 15 minuti (900 secondi) e inferiore a 12 ore (43.200 secondi). Se la durata della sessione non è impostata, il valore predefinito sarà una durata di un'ora (3600 s).
Per creare il pool in stato Attivato, assicurati che l'opzione Pool abilitato sia attivata.
Per creare il pool di identità della forza lavoro, fai clic su Avanti.
gcloud
Per creare il pool di identità della forza lavoro, esegui questo comando:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Sostituisci quanto segue:
WORKFORCE_POOL_ID: un ID che scegli per rappresentare il tuo pool di forza lavoro Google Cloud. Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di ricerca nella documentazione dell'API.ORGANIZATION_ID: l'ID organizzazione numerico della tua organizzazione Google Cloud.DESCRIPTION: una descrizione del pool di identità della forza lavoro.SESSION_DURATION: la durata della sessione, che determina per quanto tempo sono validi i token di accesso a Google Cloud, le sessioni di accesso alla console (federate) e le sessioni di accesso a gcloud CLI da questo pool di forza lavoro. La durata deve essere superiore a 15 minuti (900 secondi) e inferiore a 12 ore (43.200 secondi). Se la durata della sessione non è impostata, il valore predefinito sarà una durata di un'ora (3600 s).
Descrivere un pool
Console
Per descrivere un pool di forza lavoro specifico utilizzando la console Google Cloud, segui questi passaggi:
Vai alla pagina Pool di identità della forza lavoro:
In Pool forza lavoro, seleziona il pool
gcloud
Per descrivere un pool di forza lavoro specifico utilizzando gcloud CLI, esegui questo comando:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro che hai scelto al momento della creazione del pool.
Elenca pool
Console
Per elencare un pool di forza lavoro utilizzando la console Google Cloud, segui questi passaggi:
Vai alla pagina Pool di identità della forza lavoro:
Nella tabella, visualizza l'elenco dei pool.
gcloud
Per elencare i pool di forza lavoro nell'organizzazione, esegui questo comando:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.
Aggiorna un pool
Console
Per aggiornare un pool di forza lavoro specifico utilizzando la console Google Cloud, segui questi passaggi:
Vai alla pagina Pool di identità della forza lavoro:
Nella tabella, seleziona il pool.
Aggiorna i parametri del pool.
Fai clic su Save Pool (Salva pool).
gcloud
Per aggiornare un pool di forza lavoro specifico, esegui questo comando:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Sostituisci quanto segue:
WORKFORCE_POOL_ID: l'ID del pool di forza lavoroDESCRIPTION: la descrizione del pool
Elimina un pool
Console
Per eliminare un pool di forza lavoro specifico utilizzando la console Google Cloud, segui questi passaggi:
Vai alla pagina Pool di identità della forza lavoro:
In Pool di forza lavoro, fai clic su Elimina sul pool che vuoi eliminare.
Segui le istruzioni aggiuntive.
gcloud
Per eliminare un pool di identità della forza lavoro, esegui questo comando:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro.
Annullare l'eliminazione di un pool
Puoi annullare l'eliminazione di un pool di identità della forza lavoro eliminato negli ultimi 30 giorni.
Per annullare l'eliminazione di un pool, esegui questo comando:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro.
Configura un provider all'interno del pool di forza lavoro
Questa sezione spiega come utilizzare i comandi gcloud per configurare i provider di pool di identità della forza lavoro:
Crea un provider OIDC
Questa sezione descrive come creare un provider di pool di identità della forza lavoro per un IdP OIDC.
Console
Flusso codice
Nella console Google Cloud, vai alla pagina Pool di identità della forza lavoro:
Nella tabella Pool di identità della forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella tabella Provider, fai clic su Aggiungi provider.
In Seleziona un protocollo, scegli Open ID Connect (OIDC).
In Crea un provider di pool, segui questi passaggi:
- In Nome, inserisci un nome per il fornitore.
- In Emittente (URL), inserisci l'URI dell'emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con
https, ad esempiohttps://example.com/oidc. - Inserisci l'ID client, ovvero l'ID client OIDC registrato presso il tuo IdP OIDC. L'ID deve corrispondere alla rivendicazione
auddel JWT emesso dal tuo IdP. - Per creare un provider abilitato, assicurati che Enabled Provider sia attivo.
- Fai clic su Continua.
In Tipo di risposta, procedi nel seguente modo. Il tipo di risposta viene utilizzato solo per un flusso Single Sign-On basato sul web.
- In Tipo di risposta, seleziona Codice.
- In Client secret, inserisci il client secret del tuo IdP.
In Comportamento delle rivendicazioni delle asserzioni, seleziona una delle seguenti opzioni:
- Informazioni utente e token ID
- Solo token ID
Fai clic su Continua.
In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi: Puoi fornire il nome del campo IdP o un'espressione in formato CEL che restituisce una stringa.
- Obbligatorio: in OIDC 1, inserisci l'oggetto dell'IdP; ad esempio,
assertion.sub. (Facoltativo) Per aggiungere altre mappature degli attributi:
- Fai clic su Aggiungi mappatura.
- In Google n, dove n è un numero, inserisci una delle chiavi supportate da Google Cloud.
- Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare in formato CEL.
Per creare una condizione dell'attributo:
- Fai clic su Aggiungi condizione.
- In Condizioni attributi, inserisci una condizione in formato CEL, ad esempio
assertion.role == 'gcp-users'. Questa condizione di esempio assicura che solo gli utenti con il ruologcp-userspossano accedere utilizzando questo provider.
- Obbligatorio: in OIDC 1, inserisci l'oggetto dell'IdP; ad esempio,
Per creare il provider, fai clic su Invia.
Flusso implicito
Nella console Google Cloud, vai alla pagina Pool di identità della forza lavoro:
Nella tabella Pool di identità della forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella tabella Provider, fai clic su Aggiungi provider.
In Seleziona un protocollo, scegli Open ID Connect (OIDC).
In Crea un provider di pool, segui questi passaggi:
- In Nome, inserisci un nome per il fornitore.
- In Emittente (URL), inserisci l'URI dell'emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con
https, ad esempiohttps://example.com/oidc. - Inserisci l'ID client, ovvero l'ID client OIDC registrato presso il tuo IdP OIDC. L'ID deve corrispondere alla rivendicazione
auddel JWT emesso dal tuo IdP. - Per creare un provider abilitato, assicurati che Enabled Provider sia attivo.
- Fai clic su Continua.
In Tipo di risposta, procedi nel seguente modo. Il tipo di risposta viene utilizzato solo per un flusso Single Sign-On basato sul web.
- In Tipo di risposta, seleziona Token ID.
- Fai clic su Continua.
In Configura provider, puoi configurare una mappatura degli attributi e una condizione degli attributi. Per creare una mappatura degli attributi: Puoi fornire il nome del campo IdP o un'espressione in formato CEL che restituisce una stringa.
Obbligatorio: in OIDC 1, inserisci l'oggetto dell'IdP; ad esempio,
assertion.sub.(Facoltativo) Per aggiungere altre mappature degli attributi:
- Fai clic su Aggiungi mappatura.
- In Google n, dove n è un numero, inserisci una delle chiavi supportate da Google Cloud.
- Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IdP da mappare in formato CEL.
Per creare una condizione dell'attributo:
- Fai clic su Aggiungi condizione.
- In Condizioni attributi, inserisci una condizione in formato CEL, ad esempio
assertion.role == 'gcp-users'. Questa condizione di esempio assicura che solo gli utenti con il ruologcp-userspossano accedere utilizzando questo provider.
Per creare il provider, fai clic su Invia.
gcloud
Flusso codice
Per creare un provider OIDC che utilizza il flusso del codice di autorizzazione per l'accesso web, esegui questo comando:
gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \
--web-sso-response-type="code" \
--web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--location=global
Sostituisci quanto segue:
PROVIDER_ID: un ID provider univoco. Il prefissogcp-è riservato e non può essere utilizzato in un ID pool o provider.WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro a cui connettere l'IdP.DISPLAY_NAME: un nome visualizzato facoltativo e facile da usare per il provider, ad esempioidp-eu-employees.DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempioIdP for Partner Example Organization employees.ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia conhttps, ad esempiohttps://example.com/oidc. Nota: per motivi di sicurezza,ISSUER_URIdeve utilizzare lo schema HTTPS.OIDC_CLIENT_ID: l'ID client OIDC registrato presso il tuo IdP OIDC; l'ID deve corrispondere alla rivendicazioneauddel JWT emesso dall'IdP.OIDC_CLIENT_SECRET: il client secret OIDC.WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato su browser dalla console (federato) o da gcloud CLI.ATTRIBUTE_MAPPING: una mappatura degli attributi; ad esempio:
In questo esempio gli attributi IdPgoogle.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,assertion.group1ecostcenternell'asserzione OIDC vengono mappati rispettivamente agli attributigoogle.subject,google.groupseattribute.costcenter.ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio,assertion.role == 'gcp-users'. Questa condizione di esempio assicura che solo gli utenti con il ruologcp-userspossano accedere utilizzando questo provider.JWK_JSON_PATH: un percorso facoltativo di un JWK OIDC caricati in locale. Se questo parametro non è specificato, Google Cloud utilizza il percorso "/.well-known/openid-configuration" dell'IdP per generare i JWK contenenti le chiavi pubbliche. Per ulteriori informazioni sui JWK OIDC caricati localmente, consulta l'articolo su come gestire i JWK OIDC.
locations/global/workforcePools/enterprise-example-organization-employees.
Flusso implicito
Per creare un provider di pool di identità della forza lavoro OIDC che utilizza il flusso implicito per l'accesso web, esegui questo comando:
gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--web-sso-response-type="id-token" \
--web-sso-assertion-claims-behavior="only-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--location=global
Sostituisci quanto segue:
PROVIDER_ID: un ID provider univoco. Il prefissogcp-è riservato e non può essere utilizzato in un ID pool o provider.WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro a cui connettere l'IdP.DISPLAY_NAME: un nome visualizzato facoltativo e facile da usare per il provider, ad esempioidp-eu-employees.DESCRIPTION: una descrizione facoltativa del fornitore di forza lavoro, ad esempioIdP for Partner Example Organization employees.ISSUER_URI: l'URI dell'emittente OIDC, in un formato URI valido, che inizia conhttps, ad esempiohttps://example.com/oidc. Nota: per motivi di sicurezza,ISSUER_URIdeve utilizzare lo schema HTTPS.OIDC_CLIENT_ID: l'ID client OIDC registrato presso il tuo IdP OIDC; l'ID deve corrispondere alla rivendicazioneauddel JWT emesso dall'IdP.WEB_SSO_ADDITIONAL_SCOPES: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso basato su browser dalla console (federato) o da gcloud CLI.ATTRIBUTE_MAPPING: una mappatura degli attributi; ad esempio:
In questo esempio gli attributi IdPgoogle.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,assertion.group1ecostcenternell'asserzione OIDC vengono mappati rispettivamente agli attributigoogle.subject,google.groupseattribute.costcenter.ATTRIBUTE_CONDITION: una condizione dell'attributo; ad esempio,assertion.role == 'gcp-users'. Questa condizione di esempio assicura che solo gli utenti con il ruologcp-userspossano accedere utilizzando questo provider.JWK_JSON_PATH: un percorso facoltativo di un JWK OIDC caricati in locale. Se questo parametro non è specificato, Google Cloud utilizza il percorso "/.well-known/openid-configuration" dell'IdP per generare i JWK contenenti le chiavi pubbliche. Per ulteriori informazioni sui JWK OIDC caricati localmente, consulta l'articolo su come gestire i JWK OIDC.
locations/global/workforcePools/enterprise-example-organization-employees.
Crea un provider SAML
Questa sezione descrive come creare un provider di pool di identità della forza lavoro per un IdP SAML.
Console
Per configurare il provider SAML utilizzando la console Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Pool di identità della forza lavoro:
Nella tabella Pool di identità della forza lavoro, seleziona il pool per il quale vuoi creare il provider.
Nella tabella Provider, fai clic su Aggiungi provider.
In Seleziona un protocollo, scegli SAML.
In Crea un provider di pool, segui questi passaggi:
In Nome, inserisci un nome per il fornitore.
(Facoltativo) In Descrizione, inserisci una descrizione per il fornitore.
In File di metadati IDP (XML), seleziona il file XML di metadati che hai generato in precedenza in questa guida.
Assicurati che l'opzione Provider abilitato sia attivata.
Fai clic su Continua.
In Configura provider, segui questi passaggi:
In Mappatura attributi, inserisci un'espressione CEL per
google.subject.(Facoltativo) Per inserire altre mappature, fai clic su Aggiungi mappatura e inserisci altre mappature, ad esempio:
In questo esempio gli attributi IdPgoogle.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]assertion.subject,assertion.attributes['https://example.com/aliases']eassertion.attributes.costcenter[0]vengono mappati agli attributigoogle.subject,google.groupsegoogle.costcenterdi Google Cloud, rispettivamente.(Facoltativo) Per aggiungere una condizione dell'attributo, fai clic su Aggiungi condizione e inserisci un'espressione CEL che rappresenti una condizione dell'attributo. Ad esempio, per limitare l'attributo
ipaddra un determinato intervallo IP, puoi impostare la condizioneassertion.attributes.ipaddr.startsWith('98.11.12.'). Questa condizione di esempio assicura che solo gli utenti con un indirizzo IP che inizia con98.11.12.possano accedere utilizzando questo fornitore di forza lavoro.Fai clic su Continua.
Per creare il provider, fai clic su Invia.
gcloud
Per creare il provider, esegui questo comando:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--location="global"
Sostituisci quanto segue:
WORKFORCE_PROVIDER_ID: l'ID del fornitore di forza lavoroWORKFORCE_POOL_ID: l'ID del pool di forza lavoroATTRIBUTE_MAPPING: una mappatura degli attributi; ad esempio, per mappare un soggetto, la mappatura degli attributi è la seguente:google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]ATTRIBUTE_CONDITION: una condizione dell'attributo facoltativa; ad esempio,assertion.subject.endsWith("@example.com")XML_METADATA_PATH: il percorso del file di metadati in formato XML dal tuo IdP
Il prefisso gcp- è riservato e non può essere utilizzato in un ID pool o provider.
Questo comando assegna l'oggetto e il reparto nell'asserzione SAML, rispettivamente, agli attributi google.subject e attribute.department.
Inoltre, la condizione dell'attributo assicura che solo gli utenti il cui soggetto termini con @example.com possano accedere utilizzando questo fornitore di forza lavoro.
Descrivi un fornitore
Console
Per visualizzare un provider:
- Vai alla pagina Pool di identità della forza lavoro:
Vai a Pool di identità della forza lavoro
Nella tabella, seleziona il pool per il quale vuoi visualizzare il provider.
Nella tabella Provider, seleziona il provider.
gcloud
Per descrivere un provider, esegui questo comando:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Sostituisci quanto segue:
PROVIDER_ID: l'ID providerWORKFORCE_POOL_ID: l'ID del pool di forza lavoro
Elenco provider
Console
Per visualizzare un provider:
- Vai alla pagina Pool di identità della forza lavoro:
Vai a Pool di identità della forza lavoro
Nella tabella, seleziona il pool per il quale vuoi elencare i provider.
Nella tabella Provider puoi visualizzare un elenco di provider.
gcloud
Per elencare i provider, esegui questo comando:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Sostituisci WORKFORCE_POOL_ID con l'ID del pool di forza lavoro.
Aggiorna un provider
Console
Per visualizzare un provider:
- Vai alla pagina Pool di identità della forza lavoro:
Vai a Pool di identità della forza lavoro
Nella tabella, seleziona il pool per il quale vuoi visualizzare il provider.
Nella tabella Fornitori, fai clic su Modifica.
Aggiorna il provider.
Per salvare il fornitore aggiornato, fai clic su Salva.
gcloud
Per aggiornare un provider OIDC dopo la creazione, esegui questo comando:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--location=global
Sostituisci quanto segue:
PROVIDER_ID: l'ID providerWORKFORCE_POOL_ID: l'ID del pool di forza lavoroDESCRIPTION: la descrizione
Elimina un provider
Per eliminare un provider, esegui questo comando:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Sostituisci quanto segue:
PROVIDER_ID: l'ID providerWORKFORCE_POOL_ID: l'ID del pool di forza lavoro
Annullare l'eliminazione di un provider
Per annullare l'eliminazione di un provider eliminato negli ultimi 30 giorni, esegui questo comando:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Sostituisci quanto segue:
PROVIDER_ID: l'ID providerWORKFORCE_POOL_ID: l'ID del pool di forza lavoro
Gestisci JWK OIDC
Questa sezione mostra come gestire i JWK OIDC nei provider dei pool di forza lavoro.
Crea un provider e carica i JWK OIDC
Per creare JWK OIDC, vedi Implementazioni JWT, JWS, JWE, JWK e JWA.
Per caricare un file OIDC JWK quando crei un provider del pool di forza lavoro, esegui il comando gcloud iam collaborative-pools provider create-oidc con --jwk-json-path="JWK_JSON_PATH".
Sostituisci JWK_JSON_PATH con il percorso del file JSON JWKs.
Questa operazione consente di caricare le chiavi dal file.
Aggiorna JWK OIDC
Per aggiornare i JWK OIDC, esegui il comando
gcloud iam worker-pools payments update-oidc con --jwk-json-path="JWK_JSON_PATH".
Sostituisci JWK_JSON_PATH con il percorso del
file JSON JWKs.
Questa operazione sostituisce tutte le chiavi caricate esistenti con quelle nel file.
Elimina tutti i JWK OIDC caricati
Per eliminare tutti i JWK OIDC caricati e utilizzare invece l'URI dell'emittente per recuperare le chiavi, esegui il comando gcloud iam worker-pools payments update-oidc con --jwk-json-path="JWK_JSON_PATH".
Sostituisci JWK_JSON_PATH con il percorso di un file vuoto.
Utilizza il flag --issuer-uri per impostare l'URI dell'emittente.
Questa operazione elimina tutte le chiavi caricate esistenti.
Passaggi successivi
- Configura la federazione delle identità per la forza lavoro con Azure AD e accedi agli utenti
- Configurare la federazione delle identità per la forza lavoro con Okta e accedere agli utenti
- Eliminare gli utenti della federazione delle identità per la forza lavoro e i relativi dati
- Scopri quali prodotti Google Cloud supportano la federazione delle identità per la forza lavoro