Configurar la federación de identidades para los trabajadores con Microsoft Entra ID

En este documento se explica cómo configurar la federación de identidades de los empleados con el proveedor de identidades (IdP) Microsoft Entra ID y cómo asignar hasta 400 grupos de Microsoft Entra ID a Google Cloud mediante Microsoft Graph. En el documento se explica cómo asignar roles de gestión de identidades y accesos a esos grupos y cómo iniciar sesión en Google Cloudcon usuarios de Microsoft Entra ID que sean miembros de los grupos. Los usuarios podrán acceder a los productos a los que se les haya concedido acceso de gestión de identidades y accesos y que admitan la federación de identidades de Workforce. Google Cloud

Para asignar menos de 150 grupos de Microsoft Entra ID a Google Cloud, consulta Configurar la federación de identidades para los trabajadores con Microsoft Entra ID e iniciar sesión de los usuarios.

Conceptos clave

En esta sección se describen los conceptos que se usan para configurar la federación de identidades de los empleados, que se explican más adelante en este documento.

Atributos adicionales

Para asignar hasta 400 grupos, puedes usar atributos adicionales especificando extra-attributes marcas al crear el proveedor de identidades de la plantilla. Puede usar atributos adicionales con los siguientes protocolos:

  • OIDC con flujo implícito
  • OIDC con flujo de código
  • Protocolo SAML 2.0

El número de direcciones de correo electrónico de grupo que puede emitir una aplicación de Microsoft Entra ID en un token está limitado a 150 para SAML y a 200 para JWT. Para obtener más información sobre este límite, consulta Configurar reclamaciones de grupo para aplicaciones mediante Microsoft Entra ID. Para obtener más grupos, Workforce Identity Federation usa el flujo de credenciales de cliente de OAuth 2.0 de Microsoft Identity para obtener credenciales que permitan a Workforce Identity Federation consultar la API Microsoft Graph y obtener los grupos de un usuario.

Para usar atributos adicionales, a grandes rasgos, debe hacer lo siguiente:

  • Crea una aplicación de Microsoft Entra ID o actualiza la que ya tengas para obtener las pertenencias a grupos de los usuarios desde la API Microsoft Graph. Para obtener más información sobre cómo recupera Microsoft Graph un gran número de grupos de Microsoft Entra ID, consulta Excesos de grupos.

  • Cuando creas el proveedor del grupo de identidades de Workforce, usas las marcas extra-attributes para configurar la federación de identidades de Workforce de forma que obtenga las direcciones de correo de los grupos de usuarios de la API Microsoft Graph.

La federación de identidades de Workforce puede recuperar un máximo de 999 grupos de la API Microsoft Graph. Si la API Microsoft Graph devuelve más de 999 grupos, se produce un error al iniciar sesión.

Para reducir el número de grupos que devuelve la API Microsoft Graph, puedes acotar la consulta de la federación de identidades de la plantilla mediante la marca --extra-attributes-filter al crear el proveedor del grupo de identidades de la plantilla.

Una vez que Workforce Identity Federation obtiene los grupos de la API Microsoft Graph, genera el token de acceso. La federación de identidades de Workforce puede añadir un máximo de 400 grupos al token de acceso. Por lo tanto, para filtrar aún más el número de grupos a 400 o menos, puedes especificar una asignación de atributos que contenga expresiones del lenguaje de expresiones comunes (CEL) al crear el proveedor de identidades de Workforce.

Antes de empezar

  1. Asegúrate de que tienes una organización de Google Cloud configurada.

  2. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

    gcloud init

    Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  3. En Microsoft Entra ID, asegúrate de que los tokens de ID estén habilitados para el flujo implícito. Para obtener más información, consulta Habilitar la concesión implícita de tokens de ID.
  4. Para iniciar sesión, tu proveedor de identidades debe proporcionar información de autenticación firmada: los proveedores de identidades de OIDC deben proporcionar un JWT y las respuestas de los proveedores de identidades de SAML deben estar firmadas.
  5. Para recibir información importante sobre los cambios que se produzcan en tu organización o en tusGoogle Cloud productos, debes proporcionar contactos esenciales. Para obtener más información, consulta la descripción general de la Federación de Identidades de Workforce.
  6. Todos los grupos que quieras asignar deben estar marcados como grupos de seguridad en Microsoft Entra ID.

Costes

La federación de identidades para los trabajadores está disponible como función gratuita. Sin embargo, el registro de auditoría detallado de la federación de identidades de Workforce usa Cloud Logging. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.

Roles obligatorios

Para obtener los permisos que necesitas para configurar la federación de identidades de Workforce, pide a tu administrador que te conceda el rol de administrador de grupos de Workforce de gestión de identidades y accesos (roles/iam.workforcePoolAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Si estás configurando permisos en un entorno de desarrollo o de pruebas, pero no en un entorno de producción, puedes asignar el rol básico Propietario de IAM (roles/owner), que también incluye permisos para la federación de identidades de la fuerza de trabajo.

Crear una aplicación de Microsoft Entra ID

En esta sección se explica cómo crear una aplicación de Microsoft Entra ID mediante el portal de administración de Microsoft Entra. También puedes actualizar tu aplicación. Para obtener más información, consulta el artículo Establecer aplicaciones en el ecosistema de Microsoft Entra ID.

Los grupos de identidades de Workforce admiten la federación mediante los protocolos OIDC y SAML.

OIDC

Para crear un registro de aplicación de Microsoft Entra ID que use el protocolo OIDC, haz lo siguiente:

  1. Inicia sesión en el portal de administración de Microsoft Entra.

  2. Ve a Identidad > Aplicaciones > Registros de aplicaciones.

  3. Para empezar a configurar el registro de la aplicación, haz lo siguiente:

    1. Haz clic en Nuevo registro.

    2. Escribe el nombre de la aplicación.

    3. En Tipos de cuentas admitidos, selecciona una opción.

    4. En la sección URI de redirección, en la lista desplegable Seleccionar una plataforma, selecciona Web.

    5. En el campo de texto, introduce una URL de redirección. Se redirige a los usuarios a esta URL después de que hayan iniciado sesión correctamente. Si vas a configurar el acceso a la consola (federada), usa el siguiente formato de URL:

      https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Haz los cambios siguientes:

      • WORKFORCE_POOL_ID: un ID de grupo de identidades de Workforce que usarás al crear el grupo de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-oidc-pool

      • WORKFORCE_PROVIDER_ID: ID de un proveedor de grupos de identidades de Workforce que usarás cuando crees el proveedor de grupos de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-oidc-pool-provider

        Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.

    6. Para crear el registro de la aplicación, haz clic en Registrar.

    7. Para usar la asignación de atributos de ejemplo que se proporciona más adelante en este documento, debe crear un atributo department personalizado.

SAML

Para crear un registro de aplicación de Microsoft Entra ID que use el protocolo SAML, haz lo siguiente:

  1. Inicia sesión en el portal de administración de Microsoft Entra.

  2. En el menú de navegación de la izquierda, ve a Entra ID > Aplicaciones empresariales.

  3. Para empezar a configurar la aplicación empresarial, haz lo siguiente:

    1. Haz clic en Nueva aplicación > Crea tu propia aplicación.

    2. En el panel Crea tu propia aplicación que aparece, introduce un nombre para la aplicación.

    3. Haz clic en Crear.

    4. Ve a Inicio de sesión único > SAML.

    5. Actualiza la sección Configuración básica de SAML de la siguiente manera:

      1. En el campo Identifier (Entity ID) (Identificador [ID de entidad]), introduce el siguiente valor:

        https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Haz los cambios siguientes:

        • WORKFORCE_POOL_ID: un ID de grupo de identidades de Workforce que usarás al crear el grupo de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-saml-pool

        • WORKFORCE_PROVIDER_ID: un ID de proveedor de grupos de identidades de Workforce que usarás cuando crees el proveedor de grupos de identidades de Workforce más adelante en este documento. Por ejemplo: entra-id-saml-pool-provider

          Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.

      2. En el campo URL de respuesta (URL del servicio de consumidor de aserciones), introduce una URL de redirección. Se redirige a los usuarios a esta URL después de que hayan iniciado sesión correctamente. Si vas a configurar el acceso a la consola (federada), usa el siguiente formato de URL:

        https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

        Haz los cambios siguientes:

        • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce
        • WORKFORCE_PROVIDER_ID: el ID del proveedor de identidades de la fuerza de trabajo

      3. Para habilitar el inicio de sesión iniciado por el IdP, asigna el siguiente valor al campo Relay State:

        https://console.cloud.google/

      4. Para guardar la configuración de la aplicación SAML, haz clic en Guardar.

    6. Para usar la asignación de atributos de ejemplo que se proporciona más adelante en este documento, debe crear un atributo department personalizado.

Configurar un gran número de grupos con Microsoft Entra ID

En esta sección se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de trabajo mediante los protocolos OIDC y SAML.

Configurar un gran número de grupos con Microsoft Entra ID mediante el flujo implícito de OIDC

En esta sección se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de Workforce mediante el protocolo OpenID Connect (OIDC) con flujo implícito.

Configurar la aplicación de Microsoft Entra ID

Puedes configurar una aplicación de Microsoft Entra ID que ya tengas o crear una. Para configurar tu aplicación, haz lo siguiente:

  1. En el portal de Microsoft Entra ID, haz lo siguiente:
    • Para registrar una aplicación nueva, sigue las instrucciones que se indican en el artículo Registrar una aplicación nueva.
    • Para actualizar una aplicación, sigue estos pasos:
      • Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
      • Selecciona la aplicación que quieras actualizar.
  2. Crea un secreto de cliente en la aplicación siguiendo las instrucciones de Certificados y secretos. Asegúrate de anotar el valor del secreto de cliente, ya que solo se muestra una vez.

    Anota los siguientes valores de la aplicación que has creado o actualizado. Proporcionará los valores cuando configure el proveedor de grupos de identidades de la fuerza de trabajo más adelante en este documento.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Para obtener los grupos de Microsoft Entra ID, añade el permiso de API para que la federación de identidades de los empleados pueda acceder a la información de los usuarios de Microsoft Entra ID mediante la API Microsoft Graph y concede el consentimiento de administrador. En Microsoft Entra ID, haz lo siguiente:

    1. Ve a Permisos de API.
    2. Haz clic en Añadir un permiso.
    3. Selecciona API de Microsoft.
    4. Selecciona Permisos de aplicaciones.
    5. En el campo de búsqueda, escribe User.ReadBasic.All.
    6. Haz clic en Añadir permisos.

    Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objeto de grupo (ID) o como dirección de correo de grupo para los grupos habilitados para correo.

    Si eliges recuperar los grupos como direcciones de correo electrónico de grupo, debes seguir el paso siguiente.

  4. Para obtener los grupos de Microsoft Entra ID como direcciones de correo de grupo, haz lo siguiente. Si recuperas los grupos como identificadores de objetos de grupo, sáltate este paso.
    1. En el campo de búsqueda, introduce GroupMember.Read.All.
    2. Haz clic en Añadir permisos.
    3. Haz clic en Conceder consentimiento de administrador para el nombre de tu dominio.
    4. En el cuadro de diálogo que aparece, haz clic en .
    5. Ve a la página Información general de la aplicación Microsoft Entra ID que has creado o actualizado anteriormente.
    6. Haz clic en Puntos de conexión.

    El URI del emisor es el URI del documento de metadatos de OIDC, sin la ruta /.well-known/openid-configuration.

    Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crear un grupo de identidades de Workforce

gcloud

Para crear el grupo de identidades de Workforce, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Haz los cambios siguientes:

  • WORKFORCE_POOL_ID: un ID que elijas para representar tu Google Cloud grupo de Workforce. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.
  • ORGANIZATION_ID: el ID numérico de tu organización Google Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.
  • DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.
  • DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.
  • SESSION_DURATION: opcional. La duración de la sesión, expresada como un número seguido de s. Por ejemplo, 3600s. La duración de la sesión determina cuánto tiempo son válidos los Google Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federada) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de la duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).

Consola

Para crear el grupo de identidades de Workforce, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

    Ir a Grupos de identidades de Workforce

  2. Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de la fuerza de trabajo están disponibles en todos los proyectos y carpetas de una organización.

  3. Haz clic en Crear pool y sigue estos pasos:

    1. En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.

    2. Opcional: En Descripción, escriba una descripción del grupo.

    3. Para crear el grupo de identidades de Workforce, haz clic en Siguiente.

La duración de la sesión del grupo de identidades de Workforce es de una hora (3600 s) de forma predeterminada. La duración de la sesión determina cuánto tiempo son válidas las sesiones de inicio de sesión de los tokens de acceso, la consola (federada) y la CLI de gcloud de este grupo de empleados. Google Cloud Una vez que hayas creado el grupo, podrás actualizarlo para definir una duración de sesión personalizada. La duración de la sesión debe ser de entre 15 minutos (900 s) y 12 horas (43.200 s).

Configurar el proveedor de grupos de identidades de empleados de flujo implícito de OIDC

Para crear el proveedor de grupos de identidades de empleados de OIDC, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Haz los cambios siguientes:

  • PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de proveedor o de grupo.
  • WORKFORCE_POOL_ID: el ID del grupo de trabajadores.
  • DISPLAY_NAME: nombre visible del proveedor.
  • ISSUER_URI: el URI del emisor de la aplicación de Microsoft Entra ID que has creado anteriormente en este documento.
  • CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
  • ATTRIBUTE_MAPPING: la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar los atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Para obtener más información, consulta Asignación de atributos.

  • EXTRA_ATTRIBUTES_ISSUER_URI: el URI del emisor de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: el secreto de cliente adicional de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: usa azure-ad-groups-mail para obtener las direcciones de correo de los grupos. Usa azure-ad-groups-id para obtener los IDs de los grupos.
  • EXTRA_ATTRIBUTES_FILTER: opcional. Una expresión de filtro que se usa al consultar la API Microsoft Graph para obtener grupos. Puedes usar este parámetro para asegurarte de que el número de grupos obtenidos del IdP no supere el límite de 400 grupos.

    En el siguiente ejemplo, se obtienen los grupos que tienen el prefijo sales en su ID de correo: 

    --extra-attributes-filter='"mail:sales"'

    La siguiente expresión obtiene los grupos cuyo nombre visible contiene la cadena sales.

    --extra-attributes-filter='"displayName:sales"'

  • La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

    Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Configurar un gran número de grupos en Microsoft Entra ID con el flujo de código OIDC

En esta sección se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de Workforce mediante el protocolo OIDC con flujo de código.

Configurar la aplicación de Microsoft Entra ID

Puedes configurar una aplicación de Microsoft Entra ID que ya tengas o crear una. Para configurar tu aplicación, haz lo siguiente:

  1. En el portal de Microsoft Entra ID, haz lo siguiente:
    • Para registrar una aplicación nueva, sigue las instrucciones que se indican en el artículo Registrar una aplicación nueva.
    • Para actualizar una aplicación, sigue estos pasos:
      • Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
      • Selecciona la aplicación que quieras actualizar.
  2. Crea un secreto de cliente en la aplicación siguiendo las instrucciones de Certificados y secretos. Asegúrate de anotar el valor del secreto de cliente, ya que solo se muestra una vez.

    Anota los siguientes valores de la aplicación que has creado o actualizado. Proporcionará los valores cuando configure el proveedor de grupos de identidades de la fuerza de trabajo más adelante en este documento.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Para obtener los grupos de Microsoft Entra ID, añade el permiso de API para que la federación de identidades de los empleados pueda acceder a la información de los usuarios de Microsoft Entra ID mediante la API Microsoft Graph y concede el consentimiento de administrador. En Microsoft Entra ID, haz lo siguiente:

    1. Ve a Permisos de API.
    2. Haz clic en Añadir un permiso.
    3. Selecciona API de Microsoft.
    4. Selecciona Permisos delegados.
    5. En el campo de búsqueda, escribe User.Read.
    6. Haz clic en Añadir permisos.

    Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objeto de grupo (ID) o como dirección de correo de grupo para los grupos habilitados para correo.

    Si eliges recuperar los grupos como direcciones de correo electrónico de grupo, debes seguir el paso siguiente.

  4. Para obtener los grupos de Microsoft Entra ID como direcciones de correo de grupo, haz lo siguiente. Si recuperas los grupos como identificadores de objetos de grupo, sáltate este paso.
    1. En el campo de búsqueda, introduce GroupMember.Read.All.
    2. Haz clic en Añadir permisos.
    3. Haz clic en Conceder consentimiento de administrador para el nombre de tu dominio.
    4. En el cuadro de diálogo que aparece, haz clic en .
    5. Ve a la página Información general de la aplicación Microsoft Entra ID que has creado o actualizado anteriormente.
    6. Haz clic en Puntos de conexión.

    El URI del emisor es el URI del documento de metadatos de OIDC, sin la ruta /.well-known/openid-configuration.

    Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crear un grupo de identidades de Workforce

gcloud

Para crear el grupo de identidades de Workforce, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Haz los cambios siguientes:

  • WORKFORCE_POOL_ID: un ID que elijas para representar tu Google Cloud grupo de Workforce. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.
  • ORGANIZATION_ID: el ID numérico de tu organización Google Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.
  • DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.
  • DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.
  • SESSION_DURATION: opcional. La duración de la sesión, expresada como un número seguido de s. Por ejemplo, 3600s. La duración de la sesión determina cuánto tiempo son válidos los Google Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federada) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de la duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).

Consola

Para crear el grupo de identidades de Workforce, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

    Ir a Grupos de identidades de Workforce

  2. Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de la fuerza de trabajo están disponibles en todos los proyectos y carpetas de una organización.

  3. Haz clic en Crear pool y sigue estos pasos:

    1. En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.

    2. Opcional: En Descripción, escriba una descripción del grupo.

    3. Para crear el grupo de identidades de Workforce, haz clic en Siguiente.

La duración de la sesión del grupo de identidades de Workforce es de una hora (3600 s) de forma predeterminada. La duración de la sesión determina cuánto tiempo son válidas las sesiones de inicio de sesión de los tokens de acceso, la consola (federada) y la CLI de gcloud de este grupo de empleados. Google Cloud Una vez que hayas creado el grupo, podrás actualizarlo para definir una duración de sesión personalizada. La duración de la sesión debe ser de entre 15 minutos (900 s) y 12 horas (43.200 s).

Configurar el proveedor de grupos de identidades de empleados con flujo de código OIDC

Para crear el proveedor de grupos de identidades de empleados de OIDC, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Haz los cambios siguientes:

  • PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de proveedor o de grupo.
  • WORKFORCE_POOL_ID: el ID del grupo de trabajadores.
  • DISPLAY_NAME: nombre visible del proveedor.
  • ISSUER_URI: el URI del emisor de la aplicación de Microsoft Entra ID que has creado anteriormente en este documento.
  • CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
  • ATTRIBUTE_MAPPING: la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar los atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Para obtener más información, consulta Asignación de atributos.

  • EXTRA_ATTRIBUTES_ISSUER_URI: el URI del emisor de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: el secreto de cliente adicional de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: usa azure-ad-groups-mail para obtener las direcciones de correo de los grupos. Usa azure-ad-groups-id para obtener los IDs de los grupos.
  • EXTRA_ATTRIBUTES_FILTER: opcional. Una expresión de filtro que se usa al consultar la API Microsoft Graph para obtener grupos. Puedes usar este parámetro para asegurarte de que el número de grupos obtenidos del IdP no supere el límite de 400 grupos.

    En el siguiente ejemplo, se obtienen los grupos que tienen el prefijo sales en su ID de correo: 

    --extra-attributes-filter='"mail:sales"'

    La siguiente expresión obtiene los grupos cuyo nombre visible contiene la cadena sales.

    --extra-attributes-filter='"displayName:sales"'

  • La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

    Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Configurar un gran número de grupos en Microsoft Entra ID con SAML 2.0

En esta sección se describe cómo asignar hasta 400 grupos de Microsoft Entra ID a la federación de identidades de Workforce mediante el protocolo SAML 2.0.

Configurar la aplicación de Microsoft Entra ID

Para configurar tu aplicación, haz lo siguiente:

  1. En el portal de Microsoft Entra ID, haz lo siguiente:
    • Para registrar una aplicación nueva, sigue las instrucciones que se indican en el artículo Registrar una aplicación nueva.
    • Para actualizar una aplicación, sigue estos pasos:
      • Ve a Identidad > Aplicaciones > Aplicaciones empresariales.
      • Selecciona la aplicación que quieras actualizar.
  2. Crea un secreto de cliente en la aplicación siguiendo las instrucciones de Certificados y secretos. Asegúrate de anotar el valor del secreto de cliente, ya que solo se muestra una vez.

    Anota los siguientes valores de la aplicación que has creado o actualizado. Proporcionará los valores cuando configure el proveedor de grupos de identidades de la fuerza de trabajo más adelante en este documento.

    • Client ID
    • Issuer URI
    • Client Secret
    • Tenant ID

  3. Para obtener los grupos de Microsoft Entra ID, añade el permiso de API para que la federación de identidades de los empleados pueda acceder a la información de los usuarios de Microsoft Entra ID mediante la API Microsoft Graph y concede el consentimiento de administrador. En Microsoft Entra ID, haz lo siguiente:

    1. Ve a Permisos de API.
    2. Haz clic en Añadir un permiso.
    3. Selecciona API de Microsoft.
    4. Selecciona Permisos de aplicaciones.
    5. En el campo de búsqueda, escribe User.ReadBasic.All.
    6. Haz clic en Añadir permisos.

    Puedes recuperar los grupos de Microsoft Entra ID como identificadores de objeto de grupo (ID) o como dirección de correo de grupo para los grupos habilitados para correo.

    Si eliges recuperar los grupos como direcciones de correo electrónico de grupo, debes seguir el paso siguiente.

  4. Para obtener los grupos de Microsoft Entra ID como direcciones de correo de grupo, haz lo siguiente. Si recuperas los grupos como identificadores de objetos de grupo, sáltate este paso.
    1. En el campo de búsqueda, introduce GroupMember.Read.All.
    2. Haz clic en Añadir permisos.
    3. Haz clic en Conceder consentimiento de administrador para el nombre de tu dominio.
    4. En el cuadro de diálogo que aparece, haz clic en .
    5. Ve a la página Información general de la aplicación Microsoft Entra ID que has creado o actualizado anteriormente.
    6. Haz clic en Puntos de conexión.

    El URI del emisor es el URI del documento de metadatos de OIDC, sin la ruta /.well-known/openid-configuration.

    Por ejemplo, si el documento de metadatos de OIDC es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crear un grupo de identidades de Workforce

gcloud

Para crear el grupo de identidades de Workforce, ejecuta el siguiente comando:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Haz los cambios siguientes:

  • WORKFORCE_POOL_ID: un ID que elijas para representar tu Google Cloud grupo de Workforce. Para obtener información sobre el formato del ID, consulta la sección Parámetros de consulta de la documentación de la API.
  • ORGANIZATION_ID: el ID numérico de tu organización Google Cloud para el grupo de identidades de Workforce. Los grupos de identidades de Workforce están disponibles en todos los proyectos y carpetas de la organización.
  • DISPLAY_NAME: opcional. Nombre visible del grupo de identidades de Workforce.
  • DESCRIPTION: opcional. Descripción del grupo de identidades de Workforce.
  • SESSION_DURATION: opcional. La duración de la sesión, expresada como un número seguido de s. Por ejemplo, 3600s. La duración de la sesión determina cuánto tiempo son válidos los Google Cloud tokens de acceso, las sesiones de inicio de sesión de la consola (federada) y las sesiones de inicio de sesión de la CLI de gcloud de este grupo de empleados. La duración de la sesión es de una hora (3600 s) de forma predeterminada. El valor de la duración de la sesión debe estar entre 15 minutos (900 s) y 12 horas (43.200 s).

Consola

Para crear el grupo de identidades de Workforce, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Grupos de identidades de la fuerza de trabajo:

    Ir a Grupos de identidades de Workforce

  2. Selecciona la organización de tu grupo de identidades de Workforce. Los grupos de identidades de la fuerza de trabajo están disponibles en todos los proyectos y carpetas de una organización.

  3. Haz clic en Crear pool y sigue estos pasos:

    1. En el campo Nombre, introduce el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que lo escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto al ID del grupo.

    2. Opcional: En Descripción, escriba una descripción del grupo.

    3. Para crear el grupo de identidades de Workforce, haz clic en Siguiente.

La duración de la sesión del grupo de identidades de Workforce es de una hora (3600 s) de forma predeterminada. La duración de la sesión determina cuánto tiempo son válidas las sesiones de inicio de sesión de los tokens de acceso, la consola (federada) y la CLI de gcloud de este grupo de empleados. Google Cloud Una vez que hayas creado el grupo, podrás actualizarlo para definir una duración de sesión personalizada. La duración de la sesión debe ser de entre 15 minutos (900 s) y 12 horas (43.200 s).

Configurar el proveedor de grupos de identidades de trabajo SAML 2.0

Para crear el proveedor de grupos de identidades de empleados SAML, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Haz los cambios siguientes:

  • PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de proveedor o de grupo.
  • WORKFORCE_POOL_ID: el ID del grupo de trabajadores.
  • DISPLAY_NAME: nombre visible del proveedor.
  • XML_METADATA_PATH: la ruta al archivo de metadatos XML de SAML 2.0.
  • ATTRIBUTE_MAPPING: la asignación de atributos de Microsoft Entra ID a Google Cloud. Por ejemplo, para asignar los atributos groups y subject de Microsoft Entra ID, usa la siguiente asignación de atributos: 
    --attribute-mapping=”google.groups=assertion.groups, google.subject=assertion.sub"

    Para obtener más información, consulta Asignación de atributos.

  • EXTRA_ATTRIBUTES_ISSUER_URI: el URI del emisor de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_ID: el ID de cliente de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_CLIENT_SECRET: el secreto de cliente adicional de tu aplicación de Microsoft Entra ID.
  • EXTRA_ATTRIBUTES_TYPE: usa azure-ad-groups-mail para obtener las direcciones de correo de los grupos. Usa azure-ad-groups-id para obtener los IDs de los grupos.
  • EXTRA_ATTRIBUTES_FILTER: opcional. Una expresión de filtro que se usa al consultar la API Microsoft Graph para obtener grupos. Puedes usar este parámetro para asegurarte de que el número de grupos obtenidos del IdP no supere el límite de 400 grupos.

    En el siguiente ejemplo, se obtienen los grupos que tienen el prefijo sales en su ID de correo: 

    --extra-attributes-filter='"mail:sales"'

    La siguiente expresión obtiene los grupos cuyo nombre visible contiene la cadena sales.

    --extra-attributes-filter='"displayName:sales"'

  • La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

    Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Otorgar roles de gestión de identidades y accesos a grupos

En esta sección, asignas roles a grupos en Google Cloud recursos. Para obtener más información sobre los identificadores principales de Workforce Identity Federation, consulta Representar usuarios del grupo de trabajo en políticas de IAM.

En el siguiente ejemplo, se asigna el rol Administrador de almacenamiento (roles/storage.admin) a los usuarios de un grupo de Microsoft Entra ID. 

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Haz los cambios siguientes:

  • PROJECT_ID: el ID del proyecto
  • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce
  • GROUP_ID: el identificador del grupo, que depende del valor de --extra-attributes-type que se haya usado para crear el proveedor de identidades de Workforce, de la siguiente manera:
    • azure-ad-groups-mail: el identificador del grupo es una dirección de correo electrónico. Por ejemplo: admin-group@altostrat.com
    • azure-ad-groups-id: el identificador del grupo es un UUID del grupo. Por ejemplo: abcdefgh-0123-0123-abcdef

Iniciar sesión y probar el acceso

En esta sección, iniciará sesión como usuario del grupo de identidades de empleados y comprobará que tiene acceso a los recursos de Google Cloud .

Iniciar sesión

En esta sección se explica cómo iniciar sesión como usuario federado y acceder a los recursos deGoogle Cloud .

Inicio de sesión en la consola (federado)

Para iniciar sesión en la consola de federación de trabajadores de Identity, también conocida como consola (federada), sigue estos pasos: Google Cloud

  1. Ve a la página de inicio de sesión de la consola (federada).

    Ir a la consola (federada)

  2. Introduzca el nombre del proveedor con el siguiente formato: 
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    3. Si se te pide, introduce las credenciales de usuario en Microsoft Entra ID.

    Si inicias un inicio de sesión iniciado por el proveedor de identidades, usa lo siguiente para la URL de retransmisión: https://console.cloud.google/.

Inicio de sesión basado en navegador de la CLI de gcloud

Para iniciar sesión en gcloud CLI mediante un flujo de inicio de sesión basado en navegador, haz lo siguiente:

Crear un archivo de configuración

Para crear el archivo de configuración de inicio de sesión, ejecuta el siguiente comando. También puedes activar el archivo como predeterminado para gcloud CLI añadiendo la marca --activate. Después, puedes ejecutar gcloud auth login sin especificar la ruta del archivo de configuración cada vez. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

Haz los cambios siguientes:

  • WORKFORCE_POOL_ID: el ID del grupo de trabajadores
  • PROVIDER_ID: el ID del proveedor
  • LOGIN_CONFIG_FILE_PATH: la ruta a un archivo de configuración que especifiques (por ejemplo, login.json

El archivo contiene los endpoints que usa la CLI de gcloud para habilitar el flujo de autenticación basado en navegador y definir la audiencia en el IdP que se configuró en el proveedor del grupo de identidades de Workforce. El archivo no contiene información confidencial.

El resultado es similar al siguiente:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect",
}

Para evitar que gcloud auth login use este archivo de configuración automáticamente, puedes anularlo ejecutando gcloud config unset auth/login_config_file.

Iniciar sesión con la autenticación basada en navegador

Para autenticarte mediante la autenticación de inicio de sesión basada en navegador, puedes usar uno de los siguientes métodos:

  • Si usaste la marca --activate al crear el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, la CLI de gcloud usará el archivo de configuración automáticamente: 

    gcloud auth login

  • Para iniciar sesión especificando la ubicación del archivo de configuración, ejecuta el siguiente comando: 

    gcloud auth login --login-config=LOGIN_CONFIG_FILE_PATH
  • Para usar una variable de entorno para especificar la ubicación del archivo de configuración, asigna a CLOUDSDK_AUTH_LOGIN_CONFIG_FILE la ruta de configuración.

Inhabilitar el inicio de sesión basado en navegador

Para dejar de usar el archivo de configuración de inicio de sesión, haz lo siguiente:

  • Si usaste la marca --activate al crear el archivo de configuración o si activaste el archivo de configuración con gcloud config set auth/login_config_file, debes ejecutar el siguiente comando para desactivarlo: 

    gcloud config unset auth/login_config_file
  • Borra la variable de entorno CLOUDSDK_AUTH_LOGIN_CONFIG_FILE si está definida.

Inicio de sesión sin interfaz gráfica de usuario de la CLI de gcloud

Para iniciar sesión en Microsoft Entra ID con gcloud CLI, haz lo siguiente:

OIDC

  1. Sigue los pasos que se indican en Enviar la solicitud de inicio de sesión. Inicia la sesión del usuario en tu aplicación con Microsoft Entra ID mediante OIDC.

  2. Copia el token de ID del parámetro id_token de la URL de redirección y guárdalo en un archivo en una ubicación segura de tu máquina local. En un paso posterior, asigna PATH_TO_OIDC_ID_TOKEN a la ruta de este archivo.

  3. Para generar un archivo de configuración similar al del ejemplo que se muestra más adelante en este paso, ejecuta el siguiente comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

    Haz los cambios siguientes:

    • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce.
    • WORKFORCE_PROVIDER_ID: el ID del proveedor del grupo de identidades de Workforce.
    • PATH_TO_OIDC_ID_TOKEN: la ruta a la ubicación del archivo donde se almacena el token del proveedor de identidades.
    • WORKFORCE_POOL_USER_PROJECT: el número o el ID del proyecto que se usa para la cuota y la facturación. La entidad debe tener permiso serviceusage.services.use en este proyecto.

    Cuando se complete el comando, Microsoft Entra ID creará el siguiente archivo de configuración:

    {
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

  4. Abre gcloud CLI y ejecuta el siguiente comando:

    gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS

    Sustituye PATH_TO_OIDC_CREDENTIALS por la ruta del archivo de salida de un paso anterior.

    La CLI de gcloud publica tus credenciales de forma transparente en el endpoint del servicio de tokens de seguridad. En el endpoint, se intercambia por tokens de acceso Google Cloud temporales.

    Ahora puedes ejecutar comandos de la CLI de gcloud para Google Cloud.

SAML

  1. Inicia la sesión de un usuario en tu aplicación de Microsoft Entra ID y obtén la respuesta SAML.

  2. Guarda la respuesta SAML devuelta por Microsoft Entra ID en una ubicación segura de tu equipo local y, a continuación, almacena la ruta de la siguiente manera:

    SAML_ASSERTION_PATH=SAML_ASSERTION_PATH

  3. Para generar un archivo de configuración de credenciales, ejecuta el siguiente comando:

    gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

    Haz los cambios siguientes:

    • WORKFORCE_PROVIDER_ID: el ID del proveedor de grupos de identidades de Workforce que has creado anteriormente en esta guía.
    • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce que has creado anteriormente en esta guía
    • SAML_ASSERTION_PATH: la ruta del archivo de aserción SAML
    • PROJECT_ID: el ID del proyecto

    El archivo de configuración que se genera tiene un aspecto similar al siguiente:

    {
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

  4. Para iniciar sesión en la CLI de gcloud mediante el intercambio de tokens de la federación de identidades para los trabajadores, ejecuta el siguiente comando:

    gcloud auth login --cred-file=config.json

    A continuación, la CLI de gcloud intercambia de forma transparente tus credenciales de Microsoft Entra ID por tokens de acceso temporales. Google Cloud Los tokens de acceso te permiten acceder a Google Cloud.

    Verá un resultado similar al siguiente:

    Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].

  5. Para enumerar las cuentas con credenciales y tu cuenta activa, ejecuta el siguiente comando:

    gcloud auth list

Probar acceso

Ahora tienes acceso a los Google Cloud productos compatibles con la federación de identidades de Workforce a los que se te ha concedido acceso. En este documento, ha concedido el rol Administrador de almacenamiento (roles/storage.admin) a todas las identidades del identificador de grupo que ha especificado en el gcloud projects add-iam-policy-binding del proyecto TEST_PROJECT_ID.

Ahora puede comprobar que tiene acceso enumerando los segmentos de Cloud Storage.

Consola (federada)

Para comprobar que tienes acceso mediante la consola (federada), haz lo siguiente:

  • Ve a la página de Cloud Storage.

    Ir a Cloud Storage

  • Verifica que puedes ver una lista de los contenedores del TEST_PROJECT_ID.

CLI de gcloud

Para comprobar que tienes acceso mediante la CLI de gcloud, puedes enumerar los segmentos y objetos de Cloud Storage del proyecto al que tienes acceso. Para ello, ejecuta el siguiente comando. El principal debe tener el permiso serviceusage.services.use en el proyecto especificado.

gcloud storage ls --project="TEST_PROJECT_ID"

Eliminar usuarios

Workforce Identity Federation crea metadatos y recursos de usuario para las identidades de usuario federadas. Si decides eliminar usuarios en tu proveedor de identidades, también debes eliminar explícitamente estos recursos en Google Cloud. Para ello, consulte Eliminar usuarios de la federación de identidades de la plantilla y sus datos.

Es posible que veas que los recursos siguen asociados a un usuario que se ha eliminado. Esto se debe a que la eliminación de los metadatos y los recursos de los usuarios requiere una operación de larga duración. Después de iniciar la eliminación de la identidad de un usuario, los procesos que haya iniciado antes de la eliminación pueden seguir ejecutándose hasta que se completen o se cancelen.

Siguientes pasos