Configurare l'accesso degli utenti alla console (federata)

Questa guida mostra come configurare l'accesso alla consoleGoogle Cloud federata delle identità per la forza lavoro, nota anche come console (federata), dal tuo provider di identità (IdP) e come fornire istruzioni di accesso ai tuoi utenti.

Prima di iniziare

1. Configura la federazione delle identità per la forza lavoro nella tua organizzazione Google Cloud , inclusi un pool di identità per la forza lavoro e un provider di pool di identità per la forza lavoro. In alternativa, se utilizzi uno dei seguenti IdP, consulta le guide specifiche per l'IdP per saperne di più:

   • Configurare la federazione delle identità per la forza lavoro basata su Microsoft Entra ID
   • Configurare la federazione delle identità per la forza lavoro basata su Okta

2. Prendi nota del nome del provider di pool di identità per la forza lavoro, che utilizzerai in seguito in questa guida.

Configurare gli URL di reindirizzamento nell'IdP

Puoi configurare l'IdP in modo che pubblichi una risposta IdP e reindirizzi l'utente alla console (federata) dopo l'autenticazione. Per farlo, devi configurare un URL di reindirizzamento e impostarlo nella configurazione dell'IdP.

Per creare l'URL di reindirizzamento:

1. Condividi il nome del provider di pool di identità per la forza lavoro con gli utenti. È formattato nel seguente modo:

   locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   Sostituisci quanto segue:

   • WORKFORCE_POOL_ID: l'ID del pool di identità della forza lavoro.
   • WORKFORCE_PROVIDER_ID: l'ID del provider di identità della forza lavoro.

2. Crea l'URL di reindirizzamento. È formattato nel seguente modo:

   https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

3. Configura il tuo IdP con l'URL di reindirizzamento.

   Nel tuo IdP, inserisci l'URL di reindirizzamento. Il campo in cui inserisci l'URL può variare.

   OIDC

   Nel tuo IdP, il campo potrebbe essere chiamato Redirect URL o Callback URL.

   L'IdP invia il token di risposta e del nome a questo URL.

   SAML

   Nel tuo IdP, il campo potrebbe essere chiamato Single sign-on URL o SAML assertion consumer service (ACS) URL.

   L'IdP pubblica l'asserzione SAML in questo URL.

   Se vuoi attivare l'accesso avviato dall'IdP con il tuo provider SAML, inserisci il seguente URL nell'impostazione Default RelayState o nell'impostazione equivalente. L'IdP reindirizza l'utente a questo URL dopo che l'utente ha eseguito l'autenticazione:

   https://console.cloud.google/
   

Informare gli utenti su come accedere

Questa sezione descrive i diversi modi in cui gli utenti possono accedere alla console (federata).

Avviare la procedura di accesso utilizzando un link SSO

Per avviare la procedura di accesso con il tuo IdP, puoi condividere un link con i tuoi utenti che li reindirizza al tuo IdP senza richiedere il nome del provider. Dopo l'accesso, gli utenti vengono reindirizzati automaticamente alla console (in federazione).

Per utilizzare questo metodo, invia il seguente link di accesso ai tuoi utenti:

https://auth.cloud.google/signin/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID?continueUrl=https://console.cloud.google/

Avviare la procedura di accesso utilizzando la console (federata)

Per avviare la procedura di accesso alla console (federata):

1. Fornisci ai tuoi utenti il nome del provider di pool di identità per la forza lavoro descritto in precedenza in questo documento.

2. Fornisci ai tuoi utenti il seguente link alla console (federata):

   https://console.cloud.google/
   

Quando gli utenti accedono per la prima volta alla console (federata), viene chiesto loro di inserire il nome del provider del pool di identità per la forza lavoro. Verranno reindirizzati al tuo IdP per l'autenticazione. Una volta autenticati, vengono reindirizzati alla console (federata).

Utilizzare l'accesso avviato dall'IdP SAML

La specifica SAML definisce un flusso chiamato accesso avviato dall'IdP, in cui gli utenti avviano la procedura di accesso all'IdP. Se il tuo IdP supporta questo flusso, puoi condividere i dettagli con i tuoi utenti.

Utilizzare la console (federata) anziché la console Google Cloud

La console (federata) fornisce un accesso limitato solo ai prodotti Google Cloud che supportano la federazione delle identità della forza lavoro. Per questo motivo, quando utilizzi la console (federata), vedi un numero limitato di prodotti Google Cloude le interfacce utente dei prodotti stessi potrebbero presentare ulteriori limitazioni se visualizzate nella console (federata).

Per scoprire di più sui prodotti che supportano la federazione delle identità per la forza lavoro e sulle limitazioni correlate, consulta Federazione delle identità: prodotti supportati e limitazioni.

La Google Cloud console, al contrario, può fornire l'accesso completo a tutti i prodotti e funzionalità, a seconda dei ruoli concessi agli utenti.

Passaggi successivi

• Federazione delle identità: prodotti supportati e limitazioni