Configure a federação de identidade da força de trabalho com o Microsoft Entra ID

Este documento mostra como configurar a Workforce Identity Federation com o fornecedor de identidade (IdP) do Microsoft Entra ID e mapear até 400 grupos do Microsoft Entra ID para o Google Cloud através do Microsoft Graph. Em seguida, o documento mostra como conceder funções do IAM a esses grupos e como iniciar sessão no Google Cloudcom utilizadores do Microsoft Entra ID que são membros dos grupos. Os utilizadores podem, em seguida, aceder aos produtos aos quais lhes foi concedido acesso através da IAM e que suportam a federação de identidades da força de trabalho. Google Cloud

Para mapear menos de 150 grupos do Microsoft Entra ID para Google Cloud, consulte o artigo Configure a federação de identidades da força de trabalho com o Microsoft Entra ID e inicie sessão nos utilizadores.

Conceitos-chave

Esta secção descreve os conceitos usados para configurar a federação de identidades da força de trabalho, mais adiante neste documento.

Atributos adicionais

Para mapear até 400 grupos, usa atributos adicionais especificando flags extra-attributes quando cria o fornecedor do conjunto de identidades da força de trabalho. Pode usar atributos adicionais com os seguintes protocolos:

  • OIDC com fluxo implícito
  • OIDC com fluxo de código
  • Protocolo SAML 2.0

O número de endereços de email de grupo que uma aplicação do Microsoft Entra ID pode emitir num token está limitado a 150 para SAML e 200 para JWT. Para saber mais acerca deste limite, consulte o artigo Configure reivindicações de grupos para aplicações através do Microsoft Entra ID. Para obter mais grupos, a Workforce Identity Federation usa o fluxo de credenciais de cliente OAuth 2.0 da Microsoft Identity para obter credenciais que permitem à Workforce Identity Federation consultar a API Microsoft Graph e obter os grupos de um utilizador.

Para usar atributos adicionais, em termos gerais, faz o seguinte:

  • Crie uma nova aplicação do Microsoft Entra ID ou atualize a sua aplicação existente para obter as subscrições de grupos dos utilizadores a partir da API Microsoft Graph. Para saber como o Microsoft Graph obtém um grande número de grupos do Microsoft Entra ID, consulte o artigo Excedentes de grupos.

  • Quando cria o fornecedor do pool de identidades da força de trabalho, usa as flags extra-attributes para configurar a federação de identidades da força de trabalho de modo a obter os endereços de email dos grupos de utilizadores da API Microsoft Graph.

A federação de identidade da força de trabalho pode obter um máximo de 999 grupos da API Microsoft Graph. Se a API Microsoft Graph devolver mais de 999 grupos, o início de sessão falha.

Para reduzir o número de grupos que a API Microsoft Graph devolve, pode refinar a consulta da Workforce Identity Federation usando a flag --extra-attributes-filter quando criar o fornecedor do pool de identidades da força de trabalho.

Depois de a Workforce Identity Federation obter os grupos da API Microsoft Graph, cria o token de acesso. A Workforce Identity Federation pode adicionar um máximo de 400 grupos ao token de acesso. Por isso, para filtrar ainda mais o número de grupos para 400 ou menos, pode especificar um mapeamento de atributos que contenha expressões da linguagem de expressão comum (CEL) quando criar o fornecedor do grupo do Workforce Identity.

Antes de começar

  1. Certifique-se de que tem uma organização do Google Cloud configurada.

  2. Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando: 

    gcloud init

    Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  3. No Microsoft Entra ID, certifique-se de que os tokens de ID estão ativados para o fluxo implícito. Para mais informações, consulte o artigo Ative a concessão implícita do token de ID.
  4. Para iniciar sessão, o seu IDP tem de fornecer informações de autenticação assinadas: os IDPs OIDC têm de fornecer um JWT e as respostas do IDP SAML têm de ser assinadas.
  5. Para receber informações importantes sobre alterações à sua organização ou aos Google Cloud produtos, tem de indicar contactos essenciais. Para mais informações, consulte a vista geral da federação de identidades da força de trabalho.
  6. Todos os grupos que pretende mapear têm de estar marcados como grupos de segurança no Microsoft Entra ID.

Custos

A federação de identidade da força de trabalho está disponível como uma funcionalidade sem custos financeiros. No entanto, o registo de auditoria detalhado da federação de identidades da força de trabalho usa o Cloud Logging. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

Funções necessárias

Para receber as autorizações de que precisa para configurar a Workforce Identity Federation, peça ao seu administrador para lhe conceder a função de administrador do Workforce Pool da IAM (roles/iam.workforcePoolAdmin) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Se estiver a configurar autorizações num ambiente de desenvolvimento ou de teste, mas não num ambiente de produção, pode conceder a função básica de proprietário da IAM (roles/owner), que também inclui autorizações para a federação de identidades da força de trabalho.

Crie uma aplicação do Microsoft Entra ID

Esta secção mostra como criar uma aplicação do Microsoft Entra ID através do portal de administração do Microsoft Entra. Em alternativa, pode atualizar a sua aplicação existente. Para mais detalhes, consulte o artigo Estabeleça aplicações no ecossistema do Microsoft Entra ID.

Os Workforce Identity Pools suportam a federação através dos protocolos OIDC e SAML.

OIDC

Para criar um registo de aplicação do Microsoft Entra ID que use o protocolo OIDC, faça o seguinte:

  1. Inicie sessão no portal do administrador do Microsoft Entra.

  2. Aceda a Identidade > Aplicações > Registos de apps.

  3. Para começar a configurar o registo da aplicação, faça o seguinte:

    1. Clique em Novo registo.

    2. Introduza um nome para a sua aplicação.

    3. Em Tipos de contas suportados, selecione uma opção.

    4. Na secção URI de redirecionamento, na lista pendente Selecionar uma plataforma, selecione Web.

    5. No campo de texto, introduza um URL de redirecionamento. Os seus utilizadores são redirecionados para este URL depois de iniciarem sessão com êxito. Se estiver a configurar o acesso à consola (federada), use o seguinte formato de URL:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Substitua o seguinte:

      • WORKFORCE_POOL_ID: um ID do conjunto de identidades da força de trabalho que vai usar quando criar o conjunto de identidades da força de trabalho mais adiante neste documento. Por exemplo: entra-id-oidc-pool

      • WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool que vai usar quando criar o fornecedor do Workload Identity Pool mais tarde neste documento. Por exemplo: entra-id-oidc-pool-provider

        Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.

    6. Para criar o registo da aplicação, clique em Registar.

    7. Para usar o mapeamento de atributos de exemplo fornecido mais adiante neste documento, tem de criar um atributo department personalizado.

SAML

Para criar um registo de aplicação do Microsoft Entra ID que use o protocolo SAML, faça o seguinte:

  1. Inicie sessão no portal do administrador do Microsoft Entra.

  2. No menu de navegação do lado esquerdo, aceda a Entra ID > Apps empresariais.

  3. Para começar a configurar a aplicação empresarial, faça o seguinte:

    1. Clique em Nova aplicação > Criar a sua própria aplicação.

    2. No painel Crie a sua própria aplicação apresentado, introduza um nome para a aplicação.

    3. Clique em Criar.

    4. Aceda a Início de sessão único > SAML.

    5. Atualize a configuração básica de SAML da seguinte forma:

      1. No campo Identificador (ID da entidade), introduza o seguinte valor:

        https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Substitua o seguinte:

        • WORKFORCE_POOL_ID: um ID do Workload Identity Pool que vai usar quando criar o Workload Identity Pool mais adiante neste documento, por exemplo: entra-id-saml-pool

        • WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool que vai usar quando criar o fornecedor do Workload Identity Pool mais tarde neste documento, por exemplo: entra-id-saml-pool-provider

          Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.

      2. No campo URL de resposta (URL do serviço de consumo de afirmações), introduza um URL de redirecionamento. Os seus utilizadores são redirecionados para este URL depois de iniciarem sessão com êxito. Se estiver a configurar o acesso à consola (federada), use o seguinte formato de URL:

        https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Substitua o seguinte:

        • WORKFORCE_POOL_ID: o ID do Workload Identity Pool
        • WORKFORCE_PROVIDER_ID: o ID do fornecedor de identidade da força de trabalho

      3. Para ativar o início de sessão iniciado pelo IdP, defina o campo Relay State com o seguinte valor:

        https://console.cloud.google/

      4. Para guardar a configuração da aplicação SAML, clique em Guardar.

    6. Para usar o mapeamento de atributos de exemplo fornecido mais adiante neste documento, tem de criar um atributo department personalizado.

Configure um grande número de grupos com o Microsoft Entra ID

Esta secção descreve como mapear até 400 grupos do Microsoft Entra ID para a Workforce Identity Federation através dos protocolos OIDC e SAML.

Configure um grande número de grupos com o Microsoft Entra ID com o fluxo implícito do OIDC

Esta secção descreve como mapear até 400 grupos do Microsoft Entra ID para a Workforce Identity Federation através do protocolo OpenID Connect (OIDC) com fluxo implícito.

Configure a sua aplicação do Microsoft Entra ID

Pode configurar uma aplicação do Microsoft Entra ID existente ou criar uma nova. Para configurar a sua aplicação, faça o seguinte:

  1. No portal do Microsoft Entra ID, faça o seguinte:
    • Para registar uma nova aplicação, siga as instruções em Registe uma nova aplicação.
    • Para atualizar uma aplicação existente, faça o seguinte:
      • Aceda a Identidade > Aplicações > Aplicações empresariais.
      • Selecione a aplicação que quer atualizar.
  2. Crie um novo segredo do cliente na aplicação seguindo as instruções em Certificados e segredos. Certifique-se de que regista o valor do segredo do cliente, uma vez que só é apresentado uma vez.

    Tenha em atenção os seguintes valores da aplicação que criou ou atualizou. Fornece os valores quando configurar o fornecedor do Workload Identity Pool mais adiante neste documento.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Para obter os grupos do Microsoft Entra ID, adicione a autorização da API para permitir que a Workforce Identity Federation aceda às informações dos utilizadores a partir do Microsoft Entra ID através da API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:

    1. Aceda a Autorizações da API.
    2. Clique em Adicionar uma autorização.
    3. Selecione API Microsoft.
    4. Selecione Autorizações da aplicação.
    5. No campo de pesquisa, escreva User.ReadBasic.All.
    6. Clique em Adicionar autorizações.

    Pode obter os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de email do grupo para grupos ativados por email.

    Se optar por obter grupos como endereços de email de grupo, o passo seguinte é obrigatório.

  4. Para obter os grupos do Microsoft Entra ID como endereços de email de grupo, faça o seguinte. Se recuperar grupos como identificadores de objetos de grupo, ignore este passo.
    1. No campo de pesquisa, introduza GroupMember.Read.All.
    2. Clique em Adicionar autorizações.
    3. Clique em Conceder consentimento do administrador para o seu nome de domínio.
    4. Na caixa de diálogo apresentada, clique em Sim.
    5. Aceda à página Vista geral da aplicação Microsoft Entra ID que criou ou atualizou anteriormente.
    6. Clique em Pontos finais.

    O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

    Por exemplo, se o documento de metadados OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor é https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crie um Workforce Identity Pool

gcloud

Para criar o Workforce Identity Pool, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua o seguinte:

  • WORKFORCE_POOL_ID: um ID que escolhe para representar o seu workforce pool. Google Cloud Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
  • ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Google Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.
  • DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workload Identity Pool.
  • DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.
  • SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, sessões de início de sessão da consola (federadas) e sessões de início de sessão da CLI gcloud deste workforce pool são válidas. A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).

Consola

Para criar o Workforce Identity Pool, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Workforce Identity Pools:

    Aceda aos Workforce Identity Pools

  2. Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.

  3. Clique em Criar conjunto e faça o seguinte:

    1. No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.

    2. Opcional: em Descrição, introduza uma descrição do conjunto.

    3. Para criar o Workforce Identity Pool, clique em Seguinte.

A duração da sessão do Workload Identity Pool é de uma hora (3600 segundos) por predefinição. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, consola (federada)> e as sessões de início de sessão da CLI gcloud deste grupo de trabalhadores são válidas. Depois de criar o conjunto, pode atualizar o conjunto para definir uma duração da sessão personalizada. A duração da sessão tem de ser entre 15 minutos (900 s) e 12 horas (43 200 s).

Configure o fornecedor do Workload Identity Pool de força de trabalho do fluxo implícito do OIDC

Para criar o fornecedor do Workload Identity Pool do OIDC, execute o seguinte comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua o seguinte:

  • PROVIDER_ID: um ID do fornecedor exclusivo. O prefixo gcp- está reservado e não pode ser usado num conjunto nem num ID do fornecedor.
  • WORKFORCE_POOL_ID: o ID do Workforce Pool.
  • DISPLAY_NAME: um nome a apresentar para o fornecedor.
  • ISSUER_URI: o URI do emissor da aplicação Microsoft Entra ID que criou anteriormente neste documento.
  • CLIENT_ID: o ID de cliente da sua aplicação Microsoft Entra ID.
  • ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear os atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Para mais informações, consulte o artigo Mapeamento de atributos.

  • EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: o ID de cliente da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: o segredo do cliente adicional da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para obter os endereços de email dos grupos. Use azure-ad-groups-id para obter os IDs dos grupos.
  • EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro que é usada ao consultar a API Microsoft Graph para grupos. Pode usar este parâmetro para garantir que o número de grupos obtidos do IdP permanece abaixo do limite de 400 grupos.

    O exemplo seguinte obtém os grupos que têm o prefixo sales no respetivo ID de email: 

    --extra-attributes-filter='"mail:sales"'

    A expressão seguinte obtém grupos com um nome a apresentar que contém a string sales.

    --extra-attributes-filter='"displayName:sales"'

  • A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

    Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

Configure um grande número de grupos no Microsoft Entra ID com o fluxo de código OIDC

Esta secção descreve como mapear até 400 grupos do Microsoft Entra ID para a Workforce Identity Federation através do protocolo OIDC com o fluxo de código.

Configure a sua aplicação do Microsoft Entra ID

Pode configurar uma aplicação do Microsoft Entra ID existente ou criar uma nova. Para configurar a sua aplicação, faça o seguinte:

  1. No portal do Microsoft Entra ID, faça o seguinte:
    • Para registar uma nova aplicação, siga as instruções em Registe uma nova aplicação.
    • Para atualizar uma aplicação existente, faça o seguinte:
      • Aceda a Identidade > Aplicações > Aplicações empresariais.
      • Selecione a aplicação que quer atualizar.
  2. Crie um novo segredo do cliente na aplicação seguindo as instruções em Certificados e segredos. Certifique-se de que regista o valor do segredo do cliente, uma vez que só é apresentado uma vez.

    Tenha em atenção os seguintes valores da aplicação que criou ou atualizou. Fornece os valores quando configurar o fornecedor do Workload Identity Pool mais adiante neste documento.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Para obter os grupos do Microsoft Entra ID, adicione a autorização da API para permitir que a Workforce Identity Federation aceda às informações dos utilizadores a partir do Microsoft Entra ID através da API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:

    1. Aceda a Autorizações da API.
    2. Clique em Adicionar uma autorização.
    3. Selecione API Microsoft.
    4. Selecione Autorizações delegadas.
    5. No campo de pesquisa, escreva User.Read.
    6. Clique em Adicionar autorizações.

    Pode obter os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de email do grupo para grupos ativados por email.

    Se optar por obter grupos como endereços de email de grupo, o passo seguinte é obrigatório.

  4. Para obter os grupos do Microsoft Entra ID como endereços de email de grupo, faça o seguinte. Se recuperar grupos como identificadores de objetos de grupo, ignore este passo.
    1. No campo de pesquisa, introduza GroupMember.Read.All.
    2. Clique em Adicionar autorizações.
    3. Clique em Conceder consentimento do administrador para o seu nome de domínio.
    4. Na caixa de diálogo apresentada, clique em Sim.
    5. Aceda à página Vista geral da aplicação Microsoft Entra ID que criou ou atualizou anteriormente.
    6. Clique em Pontos finais.

    O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

    Por exemplo, se o documento de metadados OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor é https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crie um Workforce Identity Pool

gcloud

Para criar o Workforce Identity Pool, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua o seguinte:

  • WORKFORCE_POOL_ID: um ID que escolhe para representar o seu workforce pool. Google Cloud Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
  • ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Google Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.
  • DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workload Identity Pool.
  • DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.
  • SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, sessões de início de sessão da consola (federadas) e sessões de início de sessão da CLI gcloud deste workforce pool são válidas. A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).

Consola

Para criar o Workforce Identity Pool, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Workforce Identity Pools:

    Aceda aos Workforce Identity Pools

  2. Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.

  3. Clique em Criar conjunto e faça o seguinte:

    1. No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.

    2. Opcional: em Descrição, introduza uma descrição do conjunto.

    3. Para criar o Workforce Identity Pool, clique em Seguinte.

A duração da sessão do Workload Identity Pool é de uma hora (3600 segundos) por predefinição. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, consola (federada)> e as sessões de início de sessão da CLI gcloud deste grupo de trabalhadores são válidas. Depois de criar o conjunto, pode atualizar o conjunto para definir uma duração da sessão personalizada. A duração da sessão tem de ser entre 15 minutos (900 s) e 12 horas (43 200 s).

Configure o fornecedor do Workload Identity Pool da força de trabalho do fluxo de código OIDC

Para criar o fornecedor do Workload Identity Pool do OIDC, execute o seguinte comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua o seguinte:

  • PROVIDER_ID: um ID do fornecedor exclusivo. O prefixo gcp- está reservado e não pode ser usado num conjunto nem num ID do fornecedor.
  • WORKFORCE_POOL_ID: o ID do Workforce Pool.
  • DISPLAY_NAME: um nome a apresentar para o fornecedor.
  • ISSUER_URI: o URI do emissor da aplicação Microsoft Entra ID que criou anteriormente neste documento.
  • CLIENT_ID: o ID de cliente da sua aplicação Microsoft Entra ID.
  • ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear os atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Para mais informações, consulte o artigo Mapeamento de atributos.

  • EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: o ID de cliente da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: o segredo do cliente adicional da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para obter os endereços de email dos grupos. Use azure-ad-groups-id para obter os IDs dos grupos.
  • EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro que é usada ao consultar a API Microsoft Graph para grupos. Pode usar este parâmetro para garantir que o número de grupos obtidos do IdP permanece abaixo do limite de 400 grupos.

    O exemplo seguinte obtém os grupos que têm o prefixo sales no respetivo ID de email: 

    --extra-attributes-filter='"mail:sales"'

    A expressão seguinte obtém grupos com um nome a apresentar que contém a string sales.

    --extra-attributes-filter='"displayName:sales"'

  • A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

    Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

Configure um grande número de grupos no Microsoft Entra ID com SAML 2.0

Esta secção descreve como mapear até 400 grupos do Microsoft Entra ID para a Workforce Identity Federation através do protocolo SAML 2.0.

Configure a sua aplicação do Microsoft Entra ID

Para configurar a sua aplicação, faça o seguinte:

  1. No portal do Microsoft Entra ID, faça o seguinte:
    • Para registar uma nova aplicação, siga as instruções em Registe uma nova aplicação.
    • Para atualizar uma aplicação existente, faça o seguinte:
      • Aceda a Identidade > Aplicações > Aplicações empresariais.
      • Selecione a aplicação que quer atualizar.
  2. Crie um novo segredo do cliente na aplicação seguindo as instruções em Certificados e segredos. Certifique-se de que regista o valor do segredo do cliente, uma vez que só é apresentado uma vez.

    Tenha em atenção os seguintes valores da aplicação que criou ou atualizou. Fornece os valores quando configurar o fornecedor do Workload Identity Pool mais adiante neste documento.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Para obter os grupos do Microsoft Entra ID, adicione a autorização da API para permitir que a Workforce Identity Federation aceda às informações dos utilizadores a partir do Microsoft Entra ID através da API Microsoft Graph e conceda o consentimento do administrador. No Microsoft Entra ID, faça o seguinte:

    1. Aceda a Autorizações da API.
    2. Clique em Adicionar uma autorização.
    3. Selecione API Microsoft.
    4. Selecione Autorizações da aplicação.
    5. No campo de pesquisa, escreva User.ReadBasic.All.
    6. Clique em Adicionar autorizações.

    Pode obter os grupos do Microsoft Entra ID como identificadores de objetos de grupo (ID) ou como endereço de email do grupo para grupos ativados por email.

    Se optar por obter grupos como endereços de email de grupo, o passo seguinte é obrigatório.

  4. Para obter os grupos do Microsoft Entra ID como endereços de email de grupo, faça o seguinte. Se recuperar grupos como identificadores de objetos de grupo, ignore este passo.
    1. No campo de pesquisa, introduza GroupMember.Read.All.
    2. Clique em Adicionar autorizações.
    3. Clique em Conceder consentimento do administrador para o seu nome de domínio.
    4. Na caixa de diálogo apresentada, clique em Sim.
    5. Aceda à página Vista geral da aplicação Microsoft Entra ID que criou ou atualizou anteriormente.
    6. Clique em Pontos finais.

    O URI do emissor é o URI do documento de metadados do OIDC, omitindo o caminho /.well-known/openid-configuration.

    Por exemplo, se o documento de metadados OIDC for https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, o URI do emissor é https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crie um Workforce Identity Pool

gcloud

Para criar o Workforce Identity Pool, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua o seguinte:

  • WORKFORCE_POOL_ID: um ID que escolhe para representar o seu workforce pool. Google Cloud Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
  • ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Google Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.
  • DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workload Identity Pool.
  • DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.
  • SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, sessões de início de sessão da consola (federadas) e sessões de início de sessão da CLI gcloud deste workforce pool são válidas. A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).

Consola

Para criar o Workforce Identity Pool, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Workforce Identity Pools:

    Aceda aos Workforce Identity Pools

  2. Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.

  3. Clique em Criar conjunto e faça o seguinte:

    1. No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.

    2. Opcional: em Descrição, introduza uma descrição do conjunto.

    3. Para criar o Workforce Identity Pool, clique em Seguinte.

A duração da sessão do Workload Identity Pool é de uma hora (3600 segundos) por predefinição. A duração da sessão determina durante quanto tempo os Google Cloud tokens de acesso, consola (federada)> e as sessões de início de sessão da CLI gcloud deste grupo de trabalhadores são válidas. Depois de criar o conjunto, pode atualizar o conjunto para definir uma duração da sessão personalizada. A duração da sessão tem de ser entre 15 minutos (900 s) e 12 horas (43 200 s).

Configure o fornecedor do Workload Identity Pool SAML 2.0

Para criar o fornecedor do Workload Identity Pool de SAML, execute o seguinte comando:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Substitua o seguinte:

  • PROVIDER_ID: um ID do fornecedor exclusivo. O prefixo gcp- está reservado e não pode ser usado num conjunto nem num ID do fornecedor.
  • WORKFORCE_POOL_ID: o ID do Workforce Pool.
  • DISPLAY_NAME: um nome a apresentar para o fornecedor.
  • XML_METADATA_PATH: o caminho para o ficheiro de metadados XML SAML 2.0.
  • ATTRIBUTE_MAPPING: o mapeamento de atributos do Microsoft Entra ID para Google Cloud. Por exemplo, para mapear os atributos groups e subject do Microsoft Entra ID, use o seguinte mapeamento de atributos: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Para mais informações, consulte o artigo Mapeamento de atributos.

  • EXTRA_ATTRIBUTES_ISSUER_URI: o URI do emissor da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: o ID de cliente da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: o segredo do cliente adicional da sua aplicação do Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: use azure-ad-groups-mail para obter os endereços de email dos grupos. Use azure-ad-groups-id para obter os IDs dos grupos.
  • EXTRA_ATTRIBUTES_FILTER: opcional. Uma expressão de filtro que é usada ao consultar a API Microsoft Graph para grupos. Pode usar este parâmetro para garantir que o número de grupos obtidos do IdP permanece abaixo do limite de 400 grupos.

    O exemplo seguinte obtém os grupos que têm o prefixo sales no respetivo ID de email: 

    --extra-attributes-filter='"mail:sales"'

    A expressão seguinte obtém grupos com um nome a apresentar que contém a string sales.

    --extra-attributes-filter='"displayName:sales"'

  • A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

    Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

Conceda funções de IAM a grupos

Nesta secção, atribui funções a grupos em Google Cloud recursos. Para saber mais acerca dos identificadores principais da Workforce Identity Federation, consulte o artigo Represente utilizadores do grupo do Workforce em políticas do IAM.

O exemplo seguinte concede a função de administrador do armazenamento (roles/storage.admin) a utilizadores num grupo do Microsoft Entra ID. 

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto
  • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool
  • GROUP_ID: o identificador do grupo, que depende do valor de --extra-attributes-type usado para criar o fornecedor do Workload Identity Pool, da seguinte forma:
    • azure-ad-groups-mail: o identificador do grupo é um endereço de email, por exemplo: admin-group@altostrat.com
    • azure-ad-groups-id: o identificador do grupo é um UUID para o grupo, por exemplo: abcdefgh-0123-0123-abcdef

Inicie sessão e teste o acesso

Nesta secção, inicia sessão como utilizador do Workload Identity Pool e testa se tem acesso aos recursos Google Cloud .

Iniciar sessão

Esta secção mostra-lhe como iniciar sessão como utilizador federado e aceder a Google Cloud recursos.

Início de sessão na consola (federado)

Para iniciar sessão na Google Cloud consola da federação de identidade da força de trabalho, também conhecida como consola (federada), faça o seguinte:

  1. Aceda à página de início de sessão (federado) da consola.

    Aceda à consola (federada)

  2. Introduza o nome do fornecedor, que está formatado da seguinte forma: 
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    3. Se lhe for pedido, introduza as credenciais do utilizador no Microsoft Entra ID.

    Se iniciar um início de sessão iniciado pelo IdP, use o seguinte para o URL de retransmissão: https://console.cloud.google/.

Início de sessão baseado no navegador da CLI gcloud

Para iniciar sessão na gcloud CLI através de um fluxo de início de sessão baseado no navegador, faça o seguinte:

Crie um ficheiro de configuração

Para criar o ficheiro de configuração de início de sessão, execute o seguinte comando. Opcionalmente, pode ativar o ficheiro como predefinição para a CLI gcloud adicionando a flag --activate. Em seguida, pode executar o comando gcloud auth login sem especificar o caminho do ficheiro de configuração de cada vez. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Substitua o seguinte:

  • WORKFORCE_POOL_ID: o ID do Workforce Pool
  • PROVIDER_ID: o ID do fornecedor
  • LOGIN_CONFIG_FILE_PATH: o caminho para um ficheiro de configuração que especifica, por exemplo, login.json

O ficheiro contém os pontos finais usados pela CLI gcloud para ativar o fluxo de autenticação baseado no navegador e definir o público-alvo para o IdP que foi configurado no fornecedor do Workload Identity Pool. O ficheiro não contém informações confidenciais.

O resultado tem um aspeto semelhante ao seguinte:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect",
}

Para impedir que o gcloud auth login use este ficheiro de configuração automaticamente, pode anular a definição executando o comando gcloud config unset auth/login_config_file.

Inicie sessão através da autenticação baseada no navegador

Para autenticar através da autenticação de início de sessão baseada no navegador, pode usar um dos seguintes métodos:

  • Se usou a flag --activate quando criou o ficheiro de configuração ou se ativou o ficheiro de configuração com gcloud config set auth/login_config_file, a CLI gcloud usa o ficheiro de configuração automaticamente: 

    gcloud auth login

  • Para iniciar sessão especificando a localização do ficheiro de configuração, execute o seguinte comando: 

    gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
  • Para usar uma variável de ambiente para especificar a localização do ficheiro de configuração, defina CLOUDSDK_AUTH_LOGIN_CONFIG_FILE para o caminho de configuração.

Desative o início de sessão com base no navegador

Para descontinuar a utilização do ficheiro de configuração de início de sessão, faça o seguinte:

  • Se usou a flag --activate quando criou o ficheiro de configuração ou se ativou o ficheiro de configuração com gcloud config set auth/login_config_file, tem de executar o seguinte comando para anular a definição: 

    gcloud config unset auth/login_config_file
  • Limpe a variável de ambiente CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, se estiver definida.

Início de sessão sem interface da CLI gcloud

Para iniciar sessão no Microsoft Entra ID com a CLI gcloud, faça o seguinte:

OIDC

  1. Siga os passos em Envie o pedido de início de sessão. Inicie sessão do utilizador na sua aplicação com o Microsoft Entra ID através do OIDC.

  2. Copie o token de ID do parâmetro id_token do URL de redirecionamento e guarde-o num ficheiro numa localização segura na sua máquina local. Num passo posterior, define PATH_TO_OIDC_ID_TOKEN para o caminho deste ficheiro.

  3. Gere um ficheiro de configuração semelhante ao exemplo mais adiante neste passo executando o seguinte comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

    Substitua o seguinte:

    • WORKFORCE_POOL_ID: o ID do grupo de identidades da força de trabalho.
    • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool.
    • PATH_TO_OIDC_ID_TOKEN: o caminho para a localização do ficheiro onde o token do IdP está armazenado.
    • WORKFORCE_POOL_USER_PROJECT: o número ou o ID do projeto usado para a quota e a faturação. O principal tem de ter a autorização serviceusage.services.use neste projeto.

    Quando o comando estiver concluído, o Microsoft Entra ID cria o seguinte ficheiro de configuração:

    {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

  4. Abra a CLI gcloud e execute o seguinte comando:

    gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS

    Substitua PATH_TO_OIDC_CREDENTIALS pelo caminho para o ficheiro de saída de um passo anterior.

    A CLI gcloud publica de forma transparente as suas credenciais no ponto final do serviço de tokens de segurança. No ponto final, é trocado por tokens de acesso Google Cloud temporários.

    Já pode executar comandos da CLI gcloud para Google Cloud.

SAML

  1. Inicie sessão de um utilizador na sua aplicação do Microsoft Entra ID e obtenha a resposta SAML.

  2. Guarde a resposta SAML devolvida pelo Microsoft Entra ID num local seguro na sua máquina local e, em seguida, armazene o caminho da seguinte forma:

    SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

  3. Para gerar um ficheiro de configuração de credenciais, execute o seguinte comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

    Substitua o seguinte:

    • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool que criou anteriormente neste guia
    • WORKFORCE_POOL_ID: o ID do Workload Identity Pool que criou anteriormente neste guia
    • SAML_ASSERTION_PATH: o caminho do ficheiro de declaração SAML
    • PROJECT_ID: o ID do projeto

    O ficheiro de configuração gerado tem um aspeto semelhante ao seguinte:

    {
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

  4. Para iniciar sessão na CLI gcloud através da troca de tokens da Workforce Identity Federation, execute o seguinte comando:

    gcloud auth login --cred-file=config.json

    Em seguida, a CLI gcloud troca de forma transparente as suas credenciais do Microsoft Entra ID por Google Cloud tokens de acesso temporários. Os tokens de acesso permitem-lhe aceder a Google Cloud.

    Vê um resultado semelhante ao seguinte:

    Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

  5. Para listar as contas com credenciais e a sua conta ativa, execute o seguinte comando:

    gcloud auth list

Teste o acesso

Agora, tem acesso aos Google Cloud produtos que suportam a federação de identidade da força de trabalho e aos quais lhe é concedido acesso. Anteriormente, neste documento, concedeu a função de administrador de armazenamento (roles/storage.admin) a todas as identidades no identificador de grupo que especificou no gcloud projects add-iam-policy-binding para o projeto TEST_PROJECT_ID.

Agora, pode testar se tem acesso listando os contentores do Cloud Storage.

Consola (federada)

Para testar se tem acesso através da consola (federada), faça o seguinte:

  • Aceda à página do Cloud Storage.

    Aceda ao Cloud Storage

  • Verifique se consegue ver uma lista dos contentores existentes para o TEST_PROJECT_ID.

CLI gcloud

Para testar se tem acesso através da CLI gcloud, pode listar os contentores e os objetos do Cloud Storage para o projeto ao qual tem acesso. Para o fazer, execute o seguinte comando. O principal tem de ter a autorização serviceusage.services.use no projeto especificado.

gcloud storage ls --project="TEST_PROJECT_ID"

Eliminar utilizadores

A federação de identidade da força de trabalho cria metadados e recursos do utilizador para identidades de utilizadores federadas. Se optar por eliminar utilizadores no seu IdP, também tem de eliminar explicitamente estes recursos no Google Cloud. Para o fazer, consulte o artigo Elimine utilizadores da Federação de identidades da força de trabalho e os respetivos dados.

Pode ver que os recursos continuam associados a um utilizador que foi eliminado. Isto deve-se ao facto de a eliminação de metadados e recursos do utilizador exigir uma operação de longa duração. Depois de iniciar a eliminação da identidade de um utilizador, os processos que o utilizador iniciou antes da eliminação podem continuar a ser executados até serem concluídos ou cancelados.

O que se segue?