Configurar o acesso do usuário ao console (federado)

Neste guia, mostramos como configurar o acesso ao console de federação de identidade da força de trabalho do Google Cloud, também conhecido como console (federado), do seu provedor de identidade (IdP). Além disso, mostramos como fornecer instruções de acesso ao seu usuários.

Antes de começar

  1. Configure a federação de identidade da força de trabalho na sua organização do Google Cloud, incluindo um pool de identidade da força de trabalho e um provedor de pool de identidade da força de trabalho. Como alternativa, se você usar um dos IdPs a seguir, consulte os guias específicos do IdP para mais informações:

  2. Anote o nome do provedor do pool de identidades da força de trabalho, que será usado posteriormente neste guia.

Configurar URLs de redirecionamento no seu IdP

Você pode configurar seu IdP para postar uma resposta do IdP e redirecionar o usuário para o console (federado) após a autenticação do usuário. Para isso, é preciso configurar um URL de redirecionamento e configurá-lo na configuração do IdP.

Para criar o URL de redirecionamento, faça o seguinte:

  1. Compartilhe o nome do provedor do pool de identidades da força de trabalho com seus usuários. Ele é formatado como mostrado a seguir:

    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
    

    Substitua:

    • WORKFORCE_POOL_ID: o ID do pool de identidade da força de trabalho.
    • WORKFORCE_PROVIDER_ID: o ID do provedor de identidade da força de trabalho.
  2. Crie o URL de redirecionamento. Ele é formatado como mostrado a seguir:

    https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
    

    Substitua WORKFORCE_POOL_PROVIDER_NAME pelo nome do provedor do pool de identidades do worker da etapa anterior.

  3. Configure seu IdP com o URL de redirecionamento.

    No IdP, digite o URL de redirecionamento. O campo em que você insere o URL pode variar.

    OIDC

    No IdP, o campo pode ser chamado de Redirect URL ou Callback URL.

    Seu IdP envia o token de resposta e nome para esse URL.

    SAML

    No IdP, o campo pode ser chamado de Single sign-on URL ou SAML assertion consumer service (ACS) URL.

    Seu IdP publica a declaração SAML nesse URL.

    Se você quiser ativar o login iniciado pelo IdP com seu provedor de SAML, insira o URL a seguir na configuração de Default RelayState ou o equivalente. O IdP redireciona o usuário para esse URL após a autenticação:

    https://console.cloud.google/
    

Informar seus usuários sobre como fazer login

Nesta seção, descrevemos as diferentes maneiras de um usuário fazer login no console (federado).

Para iniciar o processo de login com seu IdP, é possível compartilhar um link com seus usuários que os redireciona para o IdP sem solicitar o nome do provedor. Após o login, os usuários são redirecionados automaticamente para o console (federado).

Para usar esse método, envie o seguinte link de login para seus usuários:

https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/

Iniciar o processo de login usando o console (federado)

Para iniciar o processo de login no console (federado), faça o seguinte:

  1. Forneça aos usuários o nome do provedor de pool de identidades de força de trabalho descrito anteriormente neste documento.

  2. Forneça aos usuários o seguinte link para o console (federado):

    https://console.cloud.google/
    

Quando os usuários acessarem o console pela primeira vez (federados), eles precisarão inserir o nome do provedor do pool de identidades da força de trabalho. Depois, eles são redirecionados para o IdP para autenticação. Após a autenticação, eles são redirecionados novamente para o console (federado).

Usar o login iniciado pelo IdP SAML

A especificação SAML define um fluxo chamado login iniciado pelo IdP, em que os usuários iniciam o processo de login no IdP. Se o IdP for compatível com esse fluxo, compartilhe os detalhes com os usuários.

Use o console (federado) x o console do Google Cloud

O console (federado) oferece acesso limitado apenas aos produtos do Google Cloud compatíveis com a federação de identidade de colaboradores. Por isso, ao usar o console (federado), você vê um número limitado de produtos do Google Cloud e as IUs dos produtos podem ter outras limitações quando visualizadas no console (federado).

Para saber mais sobre os produtos que aceitam a federação de identidade de colaboradores e as limitações relacionadas, consulte Federação de identidade: produtos e limitações compatíveis.

O console do Google Cloud, por comparação, pode fornecer acesso total a todos os produtos e recursos, dependendo dos papéis concedidos aos usuários.

A seguir