Configura l'accesso degli utenti alla console (in federazione)

Questa guida illustra come configurare l'accesso al Console Google Cloud Workforce Identity Federation, nota anche come console (federata), dal tuo provider di identità (IdP) e ti mostra come fornire istruzioni di accesso agli utenti.

Prima di iniziare

1. Configura la federazione delle identità per la forza lavoro nella tua organizzazione Google Cloud, incluso un pool di identità della forza lavoro e un provider di pool di identità della forza lavoro. In alternativa, se utilizzi uno dei seguenti IdP, consulta la sezione guide per ulteriori informazioni:

   • Configurare la Federazione delle identità della forza lavoro basata su Microsoft Entra ID
   • Configura la federazione delle identità per la forza lavoro basata su Okta

2. Prendi nota del nome del provider del pool di identità per la forza lavoro, che utilizzerai in seguito in questa guida.

Configurare gli URL di reindirizzamento nell'IdP

Puoi configurare l'IdP in modo che pubblichi una risposta e reindirizzi l'utente alla console (in federazione) dopo l'autenticazione. Per farlo, devi configurare un URL di reindirizzamento e impostarlo nel tuo IdP configurazione.

Per creare l'URL di reindirizzamento, procedi nel seguente modo:

1. Condividi il nome del provider del pool di identità per la forza lavoro con gli utenti. Il formato è il seguente:

   locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   Sostituisci quanto segue:

   • WORKFORCE_POOL_ID: ID pool di identità della forza lavoro.
   • WORKFORCE_PROVIDER_ID: l'identità della forza lavoro l'ID provider.

2. Crea l'URL di reindirizzamento. Il formato è il seguente:

   https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
   

   Sostituisci WORKFORCE_POOL_PROVIDER_NAME con il nome del provider del pool di identità per la forza lavoro del passaggio precedente.

3. Configura l'IdP con l'URL di reindirizzamento.

   Nell'IdP, inserisci l'URL di reindirizzamento. Il campo in cui inserisci L'URL può variare.

   OIDC

   Nel tuo IdP, il campo potrebbe essere denominato Redirect URL o Callback URL.

   L'IdP invia il token di risposta e del nome a questo URL.

   SAML

   Nel tuo IdP, il campo potrebbe essere denominato Single sign-on URL o SAML assertion consumer service (ACS) URL.

   L'IdP pubblica l'asserzione SAML in questo URL.

   Se vuoi attivare l'accesso avviato dall'IdP con il tuo provider SAML, inserisci il seguente URL nell'impostazione Default RelayState o il relativo equivalente. L'IdP reindirizza l'utente a questo URL dopo che l'utente ha eseguito l'autenticazione:

   https://console.cloud.google/
   

Comunica agli utenti come accedere

Questa sezione descrive i diversi modi in cui gli utenti possono accedere al console (federata).

Avviare la procedura di accesso utilizzando un link SSO

Per avviare la procedura di accesso con il tuo IdP, puoi condividere un link con i tuoi utenti per reindirizzarli al tuo IdP senza chiedere il nome del provider. Dopo l'accesso, gli utenti vengono reindirizzati automaticamente alla console (federata).

Per utilizzare questo metodo, invia ai tuoi utenti il seguente link di accesso:

https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/

Avvia la procedura di accesso utilizzando la console (in federazione)

Per avviare la procedura di accesso alla console (federata), segui questi passaggi:

1. Fornisci agli utenti il nome del provider del pool di identità per la forza lavoro descritti in precedenza in questo documento.

2. Fornisci agli utenti il seguente link alla console (federata):

   https://console.cloud.google/
   

Quando gli utenti accedono per la prima volta alla console (federata), viene loro chiesto di inserire il nome del provider del pool di identità della forza lavoro. Vengono quindi reindirizzati alla pagina dell'IdP per eseguire l'autenticazione. Una volta autenticati, vengono reindirizzati nuovamente alla console (in federazione).

Utilizzare l'accesso avviato dall'IdP SAML

La specifica SAML definisce un flusso denominato IdP-initiated sign-in (Accesso avviato dall'IdP) da cui gli utenti avviano la procedura di accesso all'IdP. Se l'IdP supporta flusso, puoi condividere i dettagli con i tuoi utenti.

Confronto tra la console (federata) e la console Google Cloud

La console (federata) fornisce accesso limitato solo ai prodotti Google Cloud che supportano la federazione delle identità della forza lavoro. Per questo motivo, quando si utilizza il parametro (in federazione), viene visualizzato un numero limitato di Google Cloud prodotti e le stesse interfacce utente potrebbero avere ulteriori limitazioni quando visualizzate nella console (in fede).

Per scoprire di più sui prodotti che supportano la federazione delle identità della forza lavoro e sulle limitazioni correlate, consulta Federazione delle identità: prodotti supportati e limitazioni.

La console Google Cloud, in confronto, può fornire accesso completo a tutti i prodotti e di archiviazione, a seconda dei ruoli assegnati agli utenti.

Passaggi successivi

• Federazione delle identità: prodotti supportati e limitazioni