Questa guida mostra come configurare l'accesso alla console della federazione delle identità per la forza lavoro di Google Cloud, nota anche come console (federata), dal tuo provider di identità (IdP) e ti mostra come fornire istruzioni di accesso agli utenti.
Prima di iniziare
Configura la federazione delle identità per la forza lavoro nella tua organizzazione Google Cloud, inclusi un pool di identità per la forza lavoro e un provider di pool di identità per la forza lavoro. In alternativa, se utilizzi uno dei seguenti IdP, consulta le guide specifiche per l'IdP per saperne di più:
Prendi nota del nome del provider del pool di identità della forza lavoro, che utilizzerai più avanti in questa guida.
Configura gli URL di reindirizzamento nell'IdP
Puoi configurare l'IdP in modo che pubblichi una risposta dell'IdP e reindirizzi l'utente alla console (in federazione) dopo l'autenticazione dell'utente. Per farlo, devi configurare un URL di reindirizzamento e impostarlo nella configurazione dell'IdP.
Per creare l'URL di reindirizzamento, procedi nel seguente modo:
Condividi il nome del provider di pool di identità della forza lavoro con i tuoi utenti. Il formato è il seguente:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Sostituisci quanto segue:
WORKFORCE_POOL_ID
: l'ID pool di identità della forza lavoro.WORKFORCE_PROVIDER_ID
: l'ID del provider di identità per la forza lavoro.
Crea l'URL di reindirizzamento. Il formato è il seguente:
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
Sostituisci
WORKFORCE_POOL_PROVIDER_NAME
con il nome del provider di pool di identità della forza lavoro del passaggio precedente.Configura l'IdP con l'URL di reindirizzamento.
Nell'IdP, inserisci l'URL di reindirizzamento. Il campo in cui inserisci l'URL può variare.
OIDC
Nell'IdP, il campo potrebbe essere denominato
Redirect URL
oCallback URL
.L'IdP invia il token di risposta e del nome a questo URL.
SAML
Nell'IdP, il campo potrebbe essere chiamato
Single sign-on URL
oSAML assertion consumer service (ACS) URL
.L'IdP pubblica l'asserzione SAML in questo URL.
Se vuoi abilitare l'accesso avviato dall'IdP con il tuo provider SAML, inserisci il seguente URL nell'impostazione
Default RelayState
o equivalente. L'IdP reindirizza l'utente a questo URL dopo che l'utente ha eseguito l'autenticazione:https://console.cloud.google/
Informa gli utenti su come accedere
Questa sezione descrive i diversi modi in cui gli utenti possono accedere alla console (in federazione).
Avviare la procedura di accesso utilizzando un link SSO
Per avviare la procedura di accesso con il tuo IdP, puoi condividere un link con i tuoi utenti per reindirizzarli al tuo IdP senza richiedere il nome del provider. Dopo l'accesso, gli utenti vengono reindirizzati automaticamente alla console (in federazione).
Per utilizzare questo metodo, invia il seguente link di accesso ai tuoi utenti:
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
Avvia la procedura di accesso utilizzando la console (in federazione)
Per avviare la procedura di accesso dalla console (in federazione):
Fornisci agli utenti il nome del provider del pool di identità della forza lavoro descritto in precedenza in questo documento.
Fornisci ai tuoi utenti il seguente link alla console (in federazione):
https://console.cloud.google/
Quando gli utenti accedono per la prima volta alla console (in federazione), agli utenti viene chiesto di inserire il nome del provider del pool di identità della forza lavoro. Vengono poi reindirizzati all'IdP per l'autenticazione. Dopo l'autenticazione, vengono reindirizzati alla console (in federazione).
Utilizza l'accesso avviato dall'IdP SAML
La specifica SAML definisce un flusso denominato accesso avviato dall'IdP, in cui gli utenti avviano il processo di accesso presso l'IdP. Se l'IdP supporta questo flusso, puoi condividere i dettagli con i tuoi utenti.
Utilizzo della console (in federazione) e della console Google Cloud
La console (federata) fornisce un accesso limitato solo ai prodotti Google Cloud che supportano la federazione delle identità per la forza lavoro. Per questo motivo, quando utilizzi la console (in federazione), vedrai un numero limitato di prodotti Google Cloud e le UI dei prodotti stessi potrebbero presentare ulteriori limitazioni quando vengono visualizzate nella console (in federazione).
Per scoprire di più sui prodotti che supportano la federazione delle identità per la forza lavoro e le relative limitazioni, consulta Federazione delle identità per la forza lavoro: prodotti supportati e limitazioni.
La console Google Cloud, invece, può fornire accesso completo a tutti i prodotti e le funzionalità, in base ai ruoli concessi agli utenti.