Workforce Identity-Föderation mit Microsoft Entra ID und einer großen Anzahl von Gruppen konfigurieren

In diesem Dokument erfahren Sie, wie Sie die Mitarbeiteridentitätsföderation mit dem Identitätsanbieter (IdP) Microsoft Entra ID konfigurieren und bis zu 400 Gruppen aus Microsoft Entra ID Google Cloud mit Microsoft Graph zuordnen. Anschließend wird beschrieben, wie Sie diesen Gruppen IAM-Rollen zuweisen und wie Sie Microsoft Entra ID-Nutzer, die Mitglieder der Gruppen sind, inGoogle Cloudanmelden. Die Nutzer können dann auf Google Cloud -Produkte zugreifen, für die ihnen IAM-Zugriff gewährt wurde und die Workforce Identity-Föderation unterstützen.

Wenn Sie weniger als 150 Gruppen aus Microsoft Entra ID Google Cloudzuordnen möchten, lesen Sie den Abschnitt Mitarbeiteridentitätsföderation mit Microsoft Entra ID konfigurieren und Nutzer anmelden.

Die in diesem Dokument beschriebene Methode kann mit den folgenden Protokollen verwendet werden:

  • OIDC mit implizitem Ablauf
  • OIDC mit Codeablauf
  • SAML 2.0-Protokoll

Die Anzahl der Gruppen-E-Mail-Adressen, die eine Microsoft Entra ID-Anwendung in einem Token ausgeben kann, ist auf 150 für SAML und 200 für JWT begrenzt. Weitere Informationen zu diesem Limit finden Sie unter Gruppenansprüche für Anwendungen mit Microsoft Entra ID konfigurieren. Um weitere Gruppen abzurufen, verwendet die Workforce Identity-Föderation den OAuth 2.0-Client-Anmeldedatenfluss von Microsoft Identity, um Anmeldedaten abzurufen, mit denen die Workforce Identity-Föderation die Microsoft Graph API abfragen und die Gruppen eines Nutzers abrufen kann.

Wenn Sie diese Methode verwenden möchten, gehen Sie im Wesentlichen so vor:

  • Erstellen Sie eine neue Microsoft Entra ID-Anwendung oder aktualisieren Sie Ihre vorhandene Anwendung, um die Gruppenmitgliedschaften der Nutzer über die Microsoft Graph API abzurufen. Weitere Informationen dazu, wie Microsoft Graph eine große Anzahl von Gruppen aus Microsoft Entra ID abruft, finden Sie unter Group overages.

  • Wenn Sie den Workforce Identity-Pool-Anbieter erstellen, verwenden Sie extra-attributes-Flags, um die Workforce Identity-Föderation so zu konfigurieren, dass die Gruppen-E-Mail-Adressen der Nutzer aus der Microsoft Graph API abgerufen werden.

Über die Mitarbeiteridentitätsföderation können maximal 999 Gruppen aus der Microsoft Graph API abgerufen werden. Wenn die Microsoft Graph API mehr als 999 Gruppen zurückgibt, schlägt die Anmeldung fehl.

Wenn Sie die Anzahl der Gruppen reduzieren möchten, die von der Microsoft Graph API zurückgegeben werden, können Sie die Abfrage der Workforce Identity-Föderation mit dem Flag --extra-attributes-filter verfeinern, wenn Sie den Workforce Identity-Poolanbieter erstellen.

Nachdem die Mitarbeiteridentitätsföderation die Gruppen aus der Microsoft Graph API abgerufen hat, wird das Zugriffstoken erstellt. Durch die Identitätsföderation für Mitarbeiter können dem Zugriffstoken maximal 400 Gruppen hinzugefügt werden. Wenn Sie die Anzahl der Gruppen auf maximal 400 weiter filtern möchten, können Sie beim Erstellen des Anbieters für den Mitarbeiteridentitätspool eine Attributzuordnung angeben, die CEL-Ausdrücke (Common Expression Language) enthält.

Hinweise

  1. Sie müssen eine Google Cloud Organisation eingerichtet haben.

  2. After installing the Google Cloud CLI, initialize it by running the following command: 

    gcloud init

    If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  3. Achten Sie darauf, dass in Microsoft Entra ID ID-Tokens für den impliziten Ablauf aktiviert sind. Weitere Informationen finden Sie unter Implizite Zuweisung von ID-Tokens aktivieren.
  4. Für die Anmeldung muss Ihr IdP signierte Authentifizierungsinformationen bereitstellen: OIDC-IdPs müssen ein JWT bereitstellen und SAML-IdP-Antworten müssen signiert sein.
  5. Wenn Sie wichtige Informationen zu Änderungen an Ihrer Organisation oder IhrenGoogle Cloud -Produkten erhalten möchten, müssen Sie Wichtige Kontakte angeben. Weitere Informationen finden Sie unter Workforce Identity-Föderation – Übersicht.
  6. Alle Gruppen, die Sie zuordnen möchten, müssen in Microsoft Entra ID als Sicherheitsgruppen gekennzeichnet sein.

Kosten

Die Mitarbeiteridentitätsföderation ist als kostenlose Funktion verfügbar. Das detaillierte Audit-Logging der Workforce Identity-Föderation verwendet jedoch Cloud Logging. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle IAM-Mitarbeiterpool-Administrator (roles/iam.workforcePoolAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Mitarbeiteridentitätsföderation benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Wenn Sie Berechtigungen in einer Entwicklungs- oder Testumgebung, aber nicht in einer Produktionsumgebung konfigurieren, können Sie die einfache Rolle „IAM-Inhaber“ (roles/owner) zuweisen, die auch Berechtigungen für die Mitarbeiteridentitätsföderation enthält.

Microsoft Entra ID-Anwendung erstellen

In diesem Abschnitt erfahren Sie, wie Sie eine Microsoft Entra ID-Anwendung über das Microsoft Entra-Administratorportal erstellen. Alternativ können Sie Ihre vorhandene Anwendung aktualisieren. Weitere Informationen finden Sie unter Anwendungen im Microsoft Entra ID-Ökosystem einrichten.

Workforce Identity-Pools unterstützen die Föderation mit OIDC- und SAML-Protokollen.

OIDC

So erstellen Sie eine Microsoft Entra ID-App-Registrierung, die das OIDC-Protokoll verwendet:

  1. Melden Sie sich im Microsoft Entra-Administratorportal an.

  2. Rufen Sie Identität > Anwendungen > App-Registrierungen auf.

  3. So konfigurieren Sie die Anwendungsregistrierung:

    1. Klicken Sie auf Neue Registrierung.

    2. Geben Sie einen Namen für die Anwendung ein.

    3. Wählen Sie unter Unterstützte Kontotypen eine Option aus.

    4. Wählen Sie im Abschnitt Weiterleitungs-URI in der Drop-down-Liste Plattform auswählen die Option Web aus.

    5. Geben Sie im Textfeld eine Weiterleitungs-URL ein. Ihre Nutzer werden nach der erfolgreichen Anmeldung zu dieser URL weitergeleitet. Wenn Sie den Zugriff auf die Console (föderiert) konfigurieren, müssen Sie das folgende URL-Format verwenden:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Ersetzen Sie Folgendes:

      • WORKFORCE_POOL_ID: die ID eines Workforce Identity-Pools, die Sie später in diesem Dokument beim Erstellen des Workforce Identity-Pools verwenden, z. B.: entra-id-oidc-pool

      • WORKFORCE_PROVIDER_ID: eine ID des Anbieters des Mitarbeiteridentitätspools, die Sie verwenden, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument erstellen, z. B. entra-id-oidc-pool-provider

        Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.

    6. Klicken Sie auf Registrieren, um die Anwendungsregistrierung zu erstellen.

    7. Wenn Sie die Beispiel-Attributzuordnung verwenden möchten, die später in diesem Dokument bereitgestellt wird, müssen Sie ein benutzerdefiniertes department-Attribut erstellen.

SAML

So erstellen Sie eine Microsoft Entra ID-App-Registrierung, die das SAML-Protokoll verwendet:

  1. Melden Sie sich im Microsoft Entra-Administratorportal an.

  2. Rufen Sie Identität > Anwendungen > App-Registrierungen auf.

  3. So konfigurieren Sie die Unternehmensanwendung:

    1. Klicken Sie auf Neue Anwendung > Eigene Anwendung erstellen.

    2. Geben Sie einen Namen für die Anwendung ein.

    3. Klicken Sie auf Erstellen.

    4. Gehen Sie zu Einmalanmeldung (SSO) > SAML.

    5. Aktualisieren Sie die grundlegende SAML-Konfiguration so:

      1. Geben Sie im Feld Identifier (Entity ID) (Kennung (Entitäts-ID)) den folgenden Wert ein:

        https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Ersetzen Sie Folgendes:

        • WORKFORCE_POOL_ID: eine ID des Mitarbeiteridentitätspools, die Sie später in diesem Dokument beim Erstellen des Mitarbeiteridentitätspools verwenden, z. B.: entra-id-saml-pool

        • WORKFORCE_PROVIDER_ID: die ID eines Anbieters des Mitarbeiteridentitätspools, die Sie verwenden, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument erstellen, z. B. entra-id-saml-pool-provider

          Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.

      2. Geben Sie im Feld Antwort-URL (Assertion Consumer Service-URL) eine Weiterleitungs-URL ein. Ihre Nutzer werden nach der erfolgreichen Anmeldung zu dieser URL weitergeleitet. Wenn Sie den Zugriff auf die Console (föderiert) konfigurieren, müssen Sie das folgende URL-Format verwenden:

        https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Ersetzen Sie Folgendes:

        • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
        • WORKFORCE_PROVIDER_ID: die ID des Mitarbeiteridentitätsanbieters

      3. Wenn Sie die vom IdP initiierte Anmeldung aktivieren möchten, legen Sie das Feld Relay State (Relay-Status) auf den folgenden Wert fest:

        https://console.cloud.google/

      4. Klicken Sie zum Speichern der SAML-Anwendungskonfiguration auf Save.

    6. Wenn Sie die Beispiel-Attributzuordnung verwenden möchten, die später in diesem Dokument bereitgestellt wird, müssen Sie ein benutzerdefiniertes department-Attribut erstellen.

Viele Gruppen mit Microsoft Entra ID konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit den OIDC- und SAML-Protokollen bis zu 400 Gruppen aus Microsoft Entra ID der Workforce Identity-Föderation zuordnen.

Viele Gruppen mit Microsoft Entra ID mit dem impliziten OIDC-Ablauf konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie bis zu 400 Gruppen aus Microsoft Entra ID mithilfe des OpenID Connect-Protokolls (OIDC) mit implizitem Flow der Mitarbeiteridentitätsföderation zuordnen.

Microsoft Entra ID-Anwendung konfigurieren

Sie können eine vorhandene Microsoft Entra ID-Anwendung konfigurieren oder eine neue erstellen. So konfigurieren Sie Ihre Anwendung:

  1. Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
    • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
    • So aktualisieren Sie eine vorhandene Anwendung:
      • Rufen Sie Identität > Anwendungen > Unternehmensanwendungen auf.
      • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
  2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

    Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Um die Microsoft Entra ID-Gruppen abzurufen, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:

    1. Rufen Sie API-Berechtigungen auf.
    2. Klicken Sie auf Berechtigung hinzufügen.
    3. Wählen Sie Microsoft API aus.
    4. Wählen Sie Anwendungsberechtigungen aus.
    5. Geben Sie im Suchfeld User.ReadBasic.All ein.
    6. Klicken Sie auf Berechtigungen hinzufügen.

    Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E‑Mail-Adresse für E‑Mail-fähige Gruppen abrufen.

    Wenn Sie Gruppen als Gruppen-E-Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

  4. So rufen Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
    1. Geben Sie im Suchfeld GroupMember.Read.All ein.
    2. Klicken Sie auf Berechtigungen hinzufügen.
    3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
    4. Klicken Sie im angezeigten Dialogfeld auf Ja.
    5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
    6. Klicken Sie auf Endpunkte.

    Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

    Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Mitarbeiterpool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Workforce Identity-Pools sind in allen Projekten und Ordnern in der Organisation verfügbar.
  • DISPLAY_NAME: Optional. Ein Anzeigename für den Workforce Identity-Pool.
  • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
  • SESSION_DURATION: Optional. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

Console

So erstellen Sie den Workforce Identity-Pool:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.

  3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

    1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

    3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

Die Sitzungsdauer des Workforce Identity-Pools ist standardmäßig auf eine Stunde (3.600 Sekunden) festgelegt. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Nachdem Sie den Pool erstellt haben, können Sie ihn aktualisieren, um eine benutzerdefinierte Sitzungsdauer festzulegen. Die Sitzungsdauer muss zwischen 15 Minuten (900 Sek.) und 12 Stunden (43.200 Sek.) liegen.

OIDC-Workforce Identity-Pool-Anbieter für den impliziten Ablauf konfigurieren

Führen Sie den folgenden Befehl aus, um den Anbieter des OIDC-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    –-extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ersetzen Sie Folgendes:

  • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
  • WORKFORCE_POOL_ID: Die ID des Workforce-Pools.
  • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
  • ISSUER_URI: Der Aussteller-URI der Microsoft Entra ID-Anwendung, die Sie zuvor in diesem Dokument erstellt haben.
  • CLIENT_ID: Die Client-ID Ihrer Microsoft Entra ID-Anwendung.
  • ATTRIBUTE_MAPPING: Die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Weitere Informationen finden Sie unter Attributzuordnung.

  • EXTRA_ATTRIBUTES_ISSUER_URI: Der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: Das zusätzliche Client-Secret aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E-Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
  • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, der beim Abfragen der Microsoft Graph API nach Gruppen verwendet wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der vom IdP abgerufenen Gruppen unter dem Limit von 999 Gruppen bleibt.

    Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat: 

    --extra-attributes-filter='"mail:sales"'

    Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.

    --extra-attributes-filter='"displayName:sales”'

  • Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

    Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

Viele Gruppen in Microsoft Entra ID mit dem OIDC-Codefluss konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie bis zu 400 Gruppen aus Microsoft Entra ID mithilfe des OIDC-Protokolls mit Codefluss der Identitätsföderation von Mitarbeitern zuordnen.

Microsoft Entra ID-Anwendung konfigurieren

Sie können eine vorhandene Microsoft Entra ID-Anwendung konfigurieren oder eine neue erstellen. So konfigurieren Sie Ihre Anwendung:

  1. Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
    • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
    • So aktualisieren Sie eine vorhandene Anwendung:
      • Rufen Sie Identität > Anwendungen > Unternehmensanwendungen auf.
      • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
  2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

    Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Um die Microsoft Entra ID-Gruppen abzurufen, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:

    1. Rufen Sie API-Berechtigungen auf.
    2. Klicken Sie auf Berechtigung hinzufügen.
    3. Wählen Sie Microsoft API aus.
    4. Wählen Sie Delegated permissions (Delegierte Berechtigungen) aus.
    5. Geben Sie im Suchfeld User.Read ein.
    6. Klicken Sie auf Berechtigungen hinzufügen.

    Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E‑Mail-Adresse für E‑Mail-fähige Gruppen abrufen.

    Wenn Sie Gruppen als Gruppen-E-Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

  4. So rufen Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
    1. Geben Sie im Suchfeld GroupMember.Read.All ein.
    2. Klicken Sie auf Berechtigungen hinzufügen.
    3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
    4. Klicken Sie im angezeigten Dialogfeld auf Ja.
    5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
    6. Klicken Sie auf Endpunkte.

    Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

    Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Mitarbeiterpool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Workforce Identity-Pools sind in allen Projekten und Ordnern in der Organisation verfügbar.
  • DISPLAY_NAME: Optional. Ein Anzeigename für den Workforce Identity-Pool.
  • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
  • SESSION_DURATION: Optional. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

Console

So erstellen Sie den Workforce Identity-Pool:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.

  3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

    1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

    3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

Die Sitzungsdauer des Workforce Identity-Pools ist standardmäßig auf eine Stunde (3.600 Sekunden) festgelegt. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Nachdem Sie den Pool erstellt haben, können Sie ihn aktualisieren, um eine benutzerdefinierte Sitzungsdauer festzulegen. Die Sitzungsdauer muss zwischen 15 Minuten (900 Sek.) und 12 Stunden (43.200 Sek.) liegen.

OIDC-Codeflow-Anbieter für Mitarbeiteridentitätspools konfigurieren

Führen Sie den folgenden Befehl aus, um den Anbieter des OIDC-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    –-extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ersetzen Sie Folgendes:

  • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
  • WORKFORCE_POOL_ID: Die ID des Workforce-Pools.
  • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
  • ISSUER_URI: Der Aussteller-URI der Microsoft Entra ID-Anwendung, die Sie zuvor in diesem Dokument erstellt haben.
  • CLIENT_ID: Die Client-ID Ihrer Microsoft Entra ID-Anwendung.
  • ATTRIBUTE_MAPPING: Die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Weitere Informationen finden Sie unter Attributzuordnung.

  • EXTRA_ATTRIBUTES_ISSUER_URI: Der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: Das zusätzliche Client-Secret aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E-Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
  • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, der beim Abfragen der Microsoft Graph API nach Gruppen verwendet wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der vom IdP abgerufenen Gruppen unter dem Limit von 999 Gruppen bleibt.

    Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat: 

    --extra-attributes-filter='"mail:sales"'

    Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.

    --extra-attributes-filter='"displayName:sales”'

  • Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

    Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

Viele Gruppen in Microsoft Entra ID mit SAML 2.0 konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit dem SAML 2.0-Protokoll bis zu 400 Gruppen aus Microsoft Entra ID der Workforce Identity-Föderation zuordnen.

Microsoft Entra ID-Anwendung konfigurieren

So konfigurieren Sie Ihre Anwendung:

  1. Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
    • Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
    • So aktualisieren Sie eine vorhandene Anwendung:
      • Rufen Sie Identität > Anwendungen > Unternehmensanwendungen auf.
      • Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
  2. Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.

    Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Um die Microsoft Entra ID-Gruppen abzurufen, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:

    1. Rufen Sie API-Berechtigungen auf.
    2. Klicken Sie auf Berechtigung hinzufügen.
    3. Wählen Sie Microsoft API aus.
    4. Wählen Sie Anwendungsberechtigungen aus.
    5. Geben Sie im Suchfeld User.ReadBasic.All ein.
    6. Klicken Sie auf Berechtigungen hinzufügen.

    Sie können die Microsoft Entra ID-Gruppen als Gruppenobjekt-IDs oder als E‑Mail-Adresse für E‑Mail-fähige Gruppen abrufen.

    Wenn Sie Gruppen als Gruppen-E-Mail-Adressen abrufen möchten, ist der nächste Schritt erforderlich.

  4. So rufen Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen ab: Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
    1. Geben Sie im Suchfeld GroupMember.Read.All ein.
    2. Klicken Sie auf Berechtigungen hinzufügen.
    3. Klicken Sie für Ihren Domainnamen auf Administratoreinwilligung erteilen.
    4. Klicken Sie im angezeigten Dialogfeld auf Ja.
    5. Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben.
    6. Klicken Sie auf Endpunkte.

    Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

    Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Mitarbeiterpool darzustellen. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  • ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Mitarbeiteridentitätspool. Workforce Identity-Pools sind in allen Projekten und Ordnern in der Organisation verfügbar.
  • DISPLAY_NAME: Optional. Ein Anzeigename für den Workforce Identity-Pool.
  • DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
  • SESSION_DURATION: Optional. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console-Anmeldesitzungen (föderiert) und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

Console

So erstellen Sie den Workforce Identity-Pool:

  1. Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

    Zu Workforce Identity-Pools

  2. Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.

  3. Klicken Sie auf Pool erstellen und gehen Sie so vor:

    1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.

    2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.

    3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

Die Sitzungsdauer des Workforce Identity-Pools ist standardmäßig auf eine Stunde (3.600 Sekunden) festgelegt. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Nachdem Sie den Pool erstellt haben, können Sie ihn aktualisieren, um eine benutzerdefinierte Sitzungsdauer festzulegen. Die Sitzungsdauer muss zwischen 15 Minuten (900 Sek.) und 12 Stunden (43.200 Sek.) liegen.

SAML 2.0-Workforce-Identitätspool-Anbieter konfigurieren

Führen Sie den folgenden Befehl aus, um den Anbieter des SAML-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    –-extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ersetzen Sie Folgendes:

  • PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
  • WORKFORCE_POOL_ID: Die ID des Workforce-Pools.
  • DISPLAY_NAME: Ein Anzeigename für den Anbieter.
  • XML_METADATA_PATH: Der Pfad zur SAML 2.0-XML-Metadatendatei.
  • ATTRIBUTE_MAPPING: Die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie beispielsweise groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Weitere Informationen finden Sie unter Attributzuordnung.

  • EXTRA_ATTRIBUTES_ISSUER_URI: Der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: Das zusätzliche Client-Secret aus Ihrer Microsoft Entra ID-Anwendung.
  • EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E-Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen.
  • EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, der beim Abfragen der Microsoft Graph API nach Gruppen verwendet wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der vom IdP abgerufenen Gruppen unter dem Limit von 999 Gruppen bleibt.

    Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat: 

    --extra-attributes-filter='"mail:sales"'

    Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.

    --extra-attributes-filter='"displayName:sales”'

  • Beim detaillierten Audit-Logging der Workforce Identity-Föderation werden Informationen, die von Ihrem IdP empfangen werden, in Logging protokolliert. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Anbieters für Workforce Identity-Pools helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierter Audit-Protokollierung finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Preisen für Logging finden Sie unter Google Cloud Observability-Preise.

    Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

Gruppen IAM-Rollen zuweisen

In diesem Abschnitt weisen Sie Gruppen Rollen für Google Cloud Ressourcen zu. Weitere Informationen zu Hauptkonto-IDs für die Mitarbeiteridentitätsföderation finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen.

Im folgenden Beispiel wird Nutzern in einer Microsoft Entra ID-Gruppe die Rolle „Storage-Administrator“ (roles/storage.admin) zugewiesen. 

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID
  • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
  • GROUP_ID: Die Gruppen-ID, die vom Wert von --extra-attributes-type abhängt, der zum Erstellen des Workforce Identity-Anbieters verwendet wurde, wie folgt:
    • azure-ad-groups-mail: Die Gruppen-ID ist eine E-Mail-Adresse, z. B. admin-group@altostrat.com.
    • azure-ad-groups-id: Die Gruppen-ID ist eine UUID für die Gruppe, z. B. abcdefgh-0123-0123-abcdef.

Anmelden und Zugriff testen

In diesem Abschnitt melden Sie sich als Workforce Identity-Pool-Nutzer an und testen, ob Sie Zugriff auf Google Cloud -Ressourcen haben.

Anmelden

In diesem Abschnitt erfahren Sie, wie Sie sich als föderierter Nutzer anmelden und aufGoogle Cloud -Ressourcen zugreifen.

(Föderierte) Anmeldung bei der Console

So melden Sie sich in der Google Cloud Console für die Mitarbeiteridentitätsföderation an, die auch als Console (föderiert) bezeichnet wird:

  1. Rufen Sie die (föderierte) Anmeldeseite der Konsole auf.

    Zur Konsole (föderiert)

  2. Geben Sie den Namen des Anbieters ein. Er muss so formatiert sein: 
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    3. Geben Sie bei Aufforderung die Nutzeranmeldedaten in Microsoft Entra ID ein.

    Wenn Sie eine IdP-initiierte Anmeldung starten, verwenden Sie die folgende Relay-URL: https://console.cloud.google/.

Browserbasierte Anmeldung bei der gcloud CLI

So melden Sie sich mit einem browserbasierten Anmeldevorgang in der gcloud CLI an:

Konfigurationsdatei erstellen

Mit dem folgenden Befehl erstellen Sie die Konfigurationsdatei für die Anmeldung. Sie können die Datei optional als Standarddatei für die gcloud CLI aktivieren, indem Sie das Flag --activate hinzufügen. Anschließend können Sie gcloud auth login ausführen, ohne den Pfad der Konfigurationsdatei jedes Mal angeben zu müssen. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Ersetzen Sie Folgendes:

  • WORKFORCE_POOL_ID: die ID des Workforce-Pools
  • PROVIDER_ID: die Anbieter-ID
  • LOGIN_CONFIG_FILE_PATH: ein Pfad zu einer von Ihnen angegebenen Konfigurationsdatei, z. B. login.json

Die Datei enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den IdP festzulegen, der im Anbieter des Mitarbeiteridentitätspools konfiguriert wurde. Die Datei enthält keine vertraulichen Informationen.

Die Ausgabe sieht dann ungefähr so aus:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://googleapis.com/v1/introspect",
}

Wenn Sie verhindern möchten, dass gcloud auth login diese Konfigurationsdatei automatisch verwendet, können Sie sie mit dem Befehl gcloud config unset auth/login_config_file deaktivieren.

Mit der browserbasierten Authentifizierung anmelden

Sie haben folgende Möglichkeiten, sich mit einer browserbasierten Anmeldung zu authentifizieren:

  • Wenn Sie das Flag --activate beim Erstellen der Konfigurationsdatei verwendet oder die Konfigurationsdatei mit gcloud config set auth/login_config_file aktiviert haben, verwendet die gcloud CLI Ihre Konfigurationsdatei automatisch: 

    gcloud auth login

  • Mit dem folgenden Befehl melden Sie sich durch Angabe des Speicherorts der Konfigurationsdatei an: 

    gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
  • Wenn Sie den Speicherort der Konfigurationsdatei mit einer Umgebungsvariable angeben möchten, legen Sie für CLOUDSDK_AUTH_LOGIN_CONFIG_FILE den Konfigurationspfad fest.

Browserbasierte Anmeldung deaktivieren

So beenden Sie die Verwendung der Konfigurationsdatei für die Anwendung:

  • Wenn Sie das Flag --activate beim Erstellen der Konfigurationsdatei verwendet oder die Konfigurationsdatei mit gcloud config set auth/login_config_file aktiviert haben, müssen Sie den folgenden Befehl ausführen, um die Festlegung aufzuheben: 

    gcloud config unset auth/login_config_file
  • Löschen Sie die Umgebungsvariable CLOUDSDK_AUTH_LOGIN_CONFIG_FILE, falls sie festgelegt ist.

Monitorlose Anmeldung bei der gcloud CLI

So melden Sie sich mit der gcloud CLI in Microsoft Entra ID an:

OIDC

  1. Führen Sie die Schritte unter Anmeldeanfrage senden aus. Melden Sie den Nutzer mithilfe von Microsoft Entra ID und OIDC in Ihrer Anwendung an.

  2. Kopieren Sie das ID-Token aus dem Parameter id_token der Weiterleitungs-URL und speichern Sie es in einer Datei an einem sicheren Ort auf Ihrem lokalen Computer, wo. Sie Im späteren Schritt PATH_TO_OIDC_ID_TOKEN auf den Pfad zu dieser Datei festlegen.

  3. Generieren Sie eine Konfigurationsdatei, die dem Beispiel weiter unten in diesem Schritt ähnelt, indem Sie den folgenden Befehl ausführen:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
    • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Workforce Identity-Pools.
    • PATH_TO_OIDC_ID_TOKEN ist der Pfad zum Speicherort der Datei, an dem das Identitätsanbieter-Token gespeichert ist.
    • WORKFORCE_POOL_USER_PROJECT: die Projektnummer oder ID, die für Kontingente und die Abrechnung verwendet wird. Das Hauptkonto muss die Berechtigung serviceusage.services.use für dieses Projekt haben.

    Wenn der Befehl abgeschlossen ist, wird die folgende Konfigurationsdatei von Microsoft Entra ID erstellt:

    {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

  4. Öffnen Sie die gcloud-CLI und führen Sie den folgenden Befehl aus:

    gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS

    Ersetzen Sie PATH_TO_OIDC_CREDENTIALS durch den Pfad zur Ausgabedatei aus einem vorherigen Schritt.

    Die gcloud-CLI sendet Ihre Anmeldedaten transparent an den Endpunkt des Security Token-Services. Auf dem Endpunkt werden sie gegen temporäre Google Cloud Zugriffstokens ausgetauscht.

    Sie können jetzt gcloud CLI-Befehle fürGoogle Cloudausführen.

SAML

  1. Melden Sie einen Nutzer bei Ihrer Microsoft Entra ID-Anwendung an und rufen Sie die SAML-Antwort ab.

  2. Speichern Sie die von Microsoft Entra ID zurückgegebene SAML-Antwort an einem sicheren Ort auf Ihrem lokalen Computer und speichern Sie den Pfad dann und zwar so:

    SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

  3. Führen Sie den folgenden Befehl aus, um eine Konfigurationsdatei für Anmeldedaten zu generieren:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

    Ersetzen Sie Folgendes:

    • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Workforce Identity-Pools, den Sie zuvor in dieser Anleitung erstellt haben
    • WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools, den Sie zuvor in dieser Anleitung erstellt haben
    • SAML_ASSERTION_PATH: der Pfad der SAML-Assertion-Datei.
    • PROJECT_ID: die Projekt-ID

    Die generierte Konfigurationsdatei sieht in etwa so aus:

    {
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

  4. Führen Sie den folgenden Befehl aus, um sich mit dem Token-Austausch der Mitarbeiteridentitätsföderation in der gcloud CLI anzumelden:

    gcloud auth login --cred-file=config.json

    Die gcloud CLI tauscht dann Ihre Microsoft Entra ID-Anmeldedaten transparent gegen temporäre Google Cloud -Zugriffstokens aus. Mit den Zugriffstokens können Sie auf Google Cloudzugreifen.

    Die Ausgabe sollte in etwa so aussehen:

    Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

  5. Führen Sie den folgenden Befehl aus, um die Konten mit Anmeldedaten und Ihr aktives Konto aufzulisten:

    gcloud auth list

Testzugriff

Sie haben jetzt Zugriff auf die Google Cloud Produkte, die die Workforce Identity-Föderation unterstützen und auf die Sie Zugriff erhalten haben. Sie haben zuvor in diesem Dokument allen Identitäten innerhalb der Gruppen-ID, die Sie in gcloud projects add-iam-policy-binding für das Projekt TEST_PROJECT_ID angegeben haben, die Rolle „Storage-Admin“ (roles/storage.admin) zugewiesen.

Sie können jetzt testen, ob Sie Zugriff haben. Dazu listen Sie Cloud Storage-Buckets auf.

Konsole (föderiert)

So testen Sie, ob Sie über die Console (föderiert) Zugriff haben:

  • Rufen Sie die Cloud Storage-Seite auf.

    Cloud Storage aufrufen

  • Prüfen Sie, ob Sie die Liste der vorhandenen Buckets für den TEST_PROJECT_ID sehen.

gcloud-CLI

Wenn Sie mit der gcloud CLI testen möchten, ob Sie Zugriff haben, können Sie Cloud Storage-Buckets und -Objekte für das Projekt auflisten, auf das Sie Zugriff haben. Führen Sie hierzu den folgenden Befehl aus. Das Hauptkonto muss die Berechtigung serviceusage.services.use für das angegebene Projekt haben.

gcloud storage ls --project="TEST_PROJECT_ID"

Nutzer löschen

Die Mitarbeiteridentitätsföderation erstellt Nutzermetadaten und -ressourcen für föderierte Nutzeridentitäten. Wenn Sie Nutzer in Ihrem IdP löschen, müssen Sie diese Ressourcen auch explizit in Google Cloudlöschen. Weitere Informationen finden Sie unter Nutzer und Daten der Mitarbeiteridentitätsföderation löschen.

Möglicherweise sind Ressourcen weiterhin einem gelöschten Nutzer zugeordnet. Das liegt daran, dass das Löschen von Nutzermetadaten und ‑ressourcen einen lang andauernden Vorgang erfordert. Nachdem Sie das Löschen der Identität eines Nutzers eingeleitet haben, können Prozesse, die der Nutzer vor dem Löschen gestartet hat, weiter ausgeführt werden, bis sie abgeschlossen oder abgebrochen werden.

Nächste Schritte