Configura el acceso de usuario a la consola (federada)

En esta guía, se muestra cómo configurar el acceso a la consola de la federación de identidades de personal de Google Cloud, también conocida como la consola (federada), desde tu proveedor de identidad (IdP) y se muestra cómo proporcionar instrucciones de acceso a tu usuarios.

Antes de comenzar

1. Configura la federación de Workforce Identity en la organización de Google Cloud, incluido un grupo de Workforce Identity y un proveedor de grupo de Workforce Identity. Como alternativa, si usas uno de los siguientes IdP, consulta las guías específicas de IdP para obtener más información:

   • Configura la federación de Workforce Identity basada en Azure AD
   • Configura la federación de Workforce Identity basada en Okta

2. Anota el nombre del proveedor de grupos de Workforce Identity, que usarás más adelante en esta guía.

Configura las URLs de redireccionamiento en tu IdP

Puedes configurar tu IdP para que publique una respuesta de IdP y redireccione a tu usuario a la consola (federada) después de que tu usuario se autentique. Para ello, debes configurar una URL de redireccionamiento y configurarla en tu configuración de IdP.

Para crear la URL de redireccionamiento, haz lo siguiente:

1. Comparte el nombre del proveedor de grupos de Workforce Identity con tus usuarios. Su formato es el siguiente:

   locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   Reemplaza lo siguiente:

   • WORKFORCE_POOL_ID: El ID del grupo de Workforce Identity.
   • WORKFORCE_PROVIDER_ID: El ID del proveedor de Workforce Identity.

2. Crea la URL de redireccionamiento. Su formato es el siguiente:

   https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
   

   Reemplaza WORKFORCE_POOL_PROVIDER_NAME por el nombre del proveedor de grupos de Workforce Identity del paso anterior.

3. Configura tu IdP con la URL de redireccionamiento.

   En el IdP, ingresa la URL de redireccionamiento. El campo en el que ingresas la URL puede variar.

   OIDC

   En el IdP, el campo se podría llamar Redirect URL o Callback URL.

   El IdP envía la respuesta y el token de nombre a esta URL.

   SAML

   En el IdP, el campo se podría llamar Single sign-on URL o SAML assertion consumer service (ACS) URL.

   Tu IdP publica la aserción de SAML en esta URL.

   Si deseas habilitar el acceso iniciado por IdP con tu proveedor de SAML, ingresa la siguiente URL en la configuración Default RelayState o su equivalente. El IdP redirecciona a tu usuario a esta URL después de que se autentica con éxito:

   https://console.cloud.google/
   

Informa a los usuarios cómo acceder

En esta sección, se describen las diferentes formas en que los usuarios pueden acceder a la consola (federada).

Inicia el proceso de acceso con un vínculo de SSO

Para comenzar el proceso de acceso con el IdP, puedes compartir un vínculo con los usuarios que los redireccione al IdP sin pedirles el nombre del proveedor. Una vez que los usuarios acceden correctamente, se los redirecciona de forma automática a la consola (federada).

Si quieres usar este método, envía el siguiente vínculo de acceso a tus usuarios:

https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/

Inicia el proceso de acceso con la consola (federada)

Para iniciar el proceso de acceso en la consola (federada), haz lo siguiente:

1. Proporciona a tus usuarios el nombre de tu proveedor de grupos de Workforce Identity que se describió antes en este documento.

2. Proporciona a tus usuarios el siguiente vínculo a la consola (federada):

   https://console.cloud.google/
   

Cuando tus usuarios accedan por primera vez a la consola (federada), se les solicitará que ingresen el nombre del proveedor de grupos de Workforce Identity. Luego, se los redireccionará al IdP para autenticarse. Después de que se autentiquen, se los redireccionará a la consola (federada).

Usa el acceso con IdP con SAML

La especificación SAML define un flujo llamado acceso iniciado por IdP, en el que los usuarios inician el proceso de acceso en el IdP. Si tu IdP admite este flujo, puedes compartir los detalles con tus usuarios.

Usa la consola (federada) en comparación con la consola de Google Cloud

La consola (federada) proporciona acceso limitado solo a los productos de Google Cloud que admiten la federación de Workforce Identity. Debido a esto, cuando usas la consola (federada), ves una cantidad limitada de productos de Google Cloud, y las IU del producto en sí podrían tener más limitaciones cuando se ven en la consola (federada).

Para obtener más información sobre los productos que admiten la federación de Workforce Identity y las limitaciones relacionadas, consulta Federación de Workforce Identity: productos y limitaciones compatibles.

La consola de Google Cloud, en comparación, puede proporcionar acceso completo a todos los productos y funciones, según las funciones otorgadas a los usuarios.

¿Qué sigue?

• Federación de identidades de personal: Productos admitidos y limitaciones