Configurare l'accesso degli utenti alla console (federata)

Questa guida spiega come configurare l'accesso alla console della federazione delle identità per la forza lavoro di Google Cloud, nota anche come console (federata), dal tuo provider di identità (IdP) e come fornire istruzioni di accesso agli utenti.

Prima di iniziare

1. Configura la federazione delle identità per la forza lavoro nella tua organizzazione Google Cloud, inclusi un pool di identità per la forza lavoro e un provider di pool di identità per la forza lavoro. In alternativa, se utilizzi uno dei seguenti IdP, consulta le guide specifiche per l'IdP per saperne di più:

   • Configura la federazione delle identità per la forza lavoro basata su Microsoft Entra ID
   • Configurare la federazione delle identità della forza lavoro basata su Okta

2. Prendi nota del nome del provider del pool di identità della forza lavoro, che utilizzerai più avanti in guida.

Configurare gli URL di reindirizzamento nell'IdP

Puoi configurare l'IdP in modo che pubblichi una risposta e reindirizzi l'utente alla (in fede) dopo che l'utente ha eseguito l'autenticazione. Per farlo, devi configurare un URL di reindirizzamento e impostarlo nel tuo IdP configurazione.

Per creare l'URL di reindirizzamento, procedi nel seguente modo:

1. Condividi il nome del provider del pool di identità per la forza lavoro con gli utenti. Il formato è il seguente:

   locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   Sostituisci quanto segue:

   • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro.
   • WORKFORCE_PROVIDER_ID: l'ID del provider di identità della forza lavoro.

2. Crea l'URL di reindirizzamento. Il formato è il seguente:

   https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
   

   Sostituisci WORKFORCE_POOL_PROVIDER_NAME con il nome del provider del pool di identità per la forza lavoro del passaggio precedente.

3. Configura l'IdP con l'URL di reindirizzamento.

   Nell'IDP, inserisci l'URL di reindirizzamento. Il campo in cui inserisci L'URL può variare.

   OIDC

   Nel tuo provider di identità, il campo potrebbe essere chiamato Redirect URL o Callback URL.

   L'IdP invia il token di risposta e del nome a questo URL.

   SAML

   Nel tuo provider di identità, il campo potrebbe essere chiamato Single sign-on URL o SAML assertion consumer service (ACS) URL.

   L'IdP pubblica l'asserzione SAML in questo URL.

   Se vuoi attivare l'accesso avviato dall'IdP con il tuo provider SAML, inserisci il seguente URL nell'impostazione Default RelayState o il relativo equivalente. La L'IdP reindirizza l'utente a questo URL dopo che l'utente ha eseguito correttamente autentica:

   https://console.cloud.google/
   

Informare gli utenti su come accedere

Questa sezione descrive i diversi modi in cui gli utenti possono accedere al console (federata).

Avviare la procedura di accesso utilizzando un link SSO

Per avviare la procedura di accesso con il tuo IdP, puoi condividere un link con i tuoi utenti che li reindirizza al tuo IdP senza richiedere il nome del provider. Dopo l'accesso, gli utenti vengono reindirizzati automaticamente alla console (in federazione).

Per utilizzare questo metodo, invia il seguente link di accesso agli utenti:

https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/

Avvia la procedura di accesso utilizzando la console (in federazione)

Per avviare la procedura di accesso dalla console (in federazione), esegui la procedura seguenti:

1. Fornisci agli utenti il nome del provider del pool di identità della forza lavoro descritti in precedenza in questo documento.

2. Fornisci agli utenti il seguente link alla console (federata):

   https://console.cloud.google/
   

Quando gli utenti accedono per la prima volta alla console (federata), viene loro chiesto di inserire il nome del provider del pool di identità della forza lavoro. L'utente viene quindi reindirizzato al tuo fornitore di servizi di identità per l'autenticazione. Dopo l'autenticazione, vengono reindirizzati al sito la console (federata).

Utilizzare l'accesso avviato dall'IdP SAML

La specifica SAML definisce un flusso denominato IdP-initiated sign-in (Accesso avviato dall'IdP) da cui gli utenti avviano la procedura di accesso all'IdP. Se l'IdP supporta flusso, puoi condividere i dettagli con i tuoi utenti.

Confronto tra la console (federata) e la console Google Cloud

La console (federata) fornisce funzionalità l'accesso solo ai prodotti Google Cloud che supportano Federazione delle identità per la forza lavoro. Per questo motivo, quando utilizzi la console (federata), vedi un numero limitato di prodotti Google Cloud e le UI dei prodotti stessi potrebbero avere ulteriori limitazioni se visualizzate nella console (federata).

Per scoprire di più sui prodotti che supportano la federazione delle identità per la forza lavoro e relative a limitazioni, consulta Federazione delle identità: prodotti supportati e limitazioni.

La console Google Cloud, invece, può fornire l'accesso completo a tutti i prodotti e alle funzionalità, a seconda dei ruoli concessi agli utenti.

Passaggi successivi

• Federazione delle identità: prodotti supportati e limitazioni