Configurare la federazione delle identità per i carichi di lavoro con Active Directory

Questa guida descrive come utilizzare la federazione delle identità dei carichi di lavoro per consentire ai carichi di lavoro di utilizzare le credenziali di Active Directory per autenticarsi su Google Cloud.

Se esegui carichi di lavoro Windows Server in un ambiente Active Directory, questi carichi di lavoro potrebbero avere accesso alle credenziali di Active Directory. Ad esempio:

  • È possibile che un servizio Windows sia configurato per accedere come utente di dominio.
  • Un'applicazione IIS potrebbe essere configurata per essere eseguita come servizio gestito di gruppo dell'account di servizio (gMSA).

Utilizzando la federazione delle identità per i carichi di lavoro in combinazione con Active Directory Federation Services (AD FS), puoi consentire a questi carichi di lavoro di scambiare le credenziali Kerberos di Active Directory con credenziali Google Cloud di breve durata. I carichi di lavoro possono utilizzare queste credenziali di breve durata per accedere a Google Cloud su quelle di livello inferiore.

Scambio delle credenziali di Active Directory con Google Cloud di breve durata le credenziali funzionano collegando due scambi di token:

  1. Un carico di lavoro utilizza OpenID Connect (OIDC), SAML-POST o WS-Trust per richiedere un token OIDC o un'affermazione SAML da AD FS. Per autenticarsi ad AD FS, il workload utilizza l'autenticazione Windows integrata (IWA) e le credenziali Active Directory esistenti.
  2. Il carico di lavoro utilizza quindi la federazione delle identità per i carichi di lavoro per scambiare il file OIDC o asserzione SAML rispetto a un token di servizio Security Token e, facoltativamente, a si tratta di un account di servizio Google Cloud.

Questo documento mostra come automatizzare questa procedura in modo da non richiedere modifiche all'applicazione utilizzando Workload Authenticator per Windows.

prepara AD FS

Dovrai eseguire questi passaggi una sola volta.

Seleziona un protocollo

Il modo in cui preparare AD FS dipende dal protocollo che vuoi utilizzare:

  • SAML: puoi consentire ai carichi di lavoro di utilizzare SAML o WS-Trust per ottenere le asserzioni SAML.

    Per utilizzare SAML o WS-Trust, devi creare una parte base in AD FS e configurare un pool di identità per i carichi di lavoro per considerare attendibili le asserzioni emesse per questo la parte coinvolta.

    Un carico di lavoro può utilizzare il proprio utente Active Directory per autenticarsi in AD FS utilizzando la specifica di associazione SAML-POST o WS-Trust. AD FS emette quindi un SAML asserzione che contiene informazioni sull'Active Directory del carico di lavoro utente e informazioni aggiuntive come le iscrizioni ai gruppi.

    L'utilizzo di SAML o WS-Trust richiede AD FS 3.0, AD FS per Windows Server 2016 o una versione più recente di AD FS.

  • OIDC: puoi consentire ai carichi di lavoro di utilizzare OIDC per ottenere token OIDC.

    Per utilizzare OIDC, devi creare un client OIDC (applicazione nativa) e una risorsa OIDC (API web) in AD FS. Poi, configura un pool Workload Identity per considerare attendibili i token di accesso emessi per l'API web.

    Un carico di lavoro può utilizzare il proprio utente Active Directory e la concessione OAuth client_credentials per autenticarsi in AD FS. AD FS emette quindi un token di accesso, ma nessun token di identità.

    Il token di accesso contiene informazioni sull'applicazione client OIDC, ma non include informazioni sull'utente Active Directory del carico di lavoro o sui relativi gruppi di appartenenza.

    Poiché i token di accesso non contengono informazioni sull'utente Active Directory, l'utilizzo di OIDC può essere meno flessibile rispetto all'utilizzo di SAML o WS-Trust.

    L'utilizzo di OIDC richiede AD FS per Windows Server 2016 o versioni successive di AD FS.

Per l'accesso, l'IdP deve fornire le informazioni di autenticazione firmata: Gli IdP OIDC devono fornire un JWT e le risposte agli IdP SAML devono essere firmate.

Prerequisiti IWA

Questa sezione descrive i prerequisiti IWA necessari per utilizzare questa guida.

Se non hai mai utilizzato l'autenticazione IWA con AD FS, assicurati di soddisfare i seguenti prerequisiti:

Registra il carico di lavoro

Per registrare il carico di lavoro in AD FS, segui questi passaggi:

OIDC

Per consentire ai carichi di lavoro di utilizzare OIDC, sono necessari due registrazioni di applicazioni in AD FS:

  • Una registrazione dell'applicazione di tipo applicazione nativa o applicazione server.

  • Una registrazione dell'applicazione di tipo API web che corrisponde a un fornitore di pool di identità di carico di lavoro su Google Cloud.

Registrazione dell'applicazione client

Crea un'applicazione client che rappresenti il carico di lavoro. Se disponi più carichi di lavoro che richiedono l'accesso a Google Cloud, per creare più applicazioni client.

Per registrare un'applicazione client in AD FS:

  1. Apri lo snapshot MMC di AD FS e vai a Gruppi di applicazioni.
  2. Fai clic su Aggiungi gruppo di applicazioni.

  3. Nella pagina Ti diamo il benvenuto, segui questi passaggi:

    1. Nel campo di testo, inserisci un nome per il cliente.
    2. Seleziona Applicazione server.
    3. Fai clic su Avanti.

  4. Nella pagina Applicazione server, segui questi passaggi:

    1. Nel campo di testo del campo di testo, inserisci un identificatore cliente. (ID client) e un URI di reindirizzamento.

      Se prevedi di utilizzare solo il tipo di autorizzazione client_credentials, l'URI di reindirizzamento non verrà utilizzato e puoi utilizzare un URI come http://localhost/.

    2. Fai clic su Avanti.

  5. Nella pagina Configura le credenziali dell'applicazione, segui questi passaggi:

    1. Scegli la modalità di autenticazione del client. Per utilizzare IWA, imposta Autenticazione integrata di Windows su attivata.
    2. Seleziona l'utente di dominio con cui è configurata l'esecuzione dell'applicazione.
    3. Fai clic su Avanti.

  6. Nella pagina Riepilogo, esamina le impostazioni e fai clic su Avanti.

  7. Fai clic su Chiudi per chiudere la finestra di dialogo.

Creazione di un'applicazione API web per il pool Workload Identity

Crea un'altra registrazione dell'applicazione di tipo API web. Questo corrisponde a un provider di pool di identità per i carichi di lavoro e la usi per configurare una relazione di fiducia con Google Cloud.

Per creare l'applicazione in AD FS:

  1. Apri lo snapshot MMC di AD FS e vai a Gruppi di applicazioni.
  2. Fai clic su Aggiungi gruppo di applicazioni.
  3. Nella pagina di benvenuto, inserisci un nome, ad esempio Workload Identity Federation (test environment) e seleziona API web. Quindi, fai clic su Avanti.

  4. Nella pagina Configura API web, inserisci un identificatore della terza parte di destinazione per l'API web.

    Anziché definire un identificatore personalizzato del componente, puoi utilizzare il parametro seguente URI come identificatore parte utilizzante:

    https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/WORKLOAD_POOL_ID/providers/PROVIDER_ID

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero di progetto del progetto Google Cloud che utilizzi per creare il pool di identità di carico di lavoro.
    • WORKLOAD_POOL_ID: un ID a tua scelta che il pool di identità per i carichi di lavoro. Devi utilizzare lo stesso ID quando crei il pool di identità di carico di lavoro in un secondo momento.
    • PROVIDER_ID: un ID a tua scelta che identifica il provider del pool di identità per i carichi di lavoro. Devi utilizzare lo stesso ID quando crei il provider del pool di identità di carico di lavoro in un secondo momento.

    La formattazione dell'URI in questo modo garantisce che l'identificatore della terza parte di cui ci si serve identifichi in modo univoco un provider del pool di identità per i carichi di lavoro.

    L'identificatore della parte di base ti servirà in un secondo momento, durante la configurazione provider di pool di identità per i carichi di lavoro.

  5. Fai clic su Avanti.

  6. Nella pagina Applica criterio di controllo dell'accesso, seleziona un criterio appropriato criteri di accesso, e poi fai clic su Avanti.

  7. Nella pagina Configura autorizzazioni applicazione, aggiungi l'applicazione client che hai creato in precedenza. Quindi, fai clic su Avanti.

  8. Nella pagina Riepilogo, esamina le impostazioni e fai clic su Avanti.

  9. Fai clic su Chiudi per chiudere la finestra di dialogo.

SAML o WS-Trust

Crea un'attendibilità del componente in AD FS:

  1. Apri lo snapshot MMC di AD FS.
  2. Vai ad Componenti attendibili.
  3. Fai clic su Aggiungi attendibilità del componente.
  4. Nella pagina Benvenuto della procedura guidata Aggiungi attendibilità del componente, segui questi passaggi:
    1. Seleziona Conoscenza delle rivendicazioni.
    2. Fai clic su Avvia.
  5. Nella pagina Seleziona origine dati:
    1. Seleziona Inserisci manualmente i dati sulla parte di base.
    2. Fai clic su Avanti.

  6. Nella pagina Specifica il nome visualizzato, procedi nel seguente modo:

    1. Inserisci un nome per la attendibilità.
    2. Fai clic su Avanti.

  7. Nella pagina Configura certificato, fai clic su Avanti. Mentre La federazione delle identità per i carichi di lavoro supporta SAML criptato, non descritti in questa procedura. Per saperne di più, consulta le istruzioni della gcloud CLI in Creare il pool di identità e il provider, più avanti in questa guida.

  8. Nella pagina Configura URL, segui questi passaggi:

    SAML

    Utilizza le seguenti impostazioni:

    • Imposta Attiva il supporto del protocollo WebSSO SAML 2.0 su enabled

    • Nel campo Relying party SAML 2.0 SSO service URL (URL del servizio SSO SAML 2.0 della terza parte attendibile), inserisci il seguente URL:

      https://sts.googleapis.com/v1/token

    WS-Trust

    Mantieni le impostazioni predefinite

  9. Fai clic su Avanti.

  10. Nella pagina Configura identificatori, inserisci un identificatore della terza parte di cui ti fidi.

    Anziché definire un identificatore personalizzato, puoi utilizzare il seguente URI come identificatore parte utilizzante:

    https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/WORKLOAD_POOL_ID/providers/PROVIDER_ID

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero di progetto del progetto Google Cloud che utilizzi per creare il pool di identità di carico di lavoro.
    • WORKLOAD_POOL_ID: un ID a tua scelta che il pool di identità per i carichi di lavoro. Devi utilizzare lo stesso ID quando crei il pool di identità di carico di lavoro in un secondo momento.
    • PROVIDER_ID: un ID a tua scelta che identifica il provider del pool di identità per i carichi di lavoro. Devi utilizzare lo stesso ID quando creerai in seguito il provider del pool di identità per i carichi di lavoro.

    La formattazione dell'URI in questo modo garantisce che l'identificatore della parte coinvolta identifica in modo univoco un provider di pool di identità per i carichi di lavoro.

    L'identificatore della parte di base ti servirà in un secondo momento, durante la configurazione provider di pool di identità per i carichi di lavoro.

  11. Fai clic su Avanti.

  12. Nella pagina Scegli il criterio di controllo dell'accesso, seleziona un criterio appropriato criterio di controllo dell'accesso, e poi fai clic su Avanti.

  13. Nella pagina È possibile aggiungere l'attendibilità, rivedi le impostazioni e fai clic su Avanti.

  14. Nella pagina Fine, fai clic su Chiudi per chiudere la finestra di dialogo.

Per essere compatibili con la federazione delle identità per i carichi di lavoro, le asserzioni SAML devono contenere almeno una rivendicazione che identifica in modo univoco l'utente di Active Directory. Di solito, utilizzi l'attestazione Name ID (ID nome), che corrisponde al valore di l'elemento NameID nell'asserzione SAML.

Per personalizzare l'insieme di attestazioni dell'asserzione SAML, devi modificare il sulla base delle norme di emissione delle rivendicazioni della parte fiduciaria. Per modificare il criterio di emissione dei reclami:

  1. Nell'elenco delle relazioni di attendibilità delle parti attendibili, seleziona quella che hai appena creato e fai clic su Modifica criteri di emissione dei reclami.
  2. Fai clic su Aggiungi regola.
  3. Nella pagina Scegli il tipo di regola di Aggiungi regola di attestazione della trasformazione segui questi passaggi:
    1. Seleziona Trasforma una richiesta in arrivo.
    2. Fai clic su Avanti.

  4. Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:

    • Nome regola di rivendicazione: Name Identifier.
    • Tipo di rivendicazione in entrata: seleziona SID principale, UPN o diverse affermazioni per identificare in modo univoco il soggetto.
    • Tipo di attestazione in uscita: ID nome.
    • Formato ID nome in uscita: Unspecified (Non specificato).

  5. Seleziona Trasmetti tutti i valori della rivendicazione e fai clic su Fine.

  6. Facoltativamente, configura regole aggiuntive. per includere altri attributi nelle asserzioni SAML.

  7. Fai clic su OK per chiudere la finestra di dialogo delle norme relative all'emissione dei risarcimenti.

Configura la federazione delle identità per i carichi di lavoro

Devi eseguire questi passaggi una sola volta per ogni tenant Microsoft Entra ID o account AWS con cui vuoi eseguire la federazione. Puoi quindi utilizzare la stessa Workload Identity e provider per più carichi di lavoro e su più piattaforme Google Cloud in modo programmatico a gestire i progetti.

Per iniziare a configurare la federazione delle identità per i carichi di lavoro, segui questi passaggi:

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

    2. È meglio usa un progetto dedicato per gestire i provider e i pool di identità per i carichi di lavoro.

  2. Make sure that billing is enabled for your Google Cloud project.

    3. Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

    Enable the APIs

Definisci una mappatura e una condizione degli attributi

Le credenziali specifiche dell'ambiente del carico di lavoro AWS o Azure contengono più attributi e devi decidere quale attributo utilizzare come identificatore del soggetto (google.subject) in Google Cloud.

Facoltativamente, puoi mappare attributi aggiuntivi. Puoi quindi fare riferimento a questi attributi aggiuntivi quando concedi l'accesso a Google Cloud.

OIDC

Le mappature degli attributi possono utilizzare dichiarazioni incorporate nei token di accesso AD FS come attributi di origine.

Per autenticare un'applicazione, puoi utilizzare la seguente mappatura degli attributi:

google.subject=assertion.appid

Questa mappatura imposta google.subject sul valore dell'attributo appid, che contiene l'ID client dell'applicazione AD FS.

SAML o WS-Trust

Le mappature degli attributi possono utilizzare i claim incorporati nell'affermazione rilasciata da AD FS, come descritto in precedenza in questa guida.

Utilizza la seguente mappatura per consentire a Workload Identity Federation di utilizzare l'affermazione ID nome dell'affermazione SAML per identificare in modo univoco l'utente:

google.subject=assertion.subject

Se hai configurato il criterio di emissione dei claim in modo da includere altri claim nelle asserzioni SAML, puoi aggiungere altre mappature. Ad esempio:

google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid']
attribute.userip=['http://schemas.microsoft.com/2014/09/requestcontext/claims/userip'][0]

(Facoltativo) Definisci una condizione dell'attributo. Le condizioni degli attributi sono espressioni CEL che possono controllare gli attributi di asserzione e gli attributi target. Se la condizione dell'attributo ha valore true per una determinata credenziale, la credenziale viene accettata. In caso contrario, le credenziali vengono rifiutate.

OIDC

Puoi utilizzare una condizione dell'attributo per limitare i client puoi utilizzare la federazione delle identità per i carichi di lavoro per ottenere di token di Google Cloud.

Ad esempio, la seguente condizione definisce che le applicazioni devono utilizzare IWA per l'autenticazione in AD FS:

assertion.authmethod=='http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows'

Per controllare l'elenco delle applicazioni che possono ottenere credenziali di breve durata per Google Cloud, non definire condizioni degli attributi. Utilizza invece le autorizzazioni client in AD FS per definire le applicazioni consentite.

SAML o WS-Trust

Puoi utilizzare una condizione dell'attributo per limitare gli utenti di Active Directory puoi utilizzare la federazione delle identità per i carichi di lavoro per ottenere di token di Google Cloud.

Ad esempio, la seguente condizione consente solo le asserzioni SAML che includono un determinato claim di appartenenza al gruppo:

"S-1-5-6" in google.groups

Crea il pool di identità per i carichi di lavoro e il provider

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare la federazione delle identità per i carichi di lavoro, chiedi all'amministratore di concederti seguenti ruoli IAM sul progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

In alternativa, il ruolo di base Proprietario IAM (roles/owner) include anche le autorizzazioni per configurare la federazione delle identità. Non dovresti concedere ruoli di base in un ambiente di produzione, ma puoi farlo in un ambiente di sviluppo o di test.

Console

  1. Nella console Google Cloud, vai alla Pagina Nuovo provider e pool di carichi di lavoro.

    Vai a Nuovo provider e pool di carichi di lavoro

  2. In Crea un pool di identità, inserisci quanto segue:

    • Nome: nome del pool. Il nome viene utilizzato anche come ID pool. Non potrai modificare l'ID pool in un secondo momento.
    • Descrizione: il testo che descrive lo scopo del pool.

  3. Fai clic su Continua.

  4. Configura le impostazioni del provider:

    OIDC

    • Seleziona un provider: OpenID Connect (OIDC).
    • Nome provider: il nome del provider. Il nome è anche utilizzato come ID provider. Non puoi modificare l'ID provider in un secondo momento.
    • URL emittente: https://ADFS_DOMAIN/adfs dove ADFS_DOMAIN è il dominio pubblico del server o della farm AD FS.

    SAML

    Per configurare la federazione delle identità per i carichi di lavoro da un servizio SAML 2.0 compatibile, puoi utilizzare gcloud CLI istruzioni.

  5. Fai clic su Continua.

  6. In Configura attributi del provider, aggiungi le mappature degli attributi che hai identificato in precedenza.

  7. In Condizioni degli attributi, inserisci condizione dell'attributo identificata in precedenza. Lascia vuoto il campo se non hai una condizione dell'attributo.

  8. Fai clic su Salva per creare il pool di identità e il provider per i carichi di lavoro.

gcloud

  1. Crea un nuovo pool di identità per i carichi di lavoro:

    gcloud iam workload-identity-pools create WORKLOAD_POOL_ID \
    --location="global" \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"

    Sostituisci quanto segue:

    • WORKLOAD_POOL_ID: ID univoco per il pool.
    • DISPLAY_NAME: nome del pool.
    • DESCRIPTION: descrizione del pool. Questa descrizione viene visualizzata quando si concede l'accesso alle identità dei pool.

  2. Aggiungi un provider di pool di identità di Workload Identity:

    OIDC 

    gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID \
    --location="global" \
    --workload-identity-pool="WORKLOAD_POOL_ID" \
    --issuer-uri="https://ADFS_DOMAIN/adfs" \
    --allowed-audiences="RELYING_PARTY_ID" \
    --attribute-mapping="MAPPINGS" \
    --attribute-condition="CONDITIONS"

    Sostituisci quanto segue:

    Il prefisso gcp- è riservato e non può essere utilizzato in un pool o nell'ID provider.

    SAML o WS-Trust 

    curl -O https://ADFS_DOMAIN/federationmetadata/2007-06/federationmetadata.xml

gcloud iam workload-identity-pools providers create-saml PROVIDER_ID \
    --location="global" \
    --workload-identity-pool="POOL_ID" \
    --idp-metadata-path="federationmetadata.xml" \
    --attribute-mapping="MAPPINGS" \
    --attribute-condition="CONDITIONS"

    Sostituisci quanto segue:

    Il prefisso gcp- è riservato e non può essere utilizzato in un pool o nell'ID provider.

    Esempio:

    gcloud iam workload-identity-pools providers create-saml example-provider \
    --location="global" \
    --workload-identity-pool="pool-1" \
    --idp-metadata-path="federationmetadata.xml" \
    --attribute-mapping=google.subject=assertion.subject"

    (Facoltativo) Accetta le asserzioni SAML criptate dal tuo IdP

    Abilitare l'IdP SAML 2.0 per produrre dati SAML criptati che possono essere accettate dalla federazione delle identità per i carichi di lavoro, segui questi passaggi:

    • Nella federazione delle identità per i carichi di lavoro, segui questi passaggi:
      • Crea una coppia di chiavi asimmetriche per il provider del pool di identità del carico di lavoro.
      • Scarica un file di certificato contenente la chiave pubblica.
      • Configura l'IdP SAML in modo che utilizzi la chiave pubblica per criptare le asserzioni SAML che emettono.
    • Nell'IdP:
      • Attiva la crittografia delle asserzioni, nota anche come crittografia dei token.
      • Carica la chiave pubblica che hai creato nella federazione delle identità per i carichi di lavoro.
      • Verifica che l'IdP generi asserzioni SAML criptate.
    Tieni presente che, anche se sono configurate le chiavi del provider di crittografia SAML, la federazione delle identità per i carichi di lavoro può comunque elaborare un'asserzione in testo non crittografato.

    Crea le chiavi di crittografia dell'affermazione SAML per la federazione delle identità per i carichi di lavoro

    Questa sezione descrive la procedura per creare una coppia di chiavi asimmetriche che consenta alla federazione delle identità per i carichi di lavoro di accettare asserzioni SAML criptate.

    Google Cloud utilizza la chiave privata per decriptare le asserzioni SAML emesse dal tuo IdP. Per creare una coppia di chiavi asimmetriche da utilizzare con la crittografia SAML, esegui il seguente comando. Per saperne di più, consulta Algoritmi di crittografia SAML supportati. 

    gcloud iam workload-identity-pools providers keys create KEY_ID \
    --workload-identity-pool WORKLOAD_POOL_ID \
    --provider PROVIDER_ID \
    --location global \
    --use encryption \
    --spec KEY_SPECIFICATION

    Sostituisci quanto segue:

    • KEY_ID: un nome della chiave a tua scelta
    • WORKLOAD_POOL_ID: l'ID pool
    • PROVIDER_ID: l'ID provider
    • KEY_SPECIFICATION: la specifica della chiave, che può essere rsa-2048, rsa-3072 e rsa-4096.

    Dopo aver creato la coppia di chiavi, scarica la chiave pubblica in un certificato esegui questo comando. Solo la federazione delle identità per i carichi di lavoro ha accesso alla chiave privata. 

    gcloud iam workload-identity-pools providers keys describe KEY_ID \
    --workload-identity-pool WORKLOAD_POOL_ID \
    --provider PROVIDER_ID \
    --location global \
    --format "value(keyData.key)" \
    > CERTIFICATE_PATH

    Sostituisci quanto segue:

    • KEY_ID: il nome della chiave
    • WORKLOAD_POOL_ID: l'ID pool
    • PROVIDER_ID: l'ID provider
    • CERTIFICATE_PATH: il percorso in cui scrivere il certificato, ad esempio saml-certificate.cer o saml-certificate.pem

    Configura l'IdP compatibile con SAML 2.0 per emettere le asserzioni SAML criptate

    1. Sposta il file del certificato nel server AD FS.
    2. Sul server AD FS, fai clic con il tasto destro del mouse sul pulsante Avvio (o premi Win+X) e poi su Windows PowerShell (Amministrazione).
    3. In PowerShell, esegui il seguente comando per attivare la crittografia: 
              Set-AdfsRelyingPartyTrust `
        -TargetName NAME `
        -SamlResponseSignature MessageAndAssertion `
        -EncryptionCertificate PATH `
        -EncryptClaims $True

      Sostituisci quanto segue:

      • NAME: il nome della attendibilità della terza parte di cui ti fidi
      • PATH: il percorso del file del certificato

    Utenti WS-Trust: questa funzionalità è disponibile solo se utilizzi SAML.

    Dopo aver configurato l'IdP per criptare le asserzioni SAML, ti consigliamo di verificare che le asserzioni generate siano effettivamente criptate. Anche con la crittografia delle asserzioni SAML configurata, la federazione delle identità per i carichi di lavoro può comunque elaborare le asserzioni in chiaro.

    Elimina le chiavi di crittografia della federazione delle identità per i carichi di lavoro

    Per eliminare le chiavi di crittografia SAML, esegui questo comando: 
      gcloud iam workload-identity-pools providers keys delete KEY_ID \
      --workload-identity-pool WORKLOAD_POOL_ID \
      --provider PROVIDER_ID \
      --location global

    Sostituisci quanto segue:

    • KEY_ID: il nome della chiave
    • WORKLOAD_POOL_ID: l'ID pool
    • PROVIDER_ID: l'ID provider

    Algoritmi di crittografia SAML supportati

    La federazione delle identità per i carichi di lavoro supporta i seguenti algoritmi di trasporto principali:

    La federazione delle identità per i carichi di lavoro supporta i seguenti algoritmi di crittografia a blocchi:

(Facoltativo) Attiva la crittografia SAML

Le asserzioni SAML emesse da AD FS sono firmate tramite crittografia e scambiate tramite un canale TLS criptato. Tuttavia, le assertivi SAML stesse non sono criptate. Utilizzando la crittografia SAML, puoi configurare AD FS per criptare le asserzioni in modo che possano essere decriptate e lette solo dal pool di identità del tuo carico di lavoro.

OIDC

Questa funzionalità è disponibile soltanto quando utilizzi SAML.

SAML o WS-Trust

  1. Crea una chiave di crittografia per il provider del pool di identità per i carichi di lavoro:

    gcloud iam workload-identity-pools providers keys create rsa2048 \
    --workload-identity-pool=POOL_ID \
    --provider=PROVIDER_ID \
    --location=global \
    --use=ENCRYPTION \
    --spec=RSA_2048

    Sostituisci quanto segue:

    • PROVIDER_ID: l'ID del fornitore.
    • POOL_ID: l'ID del pool.

    La coppia di chiavi viene archiviata e gestita dalla federazione delle identità per i carichi di lavoro. Puoi esportare la chiave pubblica, ma solo Workload Identity Federation può accedere alla chiave privata.

  2. Esporta un certificato contenente la chiave pubblica:

    gcloud iam workload-identity-pools providers keys describe rsa2048 \
    --workload-identity-pool=POOL_ID \
    --provider=PROVIDER_ID \
    --location=global \
    --format="value(keyData.key)" > workload-identity-federation.cer

  3. Sposta il file del certificato nel server AD FS.

  4. Sul server AD FS, fai clic con il tasto destro del mouse su Avvia, quindi su Windows PowerShell (Amministratore).

  5. In PowerShell, modificare l’attendibilità della parte coinvolta in modo che utilizzi la crittografia:

    Set-AdfsRelyingPartyTrust `
  -TargetName NAME `
  -SamlResponseSignature MessageAndAssertion `
  -EncryptionCertificate PATH `
  -EncryptClaims $True

    Sostituisci quanto segue:

    • NAME: il nome della tua attendibilità
    • PATH: il percorso del file del certificato

Autentica un carico di lavoro

Devi eseguire questi passaggi una volta per carico di lavoro.

Consenti al tuo carico di lavoro esterno di accedere alle risorse Google Cloud

Per fornire al tuo carico di lavoro l'accesso alle risorse Google Cloud, ti consigliamo di concedere all'entità l'accesso diretto alle risorse. In questo caso, l'entità è l'utente federato. Alcuni prodotti Google Cloud presentano limitazioni dell'API Google Cloud. Se il tuo carico di lavoro chiama un endpoint API con una limitazione, puoi utilizzare la simulazione dell'identità dell'account di servizio. In questo caso, l'entità è Account di servizio Google Cloud, che funge da identità. Concedi l'accesso all'account di servizio nella risorsa.

Accesso diretto alle risorse

Puoi concedere l'accesso a un'identità federata direttamente sulle risorse utilizzando la console Google Cloud o gcloud CLI.

Console

Utilizzare la console Google Cloud per concedere i ruoli IAM direttamente su una risorsa, devi andare alla pagina della risorsa concedere il ruolo. L'esempio seguente mostra come procedere alla pagina Cloud Storage e concedi il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) a un'identità federata direttamente su un nel bucket Cloud Storage.

  1. Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.

    Vai a Bucket

  2. Nell'elenco dei bucket, fai clic sul nome del bucket per il quale concedere il ruolo.

  3. Seleziona la scheda Autorizzazioni nella parte superiore della pagina.

  4. Fai clic sulla Pulsante Concedi l'accesso.

    Viene visualizzata la finestra di dialogo Aggiungi entità.

  5. Nel campo Nuove entità, inserisci una o più identità che richiedono l'accesso al bucket.

    Per argomento 

    principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del progetto
    • POOL_ID: l'ID del pool di carichi di lavoro
    • SUBJECT: la persona soggetto mappato dal tuo IdP, ad esempio administrator@example.com

    Per gruppo 

    principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del progetto
    • WORKLOAD_POOL_ID: carico di lavoro ID pool
    • GROUP: il gruppo mappata dal tuo IdP, ad esempio: administrator-group@example.com

    Per attributo 

    principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del progetto
    • WORKLOAD_POOL_ID: carico di lavoro ID pool
    • ATTRIBUTE_NAME: uno dei che sono stati mappati dal tuo IdP
    • ATTRIBUTE_VALUE: il valore dell'attributo

  6. Seleziona un ruolo o più ruoli dal menu a discesa Seleziona un ruolo. I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione delle autorizzazioni concesse.

  7. Fai clic su Salva.

gcloud

Per utilizzare gcloud CLI per concedere i ruoli IAM a una risorsa in un progetto, segui questi passaggi:

  1. Ottenere il numero del progetto in cui la risorsa viene definito.

    gcloud projects describe $(gcloud config get-value core/project) --format=value\(projectNumber\)

  2. Concedi l'accesso alla risorsa.

    Utilizzo di gcloud CLI per concedere il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) alle identità esterne che soddisfano determinati criteri, esegui questo comando.

    Per argomento

    gcloud storage buckets add-iam-policy-binding BUCKET_ID \
    --role=roles/storage.objectViewer \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

    Per gruppo

    gcloud storage buckets add-iam-policy-binding BUCKET_ID \
    --role=roles/storage.objectViewer \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

    Per attributo

    gcloud storage buckets add-iam-policy-binding BUCKET_ID \
    --role=roles/storage.objectViewer \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

    Sostituisci quanto segue:

    • BUCKET_ID: il bucket a cui concedere l'accesso
    • PROJECT_NUMBER: il numero del progetto. del progetto che contiene il pool di identità per i carichi di lavoro
    • POOL_ID: l'ID pool del pool di identità per i carichi di lavoro
    • SUBJECT: il valore previsto per l'attributo che che hai mappato a google.subject
    • GROUP: il valore previsto per l'attributo che hai mappato a google.groups
    • ATTRIBUTE_NAME: il nome di un attributo personalizzato in la mappatura degli attributi
    • ATTRIBUTE_VALUE: il valore dell'attributo personalizzato nella mappatura degli attributi

    Puoi concedere ruoli a qualsiasi risorsa Google Cloud che supporta i criteri di autorizzazione IAM.

Simulazione dell'identità degli account di servizio

  1. Per creare un account di servizio per il carico di lavoro esterno:

    1. Enable the IAM, Security Token Service, and Service Account Credentials APIs.

      Enable the APIs

    2. Crea un account di servizio che rappresenti il carico di lavoro. Ti consigliamo di utilizzare un account di servizio dedicato per ogni carico di lavoro. Non è necessario che l'account di servizio si trovi nello stesso progetto per i carichi di lavoro, ma devi fare riferimento al progetto contiene l'account di servizio.

    3. Concedere all'account di servizio l'accesso alle risorse a cui vuoi che accedano identità esterne.

    4. Concedi il ruolo Utente Workload Identity (roles/iam.workloadIdentityUser) all'account di servizio.

  2. Per concedere l'accesso a un'identità federata utilizzando la simulazione dell'identità dell'account di servizio tramite la console Google Cloud o gcloud CLI:

Console

Per utilizzare la console Google Cloud per concedere i ruoli IAM a un'identità federata con account di servizio, segui questi passaggi:

Account di servizio nello stesso progetto

  1. Per concedere l'accesso utilizzando la simulazione dell'identità degli account di servizio per un nello stesso progetto, segui questi passaggi:

    1. Vai alla pagina Pool di identità per carichi di lavoro.

      Vai a Pool Workload Identity

    2. Seleziona Concedi accesso.

    3. Nella finestra di dialogo Concedi l'accesso all'account di servizio, seleziona Concedi l'accesso utilizzando la simulazione dell'identità degli account di servizio.

    4. Nell'elenco Account di servizio, seleziona la l'account di servizio per le identità esterne, e procedi nel seguente modo:

    5. Per scegliere quali identità nel pool possono rubare l'identità dell'account servizio, esegui una delle seguenti azioni:

      • Consentire solo identità specifiche del carico di lavoro. pool di identità per rappresentare l'account di servizio, seleziona Solo le identità corrispondenti al filtro.

      • Nell'elenco Nome attributo, seleziona l'attributo. in base alle quali vuoi applicare un filtro.

      • Nel campo Valore attributo, inserisci il valore previsto valore dell'attributo; ad esempio, se utilizzi mappatura attributi google.subject=assertion.sub, impostata Nome dell'attributo su subject e Valore attributo al valore della richiesta sub in token che sono emesse dal provider di identità esterno.

    6. Per salvare la configurazione, fai clic su Salva e poi Ignora.

Account di servizio in un altro progetto

  1. Per concedere l'accesso utilizzando la simulazione dell'identità degli account di servizio per un in un altro progetto, segui questi passaggi:

    1. Vai alla pagina Service Accounts.

      Vai a Service account

    2. Seleziona l'account di servizio di cui vuoi assumere il ruolo.

    3. Fai clic su Gestisci accesso.

    4. Fai clic su Aggiungi entità.

    5. Nel campo Nuova entità, inserisci uno dei seguenti valori: identificatori di entità per le identità nel pool che impersoneranno l'account di servizio.

      Per argomento 

      principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT

      Sostituisci quanto segue:

      • PROJECT_NUMBER: il numero del progetto
      • POOL_ID: l'ID del pool di carichi di lavoro
      • SUBJECT: la persona soggetto mappato dal tuo IdP, ad esempio administrator@example.com

      Per gruppo 

      principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP

      Sostituisci quanto segue:

      • PROJECT_NUMBER: il numero del progetto
      • WORKLOAD_POOL_ID: carico di lavoro ID pool
      • GROUP: il gruppo mappata dal tuo IdP, ad esempio: administrator-group@example.com

      Per attributo 

      principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE

      Sostituisci quanto segue:

      • PROJECT_NUMBER: il numero del progetto
      • WORKLOAD_POOL_ID: carico di lavoro ID pool
      • ATTRIBUTE_NAME: uno dei che sono stati mappati dal tuo IdP
      • ATTRIBUTE_VALUE: il valore dell'attributo

      Vicino alla piscina

      <principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*

      Sostituisci quanto segue:

      • PROJECT_NUMBER: il numero del progetto
      • WORKLOAD_POOL_ID: carico di lavoro ID pool

    6. In Seleziona un ruolo, seleziona il ruolo Utente Workload Identity (roles/iam.workloadIdentityUser).

    7. Per salvare la configurazione, fai clic su Salva.

gcloud

Per utilizzare gcloud CLI per concedere il ruolo Utente Workload Identity (roles/iam.workloadIdentityUser) alle identità esterne che soddisfano determinati criteri, esegui il seguente comando.

Per argomento

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

Per gruppo

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

Per attributo

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
    --role=roles/iam.workloadIdentityUser \
    --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

Sostituisci quanto segue:

  • SERVICE_ACCOUNT_EMAIL: L'indirizzo email dell'account di servizio
  • PROJECT_NUMBER: il numero di progetto del progetto che contiene il pool di identità per i carichi di lavoro
  • POOL_ID: l'ID pool del pool di identità per i carichi di lavoro
  • SUBJECT: il valore previsto per l'attributo che hai mappato a google.subject
  • GROUP: il valore previsto per l'attributo che hai mappato a google.groups
  • ATTRIBUTE_NAME: il nome di un attributo personalizzato nella mappatura degli attributi
  • ATTRIBUTE_VALUE: il valore dell'attributo personalizzato nella mappatura degli attributi

Crea una configurazione delle credenziali

Puoi consentire alle librerie client Cloud e agli strumenti come gcloud CLI e Terraform di utilizzare le credenziali di Active Directory per autenticarsi su Google Cloud utilizzando Workload Authenticator per Windows.

Workload Authenticator per Windows è uno strumento open source che funge da plug-in per le librerie client Cloud e strumenti come l'interfaccia a riga di comando gcloud:

  1. Quando lo strumento o la libreria richiede una nuova credenziale, avvia il carico di lavoro Authenticator in background.
  2. Workload Authenticator utilizza OIDC, SAML o WS-Trust per ottenere un nuovo token o SAML da AD FS e la ritrasmette allo strumento o alla libreria.
  3. Lo strumento o la libreria scambia quindi il token o l'affermazione SAML con le credenziali Google Cloud di breve durata utilizzando la federazione delle identità per i carichi di lavoro.

Per utilizzare Workload Authenticator per Windows, devi creare una credenziale di configurazione del deployment. Questo file definisce quanto segue:

  • Dove trovare l'eseguibile Workload Authenticator per Windows (wwauth.exe) e con quali parametri eseguirlo
  • Quale pool di identità per i carichi di lavoro e provider utilizzare
  • Quale account di servizio usare per l'identità

Per creare un file di configurazione delle credenziali, segui questa procedura sul server Windows su cui viene eseguito il tuo carico di lavoro:

  1. Fai clic con il pulsante destro del mouse sul pulsante Start (o premi Win+X) e fai clic su Windows PowerShell.

  2. Scarica Workload Authenticator per Windows e salvalo in una posizione accessibile al tuo carico di lavoro:

    (New-Object Net.WebClient).DownloadFile(
  "https://github.com/GoogleCloudPlatform/iam-windows-authenticator/releases/latest/download/wwauth.exe",
  "${env:ProgramData}\wwauth.exe")

    Se crei un file di configurazione delle credenziali utilizzando il metodo Authenticator per Windows, il file contiene il percorso del relativo eseguibile. Se in un secondo momento elimini o sposti l'eseguibile, i carichi di lavoro non saranno in grado di trovare usa l'eseguibile.

  3. Avvia wwauth.exe:

    & ${env:ProgramData}\wwauth.exe

    Si apre una finestra di dialogo di configurazione:

    Workload Authenticator

  4. Seleziona la scheda AD FS e inserisci le seguenti impostazioni:

    • URI emittente del server AD FS: URI pubblico del server o della farm AD FS.

      https://ADFS_DOMAIN/adfs/

      Sostituisci ADFS_DOMAIN con il nome di dominio pubblico del tuo server o della tua farm di server AD FS.

    Le impostazioni successive dipendono dal protocollo che vuoi utilizzare:

    OIDC

    • Protocollo: AdfsOidc
    • ID parte utilizzare: mantieni il valore predefinito.
    • ID client Identificatore client (ID client) dell'applicazione server in AD FS.

    SAML

    • Protocollo: AdfsSamlPost
    • URL Assertion Consumer Service: https://sts.googleapis.com/v1/token.
    • Firma richieste utilizzando certificato: disattivata

    WS-Trust

    • Protocollo: AdfsWsTrust

  5. Seleziona la scheda Identità carico di lavoro e inserisci le impostazioni seguenti:

    • Numero progetto: il numero del progetto che contiene il pool di identità del carico di lavoro
    • ID pool: l'ID del pool di identità per i carichi di lavoro
    • ID provider: ID del provider del pool di identità di Workload Identity
    • Impersona account di servizio: abilitato se utilizzi l'account di servizio. furto d'identità
    • Indirizzo email: indirizzo email dell'account di servizio, se utilizzi simulazione dell'identità degli account di servizio

  6. Seleziona la scheda AD FS e verifica che il campo ID della terza parte ora contenga l'URL del provider del pool di identità del carico di lavoro.

  7. Fai clic su Applica e scegli una posizione in cui salvare il file di configurazione delle credenziali.

    A differenza di una chiave dell'account di servizio, un file di configurazione delle credenziali non contiene secret la riservatezza. I dettagli sul file di configurazione delle credenziali sono disponibile all'indirizzo https://google.aip.dev/auth/4117.

A questo punto puoi testare la tua configurazione:

  1. Seleziona un utente Active Directory con cui eseguire il test. Può trattarsi dell'utente Active Directory del carico di lavoro o dell'utente con cui hai eseguito l'accesso.

  2. Per testare la configurazione con l'utente corrente, fai clic su Test.

    Per eseguire il test con un altro utente, seleziona Test > Verifica configurazione come utente e inserisci le credenziali dell'utente.

    Lo strumento ora prova ad autenticarsi in Google Cloud eseguendo segui questi passaggi:

    1. Acquisisci un token OIDC o un'asserzione SAML da AD FS.
    2. Ottieni un token del Servizio token di sicurezza Google.
    3. Impersona l'account di servizio, se utilizzi l'account di servizio il furto d'identità.

    Se l'autenticazione ha esito positivo, verrà visualizzato il messaggio Test completato:

    Risultato test

Utilizza la configurazione delle credenziali per accedere a Google Cloud

Per consentire agli strumenti e alle librerie client di utilizzare la configurazione delle credenziali, svolgi quanto segue su Windows Server che esegue il tuo carico di lavoro:

  1. Fai clic con il tasto destro del mouse sul pulsante Start e fai clic su Esegui.
  2. Inserisci sysdm.cpl e fai clic su OK.
  3. Nella scheda Avanzate, fai clic su Variabili di ambiente.

  4. Nella sezione Variabili di sistema, aggiungi due nuove variabili:

    Nome Valore
    GOOGLE_APPLICATION_CREDENTIALS Percorso del file di configurazione delle credenziali
    GOOGLE_EXTERNAL_ACCOUNT_ALLOW_EXECUTABLES 1

  5. Fai clic su OK.

  6. Utilizza una libreria client o uno strumento che supporti la federazione delle identità per i carichi di lavoro e può trovare le credenziali automaticamente:

    C++

    Le librerie client di Google Cloud per C++ supportano la federazione delle identità per i carichi di lavoro dalla versione v2.6.0. Per utilizzare la federazione delle identità per i carichi di lavoro, devi compilare le librerie client con la versione 1.36.0 o successive di gRPC.

    Vai

    Le librerie client per Go supportano la federazione delle identità del carico di lavoro se utilizzano la versione v0.0.0-20210218202405-ba52d332ba99 o successive del modulo golang.org/x/oauth2.

    Per verificare quale versione di questo modulo è utilizzata dalla libreria client, esegui il seguenti comandi:

    cd $GOPATH/src/cloud.google.com/go
go list -m golang.org/x/oauth2

    Java

    Le librerie client per Java supportano la federazione di Workload Identity se utilizzano la versione 0.24.0 o successive dell'elemento com.google.auth:google-auth-library-oauth2-http.

    Per verificare quale versione di questo artefatto è utilizzata dalla libreria client, esegui il comando seguente comando Maven nella directory dell'applicazione:

    mvn dependency:list -DincludeArtifactIds=google-auth-library-oauth2-http

    Node.js

    Le librerie client per Node.js supportano la federazione delle identità per i carichi di lavoro se utilizzano la versione 7.0.2 o versioni successive del Pacchetto google-auth-library.

    Per controllare quale versione di questo pacchetto utilizza la tua libreria client, esegui il seguente comando nella directory dell'applicazione:

    npm list google-auth-library

    Quando crei un oggetto GoogleAuth, puoi specificare un ID progetto oppure consenti a GoogleAuth di trovare automaticamente l'ID progetto. Per trovare l'ID progetto automaticamente, l'account di servizio nel file di configurazione deve avere Ruolo del browser (roles/browser) o con autorizzazioni equivalenti, nel tuo progetto. Per maggiori dettagli, consulta README per il pacchetto google-auth-library.

    Python

    Le librerie client per Python supportano la federazione delle identità per i carichi di lavoro se utilizzano la versione 1.27.0 o versioni successive del Pacchetto google-auth.

    Per controllare la versione di questo pacchetto utilizzata dalla libreria client, esegui il seguente comando nell'ambiente in cui è installato il pacchetto:

    pip show google-auth

    Per specificare un ID progetto per il client di autenticazione, puoi impostare la variabile di ambienteGOOGLE_CLOUD_PROJECT o consentire al client di trovare automaticamente l'ID progetto. Per trovare automaticamente l'ID progetto, nel file di configurazione deve avere il ruolo Browser (roles/browser), o un ruolo con autorizzazioni equivalenti, nel tuo progetto. Per maggiori dettagli, consulta la guida dell'utente per il pacchetto google-auth.

    gcloud

    Per eseguire l'autenticazione mediante la federazione delle identità per i carichi di lavoro, utilizza Comando gcloud auth login:

    gcloud auth login --cred-file=FILEPATH.json

    Sostituisci FILEPATH con il percorso del file di configurazione delle credenziali.

    Il supporto della federazione delle identità per i carichi di lavoro in gcloud CLI è disponibile nella versione 363.0.0 e successive di gcloud CLI.

    Terraform

    Il provider Google Cloud supporta la federazione delle identità per i carichi di lavoro se utilizzi la versione 3.61.0 o successiva:

    terraform {
  required_providers {
    google = {
      source  = "hashicorp/google"
      version = "~> 3.61.0"
    }
  }
}

    bq

    Per eseguire l'autenticazione mediante la federazione delle identità per i carichi di lavoro, utilizza gcloud auth login, come segue:

    gcloud auth login --cred-file=FILEPATH.json

    Sostituisci FILEPATH con il percorso della di configurazione delle credenziali.

    Il supporto della federazione delle identità per i carichi di lavoro in bq è disponibile nella versione 390.0.0 e successive della CLI gcloud.

Passaggi successivi