本指南說明如何使用員工身分聯盟執行常見作業。如要設定員工身分聯盟,請參閱下列指南:
事前準備
您必須 Google Cloud 設定機構。
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
管理集區
本節說明如何管理員工身分集區。
建立集區
如要建立工作人員集區,請執行下列指令:
gcloud
如要建立員工身分識別集區,請執行下列指令:
gcloud iam workforce-pools create WORKFORCE_POOL_ID \
--organization=ORGANIZATION_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--session-duration=SESSION_DURATION \
--location=global
更改下列內容:
WORKFORCE_POOL_ID:您選擇用來代表 Google Cloud 工作團隊集區的 ID。如要瞭解如何設定 ID 格式,請參閱 API 說明文件中的「查詢參數」一節。ORGANIZATION_ID:員工身分集區的 Google Cloud 機構數值 ID。員工身分集區適用於機構中的所有專案和資料夾。DISPLAY_NAME:選用。工作團隊身分識別集區的顯示名稱。DESCRIPTION:選用。工作團隊身分集區說明。SESSION_DURATION:選用。工作階段時間長度決定了從這個工作團隊集區取得的 Google Cloud 存取權杖、控制台 (已聯合) 登入工作階段,以及 gcloud CLI 登入工作階段的有效時間。工作階段持續時間預設為一小時 (3600 秒)。工作階段時間值必須介於 15 分鐘 (900 秒) 和 12 小時 (43200 秒) 之間。
主控台
如要建立工作團隊身分集區,請執行下列操作:
前往 Google Cloud 控制台的「Workforce Identity Pools」頁面:
選取工作團隊身分集區的機構。機構中的所有專案和資料夾都可使用 Workforce 身分集區。
按一下「建立集區」,然後執行下列操作:
在「Name」(名稱) 欄位中,輸入集區的顯示名稱。系統會在您輸入名稱時自動衍生集區 ID,並顯示在「名稱」欄位下方。如要更新集區 ID,請點選集區 ID 旁的「編輯」。
選用:在「說明」中輸入集區說明。
如要建立員工身分集區,請按「Next」(下一步)。
工作團隊身分集區的工作階段持續時間預設為一小時 (3600 秒)。 工作階段時間長度決定了從這個工作團隊集區取得的 Google Cloud 存取權杖、控制台 (聯盟) 和 gcloud CLI 登入工作階段的有效時間。建立集區後,您可以更新集區,設定自訂工作階段時間長度。工作階段持續時間必須介於 15 分鐘 (900 秒) 至 12 小時 (43,200 秒) 之間。
描述集區
gcloud
如要使用 gcloud CLI 說明特定工作人員集區,請執行下列指令:
gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
--location=global
將 WORKFORCE_POOL_ID 替換為您在建立集區時選擇的工作團隊集區 ID。
控制台
如要使用 Google Cloud 控制台說明特定工作人員集區,請按照下列步驟操作:
前往「員工身分集區」頁面:
在「工作團隊集區」中,選取集區
列出集區
gcloud
如要列出機構中的工作人員集區,請執行下列指令:
gcloud iam workforce-pools list \
--organization=ORGANIZATION_ID \
--location=global
將 ORGANIZATION_ID 替換為機構 ID。
控制台
如要使用 Google Cloud 控制台列出工作人員集區,請按照下列步驟操作:
前往「員工身分集區」頁面:
在表格中查看集區清單。
更新集區
gcloud
如要更新特定工作站集區,請執行下列指令:
gcloud iam workforce-pools update WORKFORCE_POOL_ID \
--description=DESCRIPTION \
--location=global
更改下列內容:
WORKFORCE_POOL_ID:工作團隊集區 IDDESCRIPTION:集區說明
控制台
如要使用 Google Cloud 控制台更新特定工作人員集區,請按照下列步驟操作:
前往「員工身分集區」頁面:
在表格中選取集區。
更新集區參數。
按一下「儲存集區」。
刪除集區
gcloud
如要刪除員工身分集區,請執行下列指令:
gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
--location=global
將 WORKFORCE_POOL_ID 替換為員工集區 ID。
控制台
如要使用 Google Cloud 控制台刪除特定工作站集區,請按照下列步驟操作:
前往「員工身分集區」頁面:
在「Workforce pools」(員工集區) 中,按一下要刪除集區的 「Delete」(刪除)。
按照其他指示操作。
取消刪除集區
您只能取消刪除過去 30 天內刪除的工作團隊身分集區。
如要取消刪除集區,請執行下列指令:
gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
--location=global
將 WORKFORCE_POOL_ID 替換為員工集區 ID。
在工作團隊集區中設定提供者
本節說明如何使用 gcloud 指令設定員工身分識別集區供應商:
建立 OIDC 提供者
本節說明如何為 OIDC IdP 建立工作團隊身分集區提供者。
gcloud
代碼流程
如要建立使用授權碼流程的 OIDC 提供者,以供網頁登入,請執行下列指令:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--client-secret-value="OIDC_CLIENT_SECRET" \
--web-sso-response-type="code" \
--web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
取代下列項目:
WORKFORCE_PROVIDER_ID:工作團隊身分集區供應商的專屬 ID。前置字串「gcp-」為預留字串,不得用於工作團隊身分集區或工作團隊身分集區提供者 ID。WORKFORCE_POOL_ID:要連結 IdP 的工作團隊身分集區 ID。DISPLAY_NAME:供應商的選用簡單顯示名稱,例如idp-eu-employees。DESCRIPTION:工作團隊提供者說明 (選填),例如IdP for Partner Example Organization employees。ISSUER_URI:OIDC 核發者 URI,格式必須為有效的 URI,且開頭為https,例如https://example.com/oidc。注意:基於安全考量,ISSUER_URI必須使用 HTTPS 通訊協定。OIDC_CLIENT_ID:向 OIDC IdP 註冊的 OIDC 用戶端 ID;這個 ID 必須與 IdP 發行的 JWT 的aud聲明相符。OIDC_CLIENT_SECRET:OIDC 用戶端密碼。WEB_SSO_ADDITIONAL_SCOPES:要傳送至 OIDC IdP 的選用額外範圍,適用於主控台 (已連結) 或 gcloud CLI 瀏覽器型登入。ATTRIBUTE_MAPPING:屬性對應。 以下是屬性對應的範例:google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject、group1和costcenter分別對應至google.subject、google.groups和attribute.costcenter屬性。ATTRIBUTE_CONDITION:屬性條件,例如assertion.role == 'gcp-users'。這個範例條件可確保只有具備gcp-users角色的使用者,才能使用這個供應商登入。JWK_JSON_PATH:本機上傳的 OIDC JWK 的選用路徑。 如果未提供這個參數, Google Cloud 會改用 IdP 的/.well-known/openid-configuration路徑,取得含有公開金鑰的 JWK。如要進一步瞭解本機上傳的 OIDC JWK,請參閱管理 OIDC JWK。-
員工身分聯盟詳細稽核記錄會將從 IdP 收到的資訊記錄到 Logging。詳細稽核記錄有助於排解工作團隊身分識別集區提供者設定問題。如要瞭解如何透過詳細的稽核記錄排解屬性對應錯誤,請參閱「一般屬性對應錯誤」。如要瞭解 Logging 定價,請參閱 Google Cloud Observability 定價。
如要為工作團隊身分集區提供者停用詳細稽核記錄,請在執行
gcloud iam workforce-pools providers create時省略--detailed-audit-logging旗標。如要停用詳細稽核記錄,您也可以更新供應商。
locations/global/workforcePools/enterprise-example-organization-employees。隱含流程
如要建立使用隱含流程的 OIDC 工作團隊身分集區提供者,以供網頁登入,請執行下列指令:
gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--display-name="DISPLAY_NAME" \
--description="DESCRIPTION" \
--issuer-uri="ISSUER_URI" \
--client-id="OIDC_CLIENT_ID" \
--web-sso-response-type="id-token" \
--web-sso-assertion-claims-behavior="only-id-token-claims" \
--web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--jwk-json-path="JWK_JSON_PATH" \
--detailed-audit-logging \
--location=global
取代下列項目:
WORKFORCE_PROVIDER_ID:工作團隊身分集區供應商的專屬 ID。前置字串「gcp-」為預留字串,不得用於工作團隊身分集區或工作團隊身分集區提供者 ID。WORKFORCE_POOL_ID:要連結 IdP 的工作團隊身分集區 ID。DISPLAY_NAME:供應商的選用簡單顯示名稱,例如idp-eu-employees。DESCRIPTION:工作團隊提供者說明 (選填),例如IdP for Partner Example Organization employees。ISSUER_URI:OIDC 核發者 URI,格式必須為有效的 URI,且開頭為https,例如https://example.com/oidc。注意:基於安全考量,ISSUER_URI必須使用 HTTPS 通訊協定。OIDC_CLIENT_ID:向 OIDC IdP 註冊的 OIDC 用戶端 ID;這個 ID 必須與 IdP 發行的 JWT 的aud聲明相符。WEB_SSO_ADDITIONAL_SCOPES:要傳送至 OIDC IdP 的選用額外範圍,適用於主控台 (已連結) 或 gcloud CLI 瀏覽器型登入。ATTRIBUTE_MAPPING:屬性對應。 以下是屬性對應的範例:google.subject=assertion.sub, google.groups=assertion.group1, attribute.costcenter=assertion.costcentersubject、group1和costcenter分別對應至google.subject、google.groups和attribute.costcenter屬性。ATTRIBUTE_CONDITION:屬性條件,例如assertion.role == 'gcp-users'。這個範例條件可確保只有具備gcp-users角色的使用者,才能使用這個供應商登入。JWK_JSON_PATH:本機上傳的 OIDC JWK 的選用路徑。 如果未提供這個參數, Google Cloud 會改用 IdP 的/.well-known/openid-configuration路徑,取得含有公開金鑰的 JWK。如要進一步瞭解本機上傳的 OIDC JWK,請參閱管理 OIDC JWK。-
員工身分聯盟詳細稽核記錄會將從 IdP 收到的資訊記錄到 Logging。詳細稽核記錄有助於排解工作團隊身分識別集區提供者設定問題。如要瞭解如何透過詳細的稽核記錄排解屬性對應錯誤,請參閱「一般屬性對應錯誤」。如要瞭解 Logging 定價,請參閱 Google Cloud Observability 定價。
如要為工作團隊身分集區提供者停用詳細稽核記錄,請在執行
gcloud iam workforce-pools providers create時省略--detailed-audit-logging旗標。如要停用詳細稽核記錄,您也可以更新供應商。
locations/global/workforcePools/enterprise-example-organization-employees。控制台
代碼流程
前往 Google Cloud 控制台的「Workforce Identity Pools」頁面:
在「工作團隊身分集區」表格中,選取要建立提供者的集區。
在「供應商」表格中,按一下「新增供應商」。
在「選取通訊協定」中,選取「Open ID Connect (OIDC)」。
在「建立集區提供者」中,執行下列操作:
- 在「名稱」中輸入供應商名稱。
- 在「核發者 (網址)」中,輸入核發者 URI。OIDC 核發者 URI 必須採用有效的 URI 格式,且開頭為
https,例如https://example.com/oidc。 - 輸入「用戶端 ID」,也就是向 OIDC IdP 註冊的 OIDC 用戶端 ID;這個 ID 必須與 IdP 發行的 JWT 的
aud聲明相符。 - 如要建立已啟用的供應商,請確認「已啟用供應商」已開啟。
- 按一下「繼續」。
在「流程類型」中,執行下列操作。流程類型僅適用於網頁式單一登入流程。
- 在「流程類型」中,選取「程式碼」。
- 在「用戶端密鑰」中,輸入 IdP 的用戶端密鑰。
在「聲明主張行為」中,選取下列任一選項:
- 使用者資訊和 ID 權杖
- 僅限 ID 權杖
按一下「繼續」。
在「設定供應商」中,您可以設定屬性對應和屬性條件。如要建立屬性對應,請按照下列步驟操作。您可以提供 IdP 欄位名稱,也可以提供傳回字串的 CEL 格式運算式。
必要:在「OIDC 1」中,輸入 IdP 的主體,例如
assertion.sub。選用:如要新增其他屬性對應,請按照下列步驟操作:
- 按一下 [新增對應]。
- 在「Google n」中 (其中 n 是數字),輸入其中一個Google Cloud支援的按鍵。
- 在對應的 OIDC n 欄位中,以 CEL 格式輸入要對應的 IdP 特定欄位名稱。
如要建立屬性條件,請按照下列步驟操作:
- 按一下「新增條件」。
- 在「屬性條件」中,以 CEL 格式輸入條件,例如
assertion.role == 'gcp-users'。這個條件範例可確保只有具備gcp-users角色的使用者,才能使用這個供應商登入。
如要啟用詳細稽核記錄,請在「詳細記錄」中,點按「啟用詳細屬性值記錄」切換鈕。
員工身分聯盟詳細稽核記錄會將從 IdP 收到的資訊記錄到 Logging。詳細稽核記錄有助於排解工作團隊身分識別集區提供者設定問題。如要瞭解如何透過詳細的稽核記錄排解屬性對應錯誤,請參閱「一般屬性對應錯誤」。如要瞭解 Logging 定價,請參閱 Google Cloud Observability 定價。
如要為工作團隊身分集區提供者停用詳細稽核記錄,請在執行
gcloud iam workforce-pools providers create時省略--detailed-audit-logging旗標。如要停用詳細稽核記錄,您也可以更新供應商。
如要建立提供者,請按一下「提交」。
隱含流程
前往 Google Cloud 控制台的「Workforce Identity Pools」頁面:
在「工作團隊身分集區」表格中,選取要建立提供者的集區。
在「供應商」表格中,按一下「新增供應商」。
在「選取通訊協定」中,選取「Open ID Connect (OIDC)」。
在「建立集區提供者」中,執行下列操作:
- 在「名稱」部分,輸入供應商名稱。
- 在「核發者 (網址)」中,輸入核發者 URI。OIDC 核發者 URI 必須採用有效的 URI 格式,且開頭為
https,例如https://example.com/oidc。 - 輸入「用戶端 ID」,也就是向 OIDC IdP 註冊的 OIDC 用戶端 ID;這個 ID 必須與 IdP 發行的 JWT 的
aud聲明相符。 - 如要建立已啟用的供應商,請確認「已啟用供應商」已開啟。
- 按一下「繼續」。
在「流程類型」中,執行下列操作。流程類型僅適用於網頁式單一登入流程。
- 在「流程類型」中,選取「ID 權杖」。
- 按一下「繼續」。
在「設定供應商」中,您可以設定屬性對應和屬性條件。如要建立屬性對應,請按照下列步驟操作。您可以提供 IdP 欄位名稱,也可以提供傳回字串的 CEL 格式運算式。
必要:在「OIDC 1」中,輸入 IdP 的主體,例如
assertion.sub。選用:如要新增其他屬性對應,請按照下列步驟操作:
- 按一下 [新增對應]。
- 在「Google n」中 (其中 n 是數字),輸入其中一個Google Cloud支援的按鍵。
- 在對應的 OIDC n 欄位中,以 CEL 格式輸入要對應的 IdP 特定欄位名稱。
如要建立屬性條件,請按照下列步驟操作:
- 按一下「新增條件」。
在「屬性條件」中,以 CEL 格式輸入條件,例如
assertion.role == 'gcp-users'。這個條件範例可確保只有具備gcp-users角色的使用者,才能使用這個供應商登入。
如要啟用詳細稽核記錄,請在「詳細記錄」中,點按「啟用詳細屬性值記錄」切換鈕。
員工身分聯盟詳細稽核記錄會將從 IdP 收到的資訊記錄到 Logging。詳細稽核記錄有助於排解工作團隊身分識別集區提供者設定問題。如要瞭解如何透過詳細的稽核記錄排解屬性對應錯誤,請參閱「一般屬性對應錯誤」。如要瞭解 Logging 定價,請參閱 Google Cloud Observability 定價。
如要為工作團隊身分集區提供者停用詳細稽核記錄,請在執行
gcloud iam workforce-pools providers create時省略--detailed-audit-logging旗標。如要停用詳細稽核記錄,您也可以更新供應商。
如要建立提供者,請按一下「提交」。
建立 SAML 提供者
本節說明如何為 SAML IdP 建立工作團隊身分集區供應商。
gcloud
如要建立供應商,請執行下列指令:
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
--workforce-pool="WORKFORCE_POOL_ID" \
--attribute-mapping="ATTRIBUTE_MAPPING" \
--attribute-condition="ATTRIBUTE_CONDITION" \
--idp-metadata-path="XML_METADATA_PATH" \
--detailed-audit-logging \
--location="global"
更改下列內容:
WORKFORCE_PROVIDER_ID:工作團隊提供者 IDWORKFORCE_POOL_ID:工作團隊集區 IDATTRIBUTE_MAPPING:屬性對應; 舉例來說,如要對應主旨,屬性對應如下:google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.department=assertion.attributes.department[0]ATTRIBUTE_CONDITION:選用的屬性條件,例如assertion.subject.endsWith("@example.com")XML_METADATA_PATH:IdP 提供的 XML 格式中繼資料檔案路徑
前置字串「gcp-」為預留字串,不得用於工作團隊身分集區或工作團隊身分集區提供者 ID。
這項指令會將 SAML 判斷中的主體和部門分別指派給 google.subject 和 attribute.department 屬性。此外,屬性條件可確保只有主體結尾為 @example.com 的使用者,才能使用這個員工身分提供者登入。
員工身分聯盟詳細稽核記錄會將從 IdP 收到的資訊記錄到 Logging。詳細稽核記錄有助於排解工作團隊身分識別集區提供者設定問題。如要瞭解如何透過詳細的稽核記錄排解屬性對應錯誤,請參閱「一般屬性對應錯誤」。如要瞭解 Logging 定價,請參閱 Google Cloud Observability 定價。
如要為工作團隊身分集區提供者停用詳細稽核記錄,請在執行 gcloud iam workforce-pools providers create 時省略 --detailed-audit-logging 旗標。如要停用詳細稽核記錄,您也可以更新供應商。
控制台
如要使用 Google Cloud 控制台設定 SAML 提供者,請按照下列步驟操作:
前往 Google Cloud 控制台的「Workforce Identity Pools」頁面:
在「Workforce Identity Pools」(工作團隊身分集區) 表格中,選取要建立提供者的集區。
在「供應商」表格中,按一下「新增供應商」。
在「選取通訊協定」中,選取「SAML」。
在「建立集區提供者」中,執行下列操作:
在「名稱」部分,輸入供應商名稱。
選用:在「說明」中輸入供應商說明。
在「IdP 中繼資料檔案 (XML)」中,選取您在本指南稍早產生的中繼資料 XML 檔案。
確認已啟用「Enabled provider」(已啟用供應商)。
按一下「繼續」。
在「設定供應商」中,執行下列操作:
在「屬性對應」中,輸入
google.subject的 CEL 運算式。選用:如要輸入其他對應,請按一下「新增對應」,然後輸入其他對應,例如:
google.subject=assertion.subject, google.groups=assertion.attributes['https://example.com/aliases'], attribute.costcenter=assertion.attributes.costcenter[0]assertion.subject、assertion.attributes['https://example.com/aliases']和assertion.attributes.costcenter[0]分別對應至 Google Cloud屬性google.subject、google.groups和google.costcenter。選用:如要新增屬性條件,請按一下「新增條件」,然後輸入代表屬性條件的 CEL 運算式。 舉例來說,如要將
ipaddr屬性限制在特定 IP 範圍內,可以設定assertion.attributes.ipaddr.startsWith('98.11.12.')條件。這個範例條件可確保只有 IP 位址開頭為98.11.12.的使用者,才能使用這個員工身分提供者登入。按一下「繼續」。
如要啟用詳細稽核記錄,請在「詳細記錄」中,點按「啟用詳細屬性值記錄」切換鈕。
員工身分聯盟詳細稽核記錄會將從 IdP 收到的資訊記錄到 Logging。詳細稽核記錄有助於排解工作團隊身分識別集區提供者設定問題。如要瞭解如何透過詳細的稽核記錄排解屬性對應錯誤,請參閱「一般屬性對應錯誤」。如要瞭解 Logging 定價,請參閱 Google Cloud Observability 定價。
如要為工作團隊身分集區提供者停用詳細稽核記錄,請在執行
gcloud iam workforce-pools providers create時省略--detailed-audit-logging旗標。如要停用詳細稽核記錄,您也可以更新供應商。
如要建立提供者,請按一下「提交」。
描述供應商
gcloud
如要描述提供者,請執行下列指令:
gcloud iam workforce-pools providers describe PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
更改下列內容:
PROVIDER_ID:供應商 IDWORKFORCE_POOL_ID:工作團隊集區 ID
控制台
如要查看供應商,請按照下列步驟操作:
- 前往「員工身分集區」頁面:
在表格中,選取要查看供應商的集區。
在「供應商」表格中選取供應商。
列出供應商
gcloud
如要列出供應商,請執行下列指令:
gcloud iam workforce-pools providers list \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
將 WORKFORCE_POOL_ID 替換為員工集區 ID。
控制台
如要查看供應商,請按照下列步驟操作:
- 前往「員工身分集區」頁面:
在表格中,選取要列出供應商的集區。
「供應商」表格會列出供應商清單。
更新供應商
gcloud
如要在建立後更新 OIDC 供應商,請執行下列指令:
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--description="DESCRIPTION" \
--detailed-audit-logging \
--location=global
更改下列內容:
PROVIDER_ID:供應商 IDWORKFORCE_POOL_ID:工作團隊集區 IDDESCRIPTION:說明-
如要啟用詳細稽核記錄,請將
--detailed-audit-logging旗標新增至gcloud iam workforce-pools providers update。如要停用詳細稽核記錄,請在更新指令中加入--no-detailed-audit-logging旗標。
控制台
如要查看供應商,請按照下列步驟操作:
- 前往「員工身分集區」頁面:
在表格中,選取要查看供應商的集區。
在「供應商」表格中,按一下「編輯」。
更新供應商。
如要儲存更新後的供應商,請按一下「儲存」。
刪除供應商
如要刪除供應商,請執行下列指令:
gcloud iam workforce-pools providers delete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
更改下列內容:
PROVIDER_ID:供應商 IDWORKFORCE_POOL_ID:工作團隊集區 ID
取消刪除供應商
如要取消刪除過去 30 天內刪除的供應商,請執行下列指令:
gcloud iam workforce-pools providers undelete PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=global
更改下列內容:
PROVIDER_ID:供應商 IDWORKFORCE_POOL_ID:工作團隊集區 ID
管理 OIDC JWK
本節說明如何管理員工集區供應商中的 OIDC JWK。
建立供應商並上傳 OIDC JWK
如要建立 OIDC JWK,請參閱 JWT、JWS、JWE、JWK 和 JWA 實作。
如要在建立工作團隊集區提供者時上傳 OIDC JWK 檔案,請執行 gcloud iam workforce-pools providers create-oidc 指令,並使用 --jwk-json-path="JWK_JSON_PATH"。將 JWK_JSON_PATH 替換為 JWKs JSON 檔案的路徑。
這項作業會從檔案上傳金鑰。
更新 OIDC JWK
如要更新 OIDC JWK,請執行 gcloud iam workforce-pools providers update-oidc 指令,並使用 --jwk-json-path="JWK_JSON_PATH"。
將 JWK_JSON_PATH 替換為 JWKs JSON 檔案的路徑。
這項作業會將所有現有上傳的金鑰,替換為檔案中的金鑰。
刪除所有上傳的 OIDC JWK
如要刪除所有已上傳的 OIDC JWK,並改用簽發者 URI 擷取金鑰,請執行 gcloud iam workforce-pools providers update-oidc 指令,並加上 --jwk-json-path="JWK_JSON_PATH"。將 JWK_JSON_PATH 替換為空白檔案的路徑。使用 --issuer-uri 旗標設定簽發者 URI。
這項操作會刪除所有現有上傳的金鑰。
後續步驟
- 使用 Microsoft Entra ID 設定員工身分聯盟,並讓使用者登入
- 使用 Okta 設定員工身分聯盟,並讓使用者登入
- 刪除 Workforce Identity Federation 使用者及其資料
- 瞭解 Google Cloud 支援員工身分聯盟的產品