En esta guía se describe cómo realizar operaciones comunes con la federación de identidades de la fuerza de trabajo. Para configurar Workforce Identity Federation, consulta las siguientes guías:
- Configurar la federación de identidades de los empleados con Microsoft Entra ID e iniciar sesión de los usuarios
- Configurar la federación de identidades de los empleados con Okta e iniciar sesión de los usuarios
- Configurar la federación de identidades de Workforce en un IdP que admita OIDC o SAML
Antes de empezar
Debes tener una organización configurada. Trusted Cloud
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud init
Gestionar grupos
En esta sección se explica cómo gestionar grupos de identidades de empleados.
Crear un grupo
Para crear un grupo de trabajadores, ejecuta el siguiente comando:
gcloud
Para crear el grupo de identidades de Workforce, ejecuta el siguiente comando:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Haz los cambios siguientes:
WORKFORCE_POOL_ID: un ID que elijas para representar tu Trusted Cloud grupo de Workforce. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.ORGANIZATION_ID: el ID numérico de tu organización Trusted Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.SESSION_DURATION: opcional. La duración de la sesión, expresada como un número seguido des. Por ejemplo,3600s. La duración de la sesión determina cuánto tiempo son válidos los Trusted Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federadas) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de la duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).
Consola
Para crear el grupo de identidades de Workforce, sigue estos pasos:
En la Trusted Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:
Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de la fuerza de trabajo están disponibles en todos los proyectos y carpetas de una organización.
Haz clic en Crear grupo y sigue estos pasos:
En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.
Opcional: En Descripción, escribe una descripción del grupo.
Para crear el grupo de identidades de Workforce, haz clic en Siguiente.
La duración de la sesión del grupo de identidades de Workforce es de una hora (3600 s) de forma predeterminada. La duración de la sesión determina cuánto tiempo son válidas las sesiones de inicio de sesión de los tokens de acceso, la consola (federada) y la CLI de gcloud de este grupo de empleados. Trusted Cloud Una vez que hayas creado el grupo, podrás actualizarlo para definir una duración de sesión personalizada. La duración de la sesión debe ser de entre 15 minutos (900 s) y 12 horas (43.200 s).
Describe un grupo
gcloud
Para describir un grupo de trabajadores específico con gcloud CLI, ejecuta el siguiente comando:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Sustituye WORKFORCE_POOL_ID por el ID del grupo de Workforce que elegiste al crear el grupo.
Consola
Para describir un grupo de personal específico mediante la consola Trusted Cloud , sigue estos pasos:
Ve a la página Grupos de identidades de Workforce:
En Grupos de trabajadores, selecciona el grupo.
Mostrar grupos
gcloud
Para enumerar los grupos de trabajadores de la organización, ejecuta el siguiente comando:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Sustituye ORGANIZATION_ID por el ID de tu organización.
Consola
Para enumerar los grupos de trabajadores con la consola de Trusted Cloud , haz lo siguiente:
Ve a la página Grupos de identidades de Workforce:
En la tabla, consulta la lista de grupos.
Actualizar un grupo
gcloud
Para actualizar un grupo de trabajadores específico, ejecuta el siguiente comando:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Haz los cambios siguientes:
WORKFORCE_POOL_ID: el ID del grupo de trabajadoresDESCRIPTION: la descripción de la piscina
Consola
Para actualizar un grupo de personal específico mediante la consola Trusted Cloud , sigue estos pasos:
Ve a la página Grupos de identidades de Workforce:
En la tabla, selecciona el grupo.
Actualiza los parámetros del grupo.
Haz clic en Guardar grupo.
Eliminar un grupo
gcloud
Para eliminar un grupo de identidades de la fuerza de trabajo, ejecuta el siguiente comando:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Sustituye WORKFORCE_POOL_ID por el ID del grupo de Workforce.
Consola
Para eliminar un grupo de personal específico mediante la Trusted Cloud consola, sigue estos pasos:
Ve a la página Grupos de identidades de Workforce:
En Grupos de usuarios, haz clic en Eliminar en el grupo que quieras eliminar.
Sigue las instrucciones adicionales.
Recuperar un grupo
Puedes restaurar un grupo de identidades de la fuerza de trabajo que se haya eliminado en los últimos 30 días.
Para restaurar un grupo, ejecuta el siguiente comando:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Sustituye WORKFORCE_POOL_ID por el ID del grupo de Workforce.
Configurar un proveedor en el grupo de empleados
En esta sección se explica cómo usar los comandos gcloud para configurar proveedores de grupos de identidades de la fuerza de trabajo:
Crear un proveedor de OIDC
En esta sección se describe cómo crear un proveedor de grupo de identidades de la fuerza de trabajo para un IdP de OIDC.
gcloud
Flujo de código
Para crear un proveedor de OIDC que utilice el flujo de código de autorización para iniciar sesión en la Web, ejecuta el siguiente comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \
--web-sso-response-type="code" \
--web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Haz los cambios siguientes:
WORKFORCE_PROVIDER_ID: ID único del proveedor de grupos de identidades de Workforce. El prefijogcp-está reservado y no se puede usar en un ID de grupo de identidades de Workforce ni en un ID de proveedor de grupos de identidades de Workforce.WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce al que conectar tu proveedor de identidades.DISPLAY_NAME: nombre visible opcional para el proveedor. Por ejemplo,idp-eu-employees.DESCRIPTION: descripción opcional del proveedor de mano de obra. Por ejemplo,IdP for Partner Example Organization employees.ISSUER_URI: el URI del emisor de OIDC, en un formato de URI válido, que empieza porhttps; por ejemplo,https://example.com/oidc. Nota: Por motivos de seguridad,ISSUER_URIdebe usar el esquema HTTPS.OIDC_CLIENT_ID: el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamaciónauddel JWT emitido por tu proveedor de identidades.OIDC_CLIENT_SECRET: el secreto de cliente de OIDC.WEB_SSO_ADDITIONAL_SCOPES: ámbitos adicionales opcionales que se enviarán al proveedor de identidades OIDC para iniciar sesión en la consola (federada) o en la CLI de gcloud basada en navegador.ATTRIBUTE_MAPPING: una asignación de atributos. A continuación, se muestra un ejemplo de asignación de atributos:google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,group1ycostcenterdel proveedor de identidades en la aserción de OIDC a los atributosgoogle.subject,google.groupsyattribute.costcenter, respectivamente.ATTRIBUTE_CONDITION: una condición de atributo; por ejemplo,assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rolgcp-userspuedan iniciar sesión con este proveedor.JWK_JSON_PATH: ruta opcional a las claves web JSON (JWK) de OIDC subidas localmente. Si no se proporciona este parámetro, Trusted Cloud se usa la ruta/.well-known/openid-configurationde tu IdP para obtener los JWKs que contienen las claves públicas. Para obtener más información sobre los JWKs de OIDC subidos localmente, consulta gestionar JWKs de OIDC.-
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
locations/global/workforcePools/enterprise-example-organization-employees.Flujo implícito
Para crear un proveedor de grupos de identidades de carga de trabajo de OIDC que use el flujo implícito para el inicio de sesión web, ejecuta el siguiente comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--web-sso-response-type="id-token" \
--web-sso-assertion-claims-behavior="only-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Haz los cambios siguientes:
WORKFORCE_PROVIDER_ID: ID único del proveedor de grupos de identidades de Workforce. El prefijogcp-está reservado y no se puede usar en un ID de grupo de identidades de Workforce ni en un ID de proveedor de grupos de identidades de Workforce.WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce al que conectar tu proveedor de identidades.DISPLAY_NAME: nombre visible opcional para el proveedor. Por ejemplo,idp-eu-employees.DESCRIPTION: descripción opcional del proveedor de mano de obra. Por ejemplo,IdP for Partner Example Organization employees.ISSUER_URI: el URI del emisor de OIDC, en un formato de URI válido, que empieza porhttps; por ejemplo,https://example.com/oidc. Nota: Por motivos de seguridad,ISSUER_URIdebe usar el esquema HTTPS.OIDC_CLIENT_ID: el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamaciónauddel JWT emitido por tu proveedor de identidades.WEB_SSO_ADDITIONAL_SCOPES: ámbitos adicionales opcionales que se enviarán al proveedor de identidades OIDC para iniciar sesión en la consola (federada) o en la CLI de gcloud basada en navegador.ATTRIBUTE_MAPPING: una asignación de atributos. A continuación, se muestra un ejemplo de asignación de atributos:google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,group1ycostcenterdel proveedor de identidades en la aserción de OIDC a los atributosgoogle.subject,google.groupsyattribute.costcenter, respectivamente.ATTRIBUTE_CONDITION: una condición de atributo; por ejemplo,assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rolgcp-userspuedan iniciar sesión con este proveedor.JWK_JSON_PATH: ruta opcional a las claves web JSON (JWK) de OIDC subidas localmente. Si no se proporciona este parámetro, Trusted Cloud se usa la ruta/.well-known/openid-configurationde tu IdP para obtener los JWKs que contienen las claves públicas. Para obtener más información sobre los JWKs de OIDC subidos localmente, consulta gestionar JWKs de OIDC.-
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
locations/global/workforcePools/enterprise-example-organization-employees.Consola
Flujo de código
En la Trusted Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:
En la tabla Grupos de identidades de Workforce, seleccione el grupo para el que quiera crear el proveedor.
En la tabla Proveedores, haga clic en Añadir proveedor.
En Seleccionar un protocolo, selecciona OpenID Connect (OIDC).
En Crear un proveedor de grupos, haz lo siguiente:
- En Name (Nombre), escribe el nombre del proveedor.
- En Emisor (URL), introduzca el URI del emisor. El URI del emisor de OIDC debe tener un formato de URI válido y empezar por
https. Por ejemplo,https://example.com/oidc. - Introduce el ID de cliente, el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación
auddel JWT emitido por tu proveedor de identidades. - Para crear un proveedor habilitado, asegúrate de que la opción Proveedor habilitado esté activada.
- Haz clic en Continuar.
En Tipo de flujo, haz lo siguiente: El tipo de flujo solo se usa en un flujo de inicio de sesión único basado en la Web.
- En Tipo de flujo, selecciona Código.
- En Secreto de cliente, introduce el secreto de cliente de tu proveedor de identidades.
En Comportamiento de las reclamaciones de aserción, seleccione una de las siguientes opciones:
- Información del usuario y token de ID
- Solo token de ID
Haz clic en Continuar.
En Configurar proveedor, puede configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, sigue estos pasos. Puedes proporcionar el nombre del campo del proveedor de identidades o una expresión con formato CEL que devuelva una cadena.
Obligatorio: en OIDC 1, introduce el asunto del proveedor de identidades. Por ejemplo:
assertion.sub.Opcional: Para añadir más asignaciones de atributos, haz lo siguiente:
- Haz clic en Añadir asignación.
- En Google n, donde n es un número, introduce una de las teclas compatibles conTrusted Cloud.
- En el campo OIDC n correspondiente, introduce el nombre del campo específico del IdP que quieras asignar, en formato CEL.
Para crear una condición de atributo, siga estos pasos:
- Haz clic en Añadir condición.
- En Condiciones de atributo, introduce una condición en formato CEL;
por ejemplo,
assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rolgcp-userspuedan iniciar sesión con este proveedor.
Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro detallado de valores de atributos.
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.
Flujo implícito
En la Trusted Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:
En la tabla Grupos de identidades de Workforce, seleccione el grupo para el que quiera crear el proveedor.
En la tabla Proveedores, haga clic en Añadir proveedor.
En Seleccionar un protocolo, selecciona OpenID Connect (OIDC).
En Crear un proveedor de grupos, haz lo siguiente:
- En Name (Nombre), escribe el nombre del proveedor.
- En Emisor (URL), introduzca el URI del emisor. El URI del emisor de OIDC debe tener un formato de URI válido y empezar por
https. Por ejemplo,https://example.com/oidc. - Introduce el ID de cliente, el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación
auddel JWT emitido por tu proveedor de identidades. - Para crear un proveedor habilitado, asegúrate de que la opción Proveedor habilitado esté activada.
- Haz clic en Continuar.
En Tipo de flujo, haz lo siguiente: El tipo de flujo solo se usa en un flujo de inicio de sesión único basado en la Web.
- En Tipo de flujo, selecciona Token de ID.
- Haz clic en Continuar.
En Configurar proveedor, puede configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, sigue estos pasos. Puedes proporcionar el nombre del campo del proveedor de identidades o una expresión con formato CEL que devuelva una cadena.
Obligatorio: en OIDC 1, introduce el asunto del proveedor de identidades. Por ejemplo:
assertion.sub.Opcional: Para añadir más asignaciones de atributos, haz lo siguiente:
- Haz clic en Añadir asignación.
- En Google n, donde n es un número, introduce una de las teclas compatibles conTrusted Cloud.
- En el campo OIDC n correspondiente, introduce el nombre del campo específico del IdP que quieras asignar, en formato CEL.
Para crear una condición de atributo, siga estos pasos:
- Haz clic en Añadir condición.
En Condiciones de atributo, introduce una condición en formato CEL; por ejemplo,
assertion.role == 'gcp-users'. Esta condición de ejemplo asegura que solo los usuarios con el rolgcp-userspuedan iniciar sesión con este proveedor.
Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro detallado de valores de atributos.
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.
Crear un proveedor de SAML
En esta sección se describe cómo crear un proveedor de grupo de identidades de la fuerza de trabajo para un IdP de SAML.
gcloud
Para crear el proveedor, ejecuta el siguiente comando:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--detailed-audit-logging \
--location="global"
Haz los cambios siguientes:
WORKFORCE_PROVIDER_ID: el ID del proveedor de WorkforceWORKFORCE_POOL_ID: el ID del grupo de trabajadoresATTRIBUTE_MAPPING: una asignación de atributos. Por ejemplo, para asignar un asunto, la asignación de atributos es la siguiente:google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]ATTRIBUTE_CONDITION: una condición de atributo opcional; por ejemplo,assertion.subject.endsWith("@example.com")XML_METADATA_PATH: la ruta al archivo de metadatos en formato XML de tu proveedor de identidades
El prefijo gcp- está reservado y no se puede usar en un ID de grupo de identidades de Workforce ni en un ID de proveedor de grupos de identidades de Workforce.
Este comando asigna el asunto y el departamento de la aserción SAML a los atributos google.subject y attribute.department, respectivamente.
Además, la condición del atributo asegura que solo los usuarios cuyo asunto termine en @example.com puedan iniciar sesión con este proveedor de la plantilla.
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Consola
Para configurar el proveedor de SAML mediante la consola Trusted Cloud , haz lo siguiente:
En la Trusted Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:
En la tabla Grupos de identidades de Workforce, seleccione el grupo en el que quiera crear el proveedor.
En la tabla Proveedores, haga clic en Añadir proveedor.
En Select a protocol (Seleccionar un protocolo), selecciona SAML.
En Crear un proveedor de grupos, haz lo siguiente:
En Name (Nombre), escribe el nombre del proveedor.
Opcional: En Descripción, escribe una descripción del proveedor.
En Archivo de metadatos del IdP (XML), selecciona el archivo XML de metadatos que has generado anteriormente en esta guía.
Comprueba que la opción Proveedor habilitado esté habilitada.
Haz clic en Continuar.
En Configurar proveedor, haz lo siguiente:
En Asignación de atributos, introduce una expresión CEL para
google.subject.Opcional: Para introducir otras asignaciones, haz clic en Añadir asignación e introduce otras asignaciones. Por ejemplo:
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]assertion.subject,assertion.attributes['https://example.com/aliases']yassertion.attributes.costcenter[0]a los atributos Trusted Cloudgoogle.subject,google.groupsygoogle.costcenter, respectivamente.Opcional: Para añadir una condición de atributo, haga clic en Añadir condición e introduzca una expresión CEL que represente una condición de atributo. Por ejemplo, para limitar el atributo
ipaddra un intervalo de IPs determinado, puedes definir la condiciónassertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo asegura que solo los usuarios con una dirección IP que empiece por98.11.12.puedan iniciar sesión con este proveedor de la plantilla.Haz clic en Continuar.
Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro detallado de valores de atributos.
La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.
Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca
--detailed-audit-loggingal ejecutargcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.
Para crear el proveedor, haz clic en Enviar.
Describir un proveedor
gcloud
Para describir un proveedor, ejecuta el siguiente comando:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Haz los cambios siguientes:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de trabajadores
Consola
Para ver un proveedor, siga estos pasos:
- Ve a la página Grupos de identidades de Workforce:
Ir a Grupos de identidades de Workforce
En la tabla, seleccione el grupo del que quiera ver el proveedor.
En la tabla Proveedores, seleccione el proveedor.
Mostrar proveedores
gcloud
Para enumerar los proveedores, ejecuta el siguiente comando:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Sustituye WORKFORCE_POOL_ID por el ID del grupo de Workforce.
Consola
Para ver un proveedor, siga estos pasos:
- Ve a la página Grupos de identidades de Workforce:
Ir a Grupos de identidades de Workforce
En la tabla, seleccione el grupo del que quiera obtener la lista de proveedores.
En la tabla Proveedores, puede ver una lista de proveedores.
Actualizar un proveedor
gcloud
Para actualizar un proveedor de OIDC después de crearlo, ejecuta el siguiente comando:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--detailed-audit-logging \
--location=global
Haz los cambios siguientes:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de trabajadoresDESCRIPTION: la descripción-
Para habilitar el registro de auditoría detallado, añade la marca
--detailed-audit-loggingagcloud iam workforce-pools providers update. Para inhabilitar el registro de auditoría detallado, añade la marca--no-detailed-audit-loggingal comando de actualización.
Consola
Para ver un proveedor, siga estos pasos:
- Ve a la página Grupos de identidades de Workforce:
Ir a Grupos de identidades de Workforce
En la tabla, seleccione el grupo del que quiera ver el proveedor.
En la tabla Proveedores, haz clic en Editar.
Actualiza el proveedor.
Para guardar el proveedor actualizado, haz clic en Guardar.
Eliminar un proveedor
Para eliminar un proveedor, ejecuta el siguiente comando:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Haz los cambios siguientes:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de trabajadores
Restaurar un proveedor
Para restaurar un proveedor eliminado en los últimos 30 días, ejecuta el siguiente comando:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Haz los cambios siguientes:
PROVIDER_ID: el ID del proveedorWORKFORCE_POOL_ID: el ID del grupo de trabajadores
Gestionar JWKs de OIDC
En esta sección se muestra cómo gestionar las JWKs de OIDC en proveedores de grupos de identidades de empleados.
Crear un proveedor y subir JWKs de OIDC
Para crear JWKs de OIDC, consulta Implementaciones de JWT, JWS, JWE, JWK y JWA.
Para subir un archivo JWK de OIDC al crear un proveedor de grupos de empleados, ejecuta el comando gcloud iam workforce-pools providers create-oidc con --jwk-json-path="JWK_JSON_PATH".
Sustituye JWK_JSON_PATH por la ruta al archivo JSON de JWKs.
Esta operación sube las claves del archivo.
Actualizar JWKs de OIDC
Para actualizar las JWKs de OIDC, ejecuta el comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH".
Sustituye JWK_JSON_PATH por la ruta al archivo JSON de JWKs.
Esta operación sustituye las claves subidas por las del archivo.
Eliminar todos los JWKs de OIDC subidos
Para eliminar todos los JWKs de OIDC subidos y usar el URI del emisor para obtener las claves, ejecuta el comando gcloud iam workforce-pools providers update-oidc con --jwk-json-path="JWK_JSON_PATH".
Sustituye JWK_JSON_PATH por la ruta a un archivo vacío.
Usa la marca --issuer-uri para definir el URI del emisor.
Con esta operación se eliminarán todas las llaves que hayas subido.
Siguientes pasos
- Configurar la federación de identidades de los empleados con Microsoft Entra ID e iniciar sesión de los usuarios
- Configurar la federación de identidades de los empleados con Okta e iniciar sesión de los usuarios
- Eliminar usuarios de la federación de identidades de la plantilla y sus datos
- Consulta qué Trusted Cloud productos son compatibles con Workforce Identity Federation.