Questa guida spiega come configurare la federazione delle identità della forza lavoro utilizzando Okta come provider di identità (IdP), gestire l'accesso e consentire agli utenti di accedere ai servizi Google Cloud che supportano la federazione delle identità della forza lavoro.
Prima di iniziare
- Assicurati di aver configurato un'organizzazione Google Cloud.
-
After installing the Google Cloud CLI, configure the gcloud CLI to use your federated identity and then initialize it by running the following command:
gcloud init
- Per l'accesso, l'IdP deve fornire informazioni di autenticazione firmate: gli IdP OIDC devono fornire un JWT e le risposte degli IdP SAML devono essere firmate.
- Per ricevere informazioni importanti sulle modifiche apportate alla tua organizzazione o ai prodotti Google Cloud, devi fornire i Contatti fondamentali. Per ulteriori informazioni, consulta la panoramica della federazione delle identità per la forza lavoro.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per configurare la federazione delle identità per la forza lavoro,
chiedi all'amministratore di concederti il ruolo IAM Amministratore pool Workload Identity (roles/iam.workforcePoolAdmin
) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
In alternativa, il ruolo di base Proprietario IAM (roles/owner
) include anche le autorizzazioni per configurare la federazione delle identità della forza lavoro.
Non dovresti concedere ruoli di base in un ambiente di produzione, ma puoi farlo in un ambiente di sviluppo o di test.
Crea un pool di identità della forza lavoro
Console
Per creare il pool di identità della forza lavoro, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Pool di identità del personale:
Fai clic su Crea pool e segui questi passaggi:
Nel campo Nome, inserisci il nome visualizzato del pool. L'ID pool viene ricavato automaticamente dal nome durante la digitazione e visualizzato nel campo Nome. Puoi aggiornare l'ID pool facendo clic su Modifica accanto all'ID pool.
(Facoltativo) In Descrizione, inserisci una descrizione del pool.
L'opzione Durata sessione è impostata per impostazione predefinita. Per inserire una durata personalizzata della sessione, fai clic su Modifica. La durata della sessione determina la durata di validità dei token di accesso di Google Cloud, delle sessioni di accesso alla console (federata) e delle sessioni di accesso a gcloud CLI di questo pool di personale. La durata deve essere superiore a 15 minuti (900 secondi) e inferiore a 12 ore (43200 secondi). Se la durata della sessione non è impostata, viene applicata per impostazione predefinita una durata di un'ora (3600 secondi).
Per creare il pool nello stato abilitato, assicurati che Pool abilitato sia attivo.
Per creare il pool di identità del personale, fai clic su Avanti.
gcloud
Per creare il pool di identità del personale, esegui il seguente comando:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Sostituisci quanto segue:
WORKFORCE_POOL_ID
: un ID che scegli per rappresentare la tua forza lavoro Google Cloud. Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.ORGANIZATION_ID
: l'ID numerico della tua organizzazione Google Cloud.DISPLAY_NAME
: facoltativo. Un nome visualizzato per il pool di identità della forza lavoro.DESCRIPTION
: facoltativo. Una descrizione del pool di identità della forza lavoro.SESSION_DURATION
: facoltativo. La durata della sessione, che determina per quanto tempo sono validi i token di accesso di Google Cloud, le sessioni di accesso della console (federata) e le sessioni di accesso con gcloud CLI da questo pool di forza lavoro. La durata deve essere superiore a 15 minuti (900 secondi) e inferiore a 12 ore (43200 secondi). Se la durata della sessione non è impostata, viene applicata per impostazione predefinita una durata di un'ora (3600 secondi).
Creare un'integrazione dell'app Okta
Questa sezione illustra i passaggi per creare un'integrazione dell'app Okta utilizzando la Console di amministrazione Okta. Per ulteriori dettagli, vedi Creare integrazioni di app personalizzate.
I pool di identità della forza lavoro supportano la federazione utilizzando i protocolli OIDC e SAML.
Per maggiori dettagli, consulta la guida all'integrazione di OIDC e SAML di Okta. La configurazione di base è descritta in questa sezione.
OIDC
Per creare un'integrazione dell'app Okta che utilizza il protocollo OIDC, segui questi passaggi:
- Accedi alla Console di amministrazione di Okta.
- Vai ad Applications (Applicazioni) > Applications (Applicazioni).
Per iniziare a configurare l'integrazione dell'app:
- Fai clic su Crea integrazione app.
- In Metodo di accesso, seleziona OIDC - OpenID Connect.
- In Tipo di applicazione, seleziona un tipo di applicazione, ad esempio Applicazione web.
- Per creare l'app, fai clic su Avanti.
- In Nome integrazione app, inserisci un nome per l'app.
- Nella sezione Tipo di concessione, seleziona la casella di controllo Implicita (ibrida).
Nella sezione URI di reindirizzamento all'accesso, inserisci un URL di reindirizzamento nel campo di testo. Gli utenti vengono reindirizzati a questo URL dopo aver eseguito correttamente l'accesso. Se stai configurando l'accesso alla console (federata), utilizza il seguente formato dell'URL:
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Sostituisci quanto segue:
WORKFORCE_POOL_ID
: l'ID del pool di forza lavoro creato in precedenza in questa guida.WORKFORCE_PROVIDER_ID
: un ID fornitore di identità della forza lavoro di tua scelta; ad esempio:okta-oidc-provider
. Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
Seleziona la casella di controllo Salta assegnazione dei gruppi per ora.
Per salvare l'integrazione dell'app, fai clic su Salva.
(Facoltativo) Per aggiungere attributi personalizzati per un profilo utente Okta:
- In Tipo di dati, seleziona
string
. - In Nome visualizzato, inserisci
Department
. - In Nome variabile, inserisci
department
. - Per salvare la mappatura, fai clic su Salva.
Per scoprire di più sull'aggiunta di attributi personalizzati, vedi Aggiungere attributi personalizzati a un profilo utente Okta.
- In Tipo di dati, seleziona
(Facoltativo) Per creare mappature per gli attributi inviati nel token OIDC, in Directory, fai clic su Editor dei profili e segui questi passaggi:
- Trova l'applicazione OIDC che hai creato in precedenza in questa guida.
- Fai clic su Mappature.
- Seleziona la scheda Utente Okta all'app.
- Nella scheda Profilo utente Okta, in una casella combinata disponibile, inserisci
department
. Okta completa automaticamente conuser.department
. - Per salvare le mappature, fai clic su Salva mappature. Per maggiori dettagli, consulta Aggiungere la mappatura degli attributi.
Per scoprire di più sulle mappature, consulta Mappare gli attributi Okta agli attributi dell'app nell'editor dei profili.
(Facoltativo) Per configurare una rivendicazione di gruppi:
- Se utilizzi un Org Authorization Server, segui questi passaggi:
- Vai ad Applicazioni > Applicazioni.
- Seleziona l'applicazione client OpenID Connect che hai creato in precedenza in questa sezione.
- Vai alla scheda Accedi.
- Nella sezione OpenID Connect ID Token (Token ID OpenID Connect), fai clic su Modifica.
- Nella sezione Tipo di rivendicazione dei gruppi, puoi selezionare una delle seguenti opzioni:
- Seleziona Espressione.
- Seleziona Corrisponde all'espressione regolare e inserisci
.*
.
- Per salvare la rivendicazione dei gruppi, fai clic su Salva.
- Quando crei il provider del pool di identità della forza lavoro più avanti in questa guida, aggiungi
groups
come ambito aggiuntivo per richiedere la rivendicazione dei gruppi da Okta per l'accesso singolo al web. Questo passaggio è obbligatorio solo se utilizzi il flusso di accesso basato su browser della console (federata) o gcloud CLI.
- Se utilizzi un server di autorizzazione personalizzato:
- Nella Console di amministrazione, seleziona API dal menu Sicurezza.
- Seleziona il server di autorizzazione personalizzato che vuoi configurare.
- Vai alla scheda Rivendicazioni e fai clic su Aggiungi rivendicazione.
- Inserisci un nome per la rivendicazione. Per questo esempio, assegnagli il nome
groups
. - Nella rivendicazione, in Includi nel tipo di token, seleziona Token ID e Sempre.
- Seleziona Gruppi come Tipo di valore.
- Nel menu a discesa Filtro, seleziona Corrisponde all'espressione regolare e inserisci la seguente espressione come Valore:
.*
- Fai clic su Crea.
- Se utilizzi un Org Authorization Server, segui questi passaggi:
Per ulteriori dettagli sulle rivendicazioni dei gruppi, vedi Aggiungere una rivendicazione di gruppi.
SAML
Per creare un'integrazione dell'app Okta che utilizza il protocollo SAML, segui questi passaggi:
- Accedi alla Console di amministrazione di Okta.
- Vai ad Applications (Applicazioni) > Applications (Applicazioni).
- Fai clic su Crea integrazione app.
- In Metodo di accesso, seleziona SAML 2.0 e fai clic su Avanti.
- Inserisci un nome per l'app e fai clic su Avanti per passare alle opzioni di Configura SAML.
In Single Sign On URL (URL Single Sign-On), inserisci un URL di reindirizzamento. Si tratta dell'URL a cui vengono reindirizzati gli utenti dopo aver eseguito l'accesso. Se stai configurando l'accesso alla console, utilizza il seguente formato dell'URL.
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Inserisci l'URI pubblico (
SP Entity ID
). L'ID è formattato come segue:https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Sostituisci quanto segue:
WORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoro creato in precedenza in questa guidaWORKFORCE_PROVIDER_ID
: un ID fornitore di identità della forza lavoro a tua scelta; ad esempio:okta-saml-provider
Per informazioni sulla formattazione dell'ID, consulta la sezione Parametri di query nella documentazione dell'API.
(Facoltativo) Utilizza le dichiarazioni di attributi per specificare eventuali attributi personalizzati che vuoi inviare nell'affermazione SAML. Dopo la configurazione, questi attributi possono essere utilizzati in Google Cloud per creare criteri di gestione dell'accesso o in attribute_condition. Ad esempio, in questa guida mappi il reparto come segue:
Nome Valore department
user.department
(Facoltativo) Per aggiungere l'affermazione sui gruppi, utilizzata più avanti in questa guida, consulta Come trasmettere l'appartenenza a un gruppo di un utente in un'affermazione SAML.
Completa la creazione dell'integrazione dell'app Okta.
Crea un provider di pool di identità per la forza lavoro
Questa sezione descrive come creare un provider del pool di identità di forza lavoro per consentire agli utenti dell'IdP di accedere a Google Cloud. Puoi configurare il provider in modo che utilizzi il protocollo OIDC o SAML.
Crea un provider del pool di identità per la forza lavoro OIDC
Per creare un provider di pool di identità di forza lavoro per l'integrazione dell'app Okta utilizzando il protocollo OIDC, segui questi passaggi:
Per ottenere l'ID client per l'integrazione dell'app Okta:
- Vai all'integrazione dell'app Okta.
- Fai clic sulla scheda Generale.
- Copia i contenuti del campo Client ID (ID client).
Per creare un provider di pool di identità per la forza lavoro OIDC per l'accesso basato sul web, procedi nel seguente modo:
Console
Flusso codice
In Okta:
In Autenticazione client, seleziona Client secret.
Nella tabella Client secret, individua il secret e fai clic su content_copy Copia.
Nella console Google Cloud, per creare un provider OIDC che utilizzi il flusso di codice di autorizzazione, svolgi i seguenti passaggi:
Nella console Google Cloud, vai alla pagina Pool di identità del personale:
Nella tabella Pool di identità della forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella tabella Fornitori, fai clic su Aggiungi fornitore.
In Seleziona un protocollo, seleziona OpenID Connect (OIDC).
In Crea un provider di pool, segui questi passaggi:
- In Nome, inserisci un nome per il provider.
- In Emittente (URL), inserisci l'URI dell'emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con
https
; ad esempio,https://example.com/oidc
. - Inserisci l'ID client, l'ID client OIDC registrato con il tuo IdP OIDC. L'ID deve corrispondere al claim
aud
del JWT emesso dal tuo IdP. - Per creare un provider abilitato, assicurati che l'opzione Provider abilitato sia attivata.
- Fai clic su Continua.
In Tipo di risposta, segui questi passaggi: Il tipo di risposta viene utilizzato solo per un flusso di Single Sign-On basato sul web.
- In Tipo di risposta, seleziona Codice.
- In Client secret, inserisci il client secret della tua IdP.
In Comportamento delle rivendicazioni per affermazioni, seleziona una delle seguenti opzioni:
- Informazioni utente e token ID
- Solo token ID
Fai clic su Continua.
In Configura provider, puoi configurare una mappatura degli attributi e una condizione dell'attributo. Per creare una mappatura degli attributi: Puoi fornire il nome del campo dell'IDP o un'espressione in formato CEL che restituisce una stringa.
Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio
assertion.sub
.(Facoltativo) Per aggiungere altre mappature degli attributi, procedi nel seguente modo:
- Fai clic su Aggiungi mappatura.
- In Google n, dove n è un numero, inserisci una delle chiavi supportate da Google Cloud.
- Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IDP da mappare, in formato CEL.
Per creare una condizione dell'attributo:
- Fai clic su Aggiungi condizione.
- In Condizioni attributi, inserisci una condizione in formato CEL; ad esempio,
assertion.subject.endsWith('@example.com')
quando il valore disubject
mappato in precedenza contiene un indirizzo email che termina con@example.com
.
Per creare il provider, fai clic su Invia.
Flusso implicito
Nella console Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Pool di identità del personale:
Nella tabella Pool di identità della forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella tabella Fornitori, fai clic su Aggiungi fornitore.
In Seleziona un protocollo, seleziona OpenID Connect (OIDC).
In Crea un provider di pool, segui questi passaggi:
- In Nome, inserisci un nome per il provider.
- In Emittente (URL), inserisci l'URI dell'emittente. L'URI dell'emittente OIDC deve essere in un formato URI valido e iniziare con
https
; ad esempio,https://example.com/oidc
. - Inserisci l'ID client, l'ID client OIDC registrato con il tuo IdP OIDC. L'ID deve corrispondere al claim
aud
del JWT emesso dal tuo IdP. - Per creare un provider abilitato, assicurati che l'opzione Provider abilitato sia attivata.
- Fai clic su Continua.
In Tipo di risposta, segui questi passaggi: Il tipo di risposta viene utilizzato solo per un flusso di Single Sign-On basato sul web.
- In Tipo di risposta, seleziona Token ID.
- Fai clic su Continua.
In Configura provider, puoi configurare una mappatura degli attributi e una condizione dell'attributo. Per creare una mappatura degli attributi: Puoi fornire il nome del campo dell'IDP o un'espressione in formato CEL che restituisce una stringa.
Obbligatorio: in OIDC 1, inserisci il soggetto dell'IdP, ad esempio
assertion.sub
.(Facoltativo) Per aggiungere altre mappature degli attributi, procedi nel seguente modo:
- Fai clic su Aggiungi mappatura.
- In Google n, dove n è un numero, inserisci una delle chiavi supportate da Google Cloud.
- Nel campo OIDC n corrispondente, inserisci il nome del campo specifico dell'IDP da mappare, in formato CEL.
Per creare una condizione dell'attributo:
- Fai clic su Aggiungi condizione.
In Condizioni attributi, inserisci una condizione in formato CEL; ad esempio,
assertion.subject.endsWith('@example.com')
quando il valore disubject
mappato in precedenza contiene un indirizzo email che termina con@example.com
.
Per creare il provider, fai clic su Invia.
gcloud
Flusso codice
In Okta:
In Autenticazione client, seleziona Client secret.
Nella tabella Client secret, individua il secret e fai clic su content_copy Copia.
In Google Cloud, per creare un provider OIDC che utilizzi il flusso di codice di autorizzazione per l'accesso web, esegui il seguente comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --display-name="DISPLAY_NAME" \ --description="DESCRIPTION" \ --issuer-uri="ISSUER_URI" \ --client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \ --web-sso-response-type="code" \ --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --location=globalSostituisci quanto segue:
WORKFORCE_PROVIDER_ID
: un ID fornitore del pool di identità della forza lavoro univoco. Il prefissogcp-
è riservato e non può essere utilizzato in un pool di identità per la forza lavoro o nell'ID provider di pool di identità per la forza lavoro.WORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoro a cui collegare l'IdP.DISPLAY_NAME
: un nome visualizzato facoltativo e facile da usare per il fornitore, ad esempioidp-eu-employees
.DESCRIPTION
: una descrizione facoltativa del fornitore di personale; ad esempio,IdP for Partner Example Organization employees
.ISSUER_URI
: l'URI dell'emittente OIDC, in un formato URI valido, che inizia conhttps
; ad esempio,https://example.com/oidc
. Nota: per motivi di sicurezza,ISSUER_URI
deve utilizzare lo schema HTTPS.OIDC_CLIENT_ID
: l'ID client OIDC registrato con l'IdP OIDC. L'ID deve corrispondere al claimaud
del JWT emesso dall'IdP.OIDC_CLIENT_SECRET
: il client secret OIDC.WEB_SSO_ADDITIONAL_SCOPES
: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso alla console (federato) o basato su browser gcloud CLI; ad esempio,groups
per richiedere la rivendicazione dei gruppi da Okta se utilizzi il server di autorizzazione dell'organizzazione di Okta.ATTRIBUTE_MAPPING
: una mappatura degli attributi. Di seguito è riportato un esempio di mappatura degli attributi: Questo esempio mappa gli attributi IdPgoogle.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcenter
subject
,group1
ecostcenter
nell'affermazione OIDC agli attributigoogle.subject
,google.groups
eattribute.costcenter
, rispettivamente.ATTRIBUTE_CONDITION
: una condizione dell'attributo; ad esempio,assertion.subject.endsWith('@example.com')
quando il valore disubject
mappato in precedenza contiene un indirizzo email che termina con@example.com
.JWK_JSON_PATH
: un percorso facoltativo a un file JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza il percorso/.well-known/openid-configuration
del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sui JWK OIDC caricati localmente, vedi Gestire i JWK OIDC.
locations/global/workforcePools/enterprise-example-organization-employees
.Flusso implicito
Per creare un provider OIDC che utilizzi il flusso implicito per l'accesso web, esegui il seguente comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --display-name="DISPLAY_NAME" \ --description="DESCRIPTION" \ --issuer-uri="ISSUER_URI" \ --client-id="OIDC_CLIENT_ID" \ --web-sso-response-type="id-token" \ --web-sso-assertion-claims-behavior="only-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --location=global
Sostituisci quanto segue:
WORKFORCE_PROVIDER_ID
: un ID fornitore del pool di identità della forza lavoro univoco. Il prefissogcp-
è riservato e non può essere utilizzato in un pool di identità per la forza lavoro o nell'ID provider di pool di identità per la forza lavoro.WORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoro a cui collegare l'IdP.DISPLAY_NAME
: un nome visualizzato facoltativo e facile da usare per il fornitore, ad esempioidp-eu-employees
.DESCRIPTION
: una descrizione facoltativa del fornitore di personale; ad esempio,IdP for Partner Example Organization employees
.ISSUER_URI
: l'URI dell'emittente OIDC, in un formato URI valido, che inizia conhttps
; ad esempio,https://example.com/oidc
. Nota: per motivi di sicurezza,ISSUER_URI
deve utilizzare lo schema HTTPS.OIDC_CLIENT_ID
: l'ID client OIDC registrato con l'IdP OIDC. L'ID deve corrispondere al claimaud
del JWT emesso dall'IdP.WEB_SSO_ADDITIONAL_SCOPES
: ambiti aggiuntivi facoltativi da inviare all'IdP OIDC per l'accesso alla console (federato) o basato su browser gcloud CLI; ad esempio,groups
per richiedere la rivendicazione dei gruppi da Okta se utilizzi il server di autorizzazione dell'organizzazione di Okta.ATTRIBUTE_MAPPING
: una mappatura degli attributi. Di seguito è riportato un esempio di mappatura degli attributi: Questo esempio mappa gli attributi IdPgoogle.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcenter
subject
,group1
ecostcenter
nell'affermazione OIDC agli attributigoogle.subject
,google.groups
eattribute.costcenter
, rispettivamente.ATTRIBUTE_CONDITION
: una condizione dell'attributo; ad esempio,assertion.subject.endsWith('@example.com')
quando il valore disubject
mappato in precedenza contiene un indirizzo email che termina con@example.com
.JWK_JSON_PATH
: un percorso facoltativo a un file JWK OIDC caricato localmente. Se questo parametro non viene fornito, Google Cloud utilizza il percorso/.well-known/openid-configuration
del tuo IdP per recuperare i JWK contenenti le chiavi pubbliche. Per saperne di più sui JWK OIDC caricati localmente, vedi Gestire i JWK OIDC.
locations/global/workforcePools/enterprise-example-organization-employees
.
Crea un provider di pool di identità per la forza lavoro SAML
Nel tuo IdP SAML, registra una nuova applicazione per la federazione delle identità della forza lavoro di Google Cloud.
Imposta il segmento di pubblico per le asserzioni SAML. Di solito è il campo
SP Entity ID
nella configurazione dell'IdP. Devi impostarlo sul seguente URL:https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Se prevedi di configurare l'accesso utente alla console, nell'IdP SAML imposta il campo URL di reindirizzamento o URL Assertion Consumer Service (ACS) sul seguente URL:
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Per ulteriori dettagli sulla configurazione dell'accesso alla console, consulta Configurare l'accesso degli utenti alla console.
In Google Cloud, crea un provider di pool di identità di forza lavoro SAML utilizzando il documento dei metadati SAML del tuo IdP. Puoi scaricare il documento XML dei metadati SAML dal tuo IdP. Il documento deve includere almeno quanto segue:
- Un ID entità SAML per il tuo IdP.
- L'URL Single Sign-On per l'IdP.
- Almeno una chiave pubblica di firma. Per informazioni dettagliate sulle chiavi di firma, consulta la sezione Requisiti delle chiavi più avanti in questa guida.
Console
Per configurare il provider SAML utilizzando la console Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Pool di identità del personale:
Nella tabella Pool di identità della forza lavoro, seleziona il pool per cui vuoi creare il provider.
Nella tabella Fornitori, fai clic su Aggiungi fornitore.
In Seleziona un protocollo, seleziona SAML.
In Crea un provider di pool, segui questi passaggi:
In Nome, inserisci un nome per il provider.
(Facoltativo) In Descrizione, inserisci una descrizione del fornitore.
In File di metadati IDP (XML), seleziona il file XML dei metadati che hai generato in precedenza in questa guida.
Assicurati che l'opzione Provider abilitato sia attivata.
Fai clic su Continua.
In Configura provider:
In Mappatura degli attributi, inserisci un'espressione CEL per
google.subject
.(Facoltativo) Per inserire altre mappature, fai clic su Aggiungi mappatura e inserisci altre mappature, ad esempio:
Questo esempio mappa gli attributi IdPgoogle.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]
assertion.subject
,assertion.attributes['https://example.com/aliases']
eassertion.attributes.costcenter[0]
agli attributi Google Cloudgoogle.subject
,google.groups
egoogle.costcenter
, rispettivamente.(Facoltativo) Per aggiungere una condizione dell'attributo, fai clic su Aggiungi condizione e inserisci un'espressione CEL che rappresenti una condizione dell'attributo. Ad esempio, per limitare l'attributo
ipaddr
a un determinato intervallo IP, puoi impostare la condizioneassertion.attributes.ipaddr.startsWith('98.11.12.')
. Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con98.11.12.
possano accedere utilizzando questo fornitore di personale.Fai clic su Continua.
Per creare il provider, fai clic su Invia.
gcloud
Per creare un provider di pool di identità di forza lavoro per l'integrazione dell'app Okta utilizzando il protocollo SAML, segui questi passaggi:
Per salvare i metadati SAML per la tua app Okta:
- Vai all'app Okta.
- Fai clic sulla scheda Accesso.
- Nella sezione Certificati di firma SAML, fai clic su Azioni > Visualizza metadati IdP per il certificato attivo.
- Nella nuova pagina visualizzata, copia i metadati XML.
- Salva i metadati come file XML locale.
Per creare un provider di forza lavoro per la tua app Okta, esegui il seguente comando:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --idp-metadata-path="XML_METADATA_PATH" \ --location="global"
Sostituisci quanto segue:
WORKFORCE_PROVIDER_ID
: l'ID fornitore di personale che hai creato in precedenza in questa guida.WORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoro creato in precedenza in questa guida.ATTRIBUTE_MAPPING
: una mappatura degli attributi, ad esempio: Questo esempio mappa gli attributi IdPgoogle.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]
assertion.subject
,assertion.attributes['https://example.com/aliases']
eassertion.attributes.costcenter[0]
agli attributi Google Cloudgoogle.subject
,google.groups
egoogle.costcenter
, rispettivamente.ATTRIBUTE_CONDITION
: un'condizione dell'attributo facoltativa. Ad esempio, per limitare l'attributoipaddr
a un determinato intervallo IP, puoi impostare la condizioneassertion.attributes.ipaddr.startsWith('98.11.12.')
. Questa condizione di esempio garantisce che solo gli utenti con un indirizzo IP che inizia con98.11.12.
possano accedere utilizzando questo fornitore di personale.XML_METADATA_PATH
: il percorso del file di metadati in formato XML per l'app Okta che hai creato in precedenza in questa guida.
Il prefisso
gcp-
è riservato e non può essere utilizzato in un pool di identità per la forza lavoro o nell'ID provider di pool di identità per la forza lavoro.(Facoltativo) Accetta le asserzioni SAML criptate dal tuo IdP
Per consentire al tuo provider di identità SAML 2.0 di produrre assert SAML criptate che possono essere accettate dalla federazione delle identità per la forza lavoro, svolgi i seguenti passaggi:
- Nella federazione delle identità per la forza lavoro, svolgi i seguenti passaggi:
- Crea una coppia di chiavi asimmetriche per il provider del pool di identità per la forza lavoro.
- Scarica un file del certificato contenente la chiave pubblica.
- Configura l'IdP SAML in modo che utilizzi la chiave pubblica per criptare le asserzioni SAML che emette.
- Nell'IdP:
- Attiva la crittografia delle asserzioni, nota anche come crittografia dei token.
- Carica la chiave pubblica che hai creato nella federazione delle identità per la forza lavoro.
- Verifica che il tuo IdP produca asserzioni SAML criptate.
Crea le chiavi di crittografia delle asserzioni SAML della federazione delle identità per la forza lavoro
Questa sezione illustra la procedura per creare una coppia di chiavi asimmetriche che consenta alla federazione delle identità del personale di accettare asserzioni SAML criptate.
Google Cloud utilizza la chiave privata per decriptare le asserzioni SAML emesse dall'IdP. Per creare una coppia di chiavi asimmetriche da utilizzare con la crittografia SAML, esegui il seguente comando. Per saperne di più, consulta Algoritmi di crittografia SAML supportati.
gcloud iam workforce-pools providers keys create KEY_ID \ --workforce-pool WORKFORCE_POOL_ID \ --provider WORKFORCE_PROVIDER_ID \ --location global \ --use encryption \ --spec KEY_SPECIFICATION
Sostituisci quanto segue:
KEY_ID
: un nome della chiave a tua sceltaWORKFORCE_POOL_ID
: l'ID poolWORKFORCE_PROVIDER_ID
: l'ID del provider del pool di identità della forza lavoro-
KEY_SPECIFICATION
: la specifica della chiave, che può esserersa-2048
,rsa-3072
ersa-4096
.
Dopo aver creato la coppia di chiavi, per scaricare la chiave pubblica in un file del certificato, esegui il seguente comando. Solo la federazione delle identità per la forza lavoro ha accesso alla chiave privata.
gcloud iam workforce-pools providers keys describe KEY_ID \ --workforce-pool WORKFORCE_POOL_ID \ --provider WORKFORCE_PROVIDER_ID \ --location global \ --format "value(keyData.key)" \ > CERTIFICATE_PATH
Sostituisci quanto segue:
KEY_ID
: il nome della chiaveWORKFORCE_POOL_ID
: l'ID poolWORKFORCE_PROVIDER_ID
: l'ID del provider del pool di identità della forza lavoroCERTIFICATE_PATH
: il percorso in cui scrivere il certificato, ad esempiosaml-certificate.cer
osaml-certificate.pem
Configurare l'IdP conforme a SAML 2.0 per emettere asserzioni SAML criptate
Per configurare Okta in modo che cripti le asserzioni SAML:
- Vai alla dashboard di Okta e accedi.
- Vai ad Applications (Applicazioni)>Applications (Applicazioni).
- Fai clic sulla tua app.
- Nella scheda Generale, nella sezione Impostazioni SAML, fai clic su Modifica.
- Fai clic su Avanti per visualizzare le Impostazioni SAML.
- Fai clic su Mostra impostazioni avanzate.
- In SAML Settings (Impostazioni SAML), svolgi i seguenti passaggi:
- In Risposta (opzione preferita) o Firma dell'affermazione, seleziona
Signed
. - In Signature Algorithm (Algoritmo di firma) e Digest Algorithm (Algoritmo di hashing), seleziona un'opzione.
- Imposta i seguenti valori:
- Crittografia delle asserzioni: criptata.
- Algoritmo di crittografia:qualsiasi algoritmo scelto.
- Encryption Certificate (Certificato di crittografia): carica il file del certificato generato in precedenza in questa guida.
- Per salvare la configurazione, fai clic su Avanti e poi su Fine.
Dopo aver configurato l'IdP per criptare le asserzioni SAML, ti consigliamo di verificare che le asserzioni generate siano effettivamente criptate. Anche se la crittografia delle asserzioni SAML è configurata, la federazione delle identità per la forza lavoro può comunque elaborare le asserzioni in chiaro.
Eliminare le chiavi di crittografia della federazione delle identità per la forza lavoro
Per eliminare le chiavi di crittografia SAML, esegui il seguente comando:gcloud iam workforce-pools providers keys delete KEY_ID \ --workforce-pool WORKFORCE_POOL_ID \ --provider WORKFORCE_PROVIDER_ID \ --location global
Sostituisci quanto segue:
KEY_ID
: il nome della chiaveWORKFORCE_POOL_ID
: l'ID poolWORKFORCE_PROVIDER_ID
: l'ID del provider del pool di identità della forza lavoro
Algoritmi di crittografia SAML supportati
La federazione delle identità per la forza lavoro supporta i seguenti algoritmi di trasporto principali:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
- http://www.w3.org/2009/xmlenc11#rsa-oaep"
- http://www.w3.org/2001/04/xmlenc#rsa-1_5"
La federazione delle identità per la forza lavoro supporta i seguenti algoritmi di crittografia a blocchi:
Gestire l'accesso alle risorse Google Cloud
Questa sezione fornisce un esempio che mostra come gestire l'accesso alle risorse Google Cloud da parte degli utenti di Workforce Identity Federation.
In questo esempio, concedi un ruolo IAM (Identity and Access Management) a un progetto di esempio. Gli utenti possono quindi accedere e utilizzare questo progetto per accedere ai prodotti Google Cloud.
Puoi gestire i ruoli IAM per singole identità, gruppi di identità o un intero pool. Per ulteriori informazioni, consulta Rappresentare gli utenti del pool di identità per la forza lavoro nei criteri IAM.
Per una singola identità
Per concedere il ruolo Amministratore archiviazione (roles/storage.admin
) a una singola identità per il progetto TEST_PROJECT_ID
, esegui il seguente comando:
gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
--role="roles/storage.admin" \
--member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"
Sostituisci quanto segue:
TEST_PROJECT_ID
: l'ID del progettoWORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoroSUBJECT_VALUE
: l'identità utente
Utilizzo dell'attributo reparto mappato
Per concedere il ruolo Amministratore Storage (roles/storage.admin
) a tutte le identità all'interno di un reparto specifico per il progetto TEST_PROJECT_ID
, esegui il seguente comando:
gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
--role="roles/storage.admin" \
--member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"
Sostituisci quanto segue:
TEST_PROJECT_ID
: l'ID del progettoWORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoroDEPARTMENT_VALUE
: il valoreattribute.department
mappato
Utilizzare i gruppi mappati
Per concedere il ruolo Amministratore Storage (roles/storage.admin
) a tutte le identità all'interno di un gruppo specifico per il progetto TEST_PROJECT_ID
, esegui il seguente comando:
gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
--role="roles/storage.admin" \
--member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Sostituisci quanto segue:
TEST_PROJECT_ID
: l'ID del progettoWORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoroGROUP_ID
: un gruppo nell'attestazionegoogle.groups
mappata.
Accedi e testa l'accesso
In questa sezione, accedi come utente del pool di identità della forza lavoro e verifica di avere accesso a un prodotto Google Cloud.
Accedi
Questa sezione mostra come accedere come utente federato e accedere alle risorse di Google Cloud.
Accesso alla console (federata)
Per accedere alla console della federazione delle identità per la forza lavoro di Google Cloud, nota anche come console (federata), segui questi passaggi:
-
Vai alla pagina di accesso alla console (federata).
-
Inserisci il nome del fornitore, che ha il seguente formato:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
- Inserisci le credenziali utente nell'integrazione dell'app Okta, se richiesto.
Se avvii un accesso avviato dall'IdP, utilizza il seguente URL in Impostazioni
SAML per il parametro nidificato RelayState predefinito:
https://console.cloud.google/
.
Accesso basato su browser all'interfaccia a riga di comando gcloud
Per accedere a gcloud CLI utilizzando un flusso di accesso basato su browser, segui questi passaggi:
Creare un file di configurazione
Per creare il file di configurazione di accesso, esegui il seguente comando. Facoltativamente, puoi attivare il file come predefinito per gcloud CLI utilizzando il flag --activate
.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE
Sostituisci quanto segue:
-
WORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoro -
WORKFORCE_PROVIDER_ID
: l'ID del provider del pool di identità della forza lavoro LOGIN_CONFIG_FILE
: un percorso al file di configurazione di accesso specificato, ad esempiologin.json
Il file contiene gli endpoint utilizzati dalla gcloud CLI per attivare il flusso di autenticazione basato sul browser e impostare il segmento di pubblico sull'IdP configurato nel provider del pool di identità della forza lavoro. Il file non contiene informazioni riservate.
L'output è simile al seguente:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect", }
Accedere utilizzando l'autenticazione basata sul browser
Per eseguire l'autenticazione utilizzando l'autenticazione di accesso basata sul browser, puoi utilizzare uno dei seguenti metodi:
-
Se hai utilizzato il flag
--activate
quando hai creato il file di configurazione o se lo hai attivato congcloud config set auth/login_config_file
, la gcloud CLI lo utilizza automaticamente:gcloud auth login
-
Per accedere specificando la posizione del file di configurazione, esegui il seguente comando:
gcloud auth login --login-config=LOGIN_CONFIG_FILE
-
Per utilizzare una variabile di ambiente per specificare la posizione del file di configurazione, imposta
CLOUDSDK_AUTH_LOGIN_CONFIG_FILE
sul percorso di configurazione.
Disattivare l'accesso tramite browser
Per interrompere l'utilizzo del file di configurazione dell'accesso:
-
Se hai utilizzato il flag
--activate
quando hai creato il file di configurazione o se lo hai attivato congcloud config set auth/login_config_file
, devi eseguire il seguente comando per reimpostarlo:gcloud config unset auth/login_config_file
-
Cancella la variabile di ambiente
CLOUDSDK_AUTH_LOGIN_CONFIG_FILE
, se impostata.
Accesso headless all'interfaccia a riga di comando gcloud CLI
Per accedere a gcloud CLI utilizzando un flusso headless:
OIDC
Accedi con un utente alla tua app Okta e ricevi il token OIDC da Okta.
Salva il token OIDC restituito da Okta in una posizione sicura sul tuo computer locale.
Per generare un file di configurazione come l'esempio riportato di seguito in questo passaggio, esegui il seguente comando:
gcloud iam workforce-pools create-cred-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --subject-token-type="urn:ietf:params:oauth:token-type:id_token" \ --credential-source-file="PATH_TO_OIDC_ID_TOKEN" \ --workforce-pool-user-project="WORKFORCE_POOL_USER_PROJECT" \ --output-file="config.json"
Sostituisci quanto segue:
WORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoroWORKFORCE_PROVIDER_ID
: l'ID providerPATH_TO_OIDC_TOKEN
: il percorso del file delle credenziali dell'identità OIDCWORKFORCE_POOL_USER_PROJECT
: il numero del progetto associato al progetto utente dei pool di forze lavoro
L'entità deve disporre dell'autorizzazione serviceusage.services.use
per questo progetto.
Quando esegui il comando, viene generato un file di configurazione dell'IdP OIDC con un formato simile al seguente:
{
"type": "external_account",
"audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
"subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
"token_url": "https://sts.googleapis.com/v1/token",
"workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
"credential_source": {
"file": "PATH_TO_OIDC_CREDENTIALS_FILE"
}
}
SAML
Accedi con un utente alla tua app Okta e ricevi la risposta SAML da Okta.
Salva la risposta SAML restituita da Okta in una posizione sicura sul tuo computer locale, quindi memorizza il percorso come segue:
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
Per generare un file di configurazione, esegui il seguente comando:
gcloud iam workforce-pools create-cred-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --subject-token-type="urn:ietf:params:oauth:token-type:saml2" \ --credential-source-file="SAML_ASSERTION_PATH" \ --workforce-pool-user-project="PROJECT_ID" \ --output-file="config.json"
Sostituisci quanto segue:
WORKFORCE_PROVIDER_ID
: l'ID fornitore della forza lavoro che hai creato in precedenza in questa guida.WORKFORCE_POOL_ID
: l'ID del pool di identità della forza lavoro creato in precedenza in questa guida.SAML_ASSERTION_PATH
: il percorso del file di asserzione SAML.PROJECT_ID
: l'ID progetto
Il file di configurazione generato è simile al seguente:
{ "type": "external_account", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "subject_token_type": "urn:ietf:params:oauth:token-type:saml2", "token_url": "https://sts.googleapis.com/v1/token", "credential_source": { "file": "SAML_ASSERTION_PATH" }, "workforce_pool_user_project": "PROJECT_ID" }
Per accedere a gcloud
utilizzando lo scambio di token, esegui il seguente comando:
gcloud auth login --cred-file="config.json"
gcloud
scambia poi in modo trasparente le tue credenziali Okta con token di accesso temporanei di Google Cloud, consentendoti di effettuare altre chiamate gcloud
a Google Cloud.
Viene visualizzato un output simile al seguente:
Authenticated with external account user credentials for: [principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID
/subject/USER_ID
].
Per elencare gli account con credenziali e l'account attualmente attivo, esegui il seguente comando:
gcloud auth list
Controlla l'accesso
Ora hai accesso ai servizi Google Cloud che supportano la federazione delle identità per la forza lavoro e a cui ti è stato concesso l'accesso. In precedenza in questa guida hai concesso il ruolo Amministratore archiviazione (roles/storage.admin
) a tutte le identità di un reparto specifico per il progetto TEST_PROJECT_ID
. Ora puoi verificare di avere accesso elencando i bucket Cloud Storage.
Console (federata)
Per elencare i bucket Cloud Storage utilizzando la console (federata), segui questi passaggi:
- Vai alla pagina Cloud Storage.
- Verifica di poter vedere l'elenco dei bucket esistenti per
TEST_PROJECT_ID
Interfaccia a riga di comando gcloud
Per elencare i bucket e gli oggetti Cloud Storage per il progetto a cui hai accesso, esegui il seguente comando:
gcloud storage ls --project="TEST_PROJECT_ID"
L'entità deve disporre dell'autorizzazione serviceusage.services.use
per il progetto specificato.
Eliminare utenti
La federazione delle identità della forza lavoro crea risorse e metadati utente per le identità utente federate. Se scegli di eliminare gli utenti, ad esempio nel tuo provider di identità, devi eliminare esplicitamente anche queste risorse in Google Cloud. Per farlo, consulta Eliminare gli utenti e i relativi dati di Workforce Identity Federation.
Potresti notare che le risorse continuano ad essere associate a un utente che è stato eliminato. Questo perché l'eliminazione dei metadati e delle risorse utente richiede un'operazione di lunga durata. Dopo aver avviato l'eliminazione dell'identità di un utente, i processi avviati dall'utente prima dell'eliminazione possono continuare a essere eseguiti fino al loro completamento o all'annullamento.
Passaggi successivi
- Eliminare gli utenti di Workforce Identity Federation e i relativi dati
- Scopri quali prodotti Google Cloud supportano la federazione delle identità della forza lavoro
- Configurare l'accesso degli utenti alla console (federata)