Questa guida spiega come configurare l'accesso alla console della federazione delle identità per la forza lavoro di Google Cloud, nota anche come console (federata), dal tuo provider di identità (IdP) e come fornire istruzioni di accesso agli utenti.
Prima di iniziare
Configura la federazione delle identità per la forza lavoro nella tua organizzazione Google Cloud, incluso un pool di identità della forza lavoro e un provider di pool di identità della forza lavoro. In alternativa, se utilizzi uno dei seguenti IdP, consulta le guide specifiche per l'IdP per saperne di più:
Prendi nota del nome del provider del pool di identità per la forza lavoro, che utilizzerai in seguito in questa guida.
Configurare gli URL di reindirizzamento nell'IdP
Puoi configurare l'IdP in modo che pubblichi una risposta e reindirizzi l'utente alla console (in federazione) dopo l'autenticazione. Per farlo, devi configurare un URL di reindirizzamento e impostarlo nella configurazione dell'IdP.
Per creare l'URL di reindirizzamento:
Condividi il nome del provider del pool di identità per la forza lavoro con gli utenti. Il formato è il seguente:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Sostituisci quanto segue:
WORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoro.WORKFORCE_PROVIDER_ID
: l'ID del provider di identità della forza lavoro.
Crea l'URL di reindirizzamento. Il formato è il seguente:
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
Sostituisci
WORKFORCE_POOL_PROVIDER_NAME
con il nome del provider del pool di identità per la forza lavoro del passaggio precedente.Configura l'IdP con l'URL di reindirizzamento.
Nell'IDP, inserisci l'URL di reindirizzamento. Il campo in cui inserisci l'URL può variare.
OIDC
Nel tuo provider di identità, il campo potrebbe essere chiamato
Redirect URL
oCallback URL
.L'IdP invia il token di risposta e del nome a questo URL.
SAML
Nel tuo provider di identità, il campo potrebbe essere chiamato
Single sign-on URL
oSAML assertion consumer service (ACS) URL
.L'IdP pubblica l'asserzione SAML in questo URL.
Se vuoi attivare l'accesso avviato dall'IdP con il tuo provider SAML, inserisci il seguente URL nell'impostazione
Default RelayState
o il relativo equivalente. L'IdP reindirizza l'utente a questo URL dopo che l'utente ha eseguito l'autenticazione:https://console.cloud.google/
Comunica agli utenti come accedere
Questa sezione descrive i diversi modi in cui gli utenti possono accedere alla console (federata).
Avvia la procedura di accesso utilizzando un link SSO
Per avviare la procedura di accesso con il tuo IdP, puoi condividere un link con i tuoi utenti per reindirizzarli al tuo IdP senza chiedere il nome del provider. Dopo l'accesso, gli utenti vengono reindirizzati automaticamente alla console (in federazione).
Per utilizzare questo metodo, invia ai tuoi utenti il seguente link di accesso:
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
Avvia la procedura di accesso utilizzando la console (federata)
Per avviare la procedura di accesso alla console (federata), segui questi passaggi:
Fornisci agli utenti il nome del provider del pool di identità per la forza lavoro descritto in precedenza in questo documento.
Fornisci agli utenti il seguente link alla console (federata):
https://console.cloud.google/
Quando gli utenti accedono per la prima volta alla console (federata), viene loro chiesto di inserire il nome del provider del pool di identità della forza lavoro. L'utente viene quindi reindirizzato al tuo fornitore di servizi di identità per l'autenticazione. Una volta autenticati, vengono reindirizzati nuovamente alla console (in federazione).
Utilizzare l'accesso avviato dall'IdP SAML
La specifica SAML definisce un flusso denominato Accesso avviato dall'IdP, in cui gli utenti avviano la procedura di accesso presso l'IdP. Se il tuo IdP supporta questo flusso, puoi condividere i dettagli con i tuoi utenti.
Utilizzo della console (federata) rispetto alla console Google Cloud
La console (federata) fornisce accesso limitato solo ai prodotti Google Cloud che supportano la federazione delle identità della forza lavoro. Per questo motivo, quando utilizzi la console (federata), vedi un numero limitato di prodotti Google Cloud e le UI dei prodotti stessi potrebbero avere ulteriori limitazioni se visualizzate nella console (federata).
Per scoprire di più sui prodotti che supportano la federazione delle identità per la forza lavoro e sulle limitazioni correlate, consulta Federazione delle identità: prodotti supportati e limitazioni.
La console Google Cloud, invece, può fornire l'accesso completo a tutti i prodotti e alle funzionalità, a seconda dei ruoli concessi agli utenti.