Kelola penyedia workforce identity pool

Panduan ini menjelaskan cara Anda melakukan operasi umum dengan Workforce Identity Federation. Untuk menyiapkan Workforce Identity Federation, lihat panduan berikut:

Sebelum memulai

  1. Anda harus menyiapkan Google Cloud organisasi.

  2. After installing the Google Cloud CLI, initialize it by running the following command: 

    gcloud init

    If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

Mengelola kumpulan

Bagian ini menunjukkan cara mengelola workforce identity pool.

Buat kumpulan

Untuk membuat kumpulan workforce, jalankan perintah berikut:

gcloud

Untuk membuat workforce identity pool, jalankan perintah berikut:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ganti kode berikut:

  • WORKFORCE_POOL_ID: ID yang Anda pilih untuk mewakili workforce pool Google Cloud Anda. Untuk mengetahui informasi tentang cara memformat ID, lihat bagian Parameter kueri dalam dokumentasi API.
  • ORGANIZATION_ID: ID organisasi numerik organisasi Anda Google Cloud untuk workforce identity pool. Workforce identity pool tersedia di semua project dan folder dalam organisasi.
  • DISPLAY_NAME: Opsional. Nama tampilan untuk kumpulan identitas tenaga kerja Anda.
  • DESCRIPTION: Opsional. Deskripsi workforce identity pool.
  • SESSION_DURATION: Opsional. Durasi sesi menentukan durasi validnya token akses Google Cloud , sesi login konsol (federasi), dan sesi login gcloud CLI dari workforce pool ini. Durasi sesi default adalah satu jam (3600 detik). Nilai durasi sesi harus antara 15 menit (900 detik) dan 12 jam (43200 detik).

Konsol

Untuk membuat workforce identity pool, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Workforce Identity Pools:

    Buka Workforce Identity Pools

  2. Pilih organisasi untuk workforce identity pool Anda. Kumpulan identitas tenaga kerja tersedia di semua project dan folder dalam organisasi.

  3. Klik Buat pool dan lakukan tindakan berikut:

    1. Di kolom Name, masukkan nama tampilan pool. ID pool diambil secara otomatis dari nama saat Anda mengetik, dan ID tersebut ditampilkan di bawah kolom Nama. Anda dapat memperbarui ID pool dengan mengklik Edit di samping ID pool.

    2. Opsional: Di Deskripsi, masukkan deskripsi pool.

    3. Untuk membuat workforce identity pool, klik Berikutnya.

Durasi sesi workforce identity pool secara default adalah satu jam (3600 detik). Durasi sesi menentukan durasi validnya token akses Google Cloud , konsol (federasi), dan sesi login gcloud CLI dari workforce pool ini. Setelah membuat kumpulan, Anda dapat memperbarui kumpulan untuk menetapkan durasi sesi kustom. Durasi sesi harus dari 15 menit (900 detik) hingga 12 jam (43200 detik).

Menjelaskan pool

gcloud

Untuk mendeskripsikan workforce pool tertentu menggunakan gcloud CLI, jalankan perintah berikut:

gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
    --location=global

Ganti WORKFORCE_POOL_ID dengan ID workforce pool yang Anda pilih ketika Anda membuat pool.

Konsol

Untuk mendeskripsikan workforce pool tertentu menggunakan Google Cloud konsol, Google Cloud lakukan hal berikut:

  1. Buka halaman Workforce Identity Pools:

    Buka Workforce Identity Pools

  2. Di Workforce pool, pilih pool

Mencantumkan pool

gcloud

Untuk mencantumkan workforce pool di organisasi, jalankan perintah berikut:

gcloud iam workforce-pools list \
    --organization=ORGANIZATION_ID \
    --location=global

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Konsol

Untuk mencantumkan workforce pool menggunakan konsol Google Cloud , lakukan hal berikut:

  1. Buka halaman Workforce Identity Pools:

    Buka Workforce Identity Pools

  2. Pada tabel, lihat daftar pool.

Memperbarui pool

gcloud

Untuk memperbarui workforce pool tertentu, jalankan perintah berikut:

gcloud iam workforce-pools update WORKFORCE_POOL_ID \
    --description=DESCRIPTION \
    --location=global

Ganti kode berikut:

  • WORKFORCE_POOL_ID: ID workforce pool
  • DESCRIPTION: deskripsi pool

Konsol

Untuk memperbarui workforce pool tertentu menggunakan konsol Google Cloud , lakukan hal berikut:

  1. Buka halaman Workforce Identity Pools:

    Buka Workforce Identity Pools

  2. Pada tabel, pilih pool.

  3. Perbarui parameter pool.

  4. Klik Simpan Pool.

Menghapus pool

gcloud

Untuk menghapus workforce identity pool, jalankan perintah berikut:

gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
    --location=global

Ganti WORKFORCE_POOL_ID dengan ID workforce pool.

Konsol

Untuk menghapus workforce pool tertentu menggunakan konsol Google Cloud , lakukan hal berikut:

  1. Buka halaman Workforce Identity Pools:

    Buka Workforce Identity Pools

  2. Di Workforce pools, klik Hapus pada pool yang ingin Anda hapus.

  3. Ikuti petunjuk tambahan.

Membatalkan penghapusan pool

Anda dapat membatalkan penghapusan workforce identity pool yang sudah dihapus dalam 30 hari.

Untuk membatalkan penghapusan pool, jalankan perintah berikut:

gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
    --location=global

Ganti WORKFORCE_POOL_ID dengan ID workforce pool.

Mengonfigurasi penyedia dalam workforce pool

Bagian ini menjelaskan cara Anda menggunakan perintah gcloud untuk mengonfigurasi penyedia workforce identity pool:

Membuat penyedia OIDC

Bagian ini menjelaskan cara membuat penyedia workforce identity pool untuk IdP OIDC.

gcloud

Alur kode

Untuk membuat penyedia OIDC yang menggunakan alur kode otorisasi untuk login web, jalankan perintah berikut:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

Ganti kode berikut:

  • WORKFORCE_PROVIDER_ID: ID penyedia workforce identity pool yang unik. Awalan gcp- dicadangkan dan tidak dapat digunakan dalam ID penyedia workforce identity pool atau workforce identity pool.
  • WORKFORCE_POOL_ID: ID workforce identity pool yang akan dihubungkan dengan IdP Anda.
  • DISPLAY_NAME: Nama tampilan opsional yang mudah digunakan untuk penyedia; misalnya, idp-eu-employees.
  • DESCRIPTION: Deskripsi penyedia workforce opsional; misalnya, IdP for Partner Example Organization employees.
  • ISSUER_URI: URI penyedia OIDC, dalam format URI yang valid, yang diawali dengan https; misalnya, https://example.com/oidc. Catatan: Untuk alasan keamanan, ISSUER_URI harus menggunakan skema HTTPS.
  • OIDC_CLIENT_ID: ID klien OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
  • OIDC_CLIENT_SECRET: Rahasia klien OIDC.
  • WEB_SSO_ADDITIONAL_SCOPES: Cakupan tambahan opsional yang akan dikirim ke IdP OIDC untuk login berbasis browser konsol (federasi) atau gcloud CLI.
  • ATTRIBUTE_MAPPING: Pemetaan atribut. Berikut adalah contoh pemetaan atribut: 
    google.subject=assertion.sub,
google.groups=assertion.group1,
attribute.costcenter=assertion.costcenter
     Contoh ini memetakan atribut IdP subject, group1, dan costcenter di pernyataan OIDC ke masing-masing atribut google.subject, google.groups, dan attribute.costcenter.
  • ATTRIBUTE_CONDITION: Kondisi atribut; misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.
  • JWK_JSON_PATH: Jalur opsional ke JWK OIDC yang diupload secara lokal. Jika parameter ini tidak disediakan, Google Cloud akan menggunakan jalur /.well-known/openid-configuration IdP Anda untuk mendapatkan JWK yang berisi kunci publik. Untuk informasi selengkapnya tentang JWK OIDC yang diupload secara lokal, lihat mengelola JWK OIDC.

  • Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat harga Google Cloud Observability.

    Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

Dalam respons perintah, POOL_RESOURCE_NAME adalah nama pool; misalnya, locations/global/workforcePools/enterprise-example-organization-employees.

Alur implisit

Untuk membuat penyedia workforce identity pool OIDC yang menggunakanalur implisit untuk login web, jalankan perintah berikut:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

Ganti kode berikut:

  • WORKFORCE_PROVIDER_ID: ID penyedia workforce identity pool yang unik. Awalan gcp- dicadangkan dan tidak dapat digunakan dalam ID penyedia workforce identity pool atau workforce identity pool.
  • WORKFORCE_POOL_ID: ID workforce identity pool yang akan dihubungkan dengan IdP Anda.
  • DISPLAY_NAME: Nama tampilan opsional yang mudah digunakan untuk penyedia; misalnya, idp-eu-employees.
  • DESCRIPTION: Deskripsi penyedia workforce opsional; misalnya, IdP for Partner Example Organization employees.
  • ISSUER_URI: URI penyedia OIDC, dalam format URI yang valid, yang diawali dengan https; misalnya, https://example.com/oidc. Catatan: Untuk alasan keamanan, ISSUER_URI harus menggunakan skema HTTPS.
  • OIDC_CLIENT_ID: ID klien OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
  • WEB_SSO_ADDITIONAL_SCOPES: Cakupan tambahan opsional yang akan dikirim ke IdP OIDC untuk login berbasis browser konsol (federasi) atau gcloud CLI.
  • ATTRIBUTE_MAPPING: Pemetaan atribut. Berikut adalah contoh pemetaan atribut: 
    google.subject=assertion.sub,
google.groups=assertion.group1,
attribute.costcenter=assertion.costcenter
     Contoh ini memetakan atribut IdP subject, group1, dan costcenter di pernyataan OIDC ke masing-masing atribut google.subject, google.groups, dan attribute.costcenter.
  • ATTRIBUTE_CONDITION: Kondisi atribut; misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.
  • JWK_JSON_PATH: Jalur opsional ke JWK OIDC yang diupload secara lokal. Jika parameter ini tidak disediakan, Google Cloud akan menggunakan jalur /.well-known/openid-configuration IdP Anda untuk mendapatkan JWK yang berisi kunci publik. Untuk informasi selengkapnya tentang JWK OIDC yang diupload secara lokal, lihat mengelola JWK OIDC.

  • Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat harga Google Cloud Observability.

    Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

Dalam respons perintah, POOL_RESOURCE_NAME adalah nama pool; misalnya, locations/global/workforcePools/enterprise-example-organization-employees.

Konsol

Alur kode

  1. Di konsol Google Cloud , buka halaman Workforce Identity Pools:

    Buka Workforce Identity Pools

  2. Di tabel Workforce Identity Pool, pilih pool tempat Anda ingin membuat penyedia.

  3. Di tabel Penyedia, klik Tambah Penyedia.

  4. Di bagian Pilih protokol, pilih Open ID Connect (OIDC).

  5. Di bagian Buat penyedia pool, lakukan hal berikut:

    1. Di bagian Nama, masukkan nama penyedia.
    2. Di bagian Penerbit (URL), masukkan URI penerbit. URI penerbit OIDC harus dalam format URI yang valid dan diawali dengan https; misalnya, https://example.com/oidc.
    3. Masukkan Client ID, client ID OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
    4. Untuk membuat penyedia yang diaktifkan, pastikan Penyedia yang Diaktifkan telah aktif.
    5. Klik Lanjutkan.

  6. Di Jenis alur, lakukan hal berikut. Jenis alur hanya digunakan untuk alur single sign-on berbasis web.

    1. Di bagian Jenis alur, pilih Kode.
    2. Di bagian Rahasia klien, masukkan rahasia klien dari IdP Anda.

    3. Pada Perilaku klaim pernyataan, pilih salah satu opsi berikut:

      • Info pengguna dan token ID
      • Hanya token ID

    4. Klik Lanjutkan.

  7. Di bagian Konfigurasi penyedia, Anda dapat mengonfigurasi pemetaan atribut dan kondisi atribut. Untuk membuat pemetaan atribut, lakukan hal berikut. Anda dapat memberikan nama kolom IdP atau ekspresi berformat CEL yang menampilkan string.

    1. Wajib: Pada OIDC 1, masukkan subjek dari IdP; misalnya, assertion.sub.

    2. Opsional: Untuk menambahkan pemetaan atribut tambahan, lakukan hal berikut:

      1. Klik Tambahkan pemetaan.
      2. Pada Google n, dengan n adalah angka, masukkan salah satu kunci yang didukungGoogle Cloud.
      3. Di kolom OIDC n yang sesuai, masukkan nama kolom khusus IdP yang akan dipetakan, dalam format CEL.

    3. Untuk membuat kondisi atribut, lakukan hal berikut:

      1. Klik Add condition.
      2. Di bagian Kondisi Atribut, masukkan kondisi dalam format CEL; misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.

    4. Untuk mengaktifkan logging audit mendetail, di Logging mendetail, klik tombol Aktifkan logging nilai atribut mendetail.

      Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat harga Google Cloud Observability.

      Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

  8. Untuk membuat penyedia, klik Kirim.

Alur implisit

  1. Di konsol Google Cloud , buka halaman Workforce Identity Pools:

    Buka Workforce Identity Pools

  2. Di tabel Workforce Identity Pool, pilih pool tempat Anda ingin membuat penyedia.

  3. Di tabel Penyedia, klik Tambah Penyedia.

  4. Di bagian Pilih protokol, pilih Open ID Connect (OIDC).

  5. Di bagian Buat penyedia pool, lakukan hal berikut:

    1. Di bagian Nama, masukkan nama penyedia.
    2. Di bagian Penerbit (URL), masukkan URI penerbit. URI penerbit OIDC harus dalam format URI yang valid dan diawali dengan https; misalnya, https://example.com/oidc.
    3. Masukkan Client ID, client ID OIDC yang terdaftar dengan IdP OIDC Anda; ID harus cocok dengan klaim aud JWT yang dikeluarkan oleh IdP Anda.
    4. Untuk membuat penyedia yang diaktifkan, pastikan Penyedia yang Diaktifkan telah aktif.
    5. Klik Lanjutkan.

  6. Di Jenis alur, lakukan hal berikut. Jenis alur hanya digunakan untuk alur single sign-on berbasis web.

    1. Di Jenis alur, pilih Token ID.
    2. Klik Lanjutkan.

  7. Di bagian Konfigurasi penyedia, Anda dapat mengonfigurasi pemetaan atribut dan kondisi atribut. Untuk membuat pemetaan atribut, lakukan hal berikut. Anda dapat memberikan nama kolom IdP atau ekspresi berformat CEL yang menampilkan string.

    1. Wajib: Pada OIDC 1, masukkan subjek dari IdP; misalnya, assertion.sub.

    2. Opsional: Untuk menambahkan pemetaan atribut tambahan, lakukan hal berikut:

      1. Klik Tambahkan pemetaan.
      2. Pada Google n, dengan n adalah angka, masukkan salah satu kunci yang didukungGoogle Cloud.
      3. Di kolom OIDC n yang sesuai, masukkan nama kolom khusus IdP yang akan dipetakan, dalam format CEL.

    3. Untuk membuat kondisi atribut, lakukan hal berikut:

      1. Klik Tambahkan kondisi.

      2. Di bagian Kondisi Atribut, masukkan kondisi dalam format CEL; misalnya, assertion.role == 'gcp-users'. Contoh kondisi ini memastikan bahwa hanya pengguna dengan peran gcp-users yang dapat login menggunakan penyedia ini.

    4. Untuk mengaktifkan logging audit mendetail, di Logging mendetail, klik tombol Aktifkan logging nilai atribut mendetail.

      Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat harga Google Cloud Observability.

      Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

  8. Untuk membuat penyedia, klik Kirim.

Buat penyedia SAML

Bagian ini menjelaskan cara membuat penyedia workforce identity pool untuk IdP SAML.

gcloud

Untuk membuat penyedia, jalankan perintah berikut:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --detailed-audit-logging \
    --location="global"

Ganti kode berikut:

  • WORKFORCE_PROVIDER_ID: ID penyedia workforce
  • WORKFORCE_POOL_ID: ID workforce pool

  • ATTRIBUTE_MAPPING: pemetaan atribut; misalnya, untuk memetakan subjek, pemetaan atributnya adalah sebagai berikut:

    
google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.department=assertion.attributes.department[0]

  • ATTRIBUTE_CONDITION: kondisi atribut opsional; misalnya, assertion.subject.endsWith("@example.com")

  • XML_METADATA_PATH: jalur ke file metadata berformat XML dari IdP Anda

Awalan gcp- dicadangkan dan tidak dapat digunakan dalam ID penyedia workforce identity pool atau workforce identity pool.

Perintah ini menetapkan subjek dan departemen dalam pernyataan SAML ke atribut google.subject dan attribute.department. Selain itu, kondisi atribut memastikan bahwa hanya pengguna dengan subjek yang berakhiran @example.com yang dapat login menggunakan penyedia workforce ini.

Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat harga Google Cloud Observability.

Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

Konsol

Untuk mengonfigurasi penyedia SAML menggunakan konsol Google Cloud , lakukan langkah berikut:

  1. Di konsol Google Cloud , buka halaman Workforce Identity Pools:

    Buka Workforce Identity Pools

  2. Di tabel Workforce Identity Pool, pilih pool yang ingin Anda buatkan penyedia.

  3. Di tabel Penyedia, klik Tambah Penyedia.

  4. Pada bagian Pilih protokol, pilih SAML.

  5. Di bagian Buat penyedia pool lakukan hal berikut:

    1. Di bagian Nama, masukkan nama penyedia.

    2. Opsional: Di bagian Deskripsi, masukkan deskripsi penyedia.

    3. Di file metadata IDP (XML), pilih file XML metadata yang Anda buat sebelumnya dalam panduan ini.

    4. Pastikan bagian Aktifkan provider sudah aktif.

    5. Klik Lanjutkan.

  6. Di Penyedia konfigurasi, lakukan langkah berikut:

    1. Di Pemetaan atribut, masukkan ekspresi CEL untuk google.subject.

    2. Opsional: Untuk memasukkan pemetaan lain, klik Tambahkan pemetaan, lalu masukkan pemetaan lain, misalnya:

      google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
       Contoh ini memetakan atribut IdP assertion.subject, assertion.attributes['https://example.com/aliases'], dan assertion.attributes.costcenter[0] ke atribut Google Cloud google.subject, google.groups, dan google.costcenter.

    3. Opsional: Untuk menambahkan kondisi atribut, klik Tambahkan kondisi, lalu masukkan ekspresi CEL yang mewakili kondisi atribut. Misalnya, untuk membatasi atribut ipaddr ke rentang IP tertentu, Anda dapat mengatur kondisi menjadi assertion.attributes.ipaddr.startsWith('98.11.12.'). Contoh kondisi ini memastikan bahwa hanya pengguna dengan alamat IP yang diawali dengan 98.11.12. yang dapat login menggunakan penyedia workforce ini.

    4. Klik Lanjutkan.

    5. Untuk mengaktifkan logging audit mendetail, di Logging mendetail, klik tombol Aktifkan logging nilai atribut mendetail.

      Pencatatan log audit mendetail Workforce Identity Federation mencatat informasi yang diterima dari IdP Anda ke Logging. Logging audit mendetail dapat membantu Anda memecahkan masalah konfigurasi penyedia pool identitas tenaga kerja. Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan logging audit mendetail, lihat Error pemetaan atribut umum. Untuk mempelajari harga Logging, lihat harga Google Cloud Observability.

      Untuk menonaktifkan logging audit mendetail untuk penyedia workforce identity pool, hapus tanda --detailed-audit-logging saat Anda menjalankan gcloud iam workforce-pools providers create. Untuk menonaktifkan logging audit mendetail, Anda juga dapat memperbarui penyedia.

  7. Untuk membuat penyedia, klik Kirim.

Menjelaskan penyedia

gcloud

Untuk mendeskripsikan penyedia, jalankan perintah berikut:

gcloud iam workforce-pools providers describe PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ganti kode berikut:

  • PROVIDER_ID: ID penyedia
  • WORKFORCE_POOL_ID: ID workforce pool

Konsol

Untuk melihat penyedia, lakukan tindakan berikut:

  1. Buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools

  1. Di tabel, pilih pool tempat Anda ingin melihat penyedia.

  2. Di tabel Penyedia, pilih penyedia.

Mencantumkan penyedia

gcloud

Untuk mencantumkan penyedia, jalankan perintah berikut:

gcloud iam workforce-pools providers list \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ganti WORKFORCE_POOL_ID dengan ID workforce pool.

Konsol

Untuk melihat penyedia, lakukan tindakan berikut:

  1. Buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools

  1. Pada tabel, pilih pool tempat Anda ingin mencantumkan penyedia.

  2. Dalam tabel Penyedia, Anda dapat melihat daftar penyedia.

Memperbarui penyedia

gcloud

Untuk memperbarui penyedia OIDC setelah dibuat, jalankan perintah berikut:

gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --description="DESCRIPTION" \
    --detailed-audit-logging \
    --location=global

Ganti kode berikut:

  • PROVIDER_ID: ID penyedia
  • WORKFORCE_POOL_ID: ID workforce pool
  • DESCRIPTION: deskripsi
  • Untuk mengaktifkan logging audit mendetail, tambahkan tanda --detailed-audit-logging ke gcloud iam workforce-pools providers update. Untuk menonaktifkan logging audit mendetail, tambahkan flag --no-detailed-audit-logging ke perintah update.

Konsol

Untuk melihat penyedia, lakukan tindakan berikut:

  1. Buka halaman Workforce Identity Pools:

Buka Workforce Identity Pools

  1. Di tabel, pilih pool tempat Anda ingin melihat penyedia.

  2. Di tabel Penyedia, klik Edit.

  3. Perbarui penyedia.

  4. Untuk menyimpan penyedia yang diperbarui, klik Simpan.

Menghapus penyedia

Untuk menghapus penyedia, jalankan perintah berikut:

gcloud iam workforce-pools providers delete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ganti kode berikut:

  • PROVIDER_ID: ID penyedia
  • WORKFORCE_POOL_ID: ID workforce pool

Membatalkan penghapusan penyedia

Untuk membatalkan penghapusan penyedia yang dihapus dalam 30 hari terakhir, jalankan perintah berikut:

gcloud iam workforce-pools providers undelete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

Ganti kode berikut:

  • PROVIDER_ID: ID penyedia
  • WORKFORCE_POOL_ID: ID workforce pool

Kelola JWK OIDC

Bagian ini menunjukkan cara mengelola JWK OIDC di penyedia workforce pool kepada Anda.

Membuat penyedia dan mengupload JWK OIDC

Untuk membuat JWK OIDC, lihat Implementasi JWT, JWS, JWE, JWK, dan JWA.

Untuk mengupload file JWK OIDC saat membuat penyedia workforce pool, jalankan perintah gcloud iam team-pools providers create-oidc dengan --jwk-json-path="JWK_JSON_PATH". Ganti JWK_JSON_PATH dengan jalur ke file JWK JSON.

Operasi ini mengupload kunci dari file.

Perbarui JWK OIDC

Untuk memperbarui JWK OIDC, jalankan perintah gcloud iam team-pools providers update-oidc dengan --jwk-json-path="JWK_JSON_PATH". Ganti JWK_JSON_PATH dengan jalur ke file JWK JSON.

Operasi ini mengganti setiap kunci yang sudah diupload dengan kunci yang ada dalam file.

Menghapus semua JWK OIDC yang diupload

Untuk menghapus semua JWK OIDC yang diupload dan menggunakan URI issuer untuk mengambil kunci, jalankan perintah gcloud iam jobs-pools providers update-oidc dengan --jwk-json-path="JWK_JSON_PATH". Ganti JWK_JSON_PATH dengan jalur ke file kosong. Gunakan tanda --issuer-uri untuk menetapkan URI issuer.

Operasi ini menghapus semua kunci yang sudah diupload.

Langkah berikutnya