Configura la federación de Workload Identity con Active Directory

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta guía, se describe cómo usar la federación de Workload Identity para permitir que las cargas de trabajo usen credenciales de Active Directory a fin de autenticarse en Google Cloud.

Si ejecutas cargas de trabajo de Windows Server en un entorno de Active Directory, estas cargas de trabajo podrían tener acceso a las credenciales de Active Directory. Por ejemplo:

  • Un servicio de Windows podría estar configurado para acceder como un usuario de dominio.
  • Una aplicación de IIS podría configurarse para ejecutarse como una cuenta de servicio administrada de grupo (gMSA).

Si usas la federación de Workload Identity en combinación con los Servicios de federación de Active Directory (AD FS), puedes permitir que estas cargas de trabajo intercambien sus credenciales de Kerberos de Active Directory por credenciales de Google Cloud de corta duración. Las cargas de trabajo pueden usar estas credenciales de corta duración para acceder a las APIs de Google Cloud.

El intercambio de credenciales de Active Directory con credenciales de Google Cloud de corta duración funciona mediante el encadenamiento de dos intercambios de tokens:

  1. Una carga de trabajo usa OpenID Connect (OIDC), SAML-POST o WS-Trust para solicitar un token de OIDC o una aserción de SAML de AD FS. Para autenticarse en AD FS, la carga de trabajo usa la autenticación integrada de Windows (IWA) y sus credenciales existentes de Active Directory.
  2. Luego, la carga de trabajo usa la federación de Workload Identity para intercambiar el token OIDC o la aserción de SAML por un token STS y, de forma opcional, actuar en nombre de una cuenta de servicio de Google Cloud.

En este artículo, se muestra cómo puedes automatizar este proceso de una manera que no requiere cambios en tu aplicación mediante el Autenticador de carga de trabajo para Windows.

Prepara AD FS

Solo debes realizar estos pasos una vez.

Selecciona un protocolo

La forma de preparar AD FS depende del protocolo que desees usar:

  • SAML: Puedes permitir que las cargas de trabajo usen SAML o WS-Trust para obtener aserciones de SAML.

    Para usar SAML o WS-Trust, debes crear una parte de confianza en AD FS y configurar un grupo de identidades de carga de trabajo para que confíe en las aserciones emitidas para esta parte de confianza.

    Una carga de trabajo puede usar su usuario de Active Directory para autenticarse en AD FS, mediante la vinculación SAML-POST o WS-Trust. AD FS emite una aserción de SAML que contiene información sobre el usuario de Active Directory de la carga de trabajo y datos adicionales, como las membresías de grupo.

    El uso de SAML o WS-Trust requiere AD FS 3.0, AD FS para Windows Server 2016 o una versión más reciente de AD FS.

  • OIDC: Puedes permitir que las cargas de trabajo usen OIDC para obtener tokens de OIDC.

    Para usar OIDC, debes crear un cliente de OIDC (aplicación nativa) y un recurso de OIDC (API web) en AD FS. Luego, configura un grupo de Workload Identity a fin de que confíe en los tokens de acceso emitidos para la API de Web.

    Una carga de trabajo puede usar su usuario de Active Directory y el permiso client_credentials de OAuth para autenticarse en AD FS. AD FS emite un token de acceso, pero no un token de ID.

    El token de acceso contiene información sobre la aplicación cliente de OIDC, pero no incluye información sobre el usuario de Active Directory de la carga de trabajo ni las membresías de grupo.

    Debido a que los tokens de acceso no contienen información sobre el usuario de Active Directory, el uso de OIDC puede ser menos flexible que el uso de SAML o WS-Trust.

    El uso de OIDC requiere AD FS para Windows Server 2016 o una versión más reciente de AD FS.

Requisitos previos de IWA

En esta sección, se describen los requisitos previos de IWA que se requieren para usar esta guía.

Si nunca usaste IWA con AD FS, asegúrate de cumplir con los siguientes requisitos:

Registra la carga de trabajo

Para registrar tu carga de trabajo en AD FS, haz lo siguiente:

OIDC

Para permitir que las cargas de trabajo usen OIDC, necesitas dos registros de aplicaciones en AD FS:

  • Un registro de aplicación del tipo aplicación nativa o aplicación de servidor

  • Un registro de aplicación del tipo API de Web que corresponde a un proveedor de grupos de Workload Identity en Google Cloud.

Registra la aplicación cliente

Crea una aplicación cliente que represente la carga de trabajo. Si tienes varias cargas de trabajo que necesitan acceso a Google Cloud, es posible que debas crear varias aplicaciones cliente.

Para registrar una aplicación cliente en AD FS, haz lo siguiente:

  1. Abre el complemento de MMC de AD FS y navega a Application Groups.
  2. Haz clic en Add application group.
  3. En la página Te damos la bienvenida, haz lo siguiente:

    1. En el campo de texto, ingresa un nombre para el cliente.
    2. Selecciona Aplicación de servidor.
    3. Haz clic en Siguiente.
  4. En la página Aplicación del servidor, haz lo siguiente:

    1. En el campo de texto , ingresa un identificador de cliente (ID de cliente) y un URI de redireccionamiento.

      Si solo planeas usar el tipo de otorgamiento client_credentials, el URI de redireccionamiento no se usará y puedes usar un URI como http://localhost/.

    2. Haz clic en Siguiente.

  5. En la página Configurar credenciales de aplicación, haz lo siguiente:

    1. Elige cómo se autentica el cliente. Para usar IWA, configura la Autenticación integrada de Windows como habilitada.
    2. Selecciona el usuario de dominio con el que está configurada tu aplicación.
    3. Haz clic en Siguiente.
  6. En la página Resumen, revisa la configuración y haz clic en Siguiente.

  7. Haz clic en Cerrar para descartar el cuadro de diálogo.

Crea una aplicación de API de Web para el grupo de federación de Workload Identity

Crea otro registro de aplicación de tipo API de Web. Esta aplicación corresponde a un proveedor de grupos de Workload Identity, y debes usarla para configurar una relación de confianza con Google Cloud.

Para crear la aplicación en AD FS, haz lo siguiente:

  1. Abre el complemento de MMC de AD FS y navega a Application Groups.
  2. Haz clic en Add application group.
  3. En la página de bienvenida, ingresa un nombre, como Workload Identity Federation (test environment), y selecciona API de Web. Luego, haga clic en Siguiente.
  4. En la página Configurar API de Web, ingresa un identificador de relación de confianza para la API de Web.

    En lugar de definir un identificador de relación de confianza personalizado, puedes usar el siguiente URI como tal:

    https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
    

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número del proyecto de Google Cloud que usas para crear el grupo de Workload Identity.
    • POOL_ID: Es un ID que elijas que identifique el grupo de Workload Identity. Debes usar el mismo ID cuando crees el grupo de Workload Identity más adelante.
    • PROVIDER_ID: Es un ID que elijas que identifique al proveedor de grupos de Workload Identity. Debes usar el mismo ID cuando crees el proveedor de grupos de Workload Identity más adelante.

    Formatear el URI de esta manera garantiza que el identificador de usuario de confianza identifique de forma única un proveedor de grupos de Workload Identity.

    Necesitarás el identificador de relación de confianza más adelante cuando configures el proveedor de grupo de Workload Identity.

  5. Haz clic en Siguiente.

  6. En la página Apply access control policy, selecciona una política de acceso adecuada y, luego, haz clic en Siguiente.

  7. En la página Configure application permissions, agrega la aplicación cliente que creaste antes. Luego, haga clic en Siguiente.

  8. En la página Resumen, revisa la configuración y haz clic en Siguiente.

  9. Haz clic en Cerrar para descartar el cuadro de diálogo.

SAML o WS-Trust

Crea una relación de confianza con la parte autenticada en AD FS:

  1. Abre el complemento AD FS de MMC.
  2. Navega a relación de confianza con la parte autenticada.
  3. Haz clic en Agregar relación de confianza con la parte autenticada.
  4. En la página Te damos la bienvenida del asistente para agregar la relación de confianza con la parte autenticada, haz lo siguiente:
    1. Selecciona Compatible con notificaciones.
    2. Haz clic en Start.
  5. En la página Seleccionar fuente de datos, haz lo siguiente:
    1. Selecciona Enter data about relying party manually.
    2. Haz clic en Siguiente.
  6. En la página Especificar nombre visible, haz lo siguiente:

    1. Ingresa un nombre para la relación de confianza.
    2. Haz clic en Siguiente.
  7. En la página Configurar certificado, haz clic en Siguiente. No se requiere un certificado de encriptación porque la federación de Workload Identity no admite aserciones de SAML encriptadas.

  8. En la página Configurar URL, haz lo siguiente:

    SAML

    Usa la siguiente configuración:

    • Configura Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO como habilitado.
    • En el campo URL del servicio SSO SAML 2.0 de la parte autenticada, ingresa la siguiente URL:

      https://sts.googleapis.com/v1/token
      

    WS-Trust

    Mantén la configuración predeterminada

  9. Haz clic en Siguiente.

  10. En la página Configurar identificadores, ingresa un identificador de parte de confianza.

    En lugar de definir un identificador de relación de confianza personalizado, puedes usar el siguiente URI como tal:

    https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
    

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número del proyecto de Google Cloud que usas para crear el grupo de Workload Identity.
    • POOL_ID: Es un ID que elijas que identifique el grupo de Workload Identity. Debes usar el mismo ID cuando crees el grupo de Workload Identity más adelante.
    • PROVIDER_ID: Es un ID que elijas que identifique al proveedor de grupos de Workload Identity. Debes usar el mismo ID cuando crees el proveedor de grupos de Workload Identity más adelante.

    Formatear el URI de esta manera garantiza que el identificador de usuario de confianza identifique de forma única un proveedor de grupos de Workload Identity.

    Necesitarás el identificador de relación de confianza más adelante cuando configures el proveedor de grupo de Workload Identity.

  11. Haga clic en Next.

  12. En la página Elige una política de control de acceso, selecciona una política de control de acceso adecuada y, luego, haz clic en Siguiente.

  13. En la página Listo para agregar confianza, revisa la configuración y haz clic en Siguiente.

  14. En la página Finalizar, haz clic en Cerrar para descartar el cuadro de diálogo.

Para ser compatibles con la federación de Workload Identity, las aserciones de SAML deben contener al menos una reclamación que identifique de forma única al usuario de Active Directory. Por lo general, debes usar la reclamación Name ID para este fin, que corresponde al valor del elemento NameID en la aserción de SAML.

Para personalizar el conjunto de reclamaciones de la aserción de SAML, debes editar la política de emisión de reclamaciones de la relación de confianza con la parte autenticada. Para editar la política de emisión de reclamaciones, haz lo siguiente:

  1. En la lista de relaciones de confianza, selecciona la relación de confianza que acabas de crear y haz clic en Editar política de emisión de reclamaciones.
  2. Haz clic en Agregar regla.
  3. En la página Elige un tipo de regla del asistente para Agregar regla de reclamación de transformación, haz lo siguiente:
    1. Selecciona Transformar un reclamo entrante.
    2. Haz clic en Siguiente.
  4. En la página Configurar regla de reclamación, establece la siguiente configuración:

    • Nombre de la regla de reclamación: Name Identifier.
    • Tipo de reclamación entrante: Selecciona SID principal, UPN o una reclamación diferente para identificar de forma exclusiva al sujeto.
    • Tipo de reclamo saliente: Name ID
    • Formato de ID de nombre saliente: Sin especificar.
  5. Selecciona Pasar todos los valores de la reclamación y haz clic en Finalizar.

  6. De forma opcional, configura reglas adicionales para incluir más atributos en las aserciones de SAML.

  7. Haz clic en Aceptar para cerrar el cuadro de diálogo de la política de emisión de reclamaciones.

Configura la federación de Workload Identity

Solo debes realizar estos pasos una vez por cada usuario de Azure AD o la cuenta de AWS con la que deseas federar. Luego, puedes usar el mismo grupo y proveedor de Workload Identity para varias cargas de trabajo y en varios proyectos de Google Cloud.

Para comenzar a configurar la federación de Workload Identity, haz lo siguiente:

  1. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  2. Es mejor usar un proyecto exclusivo para administrar los grupos y los proveedores de Workload Identity.
  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  4. Habilita las API de IAM, Resource Manager, Service Account Credentials, and Security Token Service.

    Habilita las API

Define una condición y la asignación de atributos

Las credenciales específicas del entorno de la carga de trabajo de AWS o Azure contienen varios atributos, y debes decidir qué atributo deseas usar como identificador de asunto (google.subject) en Google Cloud.

De manera opcional, puedes asignar atributos adicionales. Luego, puedes hacer referencia a estos atributos adicionales cuando otorgues acceso a los recursos.

OIDC

Tus asignaciones de atributos pueden usar las reclamaciones incorporadas en los tokens de acceso de AD FS como atributos de origen.

Para autenticar una aplicación, puedes usar la siguiente asignación de atributos:

google.subject=assertion.appid

Esta asignación establece google.subject en el valor de la reclamación appid, que contiene el ID de cliente de la aplicación de AD FS.

SAML o WS-Trust

Tus asignaciones de atributos pueden usar las reclamaciones incorporadas en la aserción emitida por AD FS, como se describió antes en esta guía.

Usa la siguiente asignación para permitir que la federación de Workload Identity use la reclamación de ID de nombre de la aserción de SAML para identificar de forma única al usuario:

google.subject=assertion.subject

Si configuraste tu política de emisión de reclamaciones a fin de incluir reclamaciones adicionales en las aserciones de SAML, puedes agregar asignaciones adicionales. Por ejemplo:

google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid']
attribute.userip=['http://schemas.microsoft.com/2014/09/requestcontext/claims/userip'][0]

De manera opcional, puedes definir una condición de atributo. Las condiciones de los atributos son expresiones CEL que pueden verificar los atributos de aserción y los atributos de destino. Si la condición del atributo se evalúa como true para una credencial determinada, se acepta la credencial. De lo contrario, se rechaza la credencial.

OIDC

Puedes usar una condición de atributo a fin de restringir qué clientes pueden usar la federación de Workload Identity para obtener tokens de Google Cloud de corta duración.

Por ejemplo, la siguiente condición define que las aplicaciones deben usar IWA para autenticarse en AD FS:

assertion.authmethod=='http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows'

A fin de controlar la lista de aplicaciones, puedes obtener credenciales de corta duración para Google Cloud, no definas condiciones de atributos. En su lugar, usa permisos del cliente en AD FS para definir qué aplicaciones están permitidas.

SAML o WS-Trust

Puedes usar una condición de atributo para restringir qué usuarios de Active Directory pueden usar la federación de identidades de carga de trabajo a fin de obtener tokens de Google Cloud de corta duración.

Por ejemplo, la siguiente condición solo permite aserciones de SAML que incluyen una reclamación de membresía de grupo determinada:

"S-1-5-6" in google.groups

Crea el proveedor y el grupo de Workload Identity

Roles obligatorios

A fin de obtener los permisos que necesitas para configurar la federación de Workload Identity, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

  • Administrador de grupos de Workload Identity (roles/iam.workloadIdentityPoolAdmin)
  • Administrador de cuenta de servicio (roles/iam.serviceAccountAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

De manera alternativa, la función básica de propietario de IAM (roles/owner) también incluye permisos para configurar la federación de identidades. No deberías otorgar roles básicos en un entorno de producción, pero puedes otorgarlas en un entorno de desarrollo o de prueba.

Consola

  1. En la consola de Google Cloud, ve a la página Proveedor y grupo de cargas de trabajo nuevos.

    Ir a Nuevo proveedor y grupo de cargas de trabajo

  2. En Crear un grupo de identidades, ingresa lo siguiente:

    • Nombre: Es el nombre del grupo. El nombre también se usa como el ID del grupo. No puedes cambiar el ID del grupo más adelante.
    • Descripción: Es el texto que describe el propósito del grupo.
  3. Haz clic en Continuar.

  4. Establece la configuración del proveedor:

    OIDC

    • Selecciona un proveedor: OpenID Connect (OIDC).
    • Nombre del proveedor: el nombre del proveedor del conjunto de datos. El nombre también se usa como el ID del proveedor. No puedes cambiar el ID del proveedor más adelante.
    • URL del emisor: https://ADFS_DOMAIN/adfs en la que ADFS_DOMAIN es el nombre de dominio público del servidor o la granja de AD FS.

    SAML

  5. Haz clic en Continuar.

  6. En Configura los atributos del proveedor, agrega las asignaciones de atributos que identificaste antes.

  7. En Condiciones del atributo, ingresa la condición del atributo que identificaste antes. Deja el campo en blanco si no tienes una condición de atributo.

  8. Haz clic en Guardar para crear el proveedor y el grupo de Workload Identity.

gcloud

  1. Crea un nuevo grupo de Workload Identity:

    gcloud iam workload-identity-pools create POOL_ID \
        --location="global" \
        --description="DESCRIPTION" \
        --display-name="DISPLAY_NAME"
    

    Reemplaza lo siguiente:

    • POOL_ID: Es el ID único para el grupo.
    • DISPLAY_NAME: es el nombre del grupo.
    • DESCRIPTION: Es la descripción del grupo. Esta descripción aparece cuando se otorga acceso a identidades de grupo.
  2. Agrega un proveedor de grupos de Workload Identity:

    OIDC

    gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID \
        --location="global" \
        --workload-identity-pool="POOL_ID" \
        --issuer-uri="https://ADFS_DOMAIN/adfs" \
        --allowed-audiences="RELYING_PARTY_ID" \
        --attribute-mapping="MAPPINGS" \
        --attribute-condition="CONDITIONS"
    

    Reemplaza lo siguiente:

    SAML o WS-Trust

    curl -O https://ADFS_DOMAIN/federationmetadata/2007-06/federationmetadata.xml
    
    gcloud iam workload-identity-pools providers create-saml PROVIDER_ID \
        --location="global" \
        --workload-identity-pool="POOL_ID" \
        --idp-metadata-path="federationmetadata.xml" \
        --attribute-mapping="MAPPINGS" \
        --attribute-condition="CONDITIONS"
    

    Reemplaza lo siguiente:

    Ejemplo:

    gcloud iam workload-identity-pools providers create-saml example-provider \
        --location="global" \
        --workload-identity-pool="pool-1" \
        --idp-metadata-path="federationmetadata.xml" \
        --attribute-mapping=google.subject=assertion.subject"
    

Autentica una carga de trabajo

Debes seguir estos pasos una vez por carga de trabajo.

Crea una cuenta de servicio para la carga de trabajo externa

  1. Habilita las API de IAM, Security Token Service, and Service Account Credentials.

    Habilita las API

  2. Crea una cuenta de servicio que represente la carga de trabajo. Es mejor usar una cuenta de servicio dedicada para cada carga de trabajo.

    No es necesario que la cuenta de servicio esté en el mismo proyecto que el grupo de Workload Identity.

  3. Otorga acceso a la cuenta de servicio a los recursos a los que deseas que accedan las identidades externas.

Permite que la carga de trabajo externa actúe en nombre de la cuenta de servicio

Para permitir que las identidades externas actúen en nombre de una cuenta de servicio, otórgales el rol del usuario de Workload Identity (roles/iam.workloadIdentityUser) en esta cuenta. Puedes otorgar el rol a una identidad externa específica o a varias identidades externas:

  • Para una identidad externa específica, escribe una condición de atributo que verifique el atributo google.subject.
  • Para un grupo de identidades externas, escribe una condición de atributo que verifique el atributo google.groups o un atributo personalizado attribute.NAME.
  • Para todas las identidades externas del grupo de Workload Identity, no uses una condición de atributo.

Consola

Para permitir que las identidades externas actúen en nombre de una cuenta de servicio con la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Grupos de Workload Identity.

    Ir a Grupos de Workload Identity

  2. Busca el grupo de Workload Identity que deseas actualizar y selecciónalo.

  3. Para otorgar acceso al grupo de Workload Identity seleccionado, haz clic en Otorgar acceso.

  4. En la lista Cuenta de servicio, selecciona la cuenta de servicio para las identidades externas que actuarán en nombre de ella.

  5. Para elegir qué identidades en el grupo pueden actuar en nombre de la cuenta de servicio, realiza una de las siguientes acciones:

    • A fin de permitir que solo las identidades específicas del grupo de Workload Identity actúen en nombre de la cuenta de servicio, selecciona Solo identidades que coinciden con el filtro.

      En la lista Nombre del atributo, selecciona el atributo que deseas filtrar.

      En el campo Valor del atributo, ingresa el valor esperado del atributo; por ejemplo, si usas una asignación de atributos google.subject=assertion.sub, establece el nombre del atributo en subject y el valor del atributo en el valor de la declaración sub en los tokens que emite tu proveedor de identidad externo.

    • Para permitir que todas las identidades externas del grupo de Workload Identity actúen en nombre de la cuenta de servicio, selecciona Todas las identidades en el grupo.

  6. Para guardar la configuración, haz clic en Guardar y, luego, en Descartar.

gcloud

Para permitir que las identidades externas actúen en nombre de una cuenta de servicio mediante la CLI de gcloud, haz lo siguiente:

  1. Para obtener el número del proyecto actual, ejecuta el siguiente comando:

    gcloud projects describe $(gcloud config get-value core/project) --format=value\(projectNumber\)
    
  2. Para otorgar el rol de usuario de Workload Identity (roles/iam.workloadIdentityUser) a identidades externas que cumplan con ciertos criterios, haz lo siguiente:

    Por tema

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
        --role=roles/iam.workloadIdentityUser \
        --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"
    

    Por grupo

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
        --role=roles/iam.workloadIdentityUser \
        --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"
    

    Por atributo

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
        --role=roles/iam.workloadIdentityUser \
        --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"
    

    Todas las identidades externas

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
        --role=roles/iam.workloadIdentityUser \
        --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*"
    

    Reemplaza lo siguiente:

    • SERVICE_ACCOUNT_EMAIL: La dirección de correo electrónico de la cuenta de servicio
    • PROJECT_NUMBER: el número del proyecto que contiene el grupo de Workload Identity
    • POOL_ID: el ID del grupo de Workload Identity
    • SUBJECT: el valor esperado para el atributo que asignaste a google.subject
    • GROUP: el valor esperado para el atributo que asignaste a google.groups
    • ATTRIBUTE_NAME: el nombre de un atributo personalizado en la asignación de atributos

Crea una configuración de credenciales

Puedes permitir que Bibliotecas cliente de Cloud y herramientas como la CLI de gcloud y Terraform usen credenciales de Active Directory para autenticarse en Google Cloud mediante el uso de Autenticador de cargas de trabajo para Windows

El autenticador de cargas de trabajo para Windows es una herramienta de código abierto que actúa como un complemento para las bibliotecas cliente de Cloud y las herramientas como la CLI de gcloud:

  1. Cuando la herramienta o biblioteca necesita una credencial nueva, inicia el autenticador de carga de trabajo en segundo plano.
  2. El autenticador de cargas de trabajo usa OIDC, SAML o WS-Trust para obtener un token nuevo o una aserción de SAML de AD FS y lo pasa a la herramienta o la biblioteca.
  3. Luego, la herramienta o biblioteca usa el intercambio de tokens o la aserción de SAML con credenciales de Google Cloud de corta duración mediante la federación de Workload Identity.

Si deseas usar el autenticador de cargas de trabajo para Windows, debes crear un archivo de configuración de credenciales. Este archivo define lo siguiente:

  • Dónde encontrar el autenticador de cargas de trabajo para Windows ejecutable (wwauth.exe) y con qué parámetros ejecutarlo
  • Qué grupo y proveedor de Workload Identity usar
  • Qué cuenta de servicio actuará en nombre de ella

Para crear un archivo de configuración de credenciales, haz lo siguiente en Windows Server que ejecuta la carga de trabajo:

  1. Haz clic con el botón derecho en Iniciar (o presiona Windows+X) y, luego, en Windows PowerShell.
  2. Descarga el autenticador de cargas de trabajo para Windows y guárdalo en una ubicación a la que pueda acceder tu carga de trabajo:

    (New-Object Net.WebClient).DownloadFile(
      "https://github.com/GoogleCloudPlatform/iam-windows-authenticator/releases/latest/download/wwauth.exe",
      "${env:ProgramData}\wwauth.exe")
    

    Si creas un archivo de configuración de credenciales con el autenticador de cargas de trabajo para Windows, el archivo contiene la ruta de acceso a su ejecutable. Si luego borras o mueves el archivo ejecutable, las cargas de trabajo no podrán encontrarlo ni usarlo.

  3. Iniciar wwauth.exe:

    & ${env:ProgramData}\wwauth.exe
    

    Se abrirá un cuadro de diálogo de configuración:

    Autenticador de cargas de trabajo

  4. Selecciona la pestaña AD FS y, luego, ingresa la siguiente configuración:

    • URI del emisor del servidor de AD FS: el URI público de tu servidor o granja de AD FS.

      https://ADFS_DOMAIN/adfs/
      

      Reemplaza ADFS_DOMAIN por el nombre de dominio público del servidor de AD FS o la granja de servidores.

    La siguiente configuración depende del protocolo que desees usar:

    OIDC

    • Protocolo: AdfsOidc
    • ID de la parte autenticada: Mantén la configuración predeterminada.
    • ID de cliente: Es el identificador de cliente (ID de cliente) de la aplicación del servidor en AD FS.

    SAML

    • Protocolo: AdfsSamlPost
    • URL del servicio para clientes de confirmación: https://sts.googleapis.com/v1/token
    • Firmar solicitudes con certificado: inhabilitado

    WS-Trust

    • Protocolo: AdfsWsTrust
  5. Selecciona la pestaña Workload Identity y, luego, ingresa la siguiente configuración:

    • Número de proyecto: el número de proyecto que contiene el grupo de Workload Identity
    • ID del grupo: ID del grupo de Workload Identity
    • ID de proveedor: ID del proveedor de grupos de Workload Identity.
    • Suplantar la identidad de una cuenta de servicio: Habilitada
    • Dirección de correo electrónico: Dirección de correo electrónico de la cuenta de servicio
  6. Selecciona la pestaña AD FS y verifica que el campo ID de la parte autenticada ahora contenga la URL de tu proveedor de grupos de Workload Identity.

  7. Haz clic en Aplicar y elige una ubicación de archivo para guardar el archivo de configuración de la credencial.

    A diferencia de una clave de cuenta de servicio, un archivo de configuración de credenciales no contiene ningún secreto y no debe ser confidencial. Los detalles sobre el archivo de configuración de credenciales están disponibles en https://google.aip.dev/auth/4117.

Ya estás listo para probar tu configuración:

  1. Selecciona un usuario de Active Directory para realizar la prueba. Puede ser el usuario de Active Directory de la carga de trabajo o el usuario con el que accediste.

  2. Para probar la configuración con el usuario actual, haz clic en Probar.

    Para probar con un usuario diferente, selecciona Probar > Probar configuración como usuario y, luego, ingresa las credenciales para el usuario.

    La herramienta ahora intenta autenticarse en Google Cloud mediante los siguientes pasos:

    1. Adquiere un token de OIDC o una aserción de SAML de AD FS.
    2. Obtén un token del Google STS.
    3. Actúa en nombre de la cuenta de servicio.

    Si la autenticación se realiza de forma correcta, verás el mensaje La prueba se completó correctamente:

    Resultado de la prueba

Usa la configuración de credenciales para acceder a Google Cloud

Para permitir que las herramientas y las bibliotecas cliente usen la configuración de tus credenciales, haz lo siguiente en Windows Server que ejecuta tu carga de trabajo:

  1. Haz clic con el botón derecho en el botón Iniciar y, luego, en Ejecutar.
  2. Ingresa sysdm.cpl y haz clic en Aceptar.
  3. En la pestaña Avanzado, haz clic en Variables de entorno.
  4. En la sección Variables del sistema, agrega dos variables nuevas:

    Nombre Valor
    GOOGLE_APPLICATION_CREDENTIALS Ruta de acceso al archivo de configuración de credenciales
    GOOGLE_EXTERNAL_ACCOUNT_ALLOW_EXECUTABLES 1
  5. Haz clic en OK.

  6. Usa una biblioteca cliente o herramienta que admita la federación de Workload Identity y pueda encontrar credenciales de forma automática:

    C++

    La mayoría de las bibliotecas cliente de Google Cloud para C++ admiten la federación de identidades mediante un objeto ChannelCredentials, que se crea mediante una llamada a grpc::GoogleDefaultCredentials(). Para inicializar esta credencial, debes compilar las bibliotecas cliente con la versión 1.36.0 o posterior de gRPC.

    La biblioteca cliente de Cloud Storage para C++ usa la API de REST, no gRPC, por lo que no admite la federación de identidades.

    Comienza a usarlo

    Las bibliotecas cliente para Go admiten la federación de identidades si usan la versión v0.0.0-20210218202405-ba52d332ba99 o una versión posterior del módulo golang.org/x/oauth2.

    Para verificar qué versión de este módulo usa tu biblioteca cliente, ejecuta los siguientes comandos:

    cd $GOPATH/src/cloud.google.com/go
    go list -m golang.org/x/oauth2
    

    Java

    Las bibliotecas cliente para Java admiten la federación de identidades si usan la versión 0.24.0 o posterior del artefacto com.google.auth:google-auth-library-oauth2-http.

    Para verificar qué versión de este artefacto usa tu biblioteca cliente, ejecuta el siguiente comando de Maven en el directorio de tu aplicación:

    mvn dependency:list -DincludeArtifactIds=google-auth-library-oauth2-http
    

    Node.js

    Las bibliotecas cliente de Node.js admiten la federación de Workload Identity si usan la versión 7.0.2 o una versión posterior del paquete google-auth-library.

    Para verificar qué versión de este paquete usa tu biblioteca cliente, ejecuta el siguiente comando en el directorio de tu aplicación:

    npm list google-auth-library
    

    Cuando creas un objeto GoogleAuth, puedes especificar un ID del proyecto o puedes permitir que GoogleAuth encuentre el ID del proyecto de forma automática. Para encontrar el ID del proyecto de manera automática, la cuenta de servicio en el archivo de configuración debe tener la función de Navegador (roles/browser) o una función con permisos equivalentes en tu proyecto. Para obtener más información, consulta el README del paquete google-auth-library.

    Python

    Las bibliotecas cliente para Python admiten la federación de identidades si usan la versión 1.27.0 o posterior del paquete google-auth.

    Para verificar qué versión de este paquete usa tu biblioteca cliente, ejecuta el siguiente comando en el entorno en el que está instalado el paquete:

    pip show google-auth
    

    Si deseas especificar un ID del proyecto para el cliente de autenticación, puedes configurar la variable de entorno GOOGLE_CLOUD_PROJECT o permitir que el cliente busque el ID del proyecto de forma automática. Para encontrar el ID del proyecto de manera automática, la cuenta de servicio en el archivo de configuración debe tener la función de Navegador (roles/browser) o una función con permisos equivalentes en tu proyecto. Para obtener más información, consulta la guía del usuario del paquete google-auth.

    gcloud

    Para autenticar con la federación de Workload Identity, usa el comando gcloud auth login:

    gcloud auth login --cred-file=FILEPATH.json
    

    Reemplaza FILEPATH por la ruta de acceso al archivo de configuración de credenciales.

    La asistencia para la federación de Workload Identity en la CLI de gcloud está disponible en la versión 363.0.0 y posteriores de la CLI de gcloud.

    Terraform

    El proveedor de Google Cloud admite la federación de Workload Identity si usas la versión 3.61.0 o una posterior:

    terraform {
      required_providers {
        google = {
          source  = "hashicorp/google"
          version = "~> 3.61.0"
        }
      }
    }
    

    gsutil

    Para autenticar mediante la federación de Workload Identity, usa uno de los siguientes métodos:

    Cuando uses gsutil junto con gcloud, accede con normalidad:

    gcloud auth login --cred-file=FILEPATH.json
    

    Cuando uses gsutil como una aplicación de línea de comandos independiente, edita el archivo .boto para incluir la siguiente sección:

    [Credentials]
    gs_external_account_file = FILEPATH
    

    Reemplaza FILEPATH en ambos casos por la ruta de acceso al archivo de configuración de la credencial.

    La asistencia para la federación de Workload Identity en gsutil está disponible en la versión 379.0.0 y posteriores de la CLI de gcloud.

    bq

    Para autenticar mediante la federación de Workload Identity, usa el comando gcloud auth login de la siguiente manera:

    gcloud auth login --cred-file=FILEPATH.json
    

    Reemplaza FILEPATH por la ruta de acceso al archivo de configuración de credenciales.

    La compatibilidad con la federación de Workload Identity en bq está disponible en la versión 390.0.0 y posteriores de la CLI de gcloud.

¿Qué sigue?