Neste guia, mostramos como configurar o acesso ao console de federação de identidade da força de trabalho do Google Cloud, também conhecido como console (federado), do seu provedor de identidade (IdP). Além disso, mostramos como fornecer instruções de acesso ao seu usuários.
Antes de começar
Configure a federação de identidade da força de trabalho na sua organização do Google Cloud, incluindo um pool de identidade da força de trabalho e um provedor de pool de identidade da força de trabalho. Como alternativa, se você usar um dos IdPs a seguir, consulte os guias específicos do IdP para mais informações:
Anote o nome do provedor do pool de identidades da força de trabalho, que será usado posteriormente neste guia.
Configurar URLs de redirecionamento no seu IdP
Você pode configurar seu IdP para postar uma resposta do IdP e redirecionar o usuário para o console (federado) após a autenticação do usuário. Para isso, é preciso configurar um URL de redirecionamento e configurá-lo na configuração do IdP.
Para criar o URL de redirecionamento, faça o seguinte:
Compartilhe o nome do provedor do pool de identidades da força de trabalho com seus usuários. Ele é formatado como mostrado a seguir:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Substitua:
WORKFORCE_POOL_ID
: o ID do pool de identidade da força de trabalho.WORKFORCE_PROVIDER_ID
: o ID do provedor de identidade da força de trabalho.
Crie o URL de redirecionamento. Ele é formatado como mostrado a seguir:
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
Substitua
WORKFORCE_POOL_PROVIDER_NAME
pelo nome do provedor do pool de identidades do worker da etapa anterior.Configure seu IdP com o URL de redirecionamento.
No IdP, digite o URL de redirecionamento. O campo em que você insere o URL pode variar.
OIDC
No IdP, o campo pode ser chamado de
Redirect URL
ouCallback URL
.Seu IdP envia o token de resposta e nome para esse URL.
SAML
No IdP, o campo pode ser chamado de
Single sign-on URL
ouSAML assertion consumer service (ACS) URL
.Seu IdP publica a declaração SAML nesse URL.
Se você quiser ativar o login iniciado pelo IdP com seu provedor de SAML, insira o URL a seguir na configuração de
Default RelayState
ou o equivalente. O IdP redireciona o usuário para esse URL após a autenticação:https://console.cloud.google/
Informar seus usuários sobre como fazer login
Nesta seção, descrevemos as diferentes maneiras de um usuário fazer login no console (federado).
Iniciar o processo de login usando um link de SSO
Para iniciar o processo de login com seu IdP, é possível compartilhar um link com seus usuários que os redireciona para o IdP sem solicitar o nome do provedor. Após o login, os usuários são redirecionados automaticamente para o console (federado).
Para usar esse método, envie o seguinte link de login para seus usuários:
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
Iniciar o processo de login usando o console (federado)
Para iniciar o processo de login no console (federado), faça o seguinte:
Forneça aos usuários o nome do provedor de pool de identidades de força de trabalho descrito anteriormente neste documento.
Forneça aos usuários o seguinte link para o console (federado):
https://console.cloud.google/
Quando os usuários acessarem o console pela primeira vez (federados), eles precisarão inserir o nome do provedor do pool de identidades da força de trabalho. Depois, eles são redirecionados para o IdP para autenticação. Após a autenticação, eles são redirecionados novamente para o console (federado).
Usar o login iniciado pelo IdP SAML
A especificação SAML define um fluxo chamado login iniciado pelo IdP, em que os usuários iniciam o processo de login no IdP. Se o IdP for compatível com esse fluxo, compartilhe os detalhes com os usuários.
Use o console (federado) x o console do Google Cloud
O console (federado) oferece acesso limitado apenas aos produtos do Google Cloud compatíveis com a federação de identidade de colaboradores. Por isso, ao usar o console (federado), você vê um número limitado de produtos do Google Cloud e as IUs dos produtos podem ter outras limitações quando visualizadas no console (federado).
Para saber mais sobre os produtos que aceitam a federação de identidade de colaboradores e as limitações relacionadas, consulte Federação de identidade: produtos e limitações compatíveis.
O console do Google Cloud, por comparação, pode fornecer acesso total a todos os produtos e recursos, dependendo dos papéis concedidos aos usuários.