Configure a federação de identidade da força de trabalho com o Microsoft Entra ID e inicie sessão nos utilizadores

Este documento mostra como configurar a federação de identidades de força de trabalho com o fornecedor de identidade (IdP) do Microsoft Entra ID e gerir o acesso aoTrusted Cloud by S3NS. Os utilizadores federados podem, em seguida, aceder aos Trusted Cloud serviços que suportam a federação de identidade da força de trabalho. Pode usar o protocolo OIDC ou o protocolo SAML 2.0 para federar identidades.

Antes de começar

  1. Certifique-se de que tem uma organização do Trusted Cloud configurada.
  2. Defina a variável de ambiente GOOGLE_CLOUD_UNIVERSE_DOMAIN para s3nsapis.fr.

  3. Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando: 

    gcloud init
  4. No Microsoft Entra ID, certifique-se de que os tokens de ID estão ativados para o fluxo implícito. Para mais informações, consulte o artigo Ative a concessão implícita do token de ID.
  5. Para iniciar sessão, o seu IDP tem de fornecer informações de autenticação assinadas: os IDPs OIDC têm de fornecer um JWT e as respostas do IDP SAML têm de ser assinadas.
  6. Para receber informações importantes sobre alterações à sua organização ou aos Trusted Cloud produtos, tem de indicar contactos essenciais. Para mais informações, consulte a vista geral da federação de identidades da força de trabalho.

Custos

A federação de identidade da força de trabalho está disponível como uma funcionalidade sem custos financeiros. No entanto, o registo de auditoria detalhado da federação de identidades da força de trabalho usa o Cloud Logging. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

Funções necessárias

Para receber as autorizações de que precisa para configurar a Workforce Identity Federation, peça ao seu administrador para lhe conceder a função de administrador do Workforce Pool da IAM (roles/iam.workforcePoolAdmin) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Se estiver a configurar autorizações num ambiente de desenvolvimento ou de teste, mas não num ambiente de produção, pode conceder a função básica de proprietário da IAM (roles/owner), que também inclui autorizações para a federação de identidades da força de trabalho.

Crie uma aplicação do Microsoft Entra ID

Esta secção mostra como criar uma aplicação do Microsoft Entra ID através do portal de administração do Microsoft Entra. Em alternativa, pode atualizar a sua aplicação existente. Para mais detalhes, consulte o artigo Estabeleça aplicações no ecossistema do Microsoft Entra ID.

Os Workforce Identity Pools suportam a federação através dos protocolos OIDC e SAML.

OIDC

Para criar um registo de aplicação do Microsoft Entra ID que use o protocolo OIDC, faça o seguinte:

  1. Inicie sessão no portal do administrador do Microsoft Entra.

  2. Aceda a Identidade > Aplicações > Registos de apps.

  3. Para começar a configurar o registo da aplicação, faça o seguinte:

    1. Clique em Novo registo.

    2. Introduza um nome para a sua aplicação.

    3. Em Tipos de contas suportados, selecione uma opção.

    4. Na secção URI de redirecionamento, na lista pendente Selecionar uma plataforma, selecione Web.

    5. No campo de texto, introduza um URL de redirecionamento. Os seus utilizadores são redirecionados para este URL depois de iniciarem sessão com êxito. Se estiver a configurar o acesso à consola (federada), use o seguinte formato de URL:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Substitua o seguinte:

      • WORKFORCE_POOL_ID: um ID do conjunto de identidades da força de trabalho que vai usar quando criar o conjunto de identidades da força de trabalho mais adiante neste documento. Por exemplo: entra-id-oidc-pool

      • WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool que vai usar quando criar o fornecedor do Workload Identity Pool mais tarde neste documento. Por exemplo: entra-id-oidc-pool-provider

        Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.

    6. Para criar o registo da aplicação, clique em Registar.

    7. Para usar o mapeamento de atributos de exemplo fornecido mais adiante neste documento, tem de criar um atributo department personalizado.

Recomendado: como prática recomendada de segurança, recomendamos que configure uma reivindicação de grupo fazendo o seguinte:

  1. Aceda ao registo da aplicação do Microsoft Entra ID.

  2. Clique em Configuração do token.

  3. Clique em Adicionar reivindicação de grupos.

  4. Selecione os tipos de grupos a devolver. Para mais detalhes, consulte o artigo Configurar reivindicações opcionais de grupos.

SAML

Para criar um registo de aplicação do Microsoft Entra ID que use o protocolo SAML, faça o seguinte:

  1. Inicie sessão no portal do administrador do Microsoft Entra.

  2. No menu de navegação do lado esquerdo, aceda a Entra ID > Apps empresariais.

  3. Para começar a configurar a aplicação empresarial, faça o seguinte:

    1. Clique em Nova aplicação > Criar a sua própria aplicação.

    2. No painel Crie a sua própria aplicação apresentado, introduza um nome para a aplicação.

    3. Clique em Criar.

    4. Aceda a Início de sessão único > SAML.

    5. Atualize a configuração básica de SAML da seguinte forma:

      1. No campo Identificador (ID da entidade), introduza o seguinte valor:

        https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Substitua o seguinte:

        • WORKFORCE_POOL_ID: um ID do Workload Identity Pool que vai usar quando criar o Workload Identity Pool mais adiante neste documento, por exemplo: entra-id-saml-pool

        • WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool que vai usar quando criar o fornecedor do Workload Identity Pool mais tarde neste documento, por exemplo: entra-id-saml-pool-provider

          Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.

      2. No campo URL de resposta (URL do serviço de consumo de afirmações), introduza um URL de redirecionamento. Os seus utilizadores são redirecionados para este URL depois de iniciarem sessão com êxito. Se estiver a configurar o acesso à consola (federada), use o seguinte formato de URL:

        https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Substitua o seguinte:

        • WORKFORCE_POOL_ID: o ID do Workload Identity Pool
        • WORKFORCE_PROVIDER_ID: o ID do fornecedor de identidade da força de trabalho

      3. Para ativar o início de sessão iniciado pelo IdP, defina o campo Relay State com o seguinte valor:

        https://console.cloud.s3nscloud.fr/

      4. Para guardar a configuração da aplicação SAML, clique em Guardar.

    6. Para usar o mapeamento de atributos de exemplo fornecido mais adiante neste documento, tem de criar um atributo department personalizado.

Recomendado: como prática recomendada de segurança, recomendamos que configure uma reivindicação de grupo fazendo o seguinte:

  1. Aceda à sua aplicação Microsoft Entra ID.

  2. Clique em Início de sessão único.

  3. Na secção Atributos e reivindicações, clique em Editar.

  4. Clique em Adicionar uma reivindicação de grupo.

  5. Selecione o tipo de grupo a devolver. Para mais detalhes, consulte o artigo Adicione reivindicações de grupos a tokens para aplicações SAML através da configuração do SSO.

Crie um Workforce Identity Pool

gcloud

Para criar o Workforce Identity Pool, execute o seguinte comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Substitua o seguinte:

  • WORKFORCE_POOL_ID: um ID que escolhe para representar o seu workforce pool. Trusted Cloud Para obter informações sobre a formatação do ID, consulte a secção Parâmetros de consulta na documentação da API.
  • ORGANIZATION_ID: o ID numérico da organização da sua organização para o Workload Identity Pool. Trusted Cloud Os Workload Identity Pools estão disponíveis em todos os projetos e pastas da organização.
  • DISPLAY_NAME: opcional. Um nome a apresentar para o seu Workload Identity Pool.
  • DESCRIPTION: opcional. Uma descrição do Workload Identity Pool.
  • SESSION_DURATION: opcional. A duração da sessão, expressa como um número anexado com s, por exemplo, 3600s. A duração da sessão determina durante quanto tempo os Trusted Cloud tokens de acesso, sessões de início de sessão da consola (federadas) e sessões de início de sessão da CLI gcloud deste workforce pool são válidas. A duração da sessão é predefinida para uma hora (3600 s). O valor da duração da sessão tem de estar entre 15 minutos (900 s) e 12 horas (43 200 s).

Consola

Para criar o Workforce Identity Pool, faça o seguinte:

  1. Na Trusted Cloud consola, aceda à página Workforce Identity Pools:

    Aceda aos Workforce Identity Pools

  2. Selecione a organização para o seu conjunto de identidades de pessoal. Os conjuntos de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.

  3. Clique em Criar conjunto e faça o seguinte:

    1. No campo Nome, introduza o nome a apresentar do conjunto. O ID do conjunto é derivado automaticamente do nome à medida que escreve e é apresentado no campo Nome. Pode atualizar o ID do conjunto clicando em Editar junto ao ID do conjunto.

    2. Opcional: em Descrição, introduza uma descrição do conjunto.

    3. Para criar o Workforce Identity Pool, clique em Seguinte.

A duração da sessão do Workload Identity Pool é de uma hora (3600 segundos) por predefinição. A duração da sessão determina durante quanto tempo os Trusted Cloud tokens de acesso, consola (federada)> e as sessões de início de sessão da CLI gcloud deste grupo de trabalhadores são válidas. Depois de criar o conjunto, pode atualizar o conjunto para definir uma duração da sessão personalizada. A duração da sessão tem de ser entre 15 minutos (900 s) e 12 horas (43 200 s).

Crie o fornecedor do Workload Identity Pool do Microsoft Entra ID

Esta secção descreve como criar um fornecedor do pool de identidades da força de trabalho para permitir que os utilizadores do IdP acedam ao Trusted Cloud. Pode configurar o fornecedor para usar o protocolo OIDC ou SAML.

Crie um fornecedor do Workforce Identity Pool OIDC

Para criar um fornecedor do Workload Identity Pool para a integração da aplicação do Microsoft Entra ID, através do protocolo OIDC, faça o seguinte:

  1. Para obter o URI do emissor da sua aplicação do Microsoft Entra ID, faça o seguinte:

    1. Aceda ao registo da aplicação do Microsoft Entra ID.
    2. Clique em Pontos finais.
    3. Abra o documento de metadados do OpenID Connect num novo separador.
    4. No JSON, copie o valor de issuer.

  2. Para obter o ID de cliente da sua aplicação do Microsoft Entra ID, faça o seguinte:

    1. Aceda ao registo da aplicação do Microsoft Entra ID.
    2. Em ID (de cliente) da aplicação, copie o valor.

  3. Para criar um fornecedor do Workload Identity Pool de OIDC para início de sessão baseado na Web, faça o seguinte:

    gcloud

    Para criar um fornecedor que suporte o protocolo OIDC, faça o seguinte:

    Fluxo de código

    Para criar um fornecedor OIDC que use o fluxo de código de autorização para início de sessão baseado na Web, faça o seguinte:

    1. Na sua aplicação do Microsoft Entra ID, para obter o segredo do cliente, faça o seguinte:

      1. Aceda ao registo da app do Microsoft Entra ID.

      2. Em Certificados e segredos, clique no separador Segredos do cliente.

      3. Para adicionar um segredo do cliente, clique em + Novo segredo do cliente.

      4. Na caixa de diálogo Adicionar um segredo do cliente, introduza as informações necessárias.

      5. Para criar o segredo do cliente, clique em Adicionar.

      6. No separador Segredos do cliente, encontre o seu novo segredo do cliente.

      7. Na coluna Valor do novo segredo do cliente, clique em Copiar.

    2. Na Trusted Cloud consola, para criar um fornecedor OIDC que use o fluxo de código, faça o seguinte:

      gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
          --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

      Substitua o seguinte:

      • WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool exclusivo. O prefixo gcp- está reservado e não pode ser usado num ID do Workload Identity Pool ou do fornecedor do Workload Identity Pool.
      • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool para associar ao seu IdP.
      • DISPLAY_NAME: Um nome a apresentar opcional e fácil de usar para o fornecedor; por exemplo, idp-eu-employees.
      • DESCRIPTION: uma descrição opcional do fornecedor de mão de obra; por exemplo, IdP for Partner Example Organization employees.
      • ISSUER_URI: O URI do emissor OIDC, num formato de URI válido, que começa com https; por exemplo, https://example.com/oidc. Nota: por motivos de segurança, ISSUER_URI tem de usar o esquema HTTPS.
      • OIDC_CLIENT_ID: O ID de cliente do OIDC que está registado no seu IDP do OIDC; o ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IDP.
      • OIDC_CLIENT_SECRET: O segredo do cliente OIDC.
      • WEB_SSO_ADDITIONAL_SCOPES: Âmbitos adicionais opcionais a enviar para o IdP do OIDC para início de sessão baseado no navegador da consola (federado) ou da CLI gcloud.
      • ATTRIBUTE_MAPPING: um mapeamento de atributos. Para o Microsoft Entra ID com autenticação OIDC, recomendamos os seguintes mapeamentos de atributos:

        google.subject=assertion.sub,
google.groups=assertion.groups,
google.display_name=assertion.preferred_username

        Este exemplo mapeia os atributos do IdP subject, groups e preferred_username para os atributos Trusted Cloud google.subject, google.groups e google.display_name, respetivamente.

      • ATTRIBUTE_CONDITION: Uma condição de atributo; por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IP, pode definir a condição assertion.ipaddr.startsWith('98.11.12.') .
      • JWK_JSON_PATH: um caminho opcional para um JWKs OIDC carregado localmente. Se este parâmetro não for fornecido, Trusted Cloud usa o caminho do seu IdP/.well-known/openid-configuration para obter os JWKs que contêm as chaves públicas. Para mais informações sobre os JWKs OIDC carregados localmente, consulte o artigo Faça a gestão dos JWKs OIDC.

      • A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

        Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

      Na resposta ao comando, POOL_RESOURCE_NAME é o nome do conjunto; por exemplo, locations/global/workforcePools/enterprise-example-organization-employees.

    Fluxo implícito

    Para criar um fornecedor OIDC que use o fluxo implícito para o início de sessão na Web, faça o seguinte:

    1. Para ativar o token de ID na sua aplicação do Microsoft Entra ID, faça o seguinte:

      1. Aceda ao registo da aplicação do Microsoft Entra ID.
      2. Em Autenticação, selecione a caixa de verificação Token de ID.
      3. Clique em Guardar.

    2. Para criar o fornecedor, execute o seguinte comando:

      gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

      Substitua o seguinte:

      • WORKFORCE_PROVIDER_ID: um ID do fornecedor do Workload Identity Pool exclusivo. O prefixo gcp- está reservado e não pode ser usado num ID do Workload Identity Pool ou do fornecedor do Workload Identity Pool.
      • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool para associar ao seu IdP.
      • DISPLAY_NAME: Um nome a apresentar opcional e fácil de usar para o fornecedor; por exemplo, idp-eu-employees.
      • DESCRIPTION: uma descrição opcional do fornecedor de mão de obra; por exemplo, IdP for Partner Example Organization employees.
      • ISSUER_URI: O URI do emissor OIDC, num formato de URI válido, que começa com https; por exemplo, https://example.com/oidc. Nota: por motivos de segurança, ISSUER_URI tem de usar o esquema HTTPS.
      • OIDC_CLIENT_ID: O ID de cliente do OIDC que está registado no seu IDP do OIDC; o ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IDP.
      • WEB_SSO_ADDITIONAL_SCOPES: Âmbitos adicionais opcionais a enviar para o IdP do OIDC para início de sessão baseado no navegador da consola (federado) ou da CLI gcloud.
      • ATTRIBUTE_MAPPING: um mapeamento de atributos. Para o Microsoft Entra ID com autenticação OIDC, recomendamos os seguintes mapeamentos de atributos:

        google.subject=assertion.sub,
google.groups=assertion.groups,
google.display_name=assertion.preferred_username

        Este exemplo mapeia os atributos do IdP subject, groups e preferred_username para os atributos Trusted Cloud google.subject, google.groups e google.display_name, respetivamente.

      • ATTRIBUTE_CONDITION: Uma condição de atributo; por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IP, pode definir a condição assertion.ipaddr.startsWith('98.11.12.') .
      • JWK_JSON_PATH: um caminho opcional para um JWKs OIDC carregado localmente. Se este parâmetro não for fornecido, Trusted Cloud usa o caminho do seu IdP/.well-known/openid-configuration para obter os JWKs que contêm as chaves públicas. Para mais informações sobre os JWKs OIDC carregados localmente, consulte o artigo Faça a gestão dos JWKs OIDC.

      • A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

        Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

      Na resposta ao comando, POOL_RESOURCE_NAME é o nome do conjunto; por exemplo, locations/global/workforcePools/enterprise-example-organization-employees.

    Consola

    Fluxo de código

    Para criar um fornecedor OIDC que use o fluxo de código de autorização para início de sessão baseado na Web, faça o seguinte:

    1. Para obter o segredo do cliente do Microsoft Entra ID, faça o seguinte:

      1. Aceda ao registo da app do Microsoft Entra ID.

      2. Em Certificados e segredos, clique no separador Segredos do cliente.

      3. Para adicionar um segredo do cliente, clique em + Novo segredo do cliente.

      4. Na caixa de diálogo Adicionar um segredo do cliente, introduza as informações necessárias.

      5. Para criar o segredo do cliente, clique em Adicionar.

      6. No separador Segredos do cliente, encontre o seu novo segredo do cliente.

      7. Na coluna Valor do novo segredo do cliente, clique em Copiar.

    2. Na Trusted Cloud consola, para criar um fornecedor OIDC que use o fluxo de código de autorização, faça o seguinte:

      1. Na Trusted Cloud consola, aceda à página Workforce Identity Pools:

        Aceda aos Workforce Identity Pools

      2. Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.

      3. Na tabela Fornecedores, clique em Adicionar fornecedor.

      4. Em Selecionar um protocolo, selecione Open ID Connect (OIDC).

      5. Em Crie um fornecedor de pool, faça o seguinte:

        1. Em Nome, introduza o nome do fornecedor.
        2. Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por https; por exemplo, https://example.com/oidc.
        3. Introduza o ID de cliente, o ID de cliente OIDC registado no seu IdP OIDC. O ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IdP.
        4. Para criar um fornecedor ativado, certifique-se de que a opção Fornecedor ativado está ativada.
        5. Clique em Continuar.

      6. Em Tipo de fluxo, faça o seguinte. O tipo de fluxo é usado apenas para um fluxo de início de sessão único baseado na Web.

        1. Em Tipo de fluxo, selecione Código.
        2. Em Segredo do cliente, introduza o segredo do cliente do seu IdP.

        3. Em Comportamento das reivindicações de afirmação, selecione uma das seguintes opções:

          • Informações do utilizador e token de ID
          • Apenas token de ID

        4. Clique em Continuar.

      7. Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.

        1. Obrigatório: no OIDC 1, introduza o assunto do IdP; por exemplo, assertion.sub.

          Para o Microsoft Entra ID com autenticação OIDC, recomendamos os seguintes mapeamentos de atributos:

          google.subject=assertion.sub,
google.groups=assertion.groups,
google.display_name=assertion.preferred_username

          Este exemplo mapeia os atributos do IdP subject, groups e preferred_username para os atributos Trusted Cloud google.subject, google.groups e google.display_name, respetivamente.

        2. Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:

          1. Clique em Adicionar mapeamento.
          2. No Google n, em que n é um número, introduza uma das teclas suportadas.Trusted Cloud
          3. No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.

        3. Para criar uma condição de atributo, faça o seguinte:

          1. Clique em Adicionar condição.
          2. Em Condições de atributos, introduza uma condição no formato CEL; por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IPs, pode definir a condição assertion.ipaddr.startsWith('98.11.12.') .

        4. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo detalhado de valores de atributos.

          A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

          Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

      8. Para criar o fornecedor, clique em Enviar.

    Fluxo implícito

    Para criar um fornecedor OIDC que use o fluxo implícito para o início de sessão baseado na Web, faça o seguinte:

    1. Para ativar o token de ID na sua aplicação do Microsoft Entra ID, faça o seguinte:

      1. Aceda ao registo da aplicação do Microsoft Entra ID.
      2. Em Autenticação, selecione a caixa de verificação Token de ID.
      3. Clique em Guardar.

    1. Na Trusted Cloud consola, aceda à página Workforce Identity Pools:

      Aceda aos Workforce Identity Pools

    2. Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.

    3. Na tabela Fornecedores, clique em Adicionar fornecedor.

    4. Em Selecionar um protocolo, selecione Open ID Connect (OIDC).

    5. Em Crie um fornecedor de pool, faça o seguinte:

      1. Em Nome, introduza um nome para o fornecedor.
      2. Em Emissor (URL), introduza o URI do emissor. O URI do emissor do OIDC tem de estar num formato de URI válido e começar por https; por exemplo, https://example.com/oidc.
      3. Introduza o ID de cliente, o ID de cliente OIDC registado no seu IdP OIDC. O ID tem de corresponder à reivindicação aud do JWT emitido pelo seu IdP.
      4. Para criar um fornecedor ativado, certifique-se de que a opção Fornecedor ativado está ativada.
      5. Clique em Continuar.

    6. Em Tipo de fluxo, faça o seguinte. O tipo de fluxo é usado apenas para um fluxo de início de sessão único baseado na Web.

      1. Em Tipo de fluxo, selecione Token de ID.
      2. Clique em Continuar.

    7. Em Configurar fornecedor, pode configurar um mapeamento de atributos e uma condição de atributo. Para criar um mapeamento de atributos, faça o seguinte. Pode indicar o nome do campo do IdP ou uma expressão formatada em CEL que devolva uma string.

      1. Obrigatório: no OIDC 1, introduza o assunto do IdP; por exemplo, assertion.sub.

        Para o Microsoft Entra ID com autenticação OIDC, recomendamos os seguintes mapeamentos de atributos:

        google.subject=assertion.sub,
google.groups=assertion.groups,
google.display_name=assertion.preferred_username

        Este exemplo mapeia os atributos do IdP subject, groups e preferred_username para os atributos Trusted Cloud google.subject, google.groups e google.display_name, respetivamente.

      2. Opcional: para adicionar mapeamentos de atributos adicionais, faça o seguinte:

        1. Clique em Adicionar mapeamento.
        2. No Google n, em que n é um número, introduza uma das teclas suportadas.Trusted Cloud
        3. No campo OIDC n correspondente, introduza o nome do campo específico do IdP a mapear, no formato CEL.

      3. Para criar uma condição de atributo, faça o seguinte:

        1. Clique em Adicionar condição.

        2. Em Condições de atributos, introduza uma condição no formato CEL; por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IPs, pode definir a condição assertion.ipaddr.startsWith('98.11.12.') .

      4. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo detalhado de valores de atributos.

        A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

        Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

    8. Para criar o fornecedor, clique em Enviar.

Crie um fornecedor do Workforce Identity Pool SAML 2.0

  1. No seu IdP SAML, registe uma nova aplicação para a Trusted Cloud federação de identidade da força de trabalho.

  2. Defina o público-alvo para as afirmações SAML. Normalmente, é o campo SP Entity ID na configuração do IdP. Tem de defini-lo para o seguinte URL:

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

  3. Defina o URL de redirecionamento, também conhecido como URL do serviço de consumo de declarações (ACS). Para definir o URL de redirecionamento, localize o campo do URL de redirecionamento no seu IdP SAML e faça uma das seguintes ações:

    • Para configurar o início de sessão baseado no navegador através da Trusted Cloud consola ou outro método de início de sessão baseado no navegador, introduza o seguinte URL:

      https://auth.cloud.s3nscloud.fr/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Substitua o seguinte:

      • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool

      • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool que cria mais tarde neste documento.

    • Para configurar o início de sessão programático através do seu IdP, introduza o seguinte URL:

      localhost

    Consulte o artigo Configure o acesso dos utilizadores à consola para ver mais detalhes sobre a configuração do início de sessão na consola.

  4. No Trusted Cloud, crie um fornecedor do Workload Identity Pool SAML com o documento de metadados SAML do seu IdP. Pode transferir o documento XML de metadados SAML do seu IdP. O documento tem de incluir, pelo menos, o seguinte:

    • Um ID da entidade SAML para o seu IdP.
    • O URL de Início de sessão único do seu IdP.
    • Pelo menos, uma chave pública de assinatura. Consulte os requisitos principais mais adiante neste guia para ver detalhes sobre as chaves de assinatura.

gcloud

Para guardar os metadados SAML da sua aplicação Microsoft Entra ID, faça o seguinte:

  1. Aceda à sua aplicação Microsoft Entra ID.
  2. Clique em Início de sessão único.
  3. Na secção Certificados SAML, transfira o XML de metadados de federação.
  4. Guarde os metadados como um ficheiro XML local.

Para criar o fornecedor do Workload Identity Pool SAML, execute o seguinte comando:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --detailed-audit-logging \
    --location=global

Substitua o seguinte:

  • WORKFORCE_PROVIDER_ID: um ID do fornecedor.
  • WORKFORCE_POOL_ID: o ID do conjunto de identidades da força de trabalho.
  • DISPLAY_NAME: um nome a apresentar.
  • DESCRIPTION: uma descrição.
  • XML_METADATA_PATH: o caminho para o ficheiro de metadados formatado em XML com metadados de configuração para o fornecedor de identidade SAML.

  • ATTRIBUTE_MAPPING: o mapeamento de atributos, por exemplo:

    google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
     Este exemplo mapeia os atributos do IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] para os atributos Trusted Cloud google.subject, google.groups e google.costcenter, respetivamente.

    Para mais informações, consulte o artigo Mapeamento de atributos.

  • ATTRIBUTE_CONDITION: uma condição de atributo opcional. Por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IPs, pode definir a condição assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condição de exemplo garante que apenas os utilizadores com um endereço IP que comece por 98.11.12. podem iniciar sessão através deste fornecedor de força de trabalho.

  • A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

    Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

Opcional: aceite afirmações SAML encriptadas do seu IdP

Para permitir que o seu IdP SAML 2.0 produza afirmações SAML encriptadas que podem ser aceites pela federação de identidade da força de trabalho, faça o seguinte:

  • Na federação de identidade da força de trabalho, faça o seguinte:
    • Crie um par de chaves assimétricas para o fornecedor do Workload Identity Pool.
    • Transferir um ficheiro de certificado que contém a chave pública.
    • Configure o seu IdP SAML para usar a chave pública para encriptar as afirmações SAML que emite.
  • No IdP, faça o seguinte:
    • Ative a encriptação de afirmações, também conhecida como encriptação de tokens.
    • Carregue a chave pública que criou na federação de identidade da força de trabalho.
    • Confirme que o seu IdP produz afirmações SAML encriptadas.
Tenha em atenção que, mesmo com as chaves do fornecedor de encriptação SAML configuradas, a federação de identidade da força de trabalho pode continuar a processar uma afirmação de texto simples.

Crie chaves de encriptação de afirmações SAML da federação de identidade da força de trabalho

Esta secção explica como criar um par de chaves assimétricas que permite à federação de identidade da força de trabalho aceitar afirmações SAML encriptadas.

Trusted Cloud by S3NS usa a chave privada para desencriptar as afirmações SAML emitidas pelo seu IdP. Para criar um par de chaves assimétricas para utilização com a encriptação SAML, execute o seguinte comando. Para saber mais, consulte o artigo Algoritmos de encriptação SAML suportados. 

gcloud iam workforce-pools providers keys create KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --use encryption \
    --spec KEY_SPECIFICATION

Substitua o seguinte:

  • KEY_ID: um nome de chave à sua escolha
  • WORKFORCE_POOL_ID: o ID da piscina
  • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool
  • KEY_SPECIFICATION: a especificação principal, que pode ser uma das seguintes: rsa-2048, rsa-3072 e rsa-4096.

Depois de criar o par de chaves, para transferir a chave pública para um ficheiro de certificado, execute o seguinte comando. Apenas a federação de identidade da força de trabalho tem acesso à chave privada. 

gcloud iam workforce-pools providers keys describe KEY_ID \
    --workforce-pool WORKFORCE_POOL_ID \
    --provider WORKFORCE_PROVIDER_ID \
    --location global \
    --format "value(keyData.key)" \
    > CERTIFICATE_PATH

Substitua o seguinte:

  • KEY_ID: o nome da chave
  • WORKFORCE_POOL_ID: o ID da piscina
  • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool
  • CERTIFICATE_PATH: o caminho para escrever o certificado, por exemplo, saml-certificate.cer ou saml-certificate.pem

Configure o seu IdP compatível com SAML 2.0 para emitir afirmações SAML encriptadas

Para configurar o Microsoft Entra ID para encriptar tokens SAML, consulte o artigo Configure a encriptação de tokens SAML do Azure Active Directory.

Depois de configurar o IdP para encriptar afirmações SAML, recomendamos que verifique se as afirmações que gera estão realmente encriptadas. Mesmo com a encriptação de afirmações SAML configurada, a federação de identidade da força de trabalho pode continuar a processar afirmações de texto simples.

Elimine as chaves de encriptação da federação de identidade da força de trabalho

Para eliminar chaves de encriptação SAML, execute o seguinte comando: 
  gcloud iam workforce-pools providers keys delete KEY_ID \
      --workforce-pool WORKFORCE_POOL_ID \
      --provider WORKFORCE_PROVIDER_ID \
      --location global

Substitua o seguinte:

  • KEY_ID: o nome da chave
  • WORKFORCE_POOL_ID: o ID da piscina
  • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool

Algoritmos de encriptação SAML suportados

A federação de identidade da força de trabalho suporta os seguintes algoritmos de transporte de chaves:

A federação de identidade da força de trabalho suporta os seguintes algoritmos de encriptação de blocos:

Consola

Para configurar o fornecedor de SAML através da Trusted Cloud consola, faça o seguinte:

  1. Na Trusted Cloud consola, aceda à página Workforce Identity Pools:

    Aceda aos Workforce Identity Pools

  2. Na tabela Workforce Identity Pools, selecione o pool para o qual quer criar o fornecedor.

  3. Na tabela Fornecedores, clique em Adicionar fornecedor.

  4. Em Selecione um protocolo, selecione SAML.

  5. Em Criar um fornecedor do Workload Identity Pool, faça o seguinte:

    1. Em Nome, introduza um nome para o fornecedor.

    2. Opcional: em Descrição, introduza uma descrição do fornecedor.

    3. Em Ficheiro de metadados do IDP (XML), selecione o ficheiro XML de metadados que gerou anteriormente neste guia.

    4. Certifique-se de que a opção Fornecedor ativado está ativada.

    5. Clique em Continuar.

  6. Em Configurar fornecedor, faça o seguinte:

    1. Em Mapeamento de atributos, introduza uma expressão CEL para google.subject.

    2. Opcional: para introduzir outros mapeamentos, clique em Adicionar mapeamento e introduza outros mapeamentos, por exemplo:

      google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
       Este exemplo mapeia os atributos do IdP assertion.subject, assertion.attributes['https://example.com/aliases'] e assertion.attributes.costcenter[0] para os atributos Trusted Cloud google.subject, google.groups e google.costcenter, respetivamente.

    3. Opcional: para adicionar uma condição de atributo, clique em Adicionar condição e introduza uma expressão CEL que represente uma condição de atributo. Por exemplo, para limitar o atributo ipaddr a um determinado intervalo de IPs, pode definir a condição assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condição de exemplo garante que apenas os utilizadores com um endereço IP que comece por 98.11.12. podem iniciar sessão através deste fornecedor de força de trabalho.

    4. Clique em Continuar.

    5. Para ativar o registo de auditoria detalhado, em Registo detalhado, clique no botão para ativar/desativar Ativar registo detalhado de valores de atributos.

      A Workforce Identity Federation registra em registos de auditoria detalhados as informações recebidas do seu IdP no Logging. O registo de auditoria detalhado pode ajudar a resolver problemas de configuração do fornecedor do conjunto de identidades da força de trabalho. Para saber como resolver problemas de erros de mapeamento de atributos com registo de auditoria detalhado, consulte o artigo Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte os preços da observabilidade do Google Cloud.

      Para desativar o registo de auditoria detalhado para um fornecedor do Workload Identity Pool, omita a flag --detailed-audit-logging quando executar gcloud iam workforce-pools providers create. Para desativar o registo de auditoria detalhado, também pode atualizar o fornecedor.

  7. Para criar o fornecedor, clique em Enviar.

Faça a gestão do acesso aos recursos do Trusted Cloud

Esta secção fornece um exemplo que mostra como gerir o acesso aos recursos por parte dos utilizadores da Workforce Identity Federation.Trusted Cloud

Neste exemplo, concede uma função de gestão de identidade e de acesso (IAM) num projeto de exemplo. Em seguida, os utilizadores podem iniciar sessão e usar este projeto para aceder Trusted Cloud a produtos.

Pode gerir funções da IAM para identidades únicas, um grupo de identidades ou um conjunto completo. Para mais informações, consulte o artigo Represente utilizadores do Workforce Identity Pool em políticas do IAM.

Usar grupos mapeados

Para conceder a função de administrador de armazenamento (roles/storage.admin) a todas as identidades no grupo GROUP_ID para o projeto TEST_PROJECT_ID, execute o seguinte comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Substitua o seguinte:

  • TEST_PROJECT_ID: o ID do projeto de teste
  • WORKFORCE_POOL_ID: o ID do grupo de identidades da força de trabalho
  • GROUP_ID: um grupo na reivindicação google.groups mapeada.

Para uma única identidade

Para conceder a função de administrador do armazenamento (roles/storage.admin) a uma única identidade para o projeto TEST_PROJECT_ID, execute o seguinte comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"

Substitua o seguinte:

  • TEST_PROJECT_ID: o ID do projeto de teste
  • WORKFORCE_POOL_ID: o ID do Workforce Identity Pool
  • SUBJECT_VALUE: a identidade do utilizador

Usar o atributo de departamento mapeado

Para conceder a função de administrador do armazenamento (roles/storage.admin) a todas as identidades num departamento específico para o projeto TEST_PROJECT_ID, execute o seguinte comando:

gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"

Substitua o seguinte:

  • TEST_PROJECT_ID: o ID do projeto de teste
  • WORKFORCE_POOL_ID: o ID do grupo de identidades da força de trabalho
  • DEPARTMENT_VALUE: o valor attribute.department mapeado

Inicie sessão e teste o acesso

Nesta secção, inicia sessão como utilizador do Workload Identity Pool e testa se tem acesso aos recursos Trusted Cloud .

Iniciar sessão

Esta secção mostra-lhe como iniciar sessão como utilizador federado e aceder a Trusted Cloud recursos.

Início de sessão na consola (federado)

Para iniciar sessão na Trusted Cloud by S3NS consola da federação de identidade da força de trabalho, também conhecida como consola (federada), faça o seguinte:

  1. Aceda à página de início de sessão (federado) da consola.

    Aceda à consola (federada)

  2. Introduza o nome do fornecedor, que está formatado da seguinte forma: 
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    3. Se lhe for pedido, introduza as credenciais do utilizador no Microsoft Entra ID.

    Se iniciar um início de sessão iniciado pelo IdP, use o seguinte para o URL de retransmissão: https://console.cloud.s3nscloud.fr/.

Início de sessão baseado no navegador da CLI gcloud

Para iniciar sessão na gcloud CLI através de um fluxo de início de sessão baseado no navegador, faça o seguinte:

Crie um ficheiro de configuração

Para criar o ficheiro de configuração de início de sessão, execute o seguinte comando. Opcionalmente, pode ativar o ficheiro como predefinição para a CLI gcloud adicionando a flag --activate. Em seguida, pode executar o comando gcloud auth login sem especificar o caminho do ficheiro de configuração de cada vez. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Substitua o seguinte:

  • WORKFORCE_POOL_ID: o ID do Workforce Pool
  • PROVIDER_ID: o ID do fornecedor
  • LOGIN_CONFIG_FILE_PATH: o caminho para um ficheiro de configuração que especifica, por exemplo, login.json

O ficheiro contém os pontos finais usados pela CLI gcloud para ativar o fluxo de autenticação baseado no navegador e definir o público-alvo para o IdP que foi configurado no fornecedor do Workload Identity Pool. O ficheiro não contém informações confidenciais.

O resultado tem um aspeto semelhante ao seguinte:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.s3nscloud.fr/authorize",
  "token_url": "https://sts.s3nsapis.fr/v1/oauthtoken",
  "token_info_url": "https://sts.s3nsapis.fr/v1/introspect",
}

Para impedir que o gcloud auth login use este ficheiro de configuração automaticamente, pode anular a definição executando o comando gcloud config unset auth/login_config_file.

Inicie sessão através da autenticação baseada no navegador

Para autenticar através da autenticação de início de sessão baseada no navegador, pode usar um dos seguintes métodos:

  • Se usou a flag --activate quando criou o ficheiro de configuração ou se ativou o ficheiro de configuração com gcloud config set auth/login_config_file, a CLI gcloud usa o ficheiro de configuração automaticamente: 

    gcloud auth login

  • Para iniciar sessão especificando a localização do ficheiro de configuração, execute o seguinte comando: 

    gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
  • Para usar uma variável de ambiente para especificar a localização do ficheiro de configuração, defina CLOUDSDK_AUTH_LOGIN_CONFIG_FILE para o caminho de configuração.

Desative o início de sessão com base no navegador

Para descontinuar a utilização do ficheiro de configuração de início de sessão, faça o seguinte:

  • Se usou a flag --activate quando criou o ficheiro de configuração ou se ativou o ficheiro de configuração com gcloud config set auth/login_config_file, tem de executar o seguinte comando para anular a definição: 

    gcloud config unset auth/login_config_file
  • Limpe a variável de ambiente CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, se estiver definida.

Início de sessão sem interface da CLI gcloud

Para iniciar sessão no Microsoft Entra ID com a CLI gcloud, faça o seguinte:

OIDC

  1. Siga os passos em Envie o pedido de início de sessão. Inicie sessão do utilizador na sua aplicação com o Microsoft Entra ID através do OIDC.

  2. Copie o token de ID do parâmetro id_token do URL de redirecionamento e guarde-o num ficheiro numa localização segura na sua máquina local. Num passo posterior, define PATH_TO_OIDC_ID_TOKEN para o caminho deste ficheiro.

  3. Gere um ficheiro de configuração semelhante ao exemplo mais adiante neste passo executando o seguinte comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

    Substitua o seguinte:

    • WORKFORCE_POOL_ID: o ID do grupo de identidades da força de trabalho.
    • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workload Identity Pool.
    • PATH_TO_OIDC_ID_TOKEN: o caminho para a localização do ficheiro onde o token do IdP está armazenado.
    • WORKFORCE_POOL_USER_PROJECT: o número ou o ID do projeto usado para a quota e a faturação. O principal tem de ter a autorização serviceusage.services.use neste projeto.

    Quando o comando estiver concluído, o Microsoft Entra ID cria o seguinte ficheiro de configuração:

    {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

  4. Abra a CLI gcloud e execute o seguinte comando:

    gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS

    Substitua PATH_TO_OIDC_CREDENTIALS pelo caminho para o ficheiro de saída de um passo anterior.

    A CLI gcloud publica de forma transparente as suas credenciais no ponto final do serviço de tokens de segurança. No ponto final, é trocado por tokens de acesso Trusted Cloud temporários.

    Já pode executar comandos da CLI gcloud para Trusted Cloud.

SAML

  1. Inicie sessão de um utilizador na sua aplicação do Microsoft Entra ID e obtenha a resposta SAML.

  2. Guarde a resposta SAML devolvida pelo Microsoft Entra ID num local seguro na sua máquina local e, em seguida, armazene o caminho da seguinte forma:

    SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

  3. Para gerar um ficheiro de configuração de credenciais, execute o seguinte comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

    Substitua o seguinte:

    • WORKFORCE_PROVIDER_ID: o ID do fornecedor do Workforce Identity Pool que criou anteriormente neste guia
    • WORKFORCE_POOL_ID: o ID do Workload Identity Pool que criou anteriormente neste guia
    • SAML_ASSERTION_PATH: o caminho do ficheiro de declaração SAML
    • PROJECT_ID: o ID do projeto

    O ficheiro de configuração gerado tem um aspeto semelhante ao seguinte:

    {
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

  4. Para iniciar sessão na CLI gcloud através da troca de tokens da Workforce Identity Federation, execute o seguinte comando:

    gcloud auth login --cred-file=config.json

    Em seguida, a CLI gcloud troca de forma transparente as suas credenciais do Microsoft Entra ID por Trusted Cloud tokens de acesso temporários. Os tokens de acesso permitem-lhe aceder a Trusted Cloud.

    Vê um resultado semelhante ao seguinte:

    Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

  5. Para listar as contas com credenciais e a sua conta ativa, execute o seguinte comando:

    gcloud auth list

Teste o acesso

Agora, tem acesso aos Trusted Cloud produtos que suportam a federação de identidade da força de trabalho e aos quais lhe é concedido acesso. Anteriormente, neste documento, concedeu a função de administrador de armazenamento (roles/storage.admin) a todas as identidades no identificador de grupo que especificou no gcloud projects add-iam-policy-binding para o projeto TEST_PROJECT_ID.

Agora, pode testar se tem acesso listando os contentores do Cloud Storage.

Consola (federada)

Para testar se tem acesso através da consola (federada), faça o seguinte:

  • Aceda à página do Cloud Storage.

    Aceda ao Cloud Storage

  • Verifique se consegue ver uma lista dos contentores existentes para o TEST_PROJECT_ID.

CLI gcloud

Para testar se tem acesso através da CLI gcloud, pode listar os contentores e os objetos do Cloud Storage para o projeto ao qual tem acesso. Para o fazer, execute o seguinte comando. O principal tem de ter a autorização serviceusage.services.use no projeto especificado.

gcloud storage ls --project="TEST_PROJECT_ID"

Eliminar utilizadores

A federação de identidade da força de trabalho cria metadados e recursos do utilizador para identidades de utilizadores federadas. Se optar por eliminar utilizadores no seu IdP, também tem de eliminar explicitamente estes recursos no Trusted Cloud. Para o fazer, consulte o artigo Elimine utilizadores da Federação de identidades da força de trabalho e os respetivos dados.

Pode ver que os recursos continuam associados a um utilizador que foi eliminado. Isto deve-se ao facto de a eliminação de metadados e recursos do utilizador exigir uma operação de longa duração. Depois de iniciar a eliminação da identidade de um utilizador, os processos que o utilizador iniciou antes da eliminação podem continuar a ser executados até serem concluídos ou cancelados.

O que se segue?