Ce guide explique comment effectuer des opérations courantes avec la fédération des identités des employés. Pour configurer la fédération des identités des employés, consultez les guides suivants :
- Configurer la fédération des identités des employés avec Microsoft Entra ID et connecter les utilisateurs
- Configurer la fédération d'identité de personnel avec Okta et connecter les utilisateurs
- Configurer la fédération des identités des employés sur un fournisseur d'identité compatible avec OIDC ou SAML
Avant de commencer
Vous devez avoir configuré une organisation Google Cloud .
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
gcloud initSi vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
Gérer les pools
Cette section explique comment gérer les pools d'identités des employés.
Créer un pool
Pour créer un pool de personnel, exécutez la commande suivante :
gcloud
Pour créer le pool d'identités de personnel, exécutez la commande suivante :
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Remplacez les éléments suivants :
WORKFORCE_POOL_ID: ID que vous choisissez pour représenter votre pool de personnel Google Cloud . Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.ORGANIZATION_ID: ID d'organisation numérique de votre organisation Google Cloud pour le pool d'identités de personnel. Les pools d'identités de personnel sont disponibles dans tous les projets et dossiers de l'organisation.DISPLAY_NAME: facultatif. Un nom à afficher pour votre pool d'identités d'employés.DESCRIPTION: facultatif. Description du pool d'identités de personnelSESSION_DURATION: facultatif. Durée de la session, exprimée sous la forme d'un nombre suivi des(par exemple,3600s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , les sessions de connexion à la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. La durée de la session est définie par défaut sur une heure (3 600 s). La valeur de la durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).
Console
Pour créer le pool d'identités de personnel, procédez comme suit :
Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :
Sélectionnez l'organisation pour votre pool d'identités d'employés. Les pools d'identités Workforce sont disponibles pour tous les projets et dossiers d'une organisation.
Cliquez sur Créer un pool et procédez comme suit :
Dans le champ Nom, saisissez le nom à afficher du pool. L'ID du pool est automatiquement dérivé du nom au fur et à mesure de la saisie, et s'affiche sous le champ Nom. Vous pouvez modifier l'ID du pool en cliquant sur Modifier à côté de l'ID du pool.
Facultatif : Dans le champ Description, saisissez une description du pool.
Pour créer le pool d'identités de personnel, cliquez sur Suivant.
La durée de session du pool d'identités de personnel est définie par défaut sur une heure (3 600 s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. Une fois le pool créé, vous pouvez le modifier pour définir une durée de session personnalisée. La durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).
Décrire un pool
gcloud
Pour décrire un pool de personnel spécifique en utilisant gcloud CLI, exécutez la commande suivante:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Remplacez WORKFORCE_POOL_ID par l'ID de pool de personnel que vous avez choisi lors de la création du pool.
Console
Pour décrire un pool de personnel spécifique à l'aide de la console Google Cloud , procédez comme suit :
Accédez à la page Pools d'identités de personnel:
Dans Pools de personnel, sélectionnez le pool
Répertorier les pools
gcloud
Pour répertorier les pools de personnel de l'organisation, exécutez la commande suivante :
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
Remplacez ORGANIZATION_ID par votre ID d'organisation.
Console
Pour répertorier les pools de personnel à l'aide de la console Google Cloud , procédez comme suit :
Accédez à la page Pools d'identités de personnel:
Dans le tableau, affichez la liste des pools.
Mettre à jour un pool
gcloud
Pour mettre à jour un pool de personnel spécifique, exécutez la commande suivante :
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Remplacez les éléments suivants :
WORKFORCE_POOL_ID: ID du pool de personnelDESCRIPTION: description du pool
Console
Pour mettre à jour un pool de personnel spécifique à l'aide de la console Google Cloud , procédez comme suit :
Accédez à la page Pools d'identités de personnel:
Dans le tableau, sélectionnez le pool.
Mettez à jour les paramètres du pool.
Cliquez sur Enregistrer le pool.
Supprimer un pool
gcloud
Pour supprimer un pool d'identités de personnel, exécutez la commande suivante :
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Remplacez WORKFORCE_POOL_ID par l'ID du pool de personnel.
Console
Pour supprimer un pool de personnel spécifique à l'aide de la console Google Cloud , procédez comme suit :
Accédez à la page Pools d'identités de personnel:
DansPools de personnel, cliquez sur Supprimer sur le pool que vous souhaitez supprimer.
Suivez les instructions supplémentaires.
Annuler la suppression d'un pool
Vous pouvez annuler la suppression d'un pool d'identités de personnel supprimé au cours des 30 derniers jours.
Pour annuler la suppression d'un pool, exécutez la commande suivante :
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Remplacez WORKFORCE_POOL_ID par l'ID du pool de personnel.
Configurer un fournisseur dans le pool de personnel
Cette section explique comment utiliser les commandes gcloud pour configurer des fournisseurs de pools d'identités des employés :
Créer un fournisseur OIDC
Cette section explique comment créer un fournisseur de pools d'identités des employés pour un fournisseur d'identité OIDC.
gcloud
Flux de code
Pour créer un fournisseur OIDC qui utilise un flux avec code d'autorisation pour la connexion Web, exécutez la commande suivante :
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \
--web-sso-response-type="code" \
--web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Remplacez les éléments suivants :
WORKFORCE_PROVIDER_ID: ID unique de fournisseur de pools d'identités de personnel. Le préfixegcp-est réservé et ne peut pas être utilisé dans un ID de pool d'identités de personnel ni dans un ID de fournisseur de pool d'identités de personnel.WORKFORCE_POOL_ID: ID du pool d'identités des employés auquel connecter votre fournisseur d'identité.DISPLAY_NAME: nom à afficher convivial et facultatif pour le fournisseur. Par exemple :idp-eu-employees.DESCRIPTION: description facultative du fournisseur de personnel. Par exemple :IdP for Partner Example Organization employees.ISSUER_URI: URI de l'émetteur OIDC, dans un format d'URI valide, commençant parhttps. Exemple :https://example.com/oidc. Remarque : Pour des raisons de sécurité,ISSUER_URIdoit utiliser le schéma HTTPS.OIDC_CLIENT_ID: ID client OIDC enregistré auprès de votre fournisseur d'identité OIDC. L'ID doit correspondre à la revendicationauddu JWT émis par votre fournisseur d'identité.OIDC_CLIENT_SECRET: code secret du client OIDC.WEB_SSO_ADDITIONAL_SCOPES: champs d'application supplémentaires facultatifs à envoyer au fournisseur d'identité OIDC pour la connexion basée sur le navigateur, via la console (fédération) ou via gcloud CLI.ATTRIBUTE_MAPPING: mappage d'attributs. Voici un exemple de mappage d'attributs :google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,group1etcostcenterdans l'assertion OIDC avec les attributsgoogle.subject,google.groupsetattribute.costcenter, respectivement.ATTRIBUTE_CONDITION: une condition d'attribut. Par exempleassertion.role == 'gcp-users'. Cet exemple de condition garantit que seuls les utilisateurs disposant du rôlegcp-userspeuvent se connecter via ce fournisseur.JWK_JSON_PATH: chemin d'accès facultatif aux JWK OIDC importées localement. Si ce paramètre n'est pas spécifié, Google Cloud utilise à la place le chemin/.well-known/openid-configurationde votre IdP pour obtenir les JWK contenant les clés publiques. Pour en savoir plus sur les JWK OIDC importées localement, consultez Gérer les JWK OIDC.-
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur
--detailed-audit-logginglorsque vous exécutezgcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
locations/global/workforcePools/enterprise-example-organization-employees.Flux implicite
Pour créer un fournisseur de pools d'identités de personnel OIDC qui utilise le flux implicite pour la connexion Web, exécutez la commande suivante :
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--web-sso-response-type="id-token" \
--web-sso-assertion-claims-behavior="only-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Remplacez les éléments suivants :
WORKFORCE_PROVIDER_ID: ID unique de fournisseur de pools d'identités de personnel. Le préfixegcp-est réservé et ne peut pas être utilisé dans un ID de pool d'identités de personnel ni dans un ID de fournisseur de pool d'identités de personnel.WORKFORCE_POOL_ID: ID du pool d'identités des employés auquel connecter votre fournisseur d'identité.DISPLAY_NAME: nom à afficher convivial et facultatif pour le fournisseur. Par exemple :idp-eu-employees.DESCRIPTION: description facultative du fournisseur de personnel. Par exemple :IdP for Partner Example Organization employees.ISSUER_URI: URI de l'émetteur OIDC, dans un format d'URI valide, commençant parhttps. Exemple :https://example.com/oidc. Remarque : Pour des raisons de sécurité,ISSUER_URIdoit utiliser le schéma HTTPS.OIDC_CLIENT_ID: ID client OIDC enregistré auprès de votre fournisseur d'identité OIDC. L'ID doit correspondre à la revendicationauddu JWT émis par votre fournisseur d'identité.WEB_SSO_ADDITIONAL_SCOPES: champs d'application supplémentaires facultatifs à envoyer au fournisseur d'identité OIDC pour la connexion basée sur le navigateur, via la console (fédération) ou via gcloud CLI.ATTRIBUTE_MAPPING: mappage d'attributs. Voici un exemple de mappage d'attributs :google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,group1etcostcenterdans l'assertion OIDC avec les attributsgoogle.subject,google.groupsetattribute.costcenter, respectivement.ATTRIBUTE_CONDITION: une condition d'attribut. Par exempleassertion.role == 'gcp-users'. Cet exemple de condition garantit que seuls les utilisateurs disposant du rôlegcp-userspeuvent se connecter via ce fournisseur.JWK_JSON_PATH: chemin d'accès facultatif aux JWK OIDC importées localement. Si ce paramètre n'est pas spécifié, Google Cloud utilise à la place le chemin/.well-known/openid-configurationde votre IdP pour obtenir les JWK contenant les clés publiques. Pour en savoir plus sur les JWK OIDC importées localement, consultez Gérer les JWK OIDC.-
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur
--detailed-audit-logginglorsque vous exécutezgcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
locations/global/workforcePools/enterprise-example-organization-employees.Console
Flux de code
Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :
Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans le tableau Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans Sélectionner un protocole, sélectionnez Open ID Connect (OIDC).
Dans Créer un fournisseur de pools, procédez comme suit :
- Dans Nom, saisissez le nom du fournisseur.
- Dans le champ Issuer (URL) (Émetteur (URL)), saisissez l'URI de l'émetteur. L'URI d'émetteur OIDC doit être dans un format d'URI valide et commencer par
https. Exemple :https://example.com/oidc. - Saisissez l'ID client, qui est l'ID client OIDC enregistré auprès de votre fournisseur d'identité OIDC. L'ID doit correspondre à la revendication
auddu jeton JWT émis par votre fournisseur d'identité. - Pour créer un fournisseur activé, assurez-vous que l'option fournisseur activé est activée.
- Cliquez sur Continuer.
Dans Type de flux, procédez comme suit : Le type de flux n'est utilisé que pour un flux d'authentification unique basé sur le Web.
- Dans Type de flux, sélectionnez Code.
- Dans Code secret du client, saisissez le code secret du client à partir de votre fournisseur d'identité.
Dans le champ Comportement des revendications d'assertion, sélectionnez l'une des options suivantes :
- Informations sur l'utilisateur et jeton d'ID
- Jeton d'ID uniquement
Cliquez sur Continuer.
Dans Configurer le fournisseur, vous pouvez configurer un mappage d'attributs et une condition d'attribut. Pour créer un mappage d'attributs, procédez comme suit : Vous pouvez indiquer le nom du champ du fournisseur d'identité ou une expression au format CEL qui renvoie une chaîne.
Obligatoire : dans OIDC 1, saisissez l'objet du fournisseur d'identité. Exemple :
assertion.sub.Facultatif : pour ajouter des mappages d'attributs supplémentaires, procédez comme suit :
- Cliquez sur Ajouter un mappage.
- Dans Google n, où n est un nombre, saisissez l'une des clés compatibles avecGoogle Cloud.
- Dans le champ OIDC n correspondant, saisissez le nom du champ spécifique au fournisseur d'identité à mapper, au format CEL.
Pour créer une condition d'attribut, procédez comme suit :
- Cliquez sur Ajouter une condition :
- Dans Conditions d'attribut, saisissez une condition au format CEL. Par exemple,
assertion.role == 'gcp-users'. Cet exemple de condition garantit que seuls les utilisateurs disposant du rôlegcp-userspeuvent se connecter via ce fournisseur.
Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation détaillée des valeurs d'attributs.
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur
--detailed-audit-logginglorsque vous exécutezgcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Pour créer le fournisseur, cliquez sur Envoyer.
Flux implicite
Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :
Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans le tableau Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans Sélectionner un protocole, sélectionnez Open ID Connect (OIDC).
Dans Créer un fournisseur de pools, procédez comme suit :
- Dans Nom, saisissez un nom pour le fournisseur.
- Dans le champ Issuer (URL) (Émetteur (URL)), saisissez l'URI de l'émetteur. L'URI d'émetteur OIDC doit être dans un format d'URI valide et commencer par
https. Exemple :https://example.com/oidc. - Saisissez l'ID client, qui est l'ID client OIDC enregistré auprès de votre fournisseur d'identité OIDC. L'ID doit correspondre à la revendication
auddu jeton JWT émis par votre fournisseur d'identité. - Pour créer un fournisseur activé, assurez-vous que l'option fournisseur activé est activée.
- Cliquez sur Continuer.
Dans Type de flux, procédez comme suit : Le type de flux n'est utilisé que pour un flux d'authentification unique basé sur le Web.
- Dans Type de flux, sélectionnez Jeton d'ID.
- Cliquez sur Continuer.
Dans Configurer le fournisseur, vous pouvez configurer un mappage d'attributs et une condition d'attribut. Pour créer un mappage d'attributs, procédez comme suit : Vous pouvez indiquer le nom du champ du fournisseur d'identité ou une expression au format CEL qui renvoie une chaîne.
Obligatoire : dans OIDC 1, saisissez l'objet du fournisseur d'identité. Exemple :
assertion.sub.Facultatif : pour ajouter des mappages d'attributs supplémentaires, procédez comme suit :
- Cliquez sur Ajouter un mappage.
- Dans Google n, où n est un nombre, saisissez l'une des clés compatibles avecGoogle Cloud.
- Dans le champ OIDC n correspondant, saisissez le nom du champ spécifique au fournisseur d'identité à mapper, au format CEL.
Pour créer une condition d'attribut, procédez comme suit :
- Cliquez sur Ajouter une condition :
Dans Conditions d'attribut, saisissez une condition au format CEL. Par exemple,
assertion.role == 'gcp-users'. Cet exemple de condition garantit que seuls les utilisateurs disposant du rôlegcp-userspeuvent se connecter via ce fournisseur.
Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation détaillée des valeurs d'attributs.
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur
--detailed-audit-logginglorsque vous exécutezgcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Pour créer le fournisseur, cliquez sur Envoyer.
Créer un fournisseur SAML
Cette section explique comment créer un fournisseur de pools d'identités des employés pour un fournisseur d'identité SAML.
gcloud
Pour créer le fournisseur, exécutez la commande suivante :
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--detailed-audit-logging \
--location="global"
Remplacez les éléments suivants :
WORKFORCE_PROVIDER_ID: ID du fournisseur de personnelWORKFORCE_POOL_ID: ID du pool de personnelATTRIBUTE_MAPPING: mappage d'attributs. Par exemple, pour mapper un sujet, le mappage est le suivant :google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]ATTRIBUTE_CONDITION: condition d'attribut facultative. Par exemple :assertion.subject.endsWith("@example.com").XML_METADATA_PATH: chemin d'accès au fichier de métadonnées au format XML de votre fournisseur d'identité.
Le préfixe gcp- est réservé et ne peut pas être utilisé dans un ID de pool d'identités de personnel ni dans un ID de fournisseur de pool d'identités de personnel.
Cette commande attribue l'objet et le service dans l'assertion SAML aux attributs google.subject et attribute.department, respectivement.
En outre, la condition d'attribut garantit que seuls les utilisateurs dont l'objet se termine par @example.com peuvent se connecter en utilisant ce fournisseur de personnel.
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Console
Pour configurer le fournisseur SAML à l'aide de la console Google Cloud , procédez comme suit :
Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :
Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans le tableau Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans Sélectionner un protocole, sélectionnez SAML.
Dans Créer un fournisseur de pools, procédez comme suit :
Dans Nom, saisissez un nom pour le fournisseur.
Facultatif : Dans le champ Description, saisissez une description du fournisseur.
Dans Fichier de métadonnées IdP (XML), sélectionnez le fichier XML de métadonnées que vous avez généré précédemment dans ce guide.
Assurez-vous que l'option fournisseur activé est activée.
Cliquez sur Continuer.
Dans Configurer le fournisseur, procédez comme suit :
Dans Mappage des attributs, saisissez une expression CEL pour
google.subject.Facultatif : Pour définir d'autres mappages, cliquez sur Ajouter un mappage et saisissez d'autres mappages. Par exemple :
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]assertion.subject,assertion.attributes['https://example.com/aliases']etassertion.attributes.costcenter[0]sur les attributs Google Cloudgoogle.subject,google.groupsetgoogle.costcenter, respectivement.Facultatif : pour ajouter une condition d'attribut, cliquez sur Ajouter une condition, puis saisissez une expression CEL représentant une condition d'attribut. Par exemple, pour limiter l'attribut
ipaddrà une certaine plage d'adresses IP, vous pouvez définir la conditionassertion.attributes.ipaddr.startsWith('98.11.12.'). Cet exemple de condition garantit que seuls les utilisateurs dont l'adresse IP commence par98.11.12.peuvent se connecter en utilisant ce fournisseur de personnel.Cliquez sur Continuer.
Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation détaillée des valeurs d'attributs.
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pool d'identités de personnel, omettez l'indicateur
--detailed-audit-logginglorsque vous exécutezgcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Pour créer le fournisseur, cliquez sur Envoyer.
Décrire un fournisseur
gcloud
Pour décrire un fournisseur, exécutez la commande suivante:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnel
Console
Pour afficher un fournisseur, procédez comme suit:
- Accédez à la page Pools d'identités de personnel:
Accéder aux pools d'identités de personnel
Dans le tableau, sélectionnez le pool pour lequel vous souhaitez afficher le fournisseur.
Dans le tableau Fournisseurs, sélectionnez le fournisseur.
Répertorier les fournisseurs
gcloud
Pour répertorier les fournisseurs, exécutez la commande suivante :
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Remplacez WORKFORCE_POOL_ID par l'ID du pool de personnel.
Console
Pour afficher un fournisseur, procédez comme suit:
- Accédez à la page Pools d'identités de personnel:
Accéder aux pools d'identités de personnel
Dans le tableau, sélectionnez le pool pour lequel vous souhaitez répertorier les fournisseurs.
La table Fournisseurs affiche une liste de fournisseurs.
Mettre à jour un fournisseur
gcloud
Pour mettre à jour un fournisseur OIDC après sa création, exécutez la commande suivante :
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--detailed-audit-logging \
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnelDESCRIPTION: description-
Pour activer la journalisation d'audit détaillée, ajoutez l'option
--detailed-audit-loggingàgcloud iam workforce-pools providers update. Pour désactiver la journalisation d'audit détaillée, ajoutez l'indicateur--no-detailed-audit-loggingà la commande de mise à jour.
Console
Pour afficher un fournisseur, procédez comme suit:
- Accédez à la page Pools d'identités de personnel:
Accéder aux pools d'identités de personnel
Dans le tableau, sélectionnez le pool pour lequel vous souhaitez afficher le fournisseur.
Dans le tableau Fournisseurs, cliquez sur Modifier.
Mettez à jour le fournisseur.
Pour enregistrer le fournisseur mis à jour, cliquez sur Enregistrer.
Supprimer un fournisseur
Pour supprimer un fournisseur, exécutez la commande suivante :
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnel
Annuler la suppression d'un fournisseur
Pour annuler la suppression d'un fournisseur au cours des 30 derniers jours, exécutez la commande suivante :
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Remplacez les éléments suivants :
PROVIDER_ID: ID du fournisseurWORKFORCE_POOL_ID: ID du pool de personnel
Gérer les JWK OIDC
Cette section explique comment gérer les JWK OIDC dans les fournisseurs de pools d'employés.
Créer un fournisseur et importer des JWK OIDC
Pour créer des JWK OIDC, consultez la page Implémentations JWT, JWS, JWE, JWK et JWA.
Pour importer un fichier JWK OIDC lorsque vous créez un fournisseur de pools d'employés, exécutez la commande gcloud iam workforce-pools providers create-oidc avec l'option --jwk-json-path="JWK_JSON_PATH".
Remplacez JWK_JSON_PATH par le chemin d'accès au fichier JSON des JWK.
Cette opération importe les clés à partir du fichier.
Mettre à jour les JWK OIDC
Pour mettre à jour les JWK OIDC, exécutez la commande gcloud iam workforce-pools providers update-oidc avec l'option --jwk-json-path="JWK_JSON_PATH".
Remplacez JWK_JSON_PATH par le chemin d'accès au fichier JSON des JWK.
Cette opération remplace les clés importées existantes par celles du fichier.
Supprimer toutes les JWK OIDC importées
Pour supprimer toutes les JWK OIDC importées et utiliser à la place l'URI de l'émetteur pour extraire les clés, exécutez la commande gcloud iam worker-pools providers update-oidc avec l'option --jwk-json-path="JWK_JSON_PATH".
Remplacez JWK_JSON_PATH par le chemin d'accès à un fichier vide.
Utilisez l'option --issuer-uri pour définir l'URI de l'émetteur.
Cette opération supprime toutes les clés importées existantes.
Étape suivante
- Configurer la fédération des identités des employés avec Microsoft Entra ID et connecter les utilisateurs
- Configurer la fédération d'identité de personnel avec Okta et connecter les utilisateurs
- Supprimer les utilisateurs et leurs données de la fédération des identités des employés
- Découvrez les produits Google Cloud compatibles avec la fédération d'identité de personnel.