Este guia descreve como executar operações comuns com a federação de identidade da força de trabalho. Para configurar a federação de identidade da força de trabalho, consulte os seguintes guias:
- Configurar a federação de identidade de colaboradores com o Microsoft Entra ID e fazer login de usuários
- Configurar a federação de identidade da força de trabalho com o Okta e fazer login de usuários
- Configurar a federação de identidade da força de trabalho em um IdP compatível com OIDC ou SAML
Antes de começar
Você precisa ter uma organização Google Cloud configurada.
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
Gerenciar pools
Esta seção mostra como gerenciar pools de federação de identidade da força de trabalho.
Criar um pool
Para criar um pool de forças de trabalho, execute o seguinte comando:
gcloud
Para criar o pool de identidade de colaboradores, execute o seguinte comando:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
Substitua:
WORKFORCE_POOL_ID: um ID escolhido para representar o Google Cloud pool de forças de trabalho. Para informações sobre como formatar o ID, consulte a seção Parâmetros de consulta na documentação da API.ORGANIZATION_ID: o ID numérico da organização do Google Cloud para o pool de identidade da força de trabalho. Os pools de identidades de força de trabalho estão disponíveis em todos os projetos e pastas da organização.DISPLAY_NAME: opcional. Um nome de exibição para o pool de identidade de colaboradores.DESCRIPTION: opcional. : uma descrição do pool de identidade de colaboradoresSESSION_DURATION: opcional. A duração da sessão determina por quanto tempo os tokens de acesso do Google Cloud , as sessões de login do console (federado) e o login da CLI gcloud deste pool de força de trabalho são válidos. A duração padrão da sessão é de uma hora (3.600 segundos). O valor da duração da sessão precisa estar entre 15 minutos (900s) e 12 horas (43.200s).
Console
Para criar o pool de identidades de colaboradores, faça o seguinte:
No console Google Cloud , acesse a página Pools de identidade da força de trabalho:
Selecione a organização do pool de identidade de colaboradores. Os pools de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar pool e faça o seguinte:
No campo Nome, digite o nome de exibição do pool. O ID do pool é derivado automaticamente do nome à medida que você digita e é exibido no campo Nome. Para atualizar o ID do pool, clique em Editar ao lado dele.
Opcional: em Descrição, insira uma descrição do pool.
Para criar o pool de identidades de colaboradores, clique em Próxima.
A duração padrão da sessão do pool de identidade de colaboradores é de uma hora (3.600 segundos). A duração da sessão determina por quanto tempo os tokens de acesso do Google Cloud , o console (federado) e as sessões de login da CLI gcloud desse pool de força de trabalho são válidos. Depois de criar o pool, é possível atualizá-lo para definir uma duração de sessão personalizada. A duração da sessão precisa ser de 15 minutos (900s) a 12 horas (43200s).
Descrever um pool
gcloud
Para descrever um pool de força de trabalho específico usando a CLI gcloud, execute o seguinte comando:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do pool de forças de trabalho que você escolheu quando criou o pool.
Console
Para descrever um pool de força de trabalho específico usando o console Google Cloud , faça o seguinte:
Acesse a página Pools de identidade da força de trabalho:
Em Pools de força de trabalho, selecione o pool
Listar pools
gcloud
Para listar os pools de forças de trabalho na organização, execute o seguinte comando:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
SubstituaORGANIZATION_ID pelo ID da organização.
Console
Para listar pools de força de trabalho usando o console Google Cloud , faça o seguinte:
Acesse a página Pools de identidade da força de trabalho:
Na tabela, acesse a lista de pools.
Atualizar um pool
gcloud
Para atualizar um pool de forças de trabalho específicas, execute o seguinte comando:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
Substitua:
WORKFORCE_POOL_ID: o ID do pool da força de trabalhoDESCRIPTION: a descrição do pool
Console
Para atualizar um pool de força de trabalho específico usando o console Google Cloud , faça o seguinte:
Acesse a página Pools de identidade da força de trabalho:
Na tabela, selecione o pool.
Atualize os parâmetros do pool.
Clique em Salvar pool.
Excluir um pool
gcloud
Para excluir um pool de identidades da força de trabalho, execute o seguinte comando:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do pool de forças de trabalho.
Console
Para excluir um pool de força de trabalho específico usando o console Google Cloud , faça o seguinte:
Acesse a página Pools de identidade da força de trabalho:
Em Pools de força de trabalho, clique em Excluir no pool que você quer excluir.
Siga as instruções adicionais.
Cancelar exclusão de um pool
É possível cancelar a exclusão de um pool de identidades de força de trabalho que foi excluído nos últimos 30 dias.
Para cancelar a exclusão de um pool, execute o seguinte comando:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do pool de forças de trabalho.
Configurar um provedor no pool de forças de trabalho
Nesta seção, explicamos como usar os comandos gcloud para configurar os provedores de pool de identidades de colaboradores:
Criar um provedor do OIDC
Nesta seção, descrevemos como criar um provedor de pool de identidades de colaboradores para um IdP do OIDC.
gcloud
Fluxo de códigos
Para criar um provedor do OIDC que usa o fluxo do código de autorização para login na Web, execute o seguinte comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \
--web-sso-response-type="code" \
--web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Substitua:
WORKFORCE_PROVIDER_ID: um ID exclusivo do provedor do pool de identidade da força de trabalho. O prefixogcp-é reservado e não pode ser usado em um ID de pool de identidades de colaboradores ou de provedor de pool de identidades de colaboradores.WORKFORCE_POOL_ID: o ID do pool de identidades de colaboradores para conectar seu IdP.DISPLAY_NAMEé um nome de exibição fácil de usar para o provedor. Por exemplo,idp-eu-employees.DESCRIPTION: uma descrição opcional do provedor de colaboradores. Por exemplo,IdP for Partner Example Organization employeesISSUER_URI: o URI do emissor do OIDC, em um formato de URI válido, que começa comhttps, por exemplo,https://example.com/oidc. Observação: por motivos de segurança,ISSUER_URIprecisa usar o esquema HTTPS.OIDC_CLIENT_ID: o ID do cliente do OIDC registrado no IdP do OIDC; o ID precisa corresponder à declaraçãoauddo JWT emitido pelo IdP.OIDC_CLIENT_SECRET: a chave secreta do cliente do OIDCWEB_SSO_ADDITIONAL_SCOPES: escopos extras opcionais a serem enviados ao IdP do OIDC para o console (federado) ou o login baseado no navegador da gcloud CLIATTRIBUTE_MAPPING: um mapeamento de atributo. Confira a seguir um exemplo de mapeamento de atributos:google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,group1, ecostcenterna declaração OIDC são mapeados para os atributosgoogle.subject,google.groupseattribute.costcenter, respectivamente. de dois minutos.ATTRIBUTE_CONDITION: uma condição do atributo. Por exemplo:assertion.role == 'gcp-users'. Este exemplo de condição garante que apenas os usuários com o papelgcp-userspossam fazer login usando este provedor.JWK_JSON_PATH: um caminho opcional para JWKs do OIDC de upload local. Se esse parâmetro não for fornecido,o Google Cloud usará o caminho/.well-known/openid-configurationdo IdP para gerar as JWKs que contêm as chaves públicas. Para mais informações sobre JWKs OIDC enviados localmente, consulte Gerenciar JWKs OIDC.-
A federação de identidade de colaboradores gera registros de auditoria detalhados com informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag
--detailed-audit-loggingao executargcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.
locations/global/workforcePools/enterprise-example-organization-employees.Fluxo implícito
Para criar um provedor de pool de identidade da força de trabalho do OIDC que use o fluxo implícito para login na Web, execute o seguinte comando:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--web-sso-response-type="id-token" \
--web-sso-assertion-claims-behavior="only-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
Substitua:
WORKFORCE_PROVIDER_ID: um ID exclusivo do provedor do pool de identidade da força de trabalho. O prefixogcp-é reservado e não pode ser usado em um ID de pool de identidades de colaboradores ou de provedor de pool de identidades de colaboradores.WORKFORCE_POOL_ID: o ID do pool de identidades de colaboradores para conectar seu IdP.DISPLAY_NAMEé um nome de exibição fácil de usar para o provedor. Por exemplo,idp-eu-employees.DESCRIPTION: uma descrição opcional do provedor de colaboradores. Por exemplo,IdP for Partner Example Organization employeesISSUER_URI: o URI do emissor do OIDC, em um formato de URI válido, que começa comhttps, por exemplo,https://example.com/oidc. Observação: por motivos de segurança,ISSUER_URIprecisa usar o esquema HTTPS.OIDC_CLIENT_ID: o ID do cliente do OIDC registrado no IdP do OIDC; o ID precisa corresponder à declaraçãoauddo JWT emitido pelo IdP.WEB_SSO_ADDITIONAL_SCOPES: escopos extras opcionais a serem enviados ao IdP do OIDC para o console (federado) ou o login baseado no navegador da gcloud CLIATTRIBUTE_MAPPING: um mapeamento de atributo. Confira a seguir um exemplo de mapeamento de atributos:google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject,group1, ecostcenterna declaração OIDC são mapeados para os atributosgoogle.subject,google.groupseattribute.costcenter, respectivamente. de dois minutos.ATTRIBUTE_CONDITION: uma condição do atributo. Por exemplo:assertion.role == 'gcp-users'. Este exemplo de condição garante que apenas os usuários com o papelgcp-userspossam fazer login usando este provedor.JWK_JSON_PATH: um caminho opcional para JWKs do OIDC de upload local. Se esse parâmetro não for fornecido,o Google Cloud usará o caminho/.well-known/openid-configurationdo IdP para gerar as JWKs que contêm as chaves públicas. Para mais informações sobre JWKs OIDC enviados localmente, consulte Gerenciar JWKs OIDC.-
A federação de identidade de colaboradores gera registros de auditoria detalhados com informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag
--detailed-audit-loggingao executargcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.
locations/global/workforcePools/enterprise-example-organization-employees.Console
Fluxo de códigos
No console Google Cloud , acesse a página Pools de identidade da força de trabalho:
Na tabela Pools de identidade de colaboradores, selecione o pool em que você quer criar o provedor.
Na tabela Provedores, clique em Adicionar provedor.
Em Selecionar um protocolo, selecione Open ID Connect (OIDC).
Em Criar um provedor de pool, faça o seguinte:
- Em Nome, insira o nome do provedor.
- Em Emissor (URL), insira o URI do emissor. O URI do emissor do OIDC precisa estar em um formato de URI válido e começar com
https. por exemplo,https://example.com/oidc. - Digite o ID do cliente, o ID do cliente OIDC registrado
no seu IdP OIDC. o ID precisa corresponder à declaração
auddo JWT emitido pelo IdP. - Para criar um provedor ativado, verifique se Provedor ativado está ativado.
- Clique em Continuar.
Em Tipo de fluxo, faça o seguinte: O tipo de fluxo é usado apenas para um fluxo de Logon único baseado na Web.
- Em Tipo de fluxo, selecione Código.
- Em Chave secreta do cliente, digite a chave secreta do cliente no IdP.
Em Comportamento das reivindicações de declaração, selecione uma das seguintes opções:
- Token de ID e informações do usuário
- Somente o token de ID
Clique em Continuar.
Em Configurar provedor, é possível configurar um mapeamento e uma condição de atributo. Para criar um mapeamento de atributo, faça o seguinte. É possível fornecer o nome do campo do IdP ou uma expressão formatada em CEL que retorne uma string.
Obrigatório: no OIDC 1, digite o assunto do IdP. por exemplo,
assertion.sub.Opcional: para adicionar outros mapeamentos de atributos, faça o seguinte:
- Clique em Adicionar mapeamento.
- Em Google n, em que n é um número, insira uma das chaves compatíveis comGoogle Cloud.
- No campo OIDC n correspondente, insira o nome do campo específico do IdP a ser mapeado, no formato CEL.
Para criar uma condição de atributo, faça o seguinte:
- Clique em Adicionar condição.
- Em Condições do atributo, insira uma condição no formato CEL. Por exemplo,
assertion.role == 'gcp-users'. Este exemplo de condição garante que apenas os usuários com o papelgcp-userspossam fazer login usando este provedor.
Para ativar o registro detalhado de auditoria, em Registro detalhado, clique no botão Ativar o registro detalhado do valor do atributo.
A federação de identidade de colaboradores gera registros de auditoria detalhados com informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag
--detailed-audit-loggingao executargcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.
Para criar o provedor, clique em Enviar.
Fluxo implícito
No console Google Cloud , acesse a página Pools de identidade da força de trabalho:
Na tabela Pools de identidade de colaboradores, selecione o pool em que você quer criar o provedor.
Na tabela Provedores, clique em Adicionar provedor.
Em Selecionar um protocolo, selecione Open ID Connect (OIDC).
Em Criar um provedor de pool, faça o seguinte:
- Em Nome, digite um nome para o provedor.
- Em Emissor (URL), insira o URI do emissor. O URI do emissor do OIDC precisa estar em um formato de URI válido e começar com
https. por exemplo,https://example.com/oidc. - Digite o ID do cliente, o ID do cliente OIDC registrado
no seu IdP OIDC. o ID precisa corresponder à declaração
auddo JWT emitido pelo IdP. - Para criar um provedor ativado, verifique se Provedor ativado está ativado.
- Clique em Continuar.
Em Tipo de fluxo, faça o seguinte: O tipo de fluxo é usado apenas para um fluxo de Logon único baseado na Web.
- Em Tipo de fluxo, selecione Token de ID.
- Clique em Continuar.
Em Configurar provedor, é possível configurar um mapeamento e uma condição de atributo. Para criar um mapeamento de atributo, faça o seguinte. É possível fornecer o nome do campo do IdP ou uma expressão formatada em CEL que retorne uma string.
Obrigatório: no OIDC 1, digite o assunto do IdP. por exemplo,
assertion.sub.Opcional: para adicionar outros mapeamentos de atributos, faça o seguinte:
- Clique em Adicionar mapeamento.
- Em Google n, em que n é um número, insira uma das chaves compatíveis comGoogle Cloud.
- No campo OIDC n correspondente, insira o nome do campo específico do IdP a ser mapeado, no formato CEL.
Para criar uma condição de atributo, faça o seguinte:
- Clique em Adicionar condição.
Em Condições do atributo, insira uma condição no formato CEL. Por exemplo,
assertion.role == 'gcp-users'. Este exemplo de condição garante que apenas os usuários com o papelgcp-userspossam fazer login usando este provedor.
Para ativar o registro detalhado de auditoria, em Registro detalhado, clique no botão Ativar o registro detalhado do valor do atributo.
A federação de identidade de colaboradores gera registros de auditoria detalhados com informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag
--detailed-audit-loggingao executargcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.
Para criar o provedor, clique em Enviar.
Criar um provedor SAML
Nesta seção, descrevemos como criar um provedor de pool de identidades de colaboradores para um IdP SAML.
gcloud
Para criar o provedor, execute o seguinte comando:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--detailed-audit-logging \
--location="global"
Substitua:
WORKFORCE_PROVIDER_ID: o ID do provedor de colaboradoresWORKFORCE_POOL_ID: o ID do pool da força de trabalhoATTRIBUTE_MAPPING: um mapeamento de atributo. Por exemplo, para mapear um assunto, o mapeamento é feito da seguinte forma:google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]ATTRIBUTE_CONDITION: uma condição de atributo opcional. Por exemplo,assertion.subject.endsWith("@example.com")XML_METADATA_PATH: o caminho para o arquivo de metadados formatado em XML do seu IdP
O prefixo gcp- é reservado e não pode ser usado em um ID de pool de identidades de colaboradores ou de provedor de pool de identidades de colaboradores.
Esse comando atribui o assunto e o departamento na declaração SAML aos atributos google.subject e attribute.department, respectivamente.
Além disso, a condição do atributo garante que apenas os usuários com um
tema terminado em @example.com possam fazer login usando esse provedor
de força de trabalho.
A federação de identidade de colaboradores gera registros de auditoria detalhados com informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag --detailed-audit-logging ao executar gcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.
Console
Para configurar o provedor SAML usando o console Google Cloud , faça o seguinte:
No console Google Cloud , acesse a página Pools de identidade da força de trabalho:
Na tabela Pools de identidade de colaboradores, selecione o pool em que você quer criar o provedor.
Na tabela Provedores, clique em Adicionar provedor.
Em Selecionar um protocolo, escolha SAML.
Em Criar um provedor de pool, faça o seguinte:
Em Nome, digite um nome para o provedor.
Opcional: em Descrição, digite uma descrição para o provedor.
Em Arquivo de metadados do IdP (XML), selecione o arquivo XML de metadados gerado anteriormente neste guia.
Verifique se o Provedor ativado está ativado.
Clique em Continuar.
Em Configurar provedor, faça o seguinte:
Em Mapeamento de atributos, insira uma expressão CEL para
google.subject.Opcional: para inserir outros mapeamentos, clique em Adicionar mapeamento e insira outros, por exemplo:
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]assertion.subject,assertion.attributes['https://example.com/aliases']eassertion.attributes.costcenter[0]para os atributos do Google Cloudgoogle.subject,google.groupsegoogle.costcenter, respectivamente.Opcional: para adicionar uma condição de atributo, clique em Adicionar condição e insira uma expressão CEL que represente uma condição de atributo. Por exemplo, para limitar o atributo
ipaddra um determinado intervalo de IP, defina a condiçãoassertion.attributes.ipaddr.startsWith('98.11.12.'). Este exemplo de condição garante que apenas os usuários com um endereço IP que comece com98.11.12.possam fazer login usando esse provedor de força de trabalho.Clique em Continuar.
Para ativar o registro detalhado de auditoria, em Registro detalhado, clique no botão Ativar o registro detalhado do valor do atributo.
A federação de identidade de colaboradores gera registros de auditoria detalhados com informações recebidas do seu IdP no Cloud Logging. O registro de auditoria detalhado pode ajudar você a resolver problemas na configuração do provedor de pool de identidade da força de trabalho. Para saber como resolver problemas de mapeamento de atributos com registros de auditoria detalhados, consulte Erros gerais de mapeamento de atributos. Para saber mais sobre os preços do Logging, consulte Preços do Google Cloud Observability.
Para desativar o registro de auditoria detalhado de um provedor de pool de identidades de colaboradores, omita a flag
--detailed-audit-loggingao executargcloud iam workforce-pools providers create. Para desativar o registro de auditoria detalhado, também é possível atualizar o provedor.
Para criar o provedor, clique em Enviar.
Descrever um provedor
gcloud
Para descrever um provedor, execute o seguinte comando:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua:
PROVIDER_ID: o ID do provedorWORKFORCE_POOL_ID: o ID do pool da força de trabalho
Console
Para conferir um provedor, faça o seguinte:
- Acesse a página Pools de identidade da força de trabalho:
Acessar pools de identidade de colaboradores
Na tabela, selecione o pool que você quer ver o provedor.
Na tabela Provedores, selecione o provedor.
Listar provedores
gcloud
Para listar os provedores, execute este comando:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua WORKFORCE_POOL_ID pelo ID do pool de forças de trabalho.
Console
Para conferir um provedor, faça o seguinte:
- Acesse a página Pools de identidade da força de trabalho:
Acessar pools de identidade de colaboradores
Na tabela, selecione o pool para listar os provedores.
Na tabela Provedores, é possível ver uma lista de provedores.
Atualizar um provedor
gcloud
Para atualizar um provedor OIDC após a criação, execute o seguinte comando:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--detailed-audit-logging \
--location=global
Substitua:
PROVIDER_ID: o ID do provedorWORKFORCE_POOL_ID: o ID do pool da força de trabalhoDESCRIPTION: a descrição-
Para ativar o registro de auditoria detalhado, adicione a flag
--detailed-audit-loggingagcloud iam workforce-pools providers update. Para desativar o registro de auditoria detalhado, adicione a flag--no-detailed-audit-loggingao comando de atualização.
Console
Para conferir um provedor, faça o seguinte:
- Acesse a página Pools de identidade da força de trabalho:
Acessar pools de identidade de colaboradores
Na tabela, selecione o pool que você quer ver o provedor.
Na tabela Provedores, clique em Editar.
Atualize o provedor.
Para salvar o provedor atualizado, clique em Salvar.
Excluir um provedor
Para excluir um serviço, execute o seguinte comando:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua:
PROVIDER_ID: o ID do provedorWORKFORCE_POOL_ID: o ID do pool da força de trabalho
Cancelar a exclusão de um provedor
Para cancelar a exclusão de um provedor excluído nos últimos 30 dias, execute o seguinte comando:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
Substitua:
PROVIDER_ID: o ID do provedorWORKFORCE_POOL_ID: o ID do pool da força de trabalho
Gerenciar JWKs do OIDC
Nesta seção, mostramos como gerenciar JWKs do OIDC em provedores de pool da força de trabalho.
Criar um provedor e fazer upload de JWKs do OIDC
Para criar JWKs do OIDC, consulte Implementações de JWT, JWS, JWE, JWK e JWA.
Para fazer upload de um arquivo JWK OIDC ao criar um provedor de pool da força de trabalho,
execute o comando gcloud iam force-pools Provider create-oidc com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para o
arquivo JSON do JWKs.
Essa operação faz upload das chaves do arquivo.
Atualizar JWKs do OIDC
Para atualizar as JWKs do OIDC, execute o
comando gcloud iam force-pools provider update-oidc com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para o
arquivo JSON do JWKs.
Essa operação substitui todas as chaves atuais enviadas pelas chaves no arquivo.
Excluir todos os JWKs do OIDC enviados por upload
Para excluir todas as JWKs OIDC enviadas e usar o URI do emissor
para buscar as chaves, execute o comando gcloud iam force-pools provedores update-oidc
com --jwk-json-path="JWK_JSON_PATH".
Substitua JWK_JSON_PATH pelo caminho para um arquivo vazio.
Use a sinalização --issuer-uri para definir o URI do emissor.
Essa operação exclui todas as chaves enviadas.
A seguir
- Configurar a federação de identidade de colaboradores com o Microsoft Entra ID e fazer login de usuários
- Configurar a federação de identidade da força de trabalho com o Okta e fazer login de usuários
- Excluir os usuários da federação de identidade de colaboradores e respectivos dados
- Saiba quais produtos do Google Cloud são compatíveis com a federação de identidade de colaboradores