本文档介绍了如何在员工身份池中配置 SCIM 租户。如需详细了解 SCIM,请参阅 员工身份联合的 SCIM 配置。
每个员工身份池仅支持一个 SCIM 租户。如需在已有一个 SCIM 租户的身份池中配置新的 SCIM 租户,您必须先硬删除现有租户。
SCIM 租户的 --claim-mapping 标志只能包含特定的通用表达式语言 (CEL) 表达式。如需了解支持哪些表达式,请参阅映射令牌和 SCIM 属性。
如需配置 跨域身份管理系统 (SCIM),请执行以下操作:
在 中配置 SCIM 租户和令牌 Google Cloud
如需在 Google Cloud中配置 SCIM 租户,请执行以下操作:
-
创建 SCIM 租户。
gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --provider="PROVIDER_ID" \ --display-name="SCIM_TENANT_DISPLAY_NAME" \ --description="SCIM_TENANT_DESCRIPTION" \ --claim-mapping="CLAIM_MAPPING" \ --location="global"请替换以下内容:
SCIM_TENANT_ID:SCIM 租户的 ID。WORKFORCE_POOL_ID:您在本文档前面部分创建的员工池的 ID。PROVIDER_ID:您在本文档前面部分创建的员工身份池提供方的 ID。SCIM_TENANT_DISPLAY_NAME:SCIM 租户的显示名称。SCIM_TENANT_DESCRIPTION:SCIM 租户的说明。CLAIM_MAPPING:属性映射的逗号分隔列表。如需查看映射属性的扩展列表,请参阅映射令牌和 SCIM 属性。建议为 Gemini Enterprise 使用以下映射:google.subject=user.emails[0].value.lowerAscii(),google.group=group.externalId您在 SCIM 租户中映射的
google.subject属性必须使用--attribute-mapping标志唯一引用在员工身份池提供方的google.subject属性中映射的相同身份。 创建 SCIM 租户后,您无法更新声明映射。如需替换,您可以硬删除 SCIM 租户,然后立即创建一个新的 SCIM 租户。如需详细了解使用 SCIM 的注意事项,请参阅 SCIM 支持。
-
命令完成后,执行以下操作:
-
在输出的
baseUri字段中,保存整个 URI,其格式为https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID。您需要向 IdP 提供此 URI。 -
此外,从 URI 中,仅保存
SCIM_TENANT_UID。 您需要在本文档后面部分使用此 UID 设置相应 SCIM 租户的 IAM 允许政策。
-
在输出的
-
创建 SCIM 令牌:
gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \ --display-name DISPLAY_NAME \ --scim-tenant SCIM_TENANT_ID \ --workforce-pool WORKFORCE_POOL_ID \ --provider PROVIDER_ID \ --location global请替换以下内容:
SCIM_TOKEN_ID:SCIM 令牌的 IDDISPLAY_NAME:SCIM 令牌的显示名称WORKFORCE_POOL_ID:员工池的 IDSCIM_TENANT_ID:SCIM 租户的 IDPROVIDER_ID:员工身份池提供方的 ID
-
gcloud iam workforce-pools providers scim-tenants tokens create命令完成后,执行以下操作:-
在输出中,保存
securityToken字段中SCIM_TOKEN的值。您需要向 IdP 提供此安全 令牌。安全令牌仅在此输出中显示, 如果丢失,您必须创建新的 SCIM 令牌。 -
如需检查
SCIM_TOKEN是否因您的 组织政策而被拒绝,请运行以下命令:curl -v -H "Authorization: Bearer SCIM_TOKEN" https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users
如果该命令因权限相关错误而失败,请运行
gcloud organizations add-iam-policy-binding,如后续步骤中所述。如果该命令成功,您可以跳过该步骤。
-
-
为 SCIM 租户和令牌设置 IAM 允许政策。如果上一步中的
curl命令 因权限相关错误而失败,则必须运行以下命令:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=serviceAccount:SERVICE_AGENT_EMAIL \ --role roles/iam.scimSyncer请替换以下内容:
- ORGANIZATION_ID:组织的 ID。
- SERVICE_AGENT_EMAIL:服务代理的邮箱。该邮箱的格式如下:
o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com。创建 SCIM 租户时,系统会返回 SCIM_TENANT_UID。
在 IdP 中配置群组时,确保每个群组的显示名称(在 displayName 字段中提供)在 SCIM 租户中都是唯一的。如需详细了解 Microsoft Entra ID 中的群组和 SCIM,请参阅群组。
在 OIDC 或 SAML IdP 中配置 SCIM
在 IdP 中,按照 IdP 文档中的说明配置 SCIM。使用在上一步中获得的 SCIM 网址和 SCIM 令牌。
更新提供方以启用 SCIM
如需为提供方启用 SCIM,请执行以下操作:
OIDC
gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=LOCATION \
--scim-usage=enabled-for-groups
请替换以下内容:
PROVIDER_ID:员工身份池提供方的 IDWORKFORCE_POOL_ID:员工池的 IDLOCATION:员工池的位置
SAML
gcloud iam workforce-pools providers update-saml PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location=LOCATION \
--scim-usage=enabled-for-groups
请替换以下内容:
PROVIDER_ID:员工身份池提供方的 IDWORKFORCE_POOL_ID:员工池的 IDLOCATION:员工池的位置
如需验证 SCIM 同步,请参阅验证 SCIM 同步。
映射令牌和 SCIM 属性
您必须在员工身份池提供方和为该提供方配置的 SCIM 租户中保持属性映射的一致性。对于员工身份池提供方,您可以使用
--attribute-mapping 标志;对于 SCIM 租户,您可以使用 --claim-mapping 标志。无论是在令牌还是
SCIM 映射中定义,映射到用户的 google.subject 的 IdP 属性都必须唯一引用同一身份。如需详细了解如何在使用 SCIM 时映射属性,请参阅 SCIM 支持部分。
下表展示了如何映射令牌声明中的属性和 SCIM 属性:
| Google 属性 | 员工身份池提供方映射 | SCIM 租户映射 |
|---|---|---|
google.subject |
assertion.sub |
user.externalId |
google.group 请务必使用 --scim-usage=enabled-for-groups 更新提供方 |
N/A |
group.externalId |
验证 SCIM 同步
配置 SCIM 后,您可以使用 curl 验证用户和群组是否正确同步到 Google Cloud。这些命令需要有效的 SCIM 令牌和 SCIM 租户 ID。
验证用户同步
如需验证用户是否已正确同步,请使用以下过滤条件搜索用户的 userName:
curl -H "Authorization: Bearer SCIM_TOKEN" \ "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users?filter=userName%20eq%20%22USER_NAME%22"
示例响应:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
"totalResults": 1,
"Resources": [
{
"id": "USER_ID",
"userName": "USER_NAME",
...
}
]
}
验证群组同步
如需验证群组是否已正确同步,请使用以下过滤条件搜索群组的 displayName:
curl -H "Authorization: Bearer SCIM_TOKEN" \ "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Groups?filter=displayName%20eq%20%22GROUP_NAME%22"
示例响应:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
"totalResults": 1,
"Resources": [
{
"id": "GROUP_ID",
"displayName": "GROUP_NAME",
...
}
]
}
验证群组成员资格
如需验证特定用户是否是群组的成员,请使用同时指定群组 ID 和用户 ID 的过滤条件。
curl -H "Authorization: Bearer SCIM_TOKEN" \ "https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Groups?filter=id%20eq%20%22GROUP_ID%22%20and%20members%20eq%20%22USER_ID%22"
如果用户是成员,则示例响应如下:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
"totalResults": 1,
"Resources": [
{
"id": "GROUP_ID",
"displayName": "GROUP_NAME",
...
}
]
}
如果用户不是成员,则示例响应如下:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
"totalResults": 0,
"Resources": []
}
注意: 如需获取 GROUP_ID 和 USER_ID,请先使用 displayName 和 userName
过滤条件查找群组和用户。ID 会在响应的 id 字段中返回。将 SCIM_TOKEN、SCIM_TENANT_UID、USER_NAME、GROUP_NAME、GROUP_ID 和 USER_ID 替换为实际值。
强制删除 SCIM 租户
如需强制删除 SCIM 租户,请执行以下操作:
- 如果为提供方设置了
--scim-usage=enabled-for-groups,请从提供方配置中将其停用:gcloud iam workforce-pools providers update-oidc PROVIDER_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --location=LOCATION \ --scim-usage=SCIM_USAGE_UNSPECIFIED请替换以下内容:
PROVIDER_ID:员工身份池提供方的 IDWORKFORCE_POOL_ID:员工池的 IDLOCATION:员工池的位置
- 删除 SCIM 租户:
gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --provider=PROVIDER_ID \ --hard-delete \ --location=global请替换以下内容:
SCIM_TENANT_ID:要删除的 SCIM 租户的 IDWORKFORCE_POOL_ID:员工池的 IDPROVIDER_ID:员工身份池提供方的 ID
后续步骤
- 删除员工身份联合用户及其数据
- 了解哪些 Google Cloud 产品支持员工身份联合
- 设置用户对控制台(联合)的访问权限