このガイドでは、ID プロバイダ(IdP)から、Google Cloud Workforce Identity 連携コンソールへのアクセスを設定する方法、およびユーザーへのアクセス手順の提供方法を説明します。このコンソールはコンソール(連携)ともいいます。
始める前に
Google Cloud 組織で Workforce Identity 連携を構成します。これには、Workforce Identity プールと Workforce Identity プール プロバイダも含まれます。または、次のいずれかの IdP を使用する場合は、IdP 固有のガイドをご覧ください。
Workload Identity プール プロバイダの名前を記録します。このガイドの後半で使用します。
IdP でリダイレクト URL を設定する
IdP が IdP のレスポンスを投稿し、ユーザーの認証後にユーザーをコンソール(連携)にリダイレクトするように IdP を構成できます。これを行うには、リダイレクト URL を構成して、IdP 構成に設定する必要があります。
リダイレクト URL を作成するには、次の手順を行います。
Workforce Identity プール プロバイダの名前をユーザーと共有します。形式は次のとおりです。
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
次のように置き換えます。
WORKFORCE_POOL_ID
: Workforce Identity プールの IDWORKFORCE_PROVIDER_ID
: Workforce Identity プロバイダの ID。
リダイレクト URL を作成します。形式は次のとおりです。
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
WORKFORCE_POOL_PROVIDER_NAME
は、前のステップで確認した Workforce Identity プール プロバイダ名に置き換えます。リダイレクト URL を使用して IdP を構成します。
IdP でリダイレクト URL を入力します。URL を入力するフィールドは異なる場合があります。
OIDC
IdP では、このフィールドが
Redirect URL
またはCallback URL
と呼ばれる場合があります。IdP が、この URL にレスポンスと名前トークンを送信します。
SAML
IdP では、このフィールドが
Single sign-on URL
またはSAML assertion consumer service (ACS) URL
と呼ばれる場合があります。IdP が SAML アサーションをこの URL に送信します。
SAML プロバイダを使用して IdP によるログインを有効にする場合は、
Default RelayState
の設定または同等の設定に次の URL を入力します。ユーザーが認証に成功すると、IdP によってユーザーがこの URL にリダイレクトされます。https://console.cloud.google/
ユーザーにログイン方法を通知する
このセクションでは、ユーザーがコンソール(連携)にログインするためのさまざまな方法について説明します。
SSO リンクを使用してログイン プロセスを開始する
IdP でログイン プロセスを開始するには、プロバイダ名の入力を求めることなく、IdP にリダイレクトするユーザーとリンクを共有できます。ログインに成功すると、ユーザーは自動的にコンソール(連携)にリダイレクトされます。
この方法を使用するには、ユーザーに次のログインリンクを送信します。
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
コンソール(連携)を使用してログイン プロセスを開始する
コンソール(連携)でログイン プロセスを開始するには、次の手順に従います。
このドキュメントで前述した Workforce Identity プールのプロバイダ名をユーザーに提供します。
コンソール(連携)への次のリンクをユーザーに提供します。
https://console.cloud.google/
ユーザーが初めてコンソール(連携)にアクセスすると、Workforce Identity プールのプロバイダ名の入力を求められます。その後、認証を行う IdP にリダイレクトされます。認証されると、コンソール(連携)にリダイレクトされます。
SAML IdP を起点とするログインを使用する
SAML 仕様では、IdP を起点とするログインというフローが定義されています。このフローでは、ユーザーは IdP でログイン プロセスを開始します。IdP がこのフローをサポートしている場合は、詳細をユーザーと共有できます。
コンソール(連携)と Google Cloud コンソールの違い
コンソール(連携)は、Workforce Identity 連携をサポートする Google Cloud プロダクトにのみアクセスを提供します。このため、コンソール(連携)を使用すると、表示される Google Cloud プロダクトの数が少なくなり、コンソール(連携)で表示されるプロダクト UI 自体にさらなる制限が生じる可能性があります。
Workload Identity 連携をサポートするプロダクトと関連する制限の詳細については、Identity 連携: サポート対象のプロダクトと制限事項をご覧ください。
これに対して、Google Cloud コンソールは、ユーザーに付与されたロールに応じて、すべてのプロダクトと機能に対する完全アクセス権を提供できます。