Configurar la federación de identidades para los trabajadores con Microsoft Entra ID e iniciar sesión de los usuarios

En este documento se explica cómo configurar la federación de identidades de trabajo con el proveedor de identidades (IdP) Microsoft Entra ID y cómo gestionar el acceso aTrusted Cloud by S3NS. Los usuarios federados pueden acceder a los servicios de Trusted Cloud que admiten Workforce Identity Federation. Puedes usar el protocolo OIDC o el protocolo SAML 2.0 para federar identidades.

Antes de empezar

  1. Asegúrate de que tienes una organización de Trusted Cloud configurada.
  2. Define la variable de entorno GOOGLE_CLOUD_UNIVERSE_DOMAIN como s3nsapis.fr.

  3. Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

    gcloud init
  4. En Microsoft Entra ID, asegúrate de que los tokens de ID estén habilitados para el flujo implícito. Para obtener más información, consulta Habilitar la concesión implícita de tokens de ID.
  5. Para iniciar sesión, tu proveedor de identidades debe proporcionar información de autenticación firmada: los proveedores de identidades de OIDC deben proporcionar un JWT y las respuestas de los proveedores de identidades de SAML deben estar firmadas.
  6. Para recibir información importante sobre los cambios que se produzcan en tu organización o en tusTrusted Cloud productos, debes proporcionar contactos esenciales. Para obtener más información, consulta la descripción general de la Federación de Identidades de Workforce.

Costes

La federación de identidades para los trabajadores está disponible como función gratuita. Sin embargo, el registro de auditoría detallado de la federación de identidades de Workforce usa Cloud Logging. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.

Roles obligatorios

Para obtener los permisos que necesitas para configurar la federación de identidades de Workforce, pide a tu administrador que te conceda el rol de administrador de grupos de Workforce de gestión de identidades y accesos (roles/iam.workforcePoolAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Si estás configurando permisos en un entorno de desarrollo o de prueba, pero no en un entorno de producción, puedes asignar el rol básico Propietario de IAM (roles/owner), que también incluye permisos para la federación de identidades de la fuerza de trabajo.

Crear una aplicación de Microsoft Entra ID

En esta sección se explica cómo crear una aplicación de Microsoft Entra ID mediante el portal de administración de Microsoft Entra. También puedes actualizar tu aplicación. Para obtener más información, consulta el artículo Establecer aplicaciones en el ecosistema de Microsoft Entra ID.

Los grupos de identidades de Workforce admiten la federación mediante los protocolos OIDC y SAML.

OIDC

Para crear un registro de aplicación de Microsoft Entra ID que use el protocolo OIDC, haz lo siguiente:

  1. Inicia sesión en el portal de administración de Microsoft Entra.

  2. Ve a Identidad > Aplicaciones > Registros de aplicaciones.

  3. Para empezar a configurar el registro de la aplicación, haz lo siguiente:

    1. Haz clic en Nuevo registro.

    2. Escribe el nombre de la aplicación.

    3. En Tipos de cuentas admitidos, selecciona una opción.

    4. En la sección URI de redirección, en la lista desplegable Seleccionar una plataforma, selecciona Web.

    5. En el campo de texto, introduce una URL de redirección. Se redirige a los usuarios a esta URL después de que hayan iniciado sesión correctamente. Si vas a configurar el acceso a la consola (federada), usa el siguiente formato de URL:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Haz los cambios siguientes:

      • WORKFORCE_POOL_ID: un ID de grupo de identidades de Workforce que usarás al crear el grupo de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-oidc-pool

      • WORKFORCE_PROVIDER_ID: un ID de proveedor de grupo de identidades de Workforce que usarás cuando crees el proveedor de grupo de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-oidc-pool-provider

        Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.

    6. Para crear el registro de la aplicación, haz clic en Registrar.

    7. Para usar la asignación de atributos de ejemplo que se proporciona más adelante en este documento, debe crear un atributo department personalizado.

Recomendación: como práctica recomendada de seguridad, te recomendamos que configures una reclamación de grupo haciendo lo siguiente:

  1. Ve al registro de tu aplicación de Microsoft Entra ID.

  2. Haz clic en Configuración de tokens.

  3. Haz clic en Añadir reclamación de grupos.

  4. Selecciona los tipos de grupo que quieras devolver. Para obtener más información, consulta Configurar las reclamaciones opcionales de grupos.

SAML

Para crear un registro de aplicación de Microsoft Entra ID que use el protocolo SAML, haz lo siguiente:

  1. Inicia sesión en el portal de administración de Microsoft Entra.

  2. En el menú de navegación de la izquierda, ve a Entra ID > Aplicaciones empresariales.

  3. Para empezar a configurar la aplicación empresarial, haz lo siguiente:

    1. Haz clic en Nueva aplicación > Crea tu propia aplicación.

    2. En el panel Crea tu propia aplicación que aparece, introduce un nombre para la aplicación.

    3. Haz clic en Crear.

    4. Ve a Inicio de sesión único > SAML.

    5. Actualiza la sección Configuración básica de SAML de la siguiente manera:

      1. En el campo Identifier (Entity ID) (Identificador [ID de entidad]), introduce el siguiente valor:

        https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Haz los cambios siguientes:

        • WORKFORCE_POOL_ID: un ID de grupo de identidades de Workforce que usarás al crear el grupo de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-saml-pool

        • WORKFORCE_PROVIDER_ID: un ID de proveedor de grupos de identidades de Workforce que usarás cuando crees el proveedor de grupos de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-saml-pool-provider

          Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.

      2. En el campo URL de respuesta (URL del servicio de consumidor de aserciones), introduce una URL de redirección. Se redirige a los usuarios a esta URL después de que hayan iniciado sesión correctamente. Si vas a configurar el acceso a la consola (federada), usa el siguiente formato de URL:

        https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Haz los cambios siguientes:

        • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce
        • WORKFORCE_PROVIDER_ID: el ID del proveedor de identidades de la plantilla

      3. Para habilitar el inicio de sesión iniciado por el IdP, asigna el siguiente valor al campo Relay State:

        https://console.cloud.s3nscloud.fr/

      4. Para guardar la configuración de la aplicación SAML, haz clic en Guardar.

    6. Para usar la asignación de atributos de ejemplo que se proporciona más adelante en este documento, debe crear un atributo department personalizado.

Recomendación: como práctica recomendada de seguridad, te recomendamos que configures una reclamación de grupo haciendo lo siguiente:

  1. Ve a tu aplicación de Microsoft Entra ID.

  2. Haz clic en Single sign-on (Inicio de sesión único).

  3. En la sección Atributos y reclamaciones, haz clic en Editar.

  4. Haz clic en Añadir una reclamación de grupo.

  5. Selecciona el tipo de grupo que quieras devolver. Para obtener más información, consulta el artículo Añadir reclamaciones de grupo a tokens de aplicaciones SAML mediante la configuración del inicio de sesión único.

Crear un grupo de identidades de Workforce

gcloud

Para crear el grupo de identidades de Workforce, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Haz los cambios siguientes:

  • WORKFORCE_POOL_ID: un ID que elijas para representar tu Trusted Cloud grupo de Workforce. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.
  • ORGANIZATION_ID: el ID numérico de tu organización Trusted Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.
  • DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.
  • DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.
  • SESSION_DURATION: opcional. La duración de la sesión, expresada como un número seguido de s. Por ejemplo, 3600s. La duración de la sesión determina cuánto tiempo son válidos los Trusted Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federadas) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de la duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).

Consola

Para crear el grupo de identidades de Workforce, sigue estos pasos:

  1. En la Trusted Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

    Ir a Grupos de identidades de Workforce

  2. Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de la fuerza de trabajo están disponibles en todos los proyectos y carpetas de una organización.

  3. Haz clic en Crear grupo y sigue estos pasos:

    1. En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.

    2. Opcional: En Descripción, escribe una descripción del grupo.

    3. Para crear el grupo de identidades de Workforce, haz clic en Siguiente.

La duración de la sesión del grupo de identidades de Workforce es de una hora (3600 s) de forma predeterminada. La duración de la sesión determina cuánto tiempo son válidas las sesiones de inicio de sesión de los tokens de acceso, la consola (federada) y la CLI de gcloud de este grupo de empleados. Trusted Cloud Una vez que hayas creado el grupo, podrás actualizarlo para definir una duración de sesión personalizada. La duración de la sesión debe ser de entre 15 minutos (900 s) y 12 horas (43.200 s).

Crear el proveedor de grupos de identidades de Workforce de Microsoft Entra ID

En esta sección se describe cómo crear un proveedor de grupo de identidades de la fuerza de trabajo para que los usuarios de tu IdP puedan acceder a Trusted Cloud. Puedes configurar el proveedor para que use el protocolo OIDC o SAML.

Crear un proveedor de grupos de identidades de empleados OIDC

Para crear un proveedor de grupos de identidades de empleados para la integración de tu aplicación de Microsoft Entra ID mediante el protocolo OIDC, haz lo siguiente:

  1. Para obtener el URI del emisor de tu aplicación de Microsoft Entra ID, haz lo siguiente:

    1. Ve al registro de tu aplicación de Microsoft Entra ID.
    2. Haz clic en Puntos de conexión.
    3. Abre el documento de metadatos de OpenID Connect en una pestaña nueva.
    4. En el JSON, copie el valor de issuer.

  2. Para obtener el ID de cliente de tu aplicación de Microsoft Entra ID, sigue estos pasos:

    1. Ve al registro de tu aplicación de Microsoft Entra ID.
    2. En ID de aplicación (cliente), copia el valor.

  3. Para crear un proveedor de grupos de identidades de Workforce OIDC para el inicio de sesión basado en web, haz lo siguiente:

    gcloud

    Para crear un proveedor que admita el protocolo OIDC, sigue estos pasos:

    Flujo de código

    Para crear un proveedor de OIDC que utilice el flujo de código de autorización para el inicio de sesión basado en la Web, haz lo siguiente:

    1. En tu aplicación de Microsoft Entra ID, haz lo siguiente para obtener tu secreto de cliente:

      1. Ve al registro de tu aplicación de Microsoft Entra ID.

      2. En Certificados y secretos, haz clic en la pestaña Secretos de cliente.

      3. Para añadir un secreto de cliente, haz clic en + Nuevo secreto de cliente.

      4. En el cuadro de diálogo Añadir secreto de cliente, introduce la información que necesites.

      5. Para crear el secreto de cliente, haz clic en Añadir.

      6. En la pestaña Secretos de cliente, busca el nuevo secreto de cliente.

      7. En la columna Valor del nuevo secreto de cliente, haz clic en Copiar.

    2. En la Trusted Cloud consola, para crear un proveedor de OIDC que use el flujo de código, haz lo siguiente:

      gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
          --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

      Haz los cambios siguientes:

      • WORKFORCE_PROVIDER_ID: ID único del proveedor de grupos de identidades de Workforce. El prefijo gcp- está reservado y no se puede usar en un ID de grupo de identidades de Workforce ni en un ID de proveedor de grupos de identidades de Workforce.
      • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce al que conectar tu proveedor de identidades.
      • DISPLAY_NAME: nombre visible opcional para el proveedor. Por ejemplo, idp-eu-employees.
      • DESCRIPTION: descripción opcional del proveedor de mano de obra. Por ejemplo, IdP for Partner Example Organization employees.
      • ISSUER_URI: el URI del emisor de OIDC, en un formato de URI válido, que empieza por https; por ejemplo, https://example.com/oidc. Nota: Por motivos de seguridad, ISSUER_URI debe usar el esquema HTTPS.
      • OIDC_CLIENT_ID: el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación aud del JWT emitido por tu proveedor de identidades.
      • OIDC_CLIENT_SECRET: el secreto de cliente de OIDC.
      • WEB_SSO_ADDITIONAL_SCOPES: ámbitos adicionales opcionales que se enviarán al proveedor de identidades OIDC para iniciar sesión en la consola (federada) o en la CLI de gcloud basada en navegador.
      • ATTRIBUTE_MAPPING: una asignación de atributos. En el caso de Microsoft Entra ID con autenticación OIDC, recomendamos las siguientes asignaciones de atributos:

        google.subject=assertion.sub,
google.groups=assertion.groups,
google.display_name=assertion.preferred_username

        En este ejemplo, se asignan los atributos del proveedor de identidades subject, groups y preferred_username a los atributos Trusted Cloud google.subject, google.groups y google.display_name, respectivamente.

      • ATTRIBUTE_CONDITION: una condición de atributo. Por ejemplo, para limitar el atributo ipaddr a un intervalo de IP concreto, puede definir la condición assertion.ipaddr.startsWith('98.11.12.') .
      • JWK_JSON_PATH: ruta opcional a las claves web JSON (JWK) de OIDC subidas localmente. Si no se proporciona este parámetro, Trusted Cloud se usa la ruta /.well-known/openid-configuration de tu IdP para obtener los JWKs que contienen las claves públicas. Para obtener más información sobre los JWKs de OIDC subidos localmente, consulta gestionar JWKs de OIDC.

      • La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

        Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

      En la respuesta del comando, POOL_RESOURCE_NAME es el nombre del grupo. Por ejemplo, locations/global/workforcePools/enterprise-example-organization-employees.

    Flujo implícito

    Para crear un proveedor de OIDC que use el flujo implícito para iniciar sesión en la Web, sigue estos pasos:

    1. Para habilitar el token de ID en tu aplicación de Microsoft Entra ID, haz lo siguiente:

      1. Ve al registro de tu aplicación de Microsoft Entra ID.
      2. En Autenticación, selecciona la casilla Token de ID.
      3. Haz clic en Guardar.

    2. Para crear el proveedor, ejecuta el siguiente comando:

      gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

      Haz los cambios siguientes:

      • WORKFORCE_PROVIDER_ID: ID único del proveedor de grupos de identidades de Workforce. El prefijo gcp- está reservado y no se puede usar en un ID de grupo de identidades de Workforce ni en un ID de proveedor de grupos de identidades de Workforce.
      • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce al que conectar tu proveedor de identidades.
      • DISPLAY_NAME: nombre visible opcional para el proveedor. Por ejemplo, idp-eu-employees.
      • DESCRIPTION: descripción opcional del proveedor de mano de obra. Por ejemplo, IdP for Partner Example Organization employees.
      • ISSUER_URI: el URI del emisor de OIDC, en un formato de URI válido, que empieza por https; por ejemplo, https://example.com/oidc. Nota: Por motivos de seguridad, ISSUER_URI debe usar el esquema HTTPS.
      • OIDC_CLIENT_ID: el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación aud del JWT emitido por tu proveedor de identidades.
      • WEB_SSO_ADDITIONAL_SCOPES: ámbitos adicionales opcionales que se enviarán al proveedor de identidades OIDC para iniciar sesión en la consola (federada) o en la CLI de gcloud basada en navegador.
      • ATTRIBUTE_MAPPING: una asignación de atributos. En el caso de Microsoft Entra ID con autenticación OIDC, recomendamos las siguientes asignaciones de atributos:

        google.subject=assertion.sub,
google.groups=assertion.groups,
google.display_name=assertion.preferred_username

        En este ejemplo, se asignan los atributos del proveedor de identidades subject, groups y preferred_username a los atributos Trusted Cloud google.subject, google.groups y google.display_name, respectivamente.

      • ATTRIBUTE_CONDITION: una condición de atributo. Por ejemplo, para limitar el atributo ipaddr a un intervalo de IP concreto, puede definir la condición assertion.ipaddr.startsWith('98.11.12.') .
      • JWK_JSON_PATH: ruta opcional a las claves web JSON (JWK) de OIDC subidas localmente. Si no se proporciona este parámetro, Trusted Cloud se usa la ruta /.well-known/openid-configuration de tu IdP para obtener los JWKs que contienen las claves públicas. Para obtener más información sobre los JWKs de OIDC subidos localmente, consulta gestionar JWKs de OIDC.

      • La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

        Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

      En la respuesta del comando, POOL_RESOURCE_NAME es el nombre del grupo. Por ejemplo, locations/global/workforcePools/enterprise-example-organization-employees.

    Consola

    Flujo de código

    Para crear un proveedor de OIDC que utilice el flujo de código de autorización para el inicio de sesión basado en la Web, haz lo siguiente:

    1. Para obtener el secreto de cliente de Microsoft Entra ID, sigue estos pasos:

      1. Ve al registro de tu aplicación de Microsoft Entra ID.

      2. En Certificados y secretos, haz clic en la pestaña Secretos de cliente.

      3. Para añadir un secreto de cliente, haz clic en + Nuevo secreto de cliente.

      4. En el cuadro de diálogo Añadir secreto de cliente, introduce la información que necesites.

      5. Para crear el secreto de cliente, haz clic en Añadir.

      6. En la pestaña Secretos de cliente, busca el nuevo secreto de cliente.

      7. En la columna Valor del nuevo secreto de cliente, haz clic en Copiar.

    2. En la Trusted Cloud consola, para crear un proveedor de OIDC que utilice el flujo de código de autorización, haz lo siguiente:

      1. En la Trusted Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

        Ir a Grupos de identidades de Workforce

      2. En la tabla Grupos de identidades de Workforce, seleccione el grupo para el que quiera crear el proveedor.

      3. En la tabla Proveedores, haga clic en Añadir proveedor.

      4. En Seleccionar un protocolo, selecciona OpenID Connect (OIDC).

      5. En Crear un proveedor de grupos, haz lo siguiente:

        1. En Name (Nombre), escribe el nombre del proveedor.
        2. En Emisor (URL), introduzca el URI del emisor. El URI del emisor de OIDC debe tener un formato de URI válido y empezar por https. Por ejemplo, https://example.com/oidc.
        3. Introduce el ID de cliente, el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación aud del JWT emitido por tu proveedor de identidades.
        4. Para crear un proveedor habilitado, asegúrate de que la opción Proveedor habilitado esté activada.
        5. Haz clic en Continuar.

      6. En Tipo de flujo, haz lo siguiente: El tipo de flujo solo se usa en un flujo de inicio de sesión único basado en la Web.

        1. En Tipo de flujo, selecciona Código.
        2. En Secreto de cliente, introduce el secreto de cliente de tu proveedor de identidades.

        3. En Comportamiento de las reclamaciones de aserción, seleccione una de las siguientes opciones:

          • Información del usuario y token de ID
          • Solo token de ID

        4. Haz clic en Continuar.

      7. En Configurar proveedor, puede configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, sigue estos pasos. Puedes proporcionar el nombre del campo del proveedor de identidades o una expresión con formato CEL que devuelva una cadena.

        1. Obligatorio: en OIDC 1, introduce el asunto del proveedor de identidades. Por ejemplo: assertion.sub.

          En el caso de Microsoft Entra ID con autenticación OIDC, recomendamos las siguientes asignaciones de atributos:

          google.subject=assertion.sub,
google.groups=assertion.groups,
google.display_name=assertion.preferred_username

          En este ejemplo, se asignan los atributos del proveedor de identidades subject, groups y preferred_username a los atributos Trusted Cloud google.subject, google.groups y google.display_name, respectivamente.

        2. Opcional: Para añadir más asignaciones de atributos, haz lo siguiente:

          1. Haz clic en Añadir asignación.
          2. En Google n, donde n es un número, introduce una de las teclas compatibles conTrusted Cloud.
          3. En el campo OIDC n correspondiente, introduce el nombre del campo específico del IdP que quieras asignar, en formato CEL.

        3. Para crear una condición de atributo, siga estos pasos:

          1. Haz clic en Añadir condición.
          2. En Condiciones de atributo, introduzca una condición en formato CEL. Por ejemplo, para limitar el atributo ipaddr a un intervalo de IPs concreto, puede definir la condición assertion.ipaddr.startsWith('98.11.12.') .

        4. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro detallado de valores de atributos.

          La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

          Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

      8. Para crear el proveedor, haz clic en Enviar.

    Flujo implícito

    Para crear un proveedor de OIDC que use el flujo implícito para iniciar sesión en la Web, haz lo siguiente:

    1. Para habilitar el token de ID en tu aplicación de Microsoft Entra ID, haz lo siguiente:

      1. Ve al registro de tu aplicación de Microsoft Entra ID.
      2. En Autenticación, selecciona la casilla Token de ID.
      3. Haz clic en Guardar.

    1. En la Trusted Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

      Ir a Grupos de identidades de Workforce

    2. En la tabla Grupos de identidades de Workforce, seleccione el grupo para el que quiera crear el proveedor.

    3. En la tabla Proveedores, haga clic en Añadir proveedor.

    4. En Seleccionar un protocolo, selecciona OpenID Connect (OIDC).

    5. En Crear un proveedor de grupos, haz lo siguiente:

      1. En Name (Nombre), escribe el nombre del proveedor.
      2. En Emisor (URL), introduzca el URI del emisor. El URI del emisor de OIDC debe tener un formato de URI válido y empezar por https. Por ejemplo, https://example.com/oidc.
      3. Introduce el ID de cliente, el ID de cliente de OIDC registrado en tu proveedor de identidades de OIDC. El ID debe coincidir con la reclamación aud del JWT emitido por tu proveedor de identidades.
      4. Para crear un proveedor habilitado, asegúrate de que la opción Proveedor habilitado esté activada.
      5. Haz clic en Continuar.

    6. En Tipo de flujo, haz lo siguiente: El tipo de flujo solo se usa en un flujo de inicio de sesión único basado en la Web.

      1. En Tipo de flujo, selecciona Token de ID.
      2. Haz clic en Continuar.

    7. En Configurar proveedor, puede configurar una asignación de atributos y una condición de atributo. Para crear una asignación de atributos, sigue estos pasos. Puedes proporcionar el nombre del campo del proveedor de identidades o una expresión con formato CEL que devuelva una cadena.

      1. Obligatorio: en OIDC 1, introduce el asunto del proveedor de identidades. Por ejemplo: assertion.sub.

        En el caso de Microsoft Entra ID con autenticación OIDC, recomendamos las siguientes asignaciones de atributos:

        google.subject=assertion.sub,
google.groups=assertion.groups,
google.display_name=assertion.preferred_username

        En este ejemplo, se asignan los atributos del proveedor de identidades subject, groups y preferred_username a los atributos Trusted Cloud google.subject, google.groups y google.display_name, respectivamente.

      2. Opcional: Para añadir más asignaciones de atributos, haz lo siguiente:

        1. Haz clic en Añadir asignación.
        2. En Google n, donde n es un número, introduce una de las teclas compatibles conTrusted Cloud.
        3. En el campo OIDC n correspondiente, introduce el nombre del campo específico del IdP que quieras asignar, en formato CEL.

      3. Para crear una condición de atributo, siga estos pasos:

        1. Haz clic en Añadir condición.

        2. En Condiciones de atributo, introduzca una condición en formato CEL. Por ejemplo, para limitar el atributo ipaddr a un intervalo de IPs concreto, puede definir la condición assertion.ipaddr.startsWith('98.11.12.') .

      4. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro detallado de valores de atributos.

        La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

        Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

    8. Para crear el proveedor, haz clic en Enviar.

Crear un proveedor de grupos de identidades de empleados SAML 2.0

  1. En tu proveedor de identidades SAML, registra una nueva aplicación para la federación de identidades de Workforce. Trusted Cloud

  2. Define la audiencia de las aserciones SAML. Suele ser el campo SP Entity ID en la configuración de tu proveedor de identidades. Debe definirla en la siguiente URL:

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

  3. Define la URL de redirección, también conocida como URL del servicio de consumidor de aserciones (ACS). Para definir la URL de redirección, busque el campo correspondiente en su proveedor de identidades SAML y haga una de las siguientes acciones:

    • Para configurar el inicio de sesión basado en navegador a través de la consola Trusted Cloud u otro método de inicio de sesión basado en navegador, introduce la siguiente URL:

      https://auth.cloud.s3nscloud.fr/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Haz los cambios siguientes:

      • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce

      • WORKFORCE_PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce que crearás más adelante en este documento.

    • Para configurar el inicio de sesión programático a través de tu proveedor de identidades, introduce la siguiente URL:

      localhost

    Consulta más información sobre cómo configurar el inicio de sesión en la consola en el artículo Configurar el acceso de los usuarios a la consola.

  4. En Trusted Cloud, crea un proveedor de grupos de identidades de Workforce SAML con el documento de metadatos SAML de tu IdP. Puedes descargar el documento XML de metadatos de SAML de tu proveedor de identidades. El documento debe incluir al menos lo siguiente:

    • Un ID de entidad SAML de tu proveedor de identidades.
    • La URL de inicio de sesión único de tu proveedor de identidades.
    • Al menos una clave pública de firma. Para obtener más información sobre las claves de firma, consulta los requisitos de las claves más adelante en esta guía.

gcloud

Para guardar los metadatos de SAML de tu aplicación de Microsoft Entra ID, haz lo siguiente:

  1. Ve a tu aplicación de Microsoft Entra ID.
  2. Haz clic en Single sign-on (Inicio de sesión único).
  3. En la sección Certificados SAML, descarga el archivo XML de metadatos de federación.
  4. Guarda los metadatos como un archivo XML local.

Para crear el proveedor de grupos de identidades de Workforce SAML, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --detailed-audit-logging \
    --location=global

Haz los cambios siguientes:

  • WORKFORCE_PROVIDER_ID: un ID de proveedor.
  • WORKFORCE_POOL_ID: ID del grupo de identidades de Workforce.
  • DISPLAY_NAME: un nombre visible.
  • DESCRIPTION: una descripción.
  • XML_METADATA_PATH: ruta al archivo de metadatos en formato XML que contiene los metadatos de configuración del proveedor de identidades SAML.

  • ATTRIBUTE_MAPPING: la asignación de atributos, por ejemplo:

    google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
     En este ejemplo, se asignan los atributos del proveedor de identidades assertion.subject, assertion.attributes['https://example.com/aliases'] y assertion.attributes.costcenter[0] a los atributos Trusted Cloudgoogle.subject, google.groups y google.costcenter, respectivamente.

    Para obtener más información, consulta Asignación de atributos.

  • ATTRIBUTE_CONDITION: Condición del atributo opcional. Por ejemplo, para limitar el atributo ipaddr a un intervalo de IPs determinado, puedes definir la condición assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo asegura que solo los usuarios con una dirección IP que empiece por 98.11.12. puedan iniciar sesión con este proveedor de la plantilla.

  • La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

    Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Opcional: Aceptar aserciones SAML cifradas de tu proveedor de identidades

Para habilitar tu proveedor de identidades SAML 2.0 para que genere aserciones SAML cifradas que pueda aceptar la federación de identidades de trabajo, haz lo siguiente:

  • En la federación de identidades para los trabajadores, haz lo siguiente:
    • Crea un par de claves asimétricas para tu proveedor de grupos de identidades de Workforce.
    • Descarga un archivo de certificado que contenga la clave pública.
    • Configura tu proveedor de identidades SAML para que use la clave pública para cifrar las aserciones SAML que emita.
  • En tu proveedor de identidades, haz lo siguiente:
    • Habilita el cifrado de aserciones, también conocido como cifrado de tokens.
    • Sube la clave pública que has creado en la federación de identidades para los trabajadores.
    • Confirma que tu IdP genera aserciones SAML cifradas.
Ten en cuenta que, aunque se hayan configurado claves de proveedor de cifrado SAML, la federación de identidades de Workforce puede seguir procesando una aserción de texto sin cifrar.

Crear claves de cifrado de aserciones SAML de federación de identidades para los trabajadores

En esta sección se explica cómo crear un par de claves asimétricas que permita a la federación de identidades de empleados aceptar aserciones SAML cifradas.

Trusted Cloud by S3NS usa la clave privada para descifrar las aserciones SAML que emite tu proveedor de identidades. Para crear un par de claves asimétricas que se pueda usar con el cifrado SAML, ejecuta el siguiente comando. Para obtener más información, consulta Algoritmos de cifrado SAML admitidos. 

gcloud iam workforce-pools providers keys create KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --use encryption \
    --spec KEY_SPECIFICATION

Haz los cambios siguientes:

  • KEY_ID: el nombre de la clave que elijas
  • WORKFORCE_POOL_ID: el ID del grupo
  • WORKFORCE_PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce
  • KEY_SPECIFICATION: la especificación de la clave, que puede ser rsa-2048, rsa-3072 o rsa-4096.

Una vez creado el par de claves, ejecuta el siguiente comando para descargar la clave pública en un archivo de certificado. Solo la federación de identidades para los trabajadores tiene acceso a la clave privada. 

gcloud iam workforce-pools providers keys describe KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --format "value(keyData.key)" \
    > CERTIFICATE_PATH

Haz los cambios siguientes:

  • KEY_ID: el nombre de la clave
  • WORKFORCE_POOL_ID: el ID del grupo
  • WORKFORCE_PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce
  • CERTIFICATE_PATH: la ruta en la que se escribirá el certificado (por ejemplo, saml-certificate.cer o saml-certificate.pem).

Configurar un IdP compatible con SAML 2.0 para que emita aserciones SAML cifradas

Para configurar Microsoft Entra ID para cifrar tokens SAML, consulta el artículo Configurar el cifrado de tokens SAML de Azure Active Directory.

Una vez que haya configurado su proveedor de identidades para cifrar las aserciones SAML, le recomendamos que compruebe que las aserciones que genera estén cifradas. Aunque se haya configurado el cifrado de aserciones SAML, la federación de identidades de los trabajadores puede seguir procesando aserciones de texto sin cifrar.

Eliminar claves de cifrado de federación de identidades de los trabajadores

Para eliminar las claves de cifrado SAML, ejecuta el siguiente comando: 
  gcloud iam workforce-pools providers keys delete KEY_ID \
      --workforce-pool WORKFORCE_POOL_ID \
      --provider WORKFORCE_PROVIDER_ID \
      --location global

Haz los cambios siguientes:

  • KEY_ID: el nombre de la clave
  • WORKFORCE_POOL_ID: el ID del grupo
  • WORKFORCE_PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce

Algoritmos de cifrado SAML admitidos

La federación de identidades de Workforce admite los siguientes algoritmos de transporte clave:

La federación de identidades de Workforce admite los siguientes algoritmos de cifrado por bloques:

Consola

Para configurar el proveedor de SAML mediante la consola Trusted Cloud , haz lo siguiente:

  1. En la Trusted Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

    Ir a Grupos de identidades de Workforce

  2. En la tabla Grupos de identidades de Workforce, seleccione el grupo en el que quiera crear el proveedor.

  3. En la tabla Proveedores, haga clic en Añadir proveedor.

  4. En Select a protocol (Seleccionar un protocolo), selecciona SAML.

  5. En Crear un proveedor de grupos, haz lo siguiente:

    1. En Name (Nombre), escribe el nombre del proveedor.

    2. Opcional: En Descripción, escribe una descripción del proveedor.

    3. En Archivo de metadatos del IdP (XML), selecciona el archivo XML de metadatos que has generado anteriormente en esta guía.

    4. Comprueba que la opción Proveedor habilitado esté habilitada.

    5. Haz clic en Continuar.

  6. En Configurar proveedor, haz lo siguiente:

    1. En Asignación de atributos, introduce una expresión CEL para google.subject.

    2. Opcional: Para introducir otras asignaciones, haz clic en Añadir asignación e introduce otras asignaciones. Por ejemplo:

      google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
       En este ejemplo, se asignan los atributos del proveedor de identidades assertion.subject, assertion.attributes['https://example.com/aliases'] y assertion.attributes.costcenter[0] a los atributos Trusted Cloudgoogle.subject, google.groups y google.costcenter, respectivamente.

    3. Opcional: Para añadir una condición de atributo, haga clic en Añadir condición e introduzca una expresión CEL que represente una condición de atributo. Por ejemplo, para limitar el atributo ipaddr a un intervalo de IPs determinado, puedes definir la condición assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo asegura que solo los usuarios con una dirección IP que empiece por 98.11.12. puedan iniciar sesión con este proveedor de la plantilla.

    4. Haz clic en Continuar.

    5. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el interruptor Habilitar registro detallado de valores de atributos.

      La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. Los registros de auditoría detallados pueden ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

      Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

  7. Para crear el proveedor, haz clic en Enviar.

Gestionar el acceso a los recursos de Trusted Cloud

En esta sección se muestra un ejemplo de cómo gestionar el acceso a losTrusted Cloud recursos por parte de los usuarios de Workforce Identity Federation.

En este ejemplo, se asigna un rol de Gestión de Identidades y Accesos (IAM) a un proyecto de ejemplo. Los usuarios podrán iniciar sesión y usar este proyecto para acceder a los productos de Trusted Cloud .

Puedes gestionar los roles de gestión de identidades y accesos de identidades individuales, de un grupo de identidades o de todo un grupo. Para obtener más información, consulta Representar a los usuarios de un grupo de identidades de la fuerza de trabajo en políticas de IAM.

Usar grupos asignados

Para asignar el rol Administrador de Storage (roles/storage.admin) a todas las identidades del grupo GROUP_ID del proyecto TEST_PROJECT_ID, ejecuta el siguiente comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Haz los cambios siguientes:

  • TEST_PROJECT_ID: el ID del proyecto de prueba
  • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce
  • GROUP_ID: un grupo en la reclamación mapped google.groups.

Para una sola identidad

Para asignar el rol Administrador de Storage (roles/storage.admin) a una sola identidad del proyecto TEST_PROJECT_ID, ejecuta el siguiente comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"

Haz los cambios siguientes:

  • TEST_PROJECT_ID: el ID del proyecto de prueba
  • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce
  • SUBJECT_VALUE: la identidad del usuario

Usar el atributo de departamento asignado

Para asignar el rol Administrador de Storage (roles/storage.admin) a todas las identidades de un departamento específico del proyecto TEST_PROJECT_ID, ejecuta el siguiente comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"

Haz los cambios siguientes:

  • TEST_PROJECT_ID: el ID del proyecto de prueba
  • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce
  • DEPARTMENT_VALUE: el valor de attribute.department asignado

Iniciar sesión y probar el acceso

En esta sección, iniciará sesión como usuario de un grupo de identidades de empleados y comprobará que tiene acceso a los recursos de Trusted Cloud .

Iniciar sesión

En esta sección se explica cómo iniciar sesión como usuario federado y acceder a los recursos deTrusted Cloud .

Inicio de sesión en la consola (federado)

Para iniciar sesión en la consola de federación de trabajadores de Identity, también conocida como consola (federada), sigue estos pasos: Trusted Cloud by S3NS

  1. Ve a la página de inicio de sesión de la consola (federada).

    Ir a la consola (federada)

  2. Introduzca el nombre del proveedor con el siguiente formato: 
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    3. Si se te pide, introduce las credenciales de usuario en Microsoft Entra ID.

    Si inicias un inicio de sesión iniciado por el proveedor de identidades, usa lo siguiente para la URL de retransmisión: https://console.cloud.s3nscloud.fr/.

Inicio de sesión basado en navegador de la CLI de gcloud

Para iniciar sesión en gcloud CLI mediante un flujo de inicio de sesión basado en navegador, haz lo siguiente:

Crear un archivo de configuración

Para crear el archivo de configuración de inicio de sesión, ejecuta el siguiente comando. También puedes activar el archivo como predeterminado para gcloud CLI añadiendo la marca --activate. Después, puedes ejecutar gcloud auth login sin especificar la ruta del archivo de configuración cada vez. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Haz los cambios siguientes:

  • WORKFORCE_POOL_ID: el ID del grupo de trabajadores
  • PROVIDER_ID: el ID del proveedor
  • LOGIN_CONFIG_FILE_PATH: la ruta a un archivo de configuración que especifiques (por ejemplo, login.json

El archivo contiene los endpoints que usa la CLI de gcloud para habilitar el flujo de autenticación basado en el navegador y definir la audiencia en el IdP que se configuró en el proveedor del grupo de identidades de Workforce. El archivo no contiene información confidencial.

El resultado es similar al siguiente:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.s3nscloud.fr/authorize",
  "token_url": "https://sts.s3nsapis.fr/v1/oauthtoken",
  "token_info_url": "https://sts.s3nsapis.fr/v1/introspect",
}

Para evitar que gcloud auth login use este archivo de configuración automáticamente, puedes anularlo ejecutando gcloud config unset auth/login_config_file.

Iniciar sesión con la autenticación basada en navegador

Para autenticarte mediante la autenticación de inicio de sesión basada en navegador, puedes usar uno de los siguientes métodos:

  • Si usaste la marca --activate al crear el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, la CLI de gcloud usará el archivo de configuración automáticamente: 

    gcloud auth login

  • Para iniciar sesión especificando la ubicación del archivo de configuración, ejecuta el siguiente comando: 

    gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
  • Para usar una variable de entorno para especificar la ubicación del archivo de configuración, asigna a CLOUDSDK_AUTH_LOGIN_CONFIG_FILE la ruta de configuración.

Inhabilitar el inicio de sesión basado en el navegador

Para dejar de usar el archivo de configuración de inicio de sesión, haz lo siguiente:

  • Si usaste la marca --activate al crear el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, debes ejecutar el siguiente comando para desactivarlo: 

    gcloud config unset auth/login_config_file
  • Borra la variable de entorno CLOUDSDK_AUTH_LOGIN_CONFIG_FILE si está definida.

Inicio de sesión sin interfaz gráfica de usuario de la CLI de gcloud

Para iniciar sesión en Microsoft Entra ID con gcloud CLI, haz lo siguiente:

OIDC

  1. Sigue los pasos que se indican en Enviar la solicitud de inicio de sesión. Inicia la sesión del usuario en tu aplicación con Microsoft Entra ID mediante OIDC.

  2. Copia el token de ID del parámetro id_token de la URL de redirección y guárdalo en un archivo en una ubicación segura de tu máquina local. En un paso posterior, asignará PATH_TO_OIDC_ID_TOKEN a la ruta de este archivo.

  3. Para generar un archivo de configuración similar al del ejemplo que se muestra más adelante en este paso, ejecuta el siguiente comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

    Haz los cambios siguientes:

    • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce.
    • WORKFORCE_PROVIDER_ID: el ID del proveedor del grupo de identidades de Workforce.
    • PATH_TO_OIDC_ID_TOKEN: la ruta a la ubicación del archivo donde se almacena el token del proveedor de identidades.
    • WORKFORCE_POOL_USER_PROJECT: el número o el ID del proyecto que se usa para la cuota y la facturación. La cuenta principal debe tener permiso serviceusage.services.use en este proyecto.

    Cuando se complete el comando, Microsoft Entra ID creará el siguiente archivo de configuración:

    {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

  4. Abre gcloud CLI y ejecuta el siguiente comando:

    gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS

    Sustituye PATH_TO_OIDC_CREDENTIALS por la ruta del archivo de salida de un paso anterior.

    La CLI de gcloud publica tus credenciales de forma transparente en el endpoint del servicio de tokens de seguridad. En el endpoint, se intercambia por tokens de acceso Trusted Cloud temporales.

    Ahora puedes ejecutar comandos de la CLI de gcloud para Trusted Cloud.

SAML

  1. Inicia la sesión de un usuario en tu aplicación de Microsoft Entra ID y obtén la respuesta SAML.

  2. Guarda la respuesta SAML devuelta por Microsoft Entra ID en una ubicación segura de tu equipo local y, a continuación, almacena la ruta de la siguiente manera:

    SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

  3. Para generar un archivo de configuración de credenciales, ejecuta el siguiente comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

    Haz los cambios siguientes:

    • WORKFORCE_PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce que has creado anteriormente en esta guía
    • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce que has creado anteriormente en esta guía
    • SAML_ASSERTION_PATH: la ruta del archivo de aserción SAML
    • PROJECT_ID: el ID del proyecto

    El archivo de configuración que se genera tiene un aspecto similar al siguiente:

    {
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

  4. Para iniciar sesión en la CLI de gcloud mediante el intercambio de tokens de la federación de identidades para los trabajadores, ejecuta el siguiente comando:

    gcloud auth login --cred-file=config.json

    A continuación, la CLI de gcloud intercambia de forma transparente tus credenciales de Microsoft Entra ID por tokens de acceso temporales. Trusted Cloud Los tokens de acceso te permiten acceder a Trusted Cloud.

    Verá un resultado similar al siguiente:

    Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

  5. Para enumerar las cuentas con credenciales y tu cuenta activa, ejecuta el siguiente comando:

    gcloud auth list

Probar acceso

Ahora tienes acceso a los Trusted Cloud productos compatibles con la federación de identidades de Workforce a los que se te ha concedido acceso. En este documento, ha concedido el rol Administrador de almacenamiento (roles/storage.admin) a todas las identidades del identificador de grupo que ha especificado en el gcloud projects add-iam-policy-binding del proyecto TEST_PROJECT_ID.

Ahora puede comprobar que tiene acceso enumerando los segmentos de Cloud Storage.

Consola (federada)

Para comprobar que tienes acceso mediante la consola (federada), haz lo siguiente:

  • Ve a la página de Cloud Storage.

    Ir a Cloud Storage

  • Verifica que puedes ver una lista de los segmentos de TEST_PROJECT_ID.

CLI de gcloud

Para comprobar que tienes acceso con la CLI de gcloud, puedes enumerar los segmentos y objetos de Cloud Storage del proyecto al que tienes acceso. Para ello, ejecuta el siguiente comando. El principal debe tener el permiso serviceusage.services.use en el proyecto especificado.

gcloud storage ls --project="TEST_PROJECT_ID"

Eliminar usuarios

Workforce Identity Federation crea metadatos y recursos de usuario para las identidades de usuario federadas. Si decides eliminar usuarios en tu proveedor de identidades, también debes eliminar explícitamente estos recursos en Trusted Cloud. Para ello, consulte Eliminar usuarios de la federación de identidades de la plantilla y sus datos.

Es posible que veas que los recursos siguen asociados a un usuario que se ha eliminado. Esto se debe a que la eliminación de los metadatos y los recursos de los usuarios requiere una operación de larga duración. Después de iniciar la eliminación de la identidad de un usuario, los procesos que haya iniciado antes de la eliminación pueden seguir ejecutándose hasta que se completen o se cancelen.

Siguientes pasos