Ce guide explique comment configurer l'accès à la console de fédération des identités des employés Google Cloud, également appelée console (fédérée), à partir de votre fournisseur d'identité (IdP). Il vous montre également comment fournir des instructions d'accès à vos utilisateurs.
Avant de commencer
Configurez la fédération d'identité de personnel dans votre organisation Google Cloud, y compris un pool d'identités de personnel et un fournisseur de pools d'identités de personnel. Si vous utilisez l'un des fournisseurs d'identité suivants, consultez les guides spécifiques à celui-ci pour plus d'informations :
Notez le nom de votre fournisseur de pool d'identités de personnel, que vous utiliserez plus tard dans ce guide.
Configurer des URL de redirection dans votre fournisseur d'identité
Vous pouvez configurer votre fournisseur d'identité pour publier une réponse de celui-ci et rediriger votre utilisateur vers la console (fédération) après son authentification. Pour ce faire, vous devez configurer une URL de redirection et la définir dans votre configuration d'IdP.
Pour créer l'URL de redirection, procédez comme suit :
Partagez le nom du fournisseur de pools d'identités de personnel avec vos utilisateurs. Son format est le suivant :
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Remplacez les éléments suivants :
WORKFORCE_POOL_ID
: ID du pool d'identités de personnelWORKFORCE_PROVIDER_ID
: ID du fournisseur d'identité de personnel
Créez l'URL de redirection. Son format est le suivant :
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
Remplacez
WORKFORCE_POOL_PROVIDER_NAME
par le nom du fournisseur de pools d'identités de personnel de l'étape précédente.Configurez votre fournisseur d'identité avec l'URL de redirection.
Dans votre fournisseur d'identité, saisissez l'URL de redirection. Le champ de saisie de l'URL peut varier.
OIDC
Dans votre fournisseur d'identité, le champ peut être appelé
Redirect URL
ouCallback URL
.Votre fournisseur d'identité envoie la réponse et le jeton de nom à cette URL.
SAML
Dans votre fournisseur d'identité, le champ peut être appelé
Single sign-on URL
ouSAML assertion consumer service (ACS) URL
.Votre fournisseur d'identité publie l'assertion SAML sur cette URL.
Si vous souhaitez activer la connexion initiée par le fournisseur d'identité avec votre fournisseur SAML, saisissez l'URL suivante dans le paramètre
Default RelayState
ou son équivalent. Le fournisseur d'identité redirige votre utilisateur vers cette URL une fois qu'il s'est authentifié :https://console.cloud.google/
Indiquer à vos utilisateurs comment se connecter
Cette section décrit les différentes façons de se connecter à la console (fédération) pour vos utilisateurs.
Lancer le processus de connexion à l'aide d'un lien d'authentification unique
Pour lancer le processus de connexion avec votre IdP, vous pouvez partager un lien avec vos utilisateurs qui les redirige vers votre IdP sans leur demander le nom du fournisseur. Une fois que les utilisateurs ont réussi à se connecter, ils sont automatiquement redirigés vers la console (fédération).
Pour utiliser cette méthode, envoyez le lien de connexion suivant à vos utilisateurs :
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
Lancer le processus de connexion à l'aide de la console (fédération)
Pour lancer le processus de connexion sur la console (fédération), procédez comme suit :
Indiquez à vos utilisateurs le nom du fournisseur de votre pool d'identités de personnel, décrit précédemment dans ce document.
Fournissez à vos utilisateurs le lien suivant vers la console (fédération) :
https://console.cloud.google/
Lorsque vos utilisateurs accèdent pour la première fois à la console (fédération), ils sont invités à saisir le nom du fournisseur de pools d'identités de personnel. Ils sont ensuite redirigés vers votre IdP pour s'authentifier. Une fois authentifiés, ils sont redirigés vers la console (fédération).
Utiliser la connexion SAML initiée par l'IdP
La spécification SAML définit un flux appelé connexion initiée par le fournisseur d'identité, dans lequel les utilisateurs lancent le processus de connexion auprès de l'IdP. Si votre IdP est compatible avec ce flux, vous pouvez partager les détails avec vos utilisateurs.
Utiliser la console (fédération) vs la console Google Cloud
La console (fédérée) fournit un accès limité aux seuls produits Google Cloud compatibles avec la fédération des identités des employés. Par conséquent, lorsque vous utilisez la console (fédération), un nombre limité de produits Google Cloud s'affiche, et les interfaces utilisateur des produits peuvent également présenter d'autres limites lorsqu'elles s'affichent dans la console (fédération).
Pour en savoir plus sur les produits compatibles avec la fédération d'identité de personnel et les limites associées, consultez la page Fédération d'identité : produits et limites compatibles.
Par comparaison, la console Google Cloud peut fournir un accès complet à tous les produits et fonctionnalités, en fonction des rôles attribués aux utilisateurs.