本指南介绍如何使用员工身份联合执行常见操作。
管理员工池和提供方
您可以将允许的项目设置为用于访问员工池 API 的结算/配额项目。
准备工作
确定结算/配额项目。
如需为在 gcloud CLI 中执行的操作设置对应的 Google Cloud 结算和配额项目,请执行以下命令:
gcloud config set billing/quota_project PROJECT_ID将 PROJECT_ID 替换为项目 ID。
或者,如需了解如何设置员工身份联合,请参阅配置员工身份联合。如需查看特定于 IdP 的说明,请参阅:
安装 Google Cloud CLI,然后通过运行以下命令初始化 Google Cloud CLI:
gcloud init
管理池
本部分介绍如何管理员工身份联合池。
创建池
如需创建员工池,请执行以下命令:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--description=DESCRIPTION \
--location=global
替换以下内容:
WORKFORCE_POOL_ID:您选择的员工池的 IDORGANIZATION_ID:您的组织 ID。DESCRIPTION:此池的说明
描述池
如需描述特定的员工池,请执行以下命令:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
将 WORKFORCE_POOL_ID 替换为您在创建员工池时选择的池 ID。
列出池
如需列出组织中的员工池,请执行以下命令:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
将 ORGANIZATION_ID 替换为您的组织 ID。
更新池
如需更新特定的员工池,请执行以下命令:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
替换以下内容:
WORKFORCE_POOL_ID:员工池 IDDESCRIPTION:池的说明
删除池
如需删除员工身份池,请执行以下命令:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
将 WORKFORCE_POOL_ID 替换为员工池 ID。
恢复删除池
您可以恢复在过去 30 天内删除的员工身份池。
如需恢复删除的池,请执行以下命令:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
将 WORKFORCE_POOL_ID 替换为员工池 ID。
在员工池中配置提供方
本部分介绍如何使用 gcloud 命令配置员工池提供方:
创建提供商
如需创建提供方,请执行以下命令:
gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name=DISPLAY_NAME \
--description=DESCRIPTION \
--issuer-uri="OIDC_ISSUER_URL" \
--client-id="OIDC_CLIENT_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION"
--location=global
替换以下内容:
PROVIDER_ID:提供方 IDWORKFORCE_POOL_ID:员工池 IDDISPLAY_NAME:显示名DESCRIPTION:说明OIDC_ISSUER_URL:OIDC 颁发者网址OIDC_CLIENT_ID:OIDC 客户端 IDATTRIBUTE_MAPPING:属性映射;例如google.subject=assertion.sub, google.groups=assertion.groupList, google.display_name=assertion.displayName,google.profile_photo=assertion.profilePhoto, attribute.costcenter=assertion.costcenterATTRIBUTE_CONDITION:属性条件;例如assertion.group1=='gcp-users'。
在命令响应中,POOL_RESOURCE_NAME 是池的名称;例如 locations/global/workforcePools/enterprise-example-organization-employees。
描述提供方
如需描述提供方,请执行以下命令:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
替换以下内容:
PROVIDER_ID:提供方 IDWORKFORCE_POOL_ID:员工池 ID
列出提供商
如需列出提供方,请执行以下命令:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
将 WORKFORCE_POOL_ID 替换为员工池 ID。
更新提供商
如需在创建 OIDC 提供方后对其进行更新,请执行以下命令:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool= WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--location=global
替换以下内容:
PROVIDER_ID:提供方 IDWORKFORCE_POOL_ID:员工池 IDDESCRIPTION:说明
删除提供商
如需删除提供方,请执行以下命令:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
替换以下内容:
PROVIDER_ID:提供方 IDWORKFORCE_POOL_ID:员工池 ID
恢复删除提供商
如需恢复在过去 30 天内删除的提供方,请执行以下命令:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
替换以下内容:
PROVIDER_ID:提供方 IDWORKFORCE_POOL_ID:员工池 ID
后续步骤
- 使用 Azure AD 配置员工身份联合并让用户登录
- 使用 Okta 配置员工身份联合并让用户登录
- 删除员工身份联合用户及其数据
- 了解哪些 Google Cloud 产品支持员工身份联合