Este guia descreve como pode realizar operações comuns com a federação de identidades de força de trabalho. Para configurar a federação de identidade da força de trabalho, consulte os seguintes guias:
- Configure a federação de identidades da força de trabalho com o Microsoft Entra ID e inicie sessão nos utilizadores
- Configure a federação de identidades da força de trabalho com o Okta e inicie sessão nos utilizadores
- Configure a federação de identidade da força de trabalho num IdP que suporte OIDC ou SAML
Antes de começar
Tem de ter uma Trusted Cloud organização configurada.
Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:
gcloud init
Faça a gestão de pools
Esta secção mostra como gerir os grupos de identidades da força de trabalho.
Crie um grupo
Para criar um conjunto de trabalhadores, execute o seguinte comando:
gcloud
Para criar o Workforce Identity Pool, execute o seguinte comando:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Substitua o seguinte:
WORKFORCE_POOL_ID: um ID que escolhe para representar o seu workforce pool. Trusted Cloud Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Trusted Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workload Identity Pool.DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado coms, por exemplo,3600s. A duração da sessão determina durante quanto tempo os Trusted Cloud tokens de acesso, sessões de início de sessão da consola (federadas) e sessões de início de sessão da CLI gcloud deste workforce pool são válidas. A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).
Consola
Para criar o Workforce Identity Pool, faça o seguinte:
Na Trusted Cloud consola, aceda à página Workforce Identity Pools:
Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar conjunto e faça o seguinte:
No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.
Opcional: em Descrição, introduza uma descrição do conjunto.
Para criar o Workforce Identity Pool, clique em Seguinte.
A duração da sessão do Workload Identity Pool é de uma hora (3600 segundos) por predefinição. A duração da sessão determina durante quanto tempo os Trusted Cloud tokens de acesso, consola (federada)> e as sessões de início de sessão da CLI gcloud deste grupo de trabalhadores são válidas. Depois de criar o conjunto, pode atualizar o conjunto para definir uma duração da sessão personalizada. A duração da sessão tem de ser entre 15 minutos (900 s) e 12 horas (43 200 s).
Descreva uma piscina
gcloud
Para descrever um conjunto de trabalhadores específico através da CLI gcloud, execute o seguinte comando:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do conjunto de trabalhadores
que escolheu quando criou o conjunto.
Consola
Para descrever um conjunto de trabalhadores específico através da Trusted Cloud consola, faça o seguinte:
Aceda à página Workforce Identity Pools:
Em Grupos de trabalhadores, selecione o grupo
Apresentar grupos
gcloud
Para apresentar uma lista dos conjuntos de trabalhadores na organização, execute o seguinte comando:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Substitua ORGANIZATION_ID pelo ID da sua organização.
Consola
Para apresentar uma lista de grupos de trabalhadores através da Trusted Cloud consola, faça o seguinte:
Aceda à página Workforce Identity Pools:
Na tabela, veja a lista de conjuntos.
Atualize um grupo
gcloud
Para atualizar um conjunto de trabalhadores específico, execute o seguinte comando:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Substitua o seguinte:
WORKFORCE_POOL_ID: o ID do Workforce PoolDESCRIPTION: a descrição da piscina
Consola
Para atualizar um conjunto de colaboradores específico através da Trusted Cloud consola, faça o seguinte:
Aceda à página Workforce Identity Pools:
Na tabela, selecione o conjunto.
Atualize os parâmetros do conjunto.
Clique em Guardar conjunto.
Elimine um grupo
gcloud
Para eliminar um grupo de identidades da força de trabalho, execute o seguinte comando:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do grupo do Workforce.
Consola
Para eliminar um grupo de trabalhadores específico através da Trusted Cloud consola, faça o seguinte:
Aceda à página Workforce Identity Pools:
Em Conjuntos de trabalhadores, clique em Eliminar no conjunto que quer eliminar.
Siga as instruções adicionais.
Anule a eliminação de um grupo
Pode anular a eliminação de um pool de identidades da força de trabalho que foi eliminado nos últimos 30 dias.
Para anular a eliminação de um conjunto, execute o seguinte comando:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do grupo do Workforce.
Configure um fornecedor no Workforce Pool
Esta secção explica como pode usar comandos gcloud para configurar fornecedores do conjunto de identidades da força de trabalho:
Crie um fornecedor de OIDC
Esta secção descreve como criar um fornecedor do Workforce Identity Pool para um IdP OIDC.
gcloud
Fluxo de código
Para criar um fornecedor OIDC que use o fluxo de código de autorização para o início de sessão na Web, execute o seguinte comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \
--web-sso-response-type="code" \
--web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Substitua o seguinte:
WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool exclusivo. O prefixogcp-está reservado e não pode ser usado num ID do Workload Identity Pool ou do fornecedor do Workload Identity Pool.WORKFORCE_POOL_ID: o ID do Workforce Identity Pool para associar ao seu IdP.DISPLAY_NAME: Um nome a apresentar opcional e fácil de usar para o fornecedor; por exemplo,idp-eu-employees.DESCRIPTION: uma descrição opcional do fornecedor de mão de obra; por exemplo,IdP for Partner Example Organization employees.ISSUER_URI: O URI do emissor OIDC, num formato de URI válido, que começa comhttps; por exemplo,https://example.com/oidc. Nota: por motivos de segurança,ISSUER_URItem de usar o esquema HTTPS.OIDC_CLIENT_ID: O ID de cliente do OIDC que está registado no seu IDP do OIDC; o ID tem de corresponder à reivindicaçãoauddo JWT emitido pelo seu IDP.OIDC_CLIENT_SECRET: O segredo do cliente OIDC.WEB_SSO_ADDITIONAL_SCOPES: Âmbitos adicionais opcionais a enviar para o IdP do OIDC para início de sessão baseado no navegador da consola (federado) ou da CLI gcloud.ATTRIBUTE_MAPPING: um mapeamento de atributos. Segue-se um exemplo de um mapeamento de atributos:google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,group1ecostcenterna declaração OIDC para os atributosgoogle.subject,google.groupseattribute.costcenter, respetivamente.ATTRIBUTE_CONDITION: uma condição de atributo; por exemplo,assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a funçãogcp-userspodem iniciar sessão através deste fornecedor.JWK_JSON_PATH: um caminho opcional para um JWKs OIDC carregado localmente. Se este parâmetro não for fornecido, Trusted Cloud usa o caminho do seu IdP/.well-known/openid-configurationpara obter os JWKs que contêm as chaves públicas. Para mais informações sobre os JWKs OIDC carregados localmente, consulte o artigo Faça a gestão dos JWKs OIDC.-
A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
locations/global/workforcePools/enterprise-example-organization-employees.Fluxo implícito
Para criar um fornecedor do Workload Identity Pool OIDC que use o fluxo implícito para início de sessão na Web, execute o seguinte comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--web-sso-response-type="id-token" \
--web-sso-assertion-claims-behavior="only-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Substitua o seguinte:
WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool exclusivo. O prefixogcp-está reservado e não pode ser usado num ID do Workload Identity Pool ou do fornecedor do Workload Identity Pool.WORKFORCE_POOL_ID: o ID do Workforce Identity Pool para associar ao seu IdP.DISPLAY_NAME: Um nome a apresentar opcional e fácil de usar para o fornecedor; por exemplo,idp-eu-employees.DESCRIPTION: uma descrição opcional do fornecedor de mão de obra; por exemplo,IdP for Partner Example Organization employees.ISSUER_URI: O URI do emissor OIDC, num formato de URI válido, que começa comhttps; por exemplo,https://example.com/oidc. Nota: por motivos de segurança,ISSUER_URItem de usar o esquema HTTPS.OIDC_CLIENT_ID: O ID de cliente do OIDC que está registado no seu IDP do OIDC; o ID tem de corresponder à reivindicaçãoauddo JWT emitido pelo seu IDP.WEB_SSO_ADDITIONAL_SCOPES: Âmbitos adicionais opcionais a enviar para o IdP do OIDC para início de sessão baseado no navegador da consola (federado) ou da CLI gcloud.ATTRIBUTE_MAPPING: um mapeamento de atributos. Segue-se um exemplo de um mapeamento de atributos:google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,group1ecostcenterna declaração OIDC para os atributosgoogle.subject,google.groupseattribute.costcenter, respetivamente.ATTRIBUTE_CONDITION: uma condição de atributo; por exemplo,assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a funçãogcp-userspodem iniciar sessão através deste fornecedor.JWK_JSON_PATH: um caminho opcional para um JWKs OIDC carregado localmente. Se este parâmetro não for fornecido, Trusted Cloud usa o caminho do seu IdP/.well-known/openid-configurationpara obter os JWKs que contêm as chaves públicas. Para mais informações sobre os JWKs OIDC carregados localmente, consulte o artigo Faça a gestão dos JWKs OIDC.-
A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
locations/global/workforcePools/enterprise-example-organization-employees.Consola
Fluxo de código
Na Trusted Cloud consola, aceda à página Workforce Identity Pools:
Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na tabela Fornecedores, clique em Adicionar fornecedor.
Em Selecionar um protocolo, selecione Open ID Connect (OIDC).
Em Crie um fornecedor de pool, faça o seguinte:
- Em Nome, introduza o nome do fornecedor.
- Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por
https; por exemplo,https://example.com/oidc. - Introduza o ID de cliente, o ID de cliente OIDC registado
no seu IdP OIDC. O ID tem de corresponder à reivindicação
auddo JWT emitido pelo seu IdP. - Para criar um fornecedor ativado, certifique-se de que a opção Fornecedor ativado está ativada.
- Clique em Continuar.
Em Tipo de fluxo, faça o seguinte. O tipo de fluxo é usado apenas para um fluxo de início de sessão único baseado na Web.
- Em Tipo de fluxo, selecione Código.
- Em Segredo do cliente, introduza o segredo do cliente do seu IdP.
Em Comportamento das reivindicações de afirmação, selecione uma das seguintes opções:
- Informações do utilizador e token de ID
- Apenas token de ID
Clique em Continuar.
Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.
Obrigatório: no OIDC 1, introduza o assunto do IdP; por exemplo,
assertion.sub.Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:
- Clique em Adicionar mapeamento.
- No Google n, em que n é um número, introduza uma das teclas suportadas.Trusted Cloud
- No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.
Para criar uma condição de atributo, faça o seguinte:
- Clique em Adicionar condição.
- Em Condições de atributos, introduza uma condição no formato CEL;
por exemplo,
assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a funçãogcp-userspodem iniciar sessão através deste fornecedor.
Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo detalhado de valores de atributos.
A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Para criar o fornecedor, clique em Enviar.
Fluxo implícito
Na Trusted Cloud consola, aceda à página Workforce Identity Pools:
Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na tabela Fornecedores, clique em Adicionar fornecedor.
Em Selecionar um protocolo, selecione Open ID Connect (OIDC).
Em Crie um fornecedor de pool, faça o seguinte:
- Em Nome, introduza um nome para o fornecedor.
- Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por
https; por exemplo,https://example.com/oidc. - Introduza o ID de cliente, o ID de cliente OIDC registado
no seu IdP OIDC. O ID tem de corresponder à reivindicação
auddo JWT emitido pelo seu IdP. - Para criar um fornecedor ativado, certifique-se de que a opção Fornecedor ativado está ativada.
- Clique em Continuar.
Em Tipo de fluxo, faça o seguinte. O tipo de fluxo é usado apenas para um fluxo de início de sessão único baseado na Web.
- Em Tipo de fluxo, selecione Token de ID.
- Clique em Continuar.
Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.
Obrigatório: no OIDC 1, introduza o assunto do IdP; por exemplo,
assertion.sub.Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:
- Clique em Adicionar mapeamento.
- No Google n, em que n é um número, introduza uma das teclas suportadas.Trusted Cloud
- No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.
Para criar uma condição de atributo, faça o seguinte:
- Clique em Adicionar condição.
Em Condições de atributos, introduza uma condição no formato CEL; por exemplo,
assertion.role == 'gcp-users'. Esta condição de exemplo garante que apenas os utilizadores com a funçãogcp-userspodem iniciar sessão através deste fornecedor.
Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo detalhado de valores de atributos.
A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Para criar o fornecedor, clique em Enviar.
Crie um fornecedor SAML
Esta secção descreve como criar um fornecedor do Workforce Identity Pool para um IdP SAML.
gcloud
Para criar o fornecedor, execute o seguinte comando:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--detailed-audit-logging \
--location="global"
Substitua o seguinte:
WORKFORCE_PROVIDER_ID: o ID do fornecedor de força de trabalhoWORKFORCE_POOL_ID: o ID do Workforce PoolATTRIBUTE_MAPPING: um mapeamento de atributos; por exemplo, para mapear um assunto, o mapeamento de atributos é o seguinte:google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]ATTRIBUTE_CONDITION: uma condição de atributo> opcional; por exemplo,assertion.subject.endsWith("@example.com")XML_METADATA_PATH: o caminho para o ficheiro de metadados em formato XML do seu IdP
O prefixo gcp- está reservado e não pode ser usado num ID do Workload Identity Pool ou do fornecedor do Workload Identity Pool.
Este comando atribui o assunto e o departamento na declaração SAML aos atributos google.subject e attribute.department, respetivamente.
Além disso, a condição do atributo garante que apenas os utilizadores com um assunto que termine em @example.com podem iniciar sessão através deste fornecedor de força de trabalho.
A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Consola
Para configurar o fornecedor de SAML através da Trusted Cloud consola, faça o seguinte:
Na Trusted Cloud consola, aceda à página Workforce Identity Pools:
Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.
Na tabela Fornecedores, clique em Adicionar fornecedor.
Em Selecione um protocolo, selecione SAML.
Em Criar um fornecedor do Workload Identity Pool, faça o seguinte:
Em Nome, introduza um nome para o fornecedor.
Opcional: em Descrição, introduza uma descrição do fornecedor.
Em Ficheiro de metadados do IDP (XML), selecione o ficheiro XML de metadados que gerou anteriormente neste guia.
Certifique-se de que a opção Fornecedor ativado está ativada.
Clique em Continuar.
Em Configurar fornecedor, faça o seguinte:
Em Mapeamento de atributos, introduza uma expressão CEL para
google.subject.Opcional: para introduzir outros mapeamentos, clique em Adicionar mapeamento e introduza outros mapeamentos, por exemplo:
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]assertion.subject,assertion.attributes['https://example.com/aliases']eassertion.attributes.costcenter[0]para os atributos Trusted Cloudgoogle.subject,google.groupsegoogle.costcenter, respetivamente.Opcional: para adicionar uma condição de atributo, clique em Adicionar condição e introduza uma expressão CEL que represente uma condição de atributo. Por exemplo, para limitar o atributo
ipaddra um determinado intervalo de IPs, pode definir a condiçãoassertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condição de exemplo garante que apenas os utilizadores com um endereço IP que comece por98.11.12.podem iniciar sessão através deste fornecedor de força de trabalho.Clique em Continuar.
Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo detalhado de valores de atributos.
A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.
Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag
--detailed-audit-loggingquando executargcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.
Para criar o fornecedor, clique em Enviar.
Descreva um fornecedor
gcloud
Para descrever um fornecedor, execute o seguinte comando:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua o seguinte:
PROVIDER_ID: o ID do fornecedorWORKFORCE_POOL_ID: o ID do Workforce Pool
Consola
Para ver um fornecedor, faça o seguinte:
- Aceda à página Workforce Identity Pools:
Aceda aos Workforce Identity Pools
Na tabela, selecione o conjunto para o qual quer ver o fornecedor.
Na tabela Fornecedores, selecione o fornecedor.
Fornecedores de listas
gcloud
Para apresentar uma lista de fornecedores, execute o seguinte comando:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do grupo do Workforce.
Consola
Para ver um fornecedor, faça o seguinte:
- Aceda à página Workforce Identity Pools:
Aceda aos Workforce Identity Pools
Na tabela, selecione o conjunto para o qual quer apresentar os fornecedores.
Na tabela Fornecedores, pode ver uma lista de fornecedores.
Atualize um fornecedor
gcloud
Para atualizar um fornecedor de OIDC após a criação, execute o seguinte comando:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--detailed-audit-logging \
--location=global
Substitua o seguinte:
PROVIDER_ID: o ID do fornecedorWORKFORCE_POOL_ID: o ID do Workforce PoolDESCRIPTION: a descrição-
Para ativar o registo de auditoria detalhado, adicione a sinalização
--detailed-audit-loggingagcloud iam workforce-pools providers update. Para desativar o registo de auditoria detalhado, adicione o sinalizador--no-detailed-audit-loggingao comando de atualização.
Consola
Para ver um fornecedor, faça o seguinte:
- Aceda à página Workforce Identity Pools:
Aceda aos Workforce Identity Pools
Na tabela, selecione o conjunto para o qual quer ver o fornecedor.
Na tabela Fornecedores, clique em Editar.
Atualize o fornecedor.
Para guardar o fornecedor atualizado, clique em Guardar.
Elimine um fornecedor
Para eliminar um fornecedor, execute o seguinte comando:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua o seguinte:
PROVIDER_ID: o ID do fornecedorWORKFORCE_POOL_ID: o ID do Workforce Pool
Anule a eliminação de um fornecedor
Para anular a eliminação de um fornecedor eliminado nos últimos 30 dias, execute o seguinte comando:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua o seguinte:
PROVIDER_ID: o ID do fornecedorWORKFORCE_POOL_ID: o ID do Workforce Pool
Faça a gestão de JWKs OIDC
Esta secção mostra como gerir JWKs OIDC em fornecedores do grupo de trabalho.
Crie um fornecedor e carregue JWKs do OIDC
Para criar JWKs OIDC, consulte Implementações de JWT, JWS, JWE, JWK e JWA.
Para carregar um ficheiro JWK OIDC quando cria um fornecedor do Workforce Pool,
execute o comando gcloud iam workforce-pools providers create-oidc com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para o ficheiro JSON de JWKs.
Esta operação carrega as chaves do ficheiro.
Atualize os JWKs do OIDC
Para atualizar os JWKs de OIDC, execute o comando
gcloud iam workforce-pools providers update-oidc com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para o ficheiro JSON de JWKs.
Esta operação substitui todas as chaves carregadas existentes pelas chaves no ficheiro.
Elimine todos os JWKs OIDC carregados
Para eliminar todos os JWKs OIDC carregados e, em alternativa, usar o URI do emissor para obter as chaves, execute o comando gcloud iam workforce-pools providers update-oidc com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para um ficheiro vazio.
Use a flag --issuer-uri para definir o URI do emissor.
Esta operação elimina todas as chaves carregadas existentes.
O que se segue?
- Configure a federação de identidades da força de trabalho com o Microsoft Entra ID e inicie sessão nos utilizadores
- Configure a federação de identidades da força de trabalho com o Okta e inicie sessão nos utilizadores
- Elimine utilizadores da Workforce Identity Federation e os respetivos dados
- Saiba que Trusted Cloud produtos suportam a federação de identidade da força de trabalho