In diesem Dokument erfahren Sie, wie Sie die Mitarbeiteridentitätsföderation mit PingOne Advanced Identity Cloud (AIC) als Identitätsanbieter (IdP) konfigurieren und den Zugriff aufCloud de Confianceverwalten. Nachdem Sie den PingOne AIC-Identitätsanbieter konfiguriert haben, können föderierte Nutzer mit dem SAML 2.0-Protokoll auf Cloud de Confiance -Dienste zugreifen, die Workforce Identity Federation unterstützen.
Hinweis
- Sie müssen eine Cloud de Confiance Organisation einrichten.
- Setzen Sie die Umgebungsvariable
GOOGLE_CLOUD_UNIVERSE_DOMAINaufs3nsapis.fr. -
Installieren Sie die Google Cloud CLI und melden Sie sich dann mit Ihrer föderierten Identität in der gcloud CLI an. Nach der Anmeldung initialisieren Sie die Google Cloud CLI mit dem folgenden Befehl:
gcloud init - Rufen Sie unter Native Consoles > Access Management (Native Konsolen > Zugriffsverwaltung) Realms > REALM_NAME > Dashboard auf und klicken Sie auf SAML Applications (SAML-Anwendungen).
- Klicken Sie auf Entitätsanbieter hinzufügen > Gehostet.
Geben Sie eine Entitäts-ID ein. Notieren Sie sich diesen Wert zur späteren Verwendung.
- Prüfen Sie, ob der Wert für Entity Provider Base URL korrekt ist. Advanced Identity Cloud verwendet diesen Wert für alle SAML 2.0-bezogenen Endpunkte.
- Geben Sie im Abschnitt Meta Aliases (Meta-Aliasse) einen URL-freundlichen Wert für die Property Identity Provider Meta Alias (Meta-Alias des Identitätsanbieters) an. Dieser Alias muss im Vertrauenskreis eindeutig sein.
- Klicken Sie auf Erstellen.
- Ordnen Sie auf dem Tab Assertion Processing (Assertion-Verarbeitung) im Abschnitt Attribute Mapper (Attributzuordnung) SAML-Attributnamen lokalen Attributnamen zu. Die SAML-Attributnamen sind die Namen, die in einer Assertion verwendet werden.
- Klicken Sie für jede Zuordnung auf Hinzufügen oder Aktualisieren.
- Klicken Sie auf Änderungen speichern.
Über REST
Führen Sie dazu diesen Befehl aus:
curl --output METADATA_XML \ "https://TENANT_ENV_FQDN/am/ExportSamlMetadata?entityid=ENTITY_ID&realm=/REALM"In einem Browser
Öffnen Sie die Metadaten-URL Ihrer Mandantenumgebung in einem Browser, um die XML-Datei herunterzuladen:
https://TENANT_ENV_FQDN/am/ExportSamlMetadata?entityid=ENTITY_ID&realm=/REALM- Speichern Sie die XML-Datei auf Ihrem lokalen Computer.
Bereiten Sie die Cloud de Confiance SP-Metadaten-XML vor. Verwenden Sie die folgende Vorlage und ersetzen Sie die Platzhalterwerte:
<?xml version="1.0" encoding="UTF-8"?> <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID"> <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID" index="0" isDefault="true"/> </md:SPSSODescriptor> </md:EntityDescriptor>Importieren Sie die Metadaten auf eine der folgenden Arten:
In der Console
- Rufen Sie in der Admin-Konsole von PingOne AIC SAML Applications auf.
- Klicken Sie auf Entitätsanbieter hinzufügen > „Remote“.
- Laden Sie die gerade erstellte XML-Datei mit den Cloud de Confiance SP-Metadaten hoch.
- Klicken Sie auf Erstellen.
Über REST
- Konvertieren Sie die XML-Metadaten in einen base64url-codierten String.
- Zugriffstoken abrufen
Führen Sie dazu diesen Befehl aus:
curl --request POST \ --header 'authorization: Bearer ACCESS_TOKEN' \ --header 'Content-Type: application/json' \ --header 'Accept-API-Version: resource=1.0' \ --data-raw '{"standardMetadata": "BASE64URL_ENCODED_METADATA"}' \ 'https://TENANT_ENV_FQDN/am/json/realms/root/realms/alpha/realm-config/saml2/remote?_action=importEntity'
- Gehen Sie zu Realms > REALM_NAME > Applications > Federation > Circles of Trust.
- Klicken Sie auf Vertrauenskreis hinzufügen.
- Geben Sie einen Namen ein und klicken Sie auf Erstellen.
- Wählen Sie auf der Seite Circle of Trust (Vertrauenskreis) in der Property Entity Providers (Entitätsanbieter) Ihren gehosteten IdP und den Cloud de Confiance Remote-SP aus.
- Klicken Sie auf Änderungen speichern.
Wenn Sie einen Anbieter für den SAML-Mitarbeiteridentitätspool erstellen möchten, müssen die Metadaten Ihres Identitätsanbieters mindestens die SAML-Entitäts-ID, die URL für die Einmalanmeldung und einen öffentlichen Signaturschlüssel enthalten. Gehen Sie hierzu folgendermaßen vor:
gcloud
Speichern Sie die SAML-Metadaten aus Ihrer PingOne AIC-App.
Führen Sie den folgenden Befehl aus, um den Anbieter des SAML-Mitarbeiteridentitätspools zu erstellen:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --display-name="DISPLAY_NAME" \ --description="DESCRIPTION" \ --idp-metadata-path="XML_METADATA_PATH" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --location=globalErsetzen Sie Folgendes:
WORKFORCE_PROVIDER_ID: eine Anbieter-ID.WORKFORCE_POOL_ID: die ID des Mitarbeiteridentitätspools.DISPLAY_NAME: Ein Anzeigename.DESCRIPTION: eine Beschreibung.XML_METADATA_PATH: der Pfad zur XML-formatierten Metadatendatei, die Sie aus PingOne AIC exportiert haben.ATTRIBUTE_MAPPING: die Attributzuordnung; Beispiel:google.subject=assertion.subject,google.groups=assertion.attributes.groups,attribute.department=assertion.attributes.department[0].ATTRIBUTE_CONDITION: eine optionale Attributbedingung. Wenn Sie beispielsweise das Attributipaddrauf einen bestimmten IP-Bereich beschränken möchten, können Sie die Bedingungassertion.ipaddr.startsWith('98.11.12.')festlegen.
Weitere Informationen finden Sie unter Attributzuordnung.
Mit diesem Befehl werden
subject,groupsunddepartmentin der SAML-Assertion den Attributengoogle.subject,google.groupsbzw.attribute.departmentzugewiesen. Durch die Attributbedingung wird außerdem sichergestellt, dass sich nur Nutzer innerhalb eines bestimmten IP-Bereichs über diesen Workforce-Anbieter anmelden können.
Console
So konfigurieren Sie den SAML-Anbieter mit der Cloud de Confiance Console:
- Rufen Sie in der Cloud de Confiance Console die Seite Mitarbeiteridentitätspools auf: Zu Mitarbeiteridentitätspools
- Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
- Klicken Sie im Bereich Anbieter auf Anbieter hinzufügen.
- Wählen Sie in der Liste Select a Provider vendor (Anbieter auswählen) die Option Generic Identity Provider (Allgemeiner Identitätsanbieter) aus.
- Wählen Sie unter Authentifizierungsprotokoll auswählen die Option SAML aus.
- Führen Sie im Abschnitt Anbieter erstellen die folgenden Schritte aus:
- Geben Sie unter Name einen Namen für den Anbieter ein.
- Optional: Geben Sie unter Beschreibung eine Beschreibung für den Anbieter ein.
- Wählen Sie in der IdP-Metadatendatei (XML) die XML-Metadatendatei aus, die Sie aus PingOne AIC exportiert haben.
- Prüfen Sie, ob Aktivierter Anbieter aktiviert ist.
- Klicken Sie auf Weiter.
- Klicken Sie im Bereich Informationen zum Dienstanbieter freigeben auf Weiter.
Führen Sie im Abschnitt Anbieter konfigurieren die folgenden Schritte aus:
- Geben Sie unter Attributzuordnung einen CEL-Ausdruck für
google.subjectein, z. B.assertion.subject. Optional: Wenn Sie andere Zuordnungen eingeben möchten, klicken Sie auf Zuordnung hinzufügen und geben Sie andere Zuordnungen ein. Beispiel:
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]Optional: Klicken Sie auf Bedingung hinzufügen und geben Sie einen CEL-Ausdruck ein, der eine Attributbedingung darstellt, um eine Attributbedingung hinzuzufügen. Wenn Sie beispielsweise das Attribut
ipaddrauf einen bestimmten IP-Bereich beschränken möchten, können Sie die Bedingungassertion.attributes.ipaddr.startsWith('98.11.12.')festlegen. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit einer IP-Adresse, die mit98.11.12.beginnt, über diesen Workforce-anbieter anmelden können.
- Geben Sie unter Attributzuordnung einen CEL-Ausdruck für
Wenn Sie das detaillierte Audit-Logging aktivieren möchten, klicken Sie unter Detaillierte Protokollierung auf den Schieberegler Audit-Logging für Attributwerte aktivieren.
Klicken Sie auf Senden, um den Anbieter zu erstellen.
TEST_PROJECT_ID: Projekt-ID.WORKFORCE_POOL_ID: die ID des Mitarbeiteridentitätspools.DEPARTMENT_VALUE: der zugeordnete Wertattribute.department.TEST_PROJECT_ID: Projekt-ID.WORKFORCE_POOL_ID: die ID des Mitarbeiteridentitätspools.GROUP_ID: eine Gruppe im zugeordnetengoogle.groups-Anspruch.-
Rufen Sie die (föderierte) Anmeldeseite der Konsole auf.
-
Geben Sie den Namen des Anbieters ein. Er muss so formatiert sein:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Geben Sie Ihre PingOne AIC-Anmeldedaten ein, wenn Sie dazu aufgefordert werden. WORKFORCE_POOL_ID: Die ID des Workforce Identity Federation-Pools.WORKFORCE_PROVIDER_ID: Die ID des Anbieters der Mitarbeiteridentitätsföderation.-
LOGIN_CONFIG_PATH: Der Pfad, in den die Anmeldekonfigurationsdatei geschrieben werden soll. Beispiel:login-config.json. -
Legen Sie die Umgebungsvariable
CLOUDSDK_AUTH_LOGIN_CONFIG_FILEauf den Pfad der Anmeldekonfigurationsdatei fest. -
Führen Sie dazu diesen Befehl aus:
gcloud auth login
- Die gcloud CLI verweist auf die Umgebungsvariable, um die Anmeldekonfigurationsdatei zu finden, und startet dann den Authentifizierungsprozess. Folgen Sie dem browserbasierten Ablauf, um die gcloud CLI zu authentifizieren und zu autorisieren, damit sie in Ihrem Namen auf Ressourcen für zukünftige Befehle zugreifen kann.
-
Legen Sie das Attribut
auth/login_config_fileder aktiven gcloud CLI-Konfiguration mit dem folgenden Befehl auf den Pfad der Anmeldekonfigurationsdatei fest:gcloud config set auth/login_config_file LOGIN_CONFIG_PATH
-
Führen Sie dazu diesen Befehl aus:
gcloud auth login
- Die gcloud CLI verweist auf das Konfigurationsattribut, um die Anmeldekonfigurationsdatei zu finden, und startet dann den Authentifizierungsprozess. Folgen Sie dem browserbasierten Ablauf, um die gcloud CLI zu authentifizieren und zu autorisieren, damit sie in Ihrem Namen auf Ressourcen für zukünftige Befehle zugreifen kann.
-
Wenn Sie das Flag
--activatebeim Erstellen der Konfigurationsdatei für die Anmeldung verwendet haben, führen Sie den folgenden Befehl aus:gcloud auth login
-
Wenn Sie das Flag
--activatebeim Erstellen der Konfigurationsdatei für die Anmeldung nicht verwendet haben, führen Sie den folgenden Befehl aus:Linux und macOS
gcloud auth login \ --login-config=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud auth login ` --login-config=LOGIN_CONFIG_PATH
Ersetzen Sie LOGIN_CONFIG_PATH durch den Pfad Ihrer Anmeldekonfigurationsdatei.
- Melden Sie einen Nutzer bei Ihrer PingOne AIC-Anwendung an und rufen Sie die SAML-Antwort ab.
- Speichern Sie die von PingOne AIC zurückgegebene SAML-Antwort an einem sicheren Ort auf Ihrem lokalen Computer. Speichern Sie den Pfad in einer Umgebungsvariablen, z. B.
SAML_ASSERTION_PATH=/tmp/saml_assertion.xml. Konfigurationsdatei generieren:
gcloud iam workforce-pools create-cred-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \ --credential-source-file=SAML_ASSERTION_PATH \ --workforce-pool-user-project=PROJECT_ID \ --output-file=config.jsonErsetzen Sie Folgendes:
SAML_ASSERTION_PATH: der Pfad der SAML-Assertion-Datei.PROJECT_ID: Projekt-ID.
Die generierte Konfigurationsdatei sieht in etwa so aus:
{ "type": "external_account", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "subject_token_type": "urn:ietf:params:oauth:token-type:saml2", "token_url": "https://sts.googleapis.com/v1/token", "credential_source": { "file": "SAML_ASSERTION_PATH" }, "workforce_pool_user_project": "PROJECT_ID" }Führen Sie den folgenden Befehl aus, um sich mit Token-Austausch in der gcloud CLI anzumelden:
gcloud auth login --cred-file=config.jsongcloudtauscht dann Ihre PingOne AIC-Anmeldedaten transparent gegen temporäre Cloud de Confiance Zugriffstokens aus, sodass Sie anderegcloud-Aufrufe an Cloud de Confiancesenden können. Die Ausgabe sieht etwa so aus:Authenticated with external account user credentials for: [principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].Führen Sie den folgenden Befehl aus, um die Konten mit Anmeldedaten und das aktive Konto aufzulisten:
gcloud auth list- Gehen Sie zur Seite Cloud Storage
- Prüfen Sie, ob Sie die Liste der vorhandenen Buckets für das Projekt
TEST_PROJECT_IDsehen. - Nutzer von Workforce Identity-Föderation und deren Daten löschen
- Erfahren Sie, welche Cloud de Confiance Produkte die Workforce Identity Federation unterstützen.
- Nutzerzugriff auf die Console (föderiert) einrichten
Gehosteten IdP erstellen
Attribute verwenden
In diesem Abschnitt wird beschrieben, wie Sie Attribute aus der SAML-Assertion verwenden.
In den folgenden Beispielen werden Attribute in der SAML-Assertion lokalen Attributen zugeordnet:
| SAML-Attribut | Lokales Attribut |
|---|---|
IDPEmail |
mail |
FirstName |
givenName |
groups |
groups |
Richten Sie die erforderlichen Attribute im Abschnitt zur Attributzuordnung ein. Sie ordnen diese Attribute zu, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in dieser Anleitung erstellen.
Anbietermetadaten exportieren
Sie haben folgende Möglichkeiten, auf die SAML 2.0-Metadaten für Ihren gehosteten Anbieter zuzugreifen:
Google als Remote-SP importieren
Vertrauenskreis erstellen
PingOne AIC-Mitarbeiteridentitätspool-Anbieter erstellen
In diesem Abschnitt wird beschrieben, wie Sie einen Anbieter von Workforce-Identitätspools erstellen, um Ihren IdP-Nutzern den Zugriff auf Cloud de Confiancezu ermöglichen. Sie können den Anbieter so konfigurieren, dass er das SAML-Protokoll verwendet.
SAML-Workforce Identity-Pool-Anbieter erstellen
Zugriff auf Cloud de Confiance Ressourcen verwalten
In diesem Abschnitt wird beschrieben, wie Sie den Zugriff auf Cloud de Confiance -Ressourcen für PingOne AIC-Nutzer verwalten.
Das in dieser Anleitung verwendete Beispielprojekt kann sich von dem Projekt unterscheiden, das Sie zum Einrichten der Workforce Identity-Föderation verwendet haben.
Sie können Rollen für einzelne Identitäten, Identitätsgruppen oder gesamte Pools verwalten. Weitere Informationen finden Sie unter Hauptkonto-IDs für Mitarbeiter für Zulassungsrichtlinien.
Zugeordnete Abteilungsattribute verwenden
Führen Sie den folgenden Befehl aus, um allen Identitäten innerhalb einer bestimmten Abteilung für das Projekt TEST_PROJECT_ID die Rolle „Storage-Administrator“ (roles/storage.admin) zuzuweisen:
gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
--role="roles/storage.admin" \
--member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.department/DEPARTMENT_VALUE"
Ersetzen Sie Folgendes:
Zugeordnete Gruppen verwenden
Führen Sie den folgenden Befehl aus, um allen Identitäten in der Gruppe GROUP_ID für das Projekt TEST_PROJECT_ID die Rolle „Storage-Administrator“ (roles/storage.admin) zuzuweisen:
gcloud projects add-iam-policy-binding TEST_PROJECT_ID \
--role="roles/storage.admin" \
--member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Ersetzen Sie Folgendes:
Anmelden und Zugriff testen
In diesem Abschnitt melden Sie sich als Workforce Identity-Pool-Nutzer an und testen Ihren Zugriff.
Anmelden
(Föderierte) Anmeldung bei der Console
So melden Sie sich in der Cloud de Confiance by S3NS Console für die Mitarbeiteridentitätsföderation an, die auch als Console (föderiert) bezeichnet wird:
Browserbasierte Anmeldung bei der Google Cloud CLI
So melden Sie sich mit einem browserbasierten Anmeldevorgang in der gcloud CLI an:
Führen Sie den folgenden Befehl aus, um eine Konfigurationsdatei für die Anmeldung zu erstellen:
Linux und macOS
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --output-file=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud iam workforce-pools create-login-config ` locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID ` --output-file=LOGIN_CONFIG_PATH
Ersetzen Sie Folgendes:
Die Konfigurationsdatei für die Anmeldung enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den IdP festzulegen, der im Workforce Identity-Poolanbieter konfiguriert wurde. Die Datei enthält keine vertraulichen Informationen.
Der Inhalt der Anmeldekonfigurationsdatei sieht in etwa so aus:
{ "universe_domain": "s3nsapis.fr", "universe_cloud_web_domain": "cloud.s3nscloud.fr", "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.s3nscloud.fr/authorize", "token_url": "https://sts.s3nsapis.fr/v1/oauthtoken", "token_info_url": "https://sts.s3nsapis.fr/v1/introspect" }
Verweisen Sie mit einer Umgebungsvariable oder einem Attribut in der aktiven gcloud CLI-Konfiguration auf die Konfigurationsdatei für die Anmeldung oder verwenden Sie sie direkt mit dem Befehl gcloud auth login:
Umgebungsvariable
So verwenden Sie die Konfigurationsdatei für die Anmeldung mit einer Umgebungsvariable:
Wenn Sie die Konfigurationsdatei für die Anmeldung für gcloud auth login-Befehle nicht mehr verwenden möchten, löschen Sie die Umgebungsvariable CLOUDSDK_AUTH_LOGIN_CONFIG_FILE.
gcloud CLI-Konfiguration
So verwenden Sie die Konfigurationsdatei für die Anmeldung mit einer Konfigurationseigenschaft der gcloud CLI:
Wenn Sie die Konfigurationsdatei für die Anmeldung nicht mehr für gcloud auth login-Befehle verwenden möchten, heben Sie die Einstellung des Attributs mit dem folgenden Befehl auf:
gcloud config unset auth/login_config_file
gcloud auth login
Wenn Sie die Konfigurationsdatei für die Anmeldung direkt mit dem Befehl gcloud auth login verwenden möchten, folgen Sie dieser Anleitung:
Mit dem Befehl gcloud auth login werden Anmeldedaten für den Zugriff in Ihrem Basisverzeichnis gespeichert. Der authentifizierte Prinzipal wird zum aktiven Prinzipal in Ihrer aktiven gcloud CLI-Konfiguration. Sofern nicht anders angegeben, verwendet die gcloud CLI diese gespeicherten Anmeldedaten für den Zugriff auf Cloud de Confiance by S3NS.
Monitorlose Anmeldung bei der gcloud CLI
So melden Sie sich mit der gcloud CLI über das SAML-Protokoll in PingOne AIC an:
Zugriff testen
Sie können auf die Cloud de Confiance -Dienste zugreifen, die die Workforce Identity-Föderation unterstützen und auf die Sie Zugriff erhalten haben. Sie haben zuvor in diesem Leitfaden allen Identitäten innerhalb einer bestimmten Abteilung oder Gruppe für das Projekt TEST_PROJECT_ID die Rolle „Storage-Admin“ zugewiesen. Sie können testen, ob Sie Zugriff haben. Dazu listen Sie Cloud Storage-Buckets auf.
(Föderierte) Anmeldung bei der Console
So überprüfen Sie Ihren Zugriff in der Console (föderiert):
gcloud-CLI
Führen Sie folgenden Befehl aus, um Cloud Storage-Buckets und -Objekte für das Projekt aufzulisten, auf das Sie Zugriff haben:
gcloud alpha storage ls --project="TEST_PROJECT_ID"
Das Hauptkonto muss die Berechtigung serviceusage.services.use für das Projekt haben, das in der gcloud CLI-Sitzung festgelegt ist: PROJECT_ID.