Workforce Identity-Pool-Anbieter verwalten

In diesem Leitfaden wird beschrieben, wie Sie übliche Vorgänge mit der Workforce Identity-Föderation ausführen. Informationen zum Einrichten der Workforce Identity-Föderation finden Sie in den folgenden Anleitungen:

Hinweise

  1. Sie müssen eine Google Cloud-Organisation eingerichtet haben.

  2. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init

Pools verwalten

In diesem Abschnitt wird gezeigt, wie Sie Workforce Identity-Pools verwalten.

Pool erstellen

Führen Sie den folgenden Befehl aus, um einen workforce-pool zu erstellen:

Console

So erstellen Sie den Workforce Identity-Pool:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Klicken Sie auf Pool erstellen und gehen Sie so vor:

    1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und im Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

    3. Die Sitzungsdauer ist standardmäßig festgelegt. Klicken Sie auf Bearbeiten, um eine benutzerdefinierte Sitzungsdauer einzugeben. Die Sitzungsdauer bestimmt, wie lange die Google Cloud-Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.

    4. Damit der Pool im aktivierten Status erstellt werden kann, muss Aktivierter Pool aktiviert sein.

    5. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: Eine ID, die Sie wählen, um den Google Cloud-Workforce-pool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud-Organisation.
  • DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
  • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
  • SESSION_DURATION: Optional. Die Sitzungsdauer, die bestimmt, wie lange die Google Cloud-Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Dauer muss mehr als 15 Minuten (900s) und weniger als 12 Stunden (43.200s) betragen. Wenn keine Sitzungsdauer festgelegt ist, wird standardmäßig eine Dauer von einer Stunde (3.600 s) verwendet.

Pool beschreiben

Console

So beschreiben Sie einen bestimmten workforce-pool mit der Google Cloud Console:

  1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.

    Zu Workforce Identity-Pools

  2. Wählen Sie unter Workforce-Pools den Pool aus.

gcloud

Führen Sie den folgenden Befehl aus, um einen bestimmten Workforce-pool mithilfe der gcloud CLI zu beschreiben:

gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
    --location=global

Ersetzen Sie WORKFORCE_POOL_ID durch die workforce-pool-ID, die Sie beim Erstellen des Pools gewählt haben.

Pools auflisten

Console

So listen Sie Workforce-Pools mit der Google Cloud Console auf:

  1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.

    Zu Workforce Identity-Pools

  2. Rufen Sie in der Tabelle die Liste der Pools auf.

gcloud

Führen Sie den folgenden Befehl aus, um die Workforce-pools in der Organisation aufzulisten:

gcloud iam workforce-pools list \
    --organization=ORGANIZATION_ID \
    --location=global

Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Pool aktualisieren

Console

So aktualisieren Sie einen bestimmten workforce-pool mit der Google Cloud Console:

  1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.

    Zu Workforce Identity-Pools

  2. Wählen Sie in der Tabelle den Pool aus.

  3. Aktualisieren Sie die Poolparameter.

  4. Klicken Sie auf Pool speichern.

gcloud

Führen Sie den folgenden Befehl aus, um einen bestimmten workforce-pool zu aktualisieren:

gcloud iam workforce-pools update WORKFORCE_POOL_ID \
    --description=DESCRIPTION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: die ID des Workforce-Pools
  • DESCRIPTION: die Beschreibung des Pools

Pool löschen

Console

So löschen Sie einen bestimmten workforce-pool mit der Google Cloud Console:

  1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.

    Zu Workforce Identity-Pools

  2. In Workforce-Pools, klicken Sie aufLöschen für den Pool, den Sie löschen möchten.

  3. Folgen Sie dazu der zusätzlichen Anleitung.

gcloud

Führen Sie den folgenden Befehl aus, um einen Workforce Identity-Pool zu löschen:

gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
    --location=global

Ersetzen Sie WORKFORCE_POOL_ID durch die Workforce-pool-ID.

Pool wiederherstellen

Sie können einen workforce identity pool wiederherstellen, der innerhalb der letzten 30 Tage gelöscht wurde.

Führen Sie folgenden Befehl aus, um einen Pool wiederherzustellen:

gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
    --location=global

Ersetzen Sie WORKFORCE_POOL_ID durch die Workforce-pool-ID.

Anbieter im workforce-pool konfigurieren

In diesem Abschnitt wird erläutert, wie Sie gcloud-Befehle verwenden können, um Anbieter von Mitarbeiteridentitätspools zu konfigurieren:

OIDC-Anbieter erstellen

In diesem Abschnitt wird beschrieben, wie Sie einen Anbieter von Mitarbeiteridentitätspools für einen OIDC-IdP erstellen.

Console

Codeablauf

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.

  3. Klicken Sie in der Tabelle Anbieter auf Anbieter hinzufügen.

  4. Wählen Sie unter Protokoll auswählen die Option Open ID Connect (OIDC) aus.

  5. Gehen Sie unter Pool-Anbieter erstellen so vor:

    1. Geben Sie unter Name einen Namen für den Anbieter ein.
    2. Geben Sie unter Aussteller (URL) den URI des Ausstellers ein. Der OIDC-Aussteller-URI muss ein gültiges URI-Format haben und mit https beginnen. Beispiel: https://example.com/oidc
    3. Geben Sie die Client-ID ein. Dies ist die OIDC-Client-ID, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der aud-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.
    4. Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Aktivierter Anbieter aktiviert sein.
    5. Klicken Sie auf Weiter.
  6. Gehen Sie unter Antworttyp so vor: Der Antworttyp wird nur für eine webbasierte Einmalanmeldung verwendet.

    1. Wählen Sie unter Antworttyp die Option Code aus.
    2. Geben Sie unter Clientschlüssel den Clientschlüssel von Ihrem IdP ein.
    3. Wählen Sie unter Verhalten bei Assertion-Anforderungen eine der folgenden Optionen aus:

      • Nutzerinformationen und ID-Token
      • Nur ID-Token
    4. Klicken Sie auf Weiter.

  7. Unter Anbieter konfigurieren können Sie eine Attributzuordnung und eine Attributbedingung konfigurieren. So erstellen Sie eine Attributzuordnung: Sie können entweder den Namen des IdP-Felds oder einen CEL-formatierten Ausdruck angeben, der einen String zurückgibt.

    1. Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein. Beispiel: assertion.sub

    2. Optional: So fügen Sie zusätzliche Attributzuordnungen hinzu:

      1. Klicken Sie auf Zuordnung hinzufügen.
      2. Geben Sie in Google n, wobei n eine Zahl ist, einen der von Google Cloud unterstützten Schlüssel ein.
      3. Geben Sie im entsprechenden Feld OIDC n den Namen des IdP-spezifischen Felds im CEL-Format ein.
    3. So erstellen Sie eine Attributbedingung:

      1. Klicken Sie auf Bedingung hinzufügen.
      2. Geben Sie unter Attributbedingungen eine Bedingung im CEL-Format ein, z. B. assertion.role == 'gcp-users'. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rolle gcp-users über diesen Anbieter anmelden können.
  8. Klicken Sie auf Senden, um den Anbieter zu erstellen.

    Impliziter Ablauf

    1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

      Zu Workforce Identity-Pools

    2. Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.

    3. Klicken Sie in der Tabelle Anbieter auf Anbieter hinzufügen.

    4. Wählen Sie unter Protokoll auswählen die Option Open ID Connect (OIDC) aus.

    5. Gehen Sie unter Pool-Anbieter erstellen so vor:

      1. Geben Sie unter Name einen Namen für den Anbieter ein.
      2. Geben Sie unter Aussteller (URL) den URI des Ausstellers ein. Der OIDC-Aussteller-URI muss ein gültiges URI-Format haben und mit https beginnen. Beispiel: https://example.com/oidc
      3. Geben Sie die Client-ID ein. Dies ist die OIDC-Client-ID, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der aud-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.
      4. Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Aktivierter Anbieter aktiviert sein.
      5. Klicken Sie auf Weiter.
    6. Gehen Sie unter Antworttyp so vor: Der Antworttyp wird nur für eine webbasierte Einmalanmeldung verwendet.

      1. Wählen Sie unter Antworttyp die Option ID-Token aus.
      2. Klicken Sie auf Weiter.
    7. Unter Anbieter konfigurieren können Sie eine Attributzuordnung und eine Attributbedingung konfigurieren. So erstellen Sie eine Attributzuordnung: Sie können entweder den Namen des IdP-Felds oder einen CEL-formatierten Ausdruck angeben, der einen String zurückgibt.

      1. Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein. Beispiel: assertion.sub

      2. Optional: So fügen Sie zusätzliche Attributzuordnungen hinzu:

        1. Klicken Sie auf Zuordnung hinzufügen.
        2. Geben Sie in Google n, wobei n eine Zahl ist, einen der von Google Cloud unterstützten Schlüssel ein.
        3. Geben Sie im entsprechenden Feld OIDC n den Namen des IdP-spezifischen Felds im CEL-Format ein.
      3. So erstellen Sie eine Attributbedingung:

        1. Klicken Sie auf Bedingung hinzufügen.
        2. Geben Sie unter Attributbedingungen eine Bedingung im CEL-Format ein, z. B. assertion.role == 'gcp-users'. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rolle gcp-users über diesen Anbieter anmelden können.

    8. Klicken Sie auf Senden, um den Anbieter zu erstellen.

gcloud

Codeablauf

Führen Sie den folgenden Befehl aus, um einen OIDC-Anbieter zu erstellen, der den Autorisierungscodeablauf für die Webanmeldung verwendet:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \ --web-sso-response-type="code" \ --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \ --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \ --attribute-mapping="ATTRIBUTE_MAPPING" \ --attribute-condition="ATTRIBUTE_CONDITION" \ --jwk-json-path="JWK_JSON_PATH" \ --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_PROVIDER_ID: Eine eindeutige Anbieter-ID für den Mitarbeiteridentitätspool. Das Präfix gcp- ist reserviert und kann nicht in einem Workforce Identity-Pool oder in der Anbieter-ID eines Workforce Identity-Pools verwendet werden.
  • WORKFORCE_POOL_ID: Die ID des Mitarbeiteridentitätspools, mit dem Ihr IdP verbunden werden soll.
  • DISPLAY_NAME: ein optionaler nutzerfreundlicher Anzeigename für den Anbieter; Beispiel: idp-eu-employees
  • DESCRIPTION: eine optionale Beschreibung des Mitarbeiter-Anbieters. Beispiel: IdP for Partner Example Organization employees
  • ISSUER_URI: der OIDC-Aussteller-URI in einem gültigen URI-Format, das mit https beginnt. Beispiel: https://example.com/oidc. Hinweis: Aus Sicherheitsgründen muss ISSUER_URI das HTTPS-Schema verwenden.
  • OIDC_CLIENT_ID: die OIDC-Client-ID, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der aud-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.
  • OIDC_CLIENT_SECRET: der OIDC-Clientschlüssel
  • WEB_SSO_ADDITIONAL_SCOPES: optionale zusätzliche Bereiche, die an den OIDC-IdP für die Console (föderiert) oder die browserbasierte Anmeldung mit der gcloud CLI gesendet werden
  • ATTRIBUTE_MAPPING: Eine Attributzuordnung. Das folgende Beispiel zeigt eine Attributzuordnung:
    google.subject=assertion.sub,
    google.groups=assertion.group1,
    attribute.costcenter=assertion.costcenter
    In diesem Beispiel werden die IdP-Attribute subject, group1 und costcenter in der OIDC-Assertion den Attributen google.subject, google.groups bzw. attribute.costcenter zugeordnet.
  • ATTRIBUTE_CONDITION: eine Attributbedingung; Beispiel: assertion.role == 'gcp-users' Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rolle gcp-users über diesen Anbieter anmelden können.
  • JWK_JSON_PATH: Ein optionaler Pfad zu einem lokal hochgeladenen OIDC-JWKs. Wenn dieser Parameter nicht angegeben ist, verwendet Google Cloud stattdessen den Pfad /.well-known/openid-configuration Ihres IdP, um den JWKS mit den öffentlichen Schlüsseln zu ermitteln. Weitere Informationen zu lokal hochgeladenen OIDC JWKs finden Sie unter OIDC-JWKs verwalten.
In der Befehlsantwort ist POOL_RESOURCE_NAME der Name des Pools, z. B. locations/global/workforcePools/enterprise-example-organization-employees.

Impliziter Ablauf

Führen Sie den folgenden Befehl aus, um einen OIDC-Anbieter von Mitarbeiteridentitätspools zu erstellen, der den impliziten Ablauf für die Webanmeldung verwendet:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_PROVIDER_ID: Eine eindeutige Anbieter-ID für den Mitarbeiteridentitätspool. Das Präfix gcp- ist reserviert und kann nicht in einem Workforce Identity-Pool oder in der Anbieter-ID eines Workforce Identity-Pools verwendet werden.
  • WORKFORCE_POOL_ID: Die ID des Mitarbeiteridentitätspools, mit dem Ihr IdP verbunden werden soll.
  • DISPLAY_NAME: ein optionaler nutzerfreundlicher Anzeigename für den Anbieter; Beispiel: idp-eu-employees
  • DESCRIPTION: eine optionale Beschreibung des Mitarbeiter-Anbieters. Beispiel: IdP for Partner Example Organization employees
  • ISSUER_URI: der OIDC-Aussteller-URI in einem gültigen URI-Format, das mit https beginnt. Beispiel: https://example.com/oidc. Hinweis: Aus Sicherheitsgründen muss ISSUER_URI das HTTPS-Schema verwenden.
  • OIDC_CLIENT_ID: die OIDC-Client-ID, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der aud-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.
  • WEB_SSO_ADDITIONAL_SCOPES: optionale zusätzliche Bereiche, die an den OIDC-IdP für die Console (föderiert) oder die browserbasierte Anmeldung mit der gcloud CLI gesendet werden
  • ATTRIBUTE_MAPPING: Eine Attributzuordnung. Das folgende Beispiel zeigt eine Attributzuordnung:
    google.subject=assertion.sub,
    google.groups=assertion.group1,
    attribute.costcenter=assertion.costcenter
    In diesem Beispiel werden die IdP-Attribute subject, group1 und costcenter in der OIDC-Assertion den Attributen google.subject, google.groups bzw. attribute.costcenter zugeordnet.
  • ATTRIBUTE_CONDITION: eine Attributbedingung; Beispiel: assertion.role == 'gcp-users' Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rolle gcp-users über diesen Anbieter anmelden können.
  • JWK_JSON_PATH: Ein optionaler Pfad zu einem lokal hochgeladenen OIDC-JWKs. Wenn dieser Parameter nicht angegeben ist, verwendet Google Cloud stattdessen den Pfad /.well-known/openid-configuration Ihres IdP, um den JWKS mit den öffentlichen Schlüsseln zu ermitteln. Weitere Informationen zu lokal hochgeladenen OIDC JWKs finden Sie unter OIDC-JWKs verwalten.
In der Befehlsantwort ist POOL_RESOURCE_NAME der Name des Pools, z. B. locations/global/workforcePools/enterprise-example-organization-employees.

SAML-Anbieter erstellen

In diesem Abschnitt wird beschrieben, wie Sie einen Anbieter von Mitarbeiteridentitätspools für einen SAML-IdP erstellen.

Console

So konfigurieren Sie den SAML-Anbieter mit der Google Cloud Console:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.

  3. Klicken Sie in der Tabelle Anbieter auf Anbieter hinzufügen.

  4. Wählen Sie unter Protokoll auswählen die Option SAML aus.

  5. Gehen Sie unter Pool-Anbieter erstellen so vor:

    1. Geben Sie unter Name einen Namen für den Anbieter ein.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung für den Anbieter ein.

    3. Wählen Sie in der IdP-Metadatendatei (XML) die XML-Metadatendatei aus, die Sie zuvor in dieser Anleitung generiert haben.

    4. Prüfen Sie, ob Aktivierter Anbieter aktiviert ist.

    5. Klicken Sie auf Weiter.

  6. Führen Sie unter Anbieter konfigurieren die folgenden Schritte aus:

    1. Geben Sie unter Attributzuordnung einen CEL-Ausdruck für google.subject ein.

    2. Optional: Wenn Sie andere Zuordnungen eingeben möchten, klicken Sie auf Zuordnung hinzufügen und geben Sie andere Zuordnungen ein. Beispiel:

      google.subject=assertion.subject,
      google.groups=assertion.attributes['https://example.com/aliases'],
      attribute.costcenter=assertion.attributes.costcenter[0]
      In diesem Beispiel werden die IdP-Attribute assertion.subject, assertion.attributes['https://example.com/aliases'] und assertion.attributes.costcenter[0] den Google Cloud-Attributen google.subject, google.groups bzw. google.costcenter zugeordnet.

    3. Optional: Klicken Sie auf Bedingung hinzufügen und geben Sie einen CEL-Ausdruck ein, der eine Attributbedingung darstellt, um eine Attributbedingung hinzuzufügen. Wenn Sie beispielsweise das Attribut ipaddr auf einen bestimmten IP-Bereich beschränken möchten, können Sie die Bedingung assertion.attributes.ipaddr.startsWith('98.11.12.') festlegen. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit einer IP-Adresse, die mit 98.11.12. beginnt, über diesen Workforce-anbieter anmelden können.

    4. Klicken Sie auf Weiter.

  7. Klicken Sie auf Senden, um den Anbieter zu erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um den Anbieter zu erstellen:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --location="global"

Ersetzen Sie Folgendes:

  • WORKFORCE_PROVIDER_ID: die ID des Mitarbeiter-Anbieters
  • WORKFORCE_POOL_ID: die ID des Workforce-Pools
  • ATTRIBUTE_MAPPING: eine Attributzuordnung; um beispielsweise ein Thema zuzuordnen, lautet die Attributzuordnung folgendermaßen:

    
    google.subject=assertion.subject,
    google.groups=assertion.attributes['https://example.com/aliases'],
    attribute.department=assertion.attributes.department[0]
    
  • ATTRIBUTE_CONDITION: eine optionale Attributbedingung, z. B. assertion.subject.endsWith("@example.com")

  • XML_METADATA_PATH: der Pfad zur XML-formatierten Metadatendatei Ihres IdP

Das Präfix gcp- ist reserviert und kann nicht in einem Workforce Identity-Pool oder in der Anbieter-ID eines Workforce Identity-Pools verwendet werden.

Mit diesem Befehl werden das Thema und die Abteilung in der SAML-Assertion den Attributen google.subject bzw. attribute.department zugewiesen. Durch die Attributbedingung wird außerdem sichergestellt, dass sich nur Nutzer mit einem Thema, das auf @example.com endet, sich über diesen Workforce-Anbieter anmelden können.

Anbieter beschreiben

Console

So rufen Sie einen Anbieter auf:

  1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.

Zu Workforce Identity-Pools

  1. Wählen Sie in der Tabelle den Pool aus, für den Sie den Anbieter aufrufen möchten.

  2. Wählen Sie in der Tabelle Anbieter den Anbieter aus.

gcloud

Führen Sie den folgenden Befehl aus, um einen Anbieter zu beschreiben:

gcloud iam workforce-pools providers describe PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ersetzen Sie Folgendes:

  • PROVIDER_ID: die Anbieter-ID
  • WORKFORCE_POOL_ID: die ID des Workforce-Pools

Dienstanbieter auflisten

Console

So rufen Sie einen Anbieter auf:

  1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.

Zu Workforce Identity-Pools

  1. Wählen Sie in der Tabelle den Pool aus, für den Sie die Anbieter auflisten möchten.

  2. In der Tabelle Anbieter sehen Sie eine Liste der Anbieter.

gcloud

Führen Sie folgenden Befehl aus, um Anbieter aufzulisten:

gcloud iam workforce-pools providers list \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ersetzen Sie WORKFORCE_POOL_ID durch die Workforce-pool-ID.

Anbieter aktualisieren

Console

So rufen Sie einen Anbieter auf:

  1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.

Zu Workforce Identity-Pools

  1. Wählen Sie in der Tabelle den Pool aus, für den Sie den Anbieter aufrufen möchten.

  2. In der Tabelle Anbieter, klicken Sie auf Bearbeiten.

  3. Aktualisieren Sie den Anbieter.

  4. Klicken Sie auf Speichern, um den aktualisierten Anbieter zu speichern.

gcloud

Führen Sie folgenden Befehl aus, um einen OIDC-Anbieter nach dem Erstellen zu aktualisieren:

gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --description="DESCRIPTION" \
    --location=global

Ersetzen Sie Folgendes:

  • PROVIDER_ID: die Anbieter-ID
  • WORKFORCE_POOL_ID: die ID des Workforce-Pools
  • DESCRIPTION: Die Beschreibung

Anbieter löschen

Führen Sie folgenden Befehl aus, um einen Anbieter zu löschen:

gcloud iam workforce-pools providers delete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ersetzen Sie Folgendes:

  • PROVIDER_ID: die Anbieter-ID
  • WORKFORCE_POOL_ID: die ID des Workforce-Pools

Anbieter wiederherstellen

Führen Sie folgenden Befehl aus, um einen Anbieter wiederherzustellen, der innerhalb der letzten 30 Tage gelöscht wurde:

gcloud iam workforce-pools providers undelete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ersetzen Sie Folgendes:

  • PROVIDER_ID: die Anbieter-ID
  • WORKFORCE_POOL_ID: die ID des Workforce-Pools

OIDC-JWKs verwalten

In diesem Abschnitt erfahren Sie, wie Sie OIDC-JWKs bei Personalpoolanbietern verwalten.

Anbieter erstellen und OIDC-JWKs hochladen

Informationen zum Erstellen von OIDC-JWKs finden Sie unter JWT-, JWS-, JWE-, JWK- und JWA-Implementierungen.

Zum Hochladen einer OIDC-JWK-Datei beim Erstellen eines Personalpoolanbieters führen Sie den Befehl gcloud iam workforce-pools providers create-oidc mit --jwk-json-path="JWK_JSON_PATH" aus. Ersetzen Sie JWK_JSON_PATH durch den Pfad zur JWKs-JSON-Datei.

Bei diesem Vorgang werden die Schlüssel aus der Datei hochgeladen.

OIDC-JWKs aktualisieren

Führen Sie den Befehl gcloud iam workforce-pools providers update-oidc mit --jwk-json-path="JWK_JSON_PATH" aus, um OIDC-JWKs zu aktualisieren. Ersetzen Sie JWK_JSON_PATH durch den Pfad zur JWKs-JSON-Datei.

Dieser Vorgang ersetzt alle vorhandenen hochgeladenen Schlüssel durch die in der Datei.

Alle hochgeladenen OIDC-JWKs löschen

Wenn Sie alle hochgeladenen OIDC JWKs löschen und stattdessen die Aussteller-URI zum Abrufen der Schlüssel verwenden möchten, führen Sie den Befehl gcloud iam workforce-pools providers update-oidc mit --jwk-json-path="JWK_JSON_PATH" aus. Ersetzen Sie JWK_JSON_PATH durch den Pfad zu einer leeren Datei. Mit dem Flag --issuer-uri können Sie den Aussteller-URI festlegen.

Bei diesem Vorgang werden alle vorhandenen hochgeladenen Schlüssel gelöscht.

Nächste Schritte