Workforce Identity-Föderation mit Microsoft Entra ID und einer großen Anzahl von Gruppen konfigurieren

In diesem Dokument erfahren Sie, wie Sie die Workforce Identity Federation mit dem Identitätsanbieter Microsoft Entra ID konfigurieren und mithilfe von Microsoft Graph bis zu 400 Gruppen von Microsoft Entra ID zu Google Cloud zuordnen. Anschließend wird beschrieben, wie Sie diesen Gruppen IAM-Rollen zuweisen und Microsoft Entra ID-Nutzer, die zu den Gruppen gehören, inGoogle Cloudanmelden. Die Nutzer können dann auf Google Cloud Produkte zugreifen, für die ihnen über IAM Zugriff gewährt wurde und die die Mitarbeiteridentitätsföderation unterstützen.

Wenn Sie weniger als 150 Gruppen von Microsoft Entra ID zu Google Cloudzuordnen möchten, lesen Sie den Hilfeartikel Mitarbeiteridentitätsföderation mit Microsoft Entra ID konfigurieren und Nutzer anmelden.

Sie können die in diesem Dokument beschriebene Methode mit den folgenden Protokollen verwenden:

  • OIDC mit implizitem Ablauf
  • OIDC mit Codeablauf
  • SAML 2.0-Protokoll

Die Anzahl der E-Mail-Adressen von Gruppen, die eine Microsoft Entra ID-Anwendung in einem Token ausgeben kann, ist auf 150 für SAML und 200 für JWT beschränkt. Weitere Informationen zu diesem Limit finden Sie unter Gruppenanforderungen für Anwendungen mit Microsoft Entra-ID konfigurieren. Um weitere Gruppen abzurufen, verwendet die Workforce Identity-Föderation den OAuth 2.0-Client-Anmeldedatenablauf von Microsoft Identity, um Anmeldedaten abzurufen, mit denen die Workforce Identity-Föderation die Microsoft Graph API abfragen und die Gruppen eines Nutzers abrufen kann.

So verwenden Sie diese Methode:

  • Erstellen Sie eine neue Microsoft Entra ID-Anwendung oder aktualisieren Sie Ihre vorhandene Anwendung, um die Gruppenmitgliedschaften von Nutzern über die Microsoft Graph API abzurufen. Weitere Informationen dazu, wie Microsoft Graph eine große Anzahl von Gruppen aus Microsoft Entra ID abruft, finden Sie unter Überschreitung der Gruppenobergrenze.

  • Wenn Sie den Workforce Identity-Pool-Anbieter erstellen, konfigurieren Sie die Workforce Identity-Föderation mithilfe von extra-attributes-Flags, um die E-Mail-Adressen von Nutzergruppen aus der Microsoft Graph API abzurufen.

Die Workforce Identity-Föderation kann maximal 999 Gruppen aus der Microsoft Graph API abrufen. Wenn die Microsoft Graph API mehr als 999 Gruppen zurückgibt, schlägt die Anmeldung fehl.

Wenn Sie die Anzahl der Gruppen reduzieren möchten, die von der Microsoft Graph API zurückgegeben werden, können Sie die Abfrage der Workforce Identity-Föderation mit dem Flag --extra-attributes-filter verfeinern, wenn Sie den Anbieter des Workforce Identity-Pools erstellen.

Nachdem die Mitarbeiteridentitätsföderation die Gruppen aus der Microsoft Graph API abgerufen hat, wird das Zugriffstoken generiert. Die Identitätsföderation von Arbeitskräften kann dem Zugriffstoken maximal 400 Gruppen hinzufügen. Wenn Sie die Anzahl der Gruppen auf 400 oder weniger begrenzen möchten, können Sie beim Erstellen des Anbieters für den Mitarbeiteridentitätspool eine Attributzuordnung angeben, die CEL-Ausdrücke (Common Expression Language) enthält.

Hinweise

  1. Sie müssen eine Google Cloud Organisation eingerichtet haben.

  2. After installing the Google Cloud CLI, configure the gcloud CLI to use your federated identity and then initialize it by running the following command: 

    gcloud init
  3. Achten Sie darauf, dass in Microsoft Entra ID ID-Tokens für den impliziten Ablauf aktiviert sind. Weitere Informationen finden Sie unter Impliziten Zugriff für ID-Token aktivieren.
  4. Für die Anmeldung muss Ihr IdP signierte Authentifizierungsinformationen bereitstellen: OIDC-IdPs müssen ein JWT bereitstellen und SAML-IdP-Antworten müssen signiert sein.
  5. Wenn Sie wichtige Informationen zu Änderungen an Ihrer Organisation oder IhrenGoogle Cloud Produkten erhalten möchten, müssen Sie Wichtige Kontakte angeben. Weitere Informationen finden Sie unter Workforce Identity Federation – Übersicht.
  6. Alle Gruppen, die Sie zuordnen möchten, müssen in Microsoft Entra ID als Sicherheitsgruppen gekennzeichnet sein.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle IAM-Mitarbeiterpool-Administrator (roles/iam.workforcePoolAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Mitarbeiteridentitätsföderation benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Wenn Sie Berechtigungen in einer Entwicklungs- oder Testumgebung, aber nicht in einer Produktionsumgebung konfigurieren, können Sie die einfache Rolle „IAM-Inhaber“ (roles/owner) gewähren. Diese enthält auch Berechtigungen für die Mitarbeiteridentitätsföderation.

Microsoft Entra ID-Anwendung erstellen

In diesem Abschnitt erfahren Sie, wie Sie eine Microsoft Entra ID-Anwendung über das Microsoft Entra-Admin-Portal erstellen. Alternativ können Sie Ihre vorhandene Anwendung aktualisieren. Weitere Informationen finden Sie unter Anwendungen im Microsoft Entra ID-System einrichten.

Workforce Identity-Pools unterstützen die Föderation mit OIDC- und SAML-Protokollen.

OIDC

So erstellen Sie eine Microsoft Entra ID-App-Registrierung, die das OIDC-Protokoll verwendet:

  1. Melden Sie sich im Microsoft Entra-Administratorportal an.

  2. Gehen Sie zu Identität > Anwendungen > App-Registrierungen.

  3. So konfigurieren Sie die App-Registrierung:

    1. Klicken Sie auf Neue Registrierung.

    2. Geben Sie einen Namen für die Anwendung ein.

    3. Wählen Sie unter Unterstützte Kontotypen eine Option aus.

    4. Wählen Sie im Abschnitt Weiterleitungs-URI in der Drop-down-Liste Plattform auswählen die Option Web aus.

    5. Geben Sie im Textfeld eine Weiterleitungs-URL ein. Ihre Nutzer werden nach der erfolgreichen Anmeldung zu dieser URL weitergeleitet. Wenn Sie den Zugriff auf die Console (föderiert) konfigurieren, müssen Sie das folgende URL-Format verwenden:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Ersetzen Sie Folgendes:

      • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools, die Sie später in diesem Dokument zum Erstellen des Workforce Identity-Pools verwenden, z. B. entra-id-oidc-pool

      • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools, die Sie später in diesem Dokument verwenden, um den Anbieter des Mitarbeiteridentitätspools zu erstellen, z. B. entra-id-oidc-pool-provider.

        Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.

    6. Klicken Sie auf Registrieren, um die App-Registrierung zu erstellen.

SAML

So erstellen Sie eine Microsoft Entra ID-Anwendungsregistrierung, die das SAML-Protokoll verwendet:

  1. Melden Sie sich im Microsoft Entra-Administratorportal an.

  2. Gehen Sie zu Identität > Anwendungen > App-Registrierungen.

  3. So konfigurieren Sie die Unternehmensanwendung:

    1. Klicken Sie auf Neue Anwendung > Eigene Anwendung erstellen.

    2. Geben Sie einen Namen für die Anwendung ein.

    3. Klicken Sie auf Erstellen.

    4. Gehen Sie zu Einmalanmeldung > SAML.

    5. Aktualisieren Sie die grundlegende SAML-Konfiguration so:

      1. Geben Sie im Feld Identifier (Entity ID) (Kennung (Entitäts-ID)) den folgenden Wert ein:

        https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Ersetzen Sie Folgendes:

        • WORKFORCE_POOL_ID: die ID des Mitarbeiteridentitätspools, die Sie später in diesem Dokument zum Erstellen des Mitarbeiteridentitätspools verwenden, z. B.: entra-id-saml-pool

        • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools, die Sie später in diesem Dokument verwenden, um den Anbieter des Mitarbeiteridentitätspools zu erstellen, z. B. entra-id-saml-pool-provider.

          Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.

      2. Geben Sie im Feld Antwort-URL (Assertion Consumer Service-URL) eine Weiterleitungs-URL ein. Ihre Nutzer werden nach der erfolgreichen Anmeldung zu dieser URL weitergeleitet. Wenn Sie den Zugriff auf die Console (föderiert) konfigurieren, müssen Sie das folgende URL-Format verwenden:

        https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Ersetzen Sie Folgendes:

        • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
        • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools

      3. Wenn Sie die vom IdP initiierte Anmeldung aktivieren möchten, legen Sie das Feld Relay State (Relay-Status) auf den folgenden Wert fest:

        https://console.cloud.google/

      4. Klicken Sie zum Speichern der SAML-Anwendungskonfiguration auf Speichern.

Große Anzahl von Gruppen mit Microsoft Entra ID konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit den OIDC- und SAML-Protokollen bis zu 400 Gruppen von Microsoft Entra ID der Workforce Identity-Föderation zuordnen.

Große Anzahl von Gruppen mit Microsoft Entra ID mit dem impliziten OIDC-Flow konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit dem OpenID Connect-Protokoll (OIDC) mit implizitem Ablauf bis zu 400 Gruppen von Microsoft Entra ID der Workforce Identity Federation zuordnen.

Microsoft Entra ID-Anwendung konfigurieren

Sie können eine vorhandene Microsoft Entra ID-Anwendung konfigurieren oder eine neue erstellen. So konfigurieren Sie Ihre Anwendung:

  1. Gehen Sie im Microsoft Entra ID-Portal so vor:
    • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
    • So aktualisieren Sie eine vorhandene Anwendung:
      • Gehen Sie zu Identität > Anwendungen > Unternehmensanwendungen.
      • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
  2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

    Notieren Sie sich die folgenden Werte aus der von Ihnen erstellten oder aktualisierten Anwendung. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit die Identitätsföderation von Arbeitslasten mithilfe der Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann. Gewähren Sie dann die Administratoreinwilligung. Gehen Sie in Microsoft Entra ID so vor:

    1. Rufen Sie API-Berechtigungen auf.
    2. Klicken Sie auf Berechtigung hinzufügen.
    3. Wählen Sie Microsoft API aus.
    4. Wählen Sie Anwendungsberechtigungen aus.
    5. Geben Sie im Suchfeld User.ReadBasic.All ein.
    6. Klicken Sie auf Berechtigungen hinzufügen.

    Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E-Mail-Adresse der Gruppe für E-Mail-fähige Gruppen abrufen.

    Wenn Sie Gruppen als Gruppen-E-Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

  4. So rufen Sie die Microsoft Entra ID-Gruppen als E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
    1. Geben Sie im Suchfeld GroupMember.Read.All ein.
    2. Klicken Sie auf Berechtigungen hinzufügen.
    3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
    4. Klicken Sie im angezeigten Dialogfeld auf Ja.
    5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
    6. Klicken Sie auf Endpunkte.

    Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

    Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration lautet, ist der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

Console

So erstellen Sie den Workforce Identity-Pool:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind für alle Projekte und Ordner in einer Organisation verfügbar.

  3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

    1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und im Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

    3. Die Sitzungsdauer ist standardmäßig festgelegt. Klicken Sie auf Bearbeiten, um eine benutzerdefinierte Sitzungsdauer einzugeben. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldesitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.

    4. Damit der Pool im aktivierten Status erstellt werden kann, muss Aktivierter Pool aktiviert sein.

    5. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Workforce-Pool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Pools der Mitarbeiteridentitätsföderation sind für alle Projekte und Ordner in der Organisation verfügbar.
  • DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
  • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
  • SESSION_DURATION: Optional. Die Sitzungsdauer, die bestimmt, wie lange die Google Cloud Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldesitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.

Workforce Identity-Anbieter für den impliziten OIDC-Flow konfigurieren

Führen Sie den folgenden Befehl aus, um den Anbieter des OIDC-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    –-extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER

Ersetzen Sie Folgendes:

  • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
  • WORKFORCE_POOL_ID: Die ID des Workforce-Pools.
  • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
  • ISSUER_URI: Der Aussteller-URI der Microsoft Entra ID-Anwendung, die Sie zuvor in diesem Dokument erstellt haben.
  • CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • ATTRIBUTE_MAPPING: Die Zuordnung von Attributen von Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Weitere Informationen finden Sie unter Attributzuordnung.

  • EXTRA_ATTRIBUTES_ISSUER_URI: Der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: Das zusätzliche Client-Secret aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E-Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
  • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, der bei der Abfrage der Microsoft Graph API nach Gruppen verwendet wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der vom IdP abgerufenen Gruppen unter dem Limit von 999 Gruppen bleibt.

    Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales enthält: 

    –-extra-attributes-filter='"mail:sales"'

    Mit dem folgenden Ausdruck werden Gruppen mit einem Anzeigenamen abgerufen, der den String sales enthält.

    -–extra-attributes-filter='"displayName:sales”'

Große Anzahl von Gruppen in Microsoft Entra ID mit OIDC-Codeablauf konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit dem OIDC-Protokoll mit Codeablauf bis zu 400 Gruppen von Microsoft Entra ID der Workforce Identity-Föderation zuordnen.

Microsoft Entra ID-Anwendung konfigurieren

Sie können eine vorhandene Microsoft Entra ID-Anwendung konfigurieren oder eine neue erstellen. So konfigurieren Sie Ihre Anwendung:

  1. Gehen Sie im Microsoft Entra ID-Portal so vor:
    • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
    • So aktualisieren Sie eine vorhandene Anwendung:
      • Gehen Sie zu Identität > Anwendungen > Unternehmensanwendungen.
      • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
  2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

    Notieren Sie sich die folgenden Werte aus der von Ihnen erstellten oder aktualisierten Anwendung. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit die Identitätsföderation von Arbeitslasten mithilfe der Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann. Gewähren Sie dann die Administratoreinwilligung. Gehen Sie in Microsoft Entra ID so vor:

    1. Rufen Sie API-Berechtigungen auf.
    2. Klicken Sie auf Berechtigung hinzufügen.
    3. Wählen Sie Microsoft API aus.
    4. Wählen Sie Delegierte Berechtigungen aus.
    5. Geben Sie im Suchfeld User.Read ein.
    6. Klicken Sie auf Berechtigungen hinzufügen.

    Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E-Mail-Adresse der Gruppe für E-Mail-fähige Gruppen abrufen.

    Wenn Sie Gruppen als Gruppen-E-Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

  4. So rufen Sie die Microsoft Entra ID-Gruppen als E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
    1. Geben Sie im Suchfeld GroupMember.Read.All ein.
    2. Klicken Sie auf Berechtigungen hinzufügen.
    3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
    4. Klicken Sie im angezeigten Dialogfeld auf Ja.
    5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
    6. Klicken Sie auf Endpunkte.

    Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

    Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration lautet, ist der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

Console

So erstellen Sie den Workforce Identity-Pool:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind für alle Projekte und Ordner in einer Organisation verfügbar.

  3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

    1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und im Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

    3. Die Sitzungsdauer ist standardmäßig festgelegt. Klicken Sie auf Bearbeiten, um eine benutzerdefinierte Sitzungsdauer einzugeben. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldesitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.

    4. Damit der Pool im aktivierten Status erstellt werden kann, muss Aktivierter Pool aktiviert sein.

    5. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Workforce-Pool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Pools der Mitarbeiteridentitätsföderation sind für alle Projekte und Ordner in der Organisation verfügbar.
  • DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
  • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
  • SESSION_DURATION: Optional. Die Sitzungsdauer, die bestimmt, wie lange die Google Cloud Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldesitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.

OIDC-Codeflow-Mitarbeiteridentitätspool-Anbieter konfigurieren

Führen Sie den folgenden Befehl aus, um den Anbieter des OIDC-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    –-extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER

Ersetzen Sie Folgendes:

  • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
  • WORKFORCE_POOL_ID: Die ID des Workforce-Pools.
  • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
  • ISSUER_URI: Der Aussteller-URI der Microsoft Entra ID-Anwendung, die Sie zuvor in diesem Dokument erstellt haben.
  • CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • ATTRIBUTE_MAPPING: Zuordnung von Attributen von Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Weitere Informationen finden Sie unter Attributzuordnung.

  • EXTRA_ATTRIBUTES_ISSUER_URI: Der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: Das zusätzliche Client-Secret aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E-Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
  • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, der bei der Abfrage der Microsoft Graph API nach Gruppen verwendet wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der vom IdP abgerufenen Gruppen unter dem Limit von 999 Gruppen bleibt.

    Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales enthält: 

    –-extra-attributes-filter='"mail:sales"'

    Mit dem folgenden Ausdruck werden Gruppen mit einem Anzeigenamen abgerufen, der den String sales enthält.

    -–extra-attributes-filter='"displayName:sales”'

Viele Gruppen in Microsoft Entra ID mit SAML 2.0 konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit dem SAML 2.0-Protokoll bis zu 400 Gruppen aus Microsoft Entra ID der Workforce Identity Federation zuordnen.

Microsoft Entra ID-Anwendung konfigurieren

So konfigurieren Sie Ihre Anwendung:

  1. Gehen Sie im Microsoft Entra ID-Portal so vor:
    • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
    • So aktualisieren Sie eine vorhandene Anwendung:
      • Gehen Sie zu Identität > Anwendungen > Unternehmensanwendungen.
      • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
  2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

    Notieren Sie sich die folgenden Werte aus der von Ihnen erstellten oder aktualisierten Anwendung. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit die Identitätsföderation von Arbeitslasten mithilfe der Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann. Gewähren Sie dann die Administratoreinwilligung. Gehen Sie in Microsoft Entra ID so vor:

    1. Rufen Sie API-Berechtigungen auf.
    2. Klicken Sie auf Berechtigung hinzufügen.
    3. Wählen Sie Microsoft API aus.
    4. Wählen Sie Anwendungsberechtigungen aus.
    5. Geben Sie im Suchfeld User.ReadBasic.All ein.
    6. Klicken Sie auf Berechtigungen hinzufügen.

    Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E-Mail-Adresse der Gruppe für E-Mail-fähige Gruppen abrufen.

    Wenn Sie Gruppen als Gruppen-E-Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

  4. So rufen Sie die Microsoft Entra ID-Gruppen als E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
    1. Geben Sie im Suchfeld GroupMember.Read.All ein.
    2. Klicken Sie auf Berechtigungen hinzufügen.
    3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
    4. Klicken Sie im angezeigten Dialogfeld auf Ja.
    5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
    6. Klicken Sie auf Endpunkte.

    Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

    Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration lautet, ist der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

Console

So erstellen Sie den Workforce Identity-Pool:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind für alle Projekte und Ordner in einer Organisation verfügbar.

  3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

    1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und im Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

    3. Die Sitzungsdauer ist standardmäßig festgelegt. Klicken Sie auf Bearbeiten, um eine benutzerdefinierte Sitzungsdauer einzugeben. Die Sitzungsdauer bestimmt, wie lange die Google Cloud Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldesitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.

    4. Damit der Pool im aktivierten Status erstellt werden kann, muss Aktivierter Pool aktiviert sein.

    5. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Workforce-Pool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Pools der Mitarbeiteridentitätsföderation sind für alle Projekte und Ordner in der Organisation verfügbar.
  • DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
  • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
  • SESSION_DURATION: Optional. Die Sitzungsdauer, die bestimmt, wie lange die Google Cloud Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldesitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.

SAML 2.0-Anbieter für den Mitarbeiteridentitätspool konfigurieren

Führen Sie den folgenden Befehl aus, um den Anbieter des SAML-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    –-extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER

Ersetzen Sie Folgendes:

  • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
  • WORKFORCE_POOL_ID: Die ID des Workforce-Pools.
  • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
  • XML_METADATA_PATH: Der Pfad zur SAML 2.0-XML-Metadatendatei.
  • ATTRIBUTE_MAPPING: Zuordnung von Attributen von Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Weitere Informationen finden Sie unter Attributzuordnung.

  • EXTRA_ATTRIBUTES_ISSUER_URI: Der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: Das zusätzliche Client-Secret aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E-Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
  • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, der bei der Abfrage der Microsoft Graph API nach Gruppen verwendet wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der vom IdP abgerufenen Gruppen unter dem Limit von 999 Gruppen bleibt.

    Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales enthält: 

    –-extra-attributes-filter='"mail:sales"'

    Mit dem folgenden Ausdruck werden Gruppen mit einem Anzeigenamen abgerufen, der den String sales enthält.

    -–extra-attributes-filter='"displayName:sales”'

Gruppen IAM-Rollen zuweisen

In diesem Abschnitt gewähren Sie Gruppen Rollen für Google Cloud -Ressourcen. Weitere Informationen zu Hauptkonto-IDs der Workforce Identity-Föderation finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen.

Im folgenden Beispiel wird Nutzern in einer Microsoft Entra ID-Gruppe die Rolle „Storage-Administrator“ (roles/storage.admin) zugewiesen. 

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID
  • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
  • GROUP_ID: Die Gruppen-ID, die vom Wert von --extra-attributes-type abhängt, der zum Erstellen des Workforce Identity-Anbieters verwendet wurde:
    • azure-ad-groups-mail: Die Gruppen-ID ist eine E-Mail-Adresse, z. B. admin-group@altostrat.com.
    • azure-ad-groups-id: Die Gruppen-ID ist eine UUID für die Gruppe, z. B. abcdefgh-0123-0123-abcdef.

Anmelden und Zugriff testen

In diesem Abschnitt melden Sie sich als Workforce Identity-Pool-Nutzer an und testen, ob Sie Zugriff auf Google Cloud -Ressourcen haben.

Anmelden

In diesem Abschnitt erfahren Sie, wie Sie sich als föderierter Nutzer anmelden und aufGoogle Cloud -Ressourcen zugreifen.

(Föderierte) Anmeldung bei der Console

So melden Sie sich in der Google Cloud Console für die Mitarbeiteridentitätsföderation an, die auch als Console (föderiert) bezeichnet wird:

  1. Rufen Sie die (föderierte) Anmeldeseite der Konsole auf.

    Zur Konsole (föderiert)

  2. Geben Sie den Namen des Anbieters ein. Er muss so formatiert sein: 
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    3. Geben Sie bei Aufforderung die Nutzeranmeldedaten in Microsoft Entra ID ein.

    Wenn Sie eine IdP-initiierte Anmeldung starten, verwenden Sie die folgende URL für die Relay-URL: https://console.cloud.google/.

Browserbasierte Anmeldung bei der gcloud CLI

So melden Sie sich mit einem browserbasierten Anmeldevorgang in der gcloud CLI an:

Konfigurationsdatei erstellen

Mit dem folgenden Befehl erstellen Sie die Konfigurationsdatei für die Anmeldung. Sie können die Datei optional als Standarddatei für die gcloud CLI aktivieren, indem Sie das Flag --activate hinzufügen. Sie können dann gcloud auth login ausführen, ohne jedes Mal den Pfad zur Konfigurationsdatei anzugeben. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: die ID des Workforce-Pools
  • PROVIDER_ID: die Anbieter-ID
  • LOGIN_CONFIG_FILE_PATH: der Pfad zu einer von Ihnen angegebenen Konfigurationsdatei, z. B. login.json

Die Datei enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den Identitätsanbieter festzulegen, der im Anbieter des Mitarbeiteridentitätspools konfiguriert wurde. Die Datei enthält keine vertraulichen Daten.

Die Ausgabe sieht dann ungefähr so aus:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://googleapis.com/v1/introspect",
}

Mit der browserbasierten Authentifizierung anmelden

Sie haben folgende Möglichkeiten, sich mit einer browserbasierten Anmeldung zu authentifizieren:

  • Wenn Sie das Flag --activate beim Erstellen der Konfigurationsdatei verwendet oder die Konfigurationsdatei mit gcloud config set auth/login_config_file aktiviert haben, wird sie automatisch von der gcloud CLI verwendet: 

    gcloud auth login

  • Mit dem folgenden Befehl melden Sie sich durch Angabe des Speicherorts der Konfigurationsdatei an: 

    gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
  • Wenn Sie den Speicherort der Konfigurationsdatei mit einer Umgebungsvariable angeben möchten, legen Sie für CLOUDSDK_AUTH_LOGIN_CONFIG_FILE den Konfigurationspfad fest.

Browserbasierte Anmeldung deaktivieren

So beenden Sie die Verwendung der Konfigurationsdatei für die Anwendung:

  • Wenn Sie das Flag --activate beim Erstellen der Konfigurationsdatei verwendet oder die Konfigurationsdatei mit gcloud config set auth/login_config_file aktiviert haben, müssen Sie den folgenden Befehl ausführen, um die Festlegung aufzuheben: 

    gcloud config unset auth/login_config_file
  • Löschen Sie die Umgebungsvariable CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, falls sie festgelegt ist.

Monitorlose Anmeldung bei der gcloud CLI

So melden Sie sich mit der gcloud CLI in Microsoft Entra ID an:

OIDC

  1. Führen Sie die Schritte unter Anmeldeanfrage senden aus. Melden Sie den Nutzer mithilfe von OIDC mit der Microsoft Entra ID in Ihrer Anwendung an.

  2. Kopieren Sie das ID-Token aus dem Parameter id_token der Weiterleitungs-URL und speichern Sie es in einer Datei an einem sicheren Ort auf Ihrem lokalen Computer, wo. Sie Im späteren Schritt PATH_TO_OIDC_ID_TOKEN auf den Pfad zu dieser Datei festlegen.

  3. Führen Sie den folgenden Befehl aus, um eine Konfigurationsdatei ähnlich dem Beispiel weiter unten in diesem Schritt zu generieren:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
    • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools.
    • PATH_TO_OIDC_ID_TOKEN ist der Pfad zum Speicherort der Datei, an dem das Identitätsanbieter-Token gespeichert ist.
    • WORKFORCE_POOL_USER_PROJECT: die Projektnummer oder ID, die für Kontingente und die Abrechnung verwendet wird. Das Hauptkonto muss die Berechtigung serviceusage.services.use für dieses Projekt haben.

    Wenn der Befehl abgeschlossen ist, wird die folgende Konfigurationsdatei von Microsoft Entra ID erstellt:

    {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

  4. Öffnen Sie die gcloud-CLI und führen Sie den folgenden Befehl aus:

    gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS

    Ersetzen Sie PATH_TO_OIDC_CREDENTIALS durch den Pfad zur Ausgabedatei aus einem vorherigen Schritt.

    Die gcloud-CLI sendet Ihre Anmeldedaten transparent an den Endpunkt des Security Token-Services. Auf dem Endpunkt werden sie gegen temporäre Google Cloud Zugriffstokens ausgetauscht.

    Sie können jetzt gcloud-Befehle inGoogle Cloudausführen.

SAML

  1. Melden Sie einen Nutzer bei Ihrer Microsoft Entra ID-Anwendung an und rufen Sie die SAML-Antwort ab.

  2. Speichern Sie die von Microsoft Entra ID zurückgegebene SAML-Antwort an einem sicheren Ort auf Ihrem lokalen Computer und speichern Sie den Pfad dann und zwar so:

    SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

  3. Führen Sie folgenden Befehl aus, um eine Konfigurationsdatei für Anmeldedaten zu generieren:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

    Ersetzen Sie Folgendes:

    • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Workforce Identity-Pools, die Sie zuvor in dieser Anleitung erstellt haben
    • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools, den Sie zuvor in dieser Anleitung erstellt haben
    • SAML_ASSERTION_PATH: der Pfad der SAML-Assertion-Datei.
    • PROJECT_ID: die Projekt-ID

    Die generierte Konfigurationsdatei sieht in etwa so aus:

    {
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

  4. Führen Sie den folgenden Befehl aus, um sich mit dem Token-Austausch der Workforce Identity Federation in der gcloud CLI anzumelden:

    gcloud auth login --cred-file=config.json

    Die gcloud CLI tauscht dann Ihre Microsoft Entra ID-Anmeldedaten transparent gegen temporäre Google Cloud Zugriffstokens aus. Mit den Zugriffstokens können Sie auf Google Cloudzugreifen.

    Die Ausgabe sollte in etwa so aussehen:

    Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

  5. Führen Sie folgenden Befehl aus, um die Konten mit Anmeldedaten und Ihr aktives Konto aufzulisten:

    gcloud auth list

Testzugriff

Sie haben jetzt Zugriff auf die Google Cloud Produkte, die die Workforce Identity-Föderation unterstützen und auf die Sie Zugriff erhalten haben. Sie haben zuvor in diesem Dokument allen Identitäten innerhalb der Gruppen-ID, die Sie in der gcloud projects add-iam-policy-binding für das Projekt TEST_PROJECT_ID angegeben haben, die Rolle „Storage-Administrator“ (roles/storage.admin) zugewiesen.

Sie können jetzt testen, ob Sie Zugriff haben. Dazu listen Sie Cloud Storage-Buckets auf.

Konsole (föderiert)

So testen Sie, ob Sie über die Console (föderiert) Zugriff haben:

  • Rufen Sie die Cloud Storage-Seite auf.

    Cloud Storage aufrufen

  • Prüfen Sie, ob Sie die Liste der vorhandenen Buckets für den TEST_PROJECT_ID sehen.

gcloud-CLI

Wenn Sie mit der gcloud CLI testen möchten, ob Sie Zugriff haben, können Sie Cloud Storage-Buckets und ‑Objekte für das Projekt auflisten, auf das Sie Zugriff haben. Führen Sie hierzu den folgenden Befehl aus. Das Hauptkonto muss die Berechtigung serviceusage.services.use für das angegebene Projekt haben.

gcloud storage ls --project="TEST_PROJECT_ID"

Nutzer löschen

Die Mitarbeiteridentitätsföderation erstellt Nutzermetadaten und -ressourcen für föderierte Nutzeridentitäten. Wenn Sie Nutzer in Ihrem IdP löschen, müssen Sie diese Ressourcen auch explizit in Google Cloudlöschen. Weitere Informationen finden Sie unter Nutzer und Daten der Mitarbeiteridentitätsföderation löschen.

Es kann vorkommen, dass Ressourcen weiterhin mit einem gelöschten Nutzer verknüpft sind. Das liegt daran, dass das Löschen von Nutzermetadaten und ‑ressourcen einen langwierigen Vorgang erfordert. Nachdem Sie die Identität eines Nutzers gelöscht haben, können Prozesse, die der Nutzer vor dem Löschen gestartet hat, weiter ausgeführt werden, bis sie abgeschlossen oder abgebrochen werden.

Nächste Schritte