Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Workforce Identity-Föderation mit Microsoft Entra ID konfigurieren

Sie können die Mitarbeiteridentitätsföderation mit dem Microsoft Entra ID-Identitätsanbieter (IdP) konfigurieren und bis zu 400 Gruppen aus Microsoft Entra ID Google Cloud über Microsoft Graph zuordnen. Anschließend können Sie diesen Gruppen IAM-Rollen zuweisen, sodass sich Microsoft Entra ID-Nutzer, die Mitglieder der Gruppen sind, in Google Cloudanmelden können. Die Nutzer können dann auf Google Cloud Produkte zugreifen, für die ihnen IAM-Zugriff gewährt wurde und die auch die Mitarbeiteridentitätsföderation unterstützen.

Wenn Sie weniger als 150 Gruppen aus Microsoft Entra ID Google Cloudzuordnen möchten, lesen Sie den Abschnitt Mitarbeiteridentitätsföderation mit Microsoft Entra ID konfigurieren und Nutzer anmelden.

Wichtige Konzepte

In diesem Abschnitt werden Konzepte beschrieben, die später in diesem Dokument zum Konfigurieren der Mitarbeiteridentitätsföderation verwendet werden.

Zusätzliche Attribute

Wenn Sie bis zu 400 Gruppen zuordnen möchten, verwenden Sie zusätzliche Attribute, indem Sie beim Erstellen des Workforce Identity-Poolanbieters extra-attributes-Flags angeben. Sie können zusätzliche Attribute mit den folgenden Protokollen verwenden:

OIDC mit implizitem Ablauf
OIDC mit Codeablauf
SAML 2.0-Protokoll

Die Anzahl der Gruppen-E-Mail-Adressen, die eine Microsoft Entra ID-Anwendung in einem Token ausgeben kann, ist auf 150 für SAML und 200 für JWT begrenzt. Weitere Informationen zu diesem Limit finden Sie unter Gruppenansprüche für Anwendungen mit Microsoft Entra ID konfigurieren. Um weitere Gruppen abzurufen, verwendet die Mitarbeiteridentitätsföderation den OAuth 2.0-Client-Anmeldedatenfluss von Microsoft Identity, um Anmeldedaten abzurufen, mit denen die Mitarbeiteridentitätsföderation die Microsoft Graph API abfragen und die Gruppen eines Nutzers abrufen kann.

Wenn Sie zusätzliche Attribute verwenden möchten, gehen Sie so vor:

Erstellen Sie eine neue Microsoft Entra ID-Anwendung oder aktualisieren Sie Ihre vorhandene Anwendung, um die Gruppenmitgliedschaften der Nutzer über die Microsoft Graph API abzurufen. Weitere Informationen dazu, wie Microsoft Graph eine große Anzahl von Gruppen aus Microsoft Entra ID abruft, finden Sie unter Group overages.
Wenn Sie den Workforce Identity-Pool-Anbieter erstellen, verwenden Sie extra-attributes-Flags, um die Mitarbeiteridentitätsföderation so zu konfigurieren, dass die Gruppen-E-Mail-Adressen oder Anzeigenamen der Nutzer aus der Microsoft Graph API abgerufen werden.

Über die Mitarbeiteridentitätsföderation können maximal 999 Gruppen aus der Microsoft Graph API abgerufen werden. Wenn die Microsoft Graph API mehr als 999 Gruppen zurückgibt, schlägt die Anmeldung fehl.

Wenn Sie die Anzahl der Gruppen reduzieren möchten, die von der Microsoft Graph API zurückgegeben werden, können Sie die Abfrage der Workforce Identity-Föderation mit dem Flag --extra-attributes-filter verfeinern, wenn Sie den Workforce Identity-Poolanbieter erstellen.

Nachdem die Workforce Identity-Föderation die Gruppen über die Microsoft Graph API abgerufen hat, wird das Zugriffstoken erstellt. Die Workforce Identity-Föderation kann dem Zugriffstoken maximal 400 Gruppen hinzufügen. Wenn Sie die Anzahl der Gruppen auf 400 oder weniger weiter filtern möchten, können Sie beim Erstellen des Workforce Identity-Pool-Anbieters eine Attributzuordnung angeben, die CEL-Ausdrücke (Common Expression Language) enthält.

Hinweis

Sie müssen eine Google Cloud Organisation eingerichtet haben.
Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
```
gcloud init
```
Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Hinweis: Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die aktuelle Version haben, indem Sie gcloud components update ausführen.
Achten Sie darauf, dass in Microsoft Entra ID ID-Tokens für den impliziten Ablauf aktiviert sind. Weitere Informationen finden Sie unter Implizite Zuweisung von ID-Tokens aktivieren.
Für die Anmeldung muss Ihr IdP signierte Authentifizierungsinformationen bereitstellen: OIDC-IdPs müssen ein JWT bereitstellen und SAML-IdP-Antworten müssen signiert sein.
Wenn Sie wichtige Informationen zu Änderungen an Ihrer Organisation oder IhrenGoogle Cloud -Produkten erhalten möchten, müssen Sie Wichtige Kontakte angeben. Weitere Informationen finden Sie unter Mitarbeiteridentitätsföderation – Übersicht.
Alle Gruppen, die Sie zuordnen möchten, müssen in Microsoft Entra ID als Sicherheitsgruppen markiert sein.
Wichtig:Es können maximal 999 Gruppen abgerufen werden.

Kosten

Die Mitarbeiteridentitätsföderation ist als kostenloses Feature verfügbar. Für detaillierte Audit-Logs der Mitarbeiteridentitätsföderation wird jedoch Cloud Logging verwendet. Informationen zu den Preisen für Logging finden Sie unter Preise für Google Cloud Observability.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle IAM-Mitarbeiterpool-Administrator (roles/iam.workforcePoolAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Mitarbeiteridentitätsföderation benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Wenn Sie Berechtigungen in einer Entwicklungs- oder Testumgebung, aber nicht in einer Produktionsumgebung konfigurieren, können Sie die einfache Rolle „IAM-Inhaber“ (roles/owner) zuweisen, die auch Berechtigungen für die Mitarbeiteridentitätsföderation enthält.

Microsoft Entra ID-Anwendung erstellen

In diesem Abschnitt erfahren Sie, wie Sie eine Microsoft Entra ID-Anwendung über das Microsoft Entra-Administratorportal erstellen. Alternativ können Sie Ihre vorhandene Anwendung aktualisieren. Weitere Informationen finden Sie unter Anwendungen im Microsoft Entra ID-Ökosystem einrichten.

Workforce Identity-Pools unterstützen die Föderation mit OIDC- und SAML-Protokollen.

OIDC

So erstellen Sie eine Microsoft Entra ID-App-Registrierung, die das OIDC-Protokoll verwendet:

Melden Sie sich im Microsoft Entra Admin Center an.
Rufen Sie die Seite Übersicht Ihrer Microsoft Entra ID-Anwendungsregistrierung auf.
Wechseln Sie zu Entra ID > App-Registrierungen.
So konfigurieren Sie die Anwendungsregistrierung:
1. Klicken Sie auf Neue Registrierung.
2. Geben Sie einen Namen für die Anwendung ein.
3. Wählen Sie unter Unterstützte Kontotypen eine Option aus.
4. Wählen Sie im Abschnitt Weiterleitungs-URI in der Drop-down-Liste Plattform auswählen die Option Web aus.
5. Geben Sie im Textfeld eine Weiterleitungs-URL ein. Ihre Nutzer werden nach der erfolgreichen Anmeldung zu dieser URL weitergeleitet. Wenn Sie den Zugriff auf die Console (föderiert) konfigurieren, müssen Sie das folgende URL-Format verwenden:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Ersetzen Sie Folgendes:
  - WORKFORCE_POOL_ID: die ID eines Workforce Identity-Pools, die Sie später in diesem Dokument verwenden, um den Workforce Identity-Pool zu erstellen, z. B.: entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID: eine ID des Anbieters des Mitarbeiteridentitätspools, die Sie verwenden, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument erstellen, z. B. entra-id-oidc-pool-provider
    
    Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
6. Klicken Sie auf Registrieren, um die Anwendungsregistrierung zu erstellen.
7. Wenn Sie die Beispielattributzuordnung verwenden möchten, die später in diesem Dokument bereitgestellt wird, müssen Sie ein benutzerdefiniertes department-Attribut erstellen.

SAML

So erstellen Sie eine Microsoft Entra ID-App-Registrierung, die das SAML-Protokoll verwendet:

Melden Sie sich im Microsoft Entra Admin Center an.
Klicken Sie im linken Navigationsmenü auf Entra ID > Unternehmensanwendungen.
So konfigurieren Sie die Unternehmensanwendung:
1. Klicken Sie auf Neue Anwendung > Eigene Anwendung erstellen.
2. Geben Sie im daraufhin angezeigten Bereich Eigene Anwendung erstellen einen Namen für die Anwendung ein.
3. Klicken Sie auf Erstellen.
4. Gehen Sie zu Einmalanmeldung (SSO) > SAML.
5. Aktualisieren Sie die grundlegende SAML-Konfiguration so:
  1. Geben Sie im Feld Identifier (Entity ID) (Kennung (Entitäts-ID)) den folgenden Wert ein:
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Ersetzen Sie Folgendes:
    - WORKFORCE_POOL_ID: eine Workforce Identity-Pool-ID, die Sie beim Erstellen des Workforce Identity-Pools später in diesem Dokument verwenden, z. B.: entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID: die ID eines Anbieters des Mitarbeiteridentitätspools, die Sie verwenden, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument erstellen, z. B. entra-id-saml-pool-provider
      
      Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
  2. Geben Sie im Feld Antwort-URL (Assertion Consumer Service-URL) eine Weiterleitungs-URL ein. Ihre Nutzer werden nach der erfolgreichen Anmeldung zu dieser URL weitergeleitet. Wenn Sie den Zugriff auf die Console (föderiert) konfigurieren, müssen Sie das folgende URL-Format verwenden:
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Ersetzen Sie Folgendes:
    - WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
    - WORKFORCE_PROVIDER_ID: die ID des Identitätsanbieters für Mitarbeiter
  3. Wenn Sie die vom IdP initiierte Anmeldung aktivieren möchten, legen Sie das Feld Relay State (Relay-Status) auf den folgenden Wert fest:
```
https://console.cloud.google/
```
  4. Klicken Sie zum Speichern der SAML-Anwendungskonfiguration auf Save.
6. Wenn Sie die Beispielattributzuordnung verwenden möchten, die später in diesem Dokument bereitgestellt wird, müssen Sie ein benutzerdefiniertes department-Attribut erstellen.

Viele Gruppen mit Microsoft Entra ID konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit den OIDC- und SAML-Protokollen bis zu 400 Gruppen aus Microsoft Entra ID der Mitarbeiteridentitätsföderation zuordnen.

Viele Gruppen mit Microsoft Entra ID mit dem impliziten OIDC-Ablauf konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie bis zu 400 Gruppen aus Microsoft Entra ID der Mitarbeiteridentitätsföderation zuordnen. Dazu verwenden Sie das OpenID Connect-Protokoll (OIDC) mit implizitem Ablauf.

Microsoft Entra ID-Anwendung konfigurieren

Sie können eine vorhandene Microsoft Entra ID-Anwendung konfigurieren oder eine neue erstellen. So konfigurieren Sie Ihre Anwendung:

Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
- Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
- So aktualisieren Sie eine vorhandene Anwendung:
  - Rufen Sie die Seite Übersicht Ihrer Microsoft Entra ID-Anwendungsregistrierung auf.
  - Wechseln Sie zu Entra ID > App-Registrierungen.
  - Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.
Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:
1. Rufen Sie die API-Berechtigungen auf.
2. Klicken Sie auf Berechtigung hinzufügen.
3. Wählen Sie Microsoft API aus.
4. Wählen Sie Anwendungsberechtigungen aus.
5. Geben Sie im Suchfeld User.ReadBasic.All ein.
6. Klicken Sie auf Berechtigungen hinzufügen.
Sie können die Microsoft Entra ID-Gruppen mithilfe einer Gruppenobjekt-ID, einer Gruppen-E-Mail-Adresse für E-Mail-aktivierte Gruppen oder eines Gruppennamens abrufen.

Wenn Sie Gruppen als Gruppen-E-Mail-Adressen oder Anzeigenamen abrufen möchten, ist der nächste Schritt erforderlich.
Wenn Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen oder Anzeigenamen abrufen möchten, gehen Sie so vor. Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
1. Rufen Sie die API-Berechtigungen auf.
2. Klicken Sie auf Berechtigung hinzufügen.
3. Wählen Sie Microsoft API aus.
4. Wählen Sie Anwendungsberechtigungen aus.
5. Geben Sie im Suchfeld GroupMember.Read.All ein.
6. Klicken Sie auf Berechtigungen hinzufügen.
Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben. Klicken Sie auf Endpunkte. Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Workforce-Pool darzustellen. Die Pool-ID muss unter allen Workforce Identity-Pools in Google Cloudglobal eindeutig sein. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Workforce Identity-Pool. Workforce Identity-Pools sind in allen Projekten und Ordnern der Organisation verfügbar.
DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
SESSION_DURATION: Optional. Die Sitzungsdauer als Zahl mit dem Suffix s, z. B. 3600s. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

Console

So erstellen Sie den Workforce Identity-Pool:

Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

Zu Workforce Identity-Pools
Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.
Klicken Sie auf Pool erstellen und gehen Sie so vor:
1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.
2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.
3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

Die Sitzungsdauer des Workforce Identity-Pools ist standardmäßig auf eine Stunde (3.600 Sekunden) festgelegt. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Nachdem Sie den Pool erstellt haben, können Sie ihn aktualisieren, um eine benutzerdefinierte Sitzungsdauer festzulegen. Die Sitzungsdauer muss zwischen 15 Minuten (900 Sek.) und 12 Stunden (43.200 Sek.) liegen.

OIDC-Workforce Identity-Pool-Anbieter für den impliziten Ablauf konfigurieren

gcloud

Führen Sie den folgenden Befehl aus, um den Anbieter des OIDC-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ersetzen Sie Folgendes:

PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
WORKFORCE_POOL_ID: die ID des Workforce-Pools.
DISPLAY_NAME: Ein Anzeigename für den Anbieter.
ISSUER_URI: der Aussteller-URI der Microsoft Entra ID-Anwendung, die Sie zuvor in diesem Dokument erstellt haben.
CLIENT_ID: die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
ATTRIBUTE_MAPPING: die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie --extra-attributes-Flags verwenden, um Gruppen aus Microsoft Entra ID abzufragen, wird jede google.groups-Zuordnung, die Standard-SAML- oder OIDC-Ansprüche verwendet, ignoriert. Wenn Sie beispielsweise die Attribute groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"
```
Weitere Informationen finden Sie unter Attributzuordnung.
EXTRA_ATTRIBUTES_ISSUER_URI: der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
Hinweis:Wenn es ein Konfigurationsproblem mit zusätzlichen Attributen gibt, z. B. eine falsche Client-ID oder ein falscher Clientschlüssel, schlägt der Anmeldeversuch fehl.
EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
EXTRA_ATTRIBUTES_CLIENT_SECRET: Der zusätzliche Clientschlüssel aus Ihrer Microsoft Entra ID-Anwendung.
EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E‑Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen. Verwenden Sie azure-ad-groups-display-name, um die Anzeigenamen der Gruppen abzurufen.
EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, mit dem die Microsoft Graph API nach Gruppen abgefragt wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der aus dem IdP abgerufenen Gruppen unter dem Limit von 400 Gruppen bleibt.
Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat:
```
--extra-attributes-filter='"mail:sales"'
```
Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.
```
--extra-attributes-filter='"displayName:sales"'
```
Die Mitarbeiteridentitätsföderation detaillierte Audit-Logs protokolliert Informationen, die von Ihrem IdP in Logging empfangen werden. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Mitarbeiteridentitäts-Poolanbieters helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierten Audit-Logs finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Logging-Preisen finden Sie unter Google Cloud Observability-Preise.

Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

Console

Rufen Sie in der Google Cloud Console die Seite Mitarbeiteridentitätspools auf:

Zu Workforce Identity-Pools

Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
Klicken Sie im Bereich Anbieter auf Anbieter hinzufügen.
Wählen Sie in der Liste Select a Provider vendor (Anbieter auswählen) Ihren Identitätsanbieter (IdP) aus.
Wenn Ihr IdP nicht aufgeführt ist, wählen Sie Generic Identity Provider aus.
Wählen Sie unter Authentifizierungsprotokoll auswählen die Option OpenID Connect (OIDC) aus.
Führen Sie im Abschnitt Anbieter erstellen die folgenden Schritte aus:
1. Geben Sie unter Name den Namen für den Anbieter ein.
2. Geben Sie unter Beschreibung die Beschreibung für den Anbieter ein.
3. Geben Sie unter Aussteller (URL) den URI des Ausstellers ein. Der OIDC-Aussteller-URI muss ein gültiges URI-Format haben und mit https beginnen. Beispiel: https://example.com/oidc
4. Geben Sie unter Client-ID die OIDC-Client-ID ein, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der aud-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.
5. Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Anbieter aktivieren aktiviert sein.
6. Klicken Sie auf Weiter.
Kopieren Sie im Abschnitt Providerinformationen für IdP freigeben die URL. Konfigurieren Sie diese URL in Ihrem IdP als Weiterleitungs-URI, damit Ihr IdP weiß, wohin das Assertion-Token nach der Anmeldung gesendet werden soll.
Klicken Sie auf Weiter.
Führen Sie im Abschnitt OIDC-Webanmeldung konfigurieren die folgenden Schritte aus:
1. Wählen Sie in der Liste Ablaufart die Option ID-Token aus.
2. In der Liste Verhalten bei Assertion-Anforderungen ist ID-Token ausgewählt.
Klicken Sie auf Weiter.
Unter Anbieter konfigurieren können Sie eine Attributzuordnung und eine Attributbedingung konfigurieren. Gehen Sie dazu so vor: Sie können entweder den Namen des IdP-Felds oder einen CEL-formatierten Ausdruck angeben, der einen String zurückgibt.
1. Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein, z. B. assertion.sub.
2. Optional: So fügen Sie zusätzliche Attributzuordnungen hinzu:
  1. Klicken Sie auf Zuordnung hinzufügen.
  2. Geben Sie in Google n, wobei n eine Zahl ist, einen der vonGoogle Cloudunterstützten Schlüssel ein.
  3. Geben Sie im entsprechenden Feld OIDC n den Namen des IdP-spezifischen Felds im CEL-Format ein.
3. So erhöhen Sie die Anzahl der Gruppen:
  1. Wählen Sie Zusätzliche Attribute verwenden aus.
  2. Geben Sie im Feld Aussteller-URI für zusätzliche Attribute die Aussteller-URL ein.
  3. Geben Sie im Feld Client-ID für zusätzliche Attribute die Client-ID ein.
  4. Geben Sie im Feld Clientschlüssel für zusätzliche Attribute den Clientschlüssel ein.
  5. Wählen Sie in der Liste Typ für zusätzliche Attribute einen Attributtyp für zusätzliche Attribute aus.
  6. Geben Sie im Feld Filter für zusätzliche Attribute einen Filterausdruck ein, mit dem die Microsoft Graph API nach Gruppen abgefragt wird.
4. So erstellen Sie eine Attributbedingung:
  1. Klicken Sie auf Bedingung hinzufügen.
  2. Geben Sie im Feld Attributbedingungen eine Bedingung im CEL-Format ein, z. B. assertion.role == 'gcp-users'. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rolle gcp-users über diesen Anbieter anmelden können.
  3. Wenn Sie das detaillierte Audit-Logging aktivieren möchten, klicken Sie unter Detaillierte Protokollierung auf den Schieberegler Audit-Logging für Attributwerte aktivieren.
    Die Mitarbeiteridentitätsföderation detaillierte Audit-Logs protokolliert Informationen, die von Ihrem IdP in Logging empfangen werden. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Mitarbeiteridentitäts-Poolanbieters helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierten Audit-Logs finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Logging-Preisen finden Sie unter Google Cloud Observability-Preise.
    
    Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.
Klicken Sie auf Senden, um den Anbieter zu erstellen.

Eine große Anzahl von Gruppen in Microsoft Entra ID mit dem OIDC-Codefluss konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie bis zu 400 Gruppen aus Microsoft Entra ID der Mitarbeiteridentitätsföderation zuordnen. Dazu verwenden Sie das OIDC-Protokoll mit Code-Ablauf.

Microsoft Entra ID-Anwendung konfigurieren

Sie können eine vorhandene Microsoft Entra ID-Anwendung konfigurieren oder eine neue erstellen. So konfigurieren Sie Ihre Anwendung:

Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
- Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
- So aktualisieren Sie eine vorhandene Anwendung:
  - Rufen Sie die Seite Übersicht Ihrer Microsoft Entra ID-Anwendungsregistrierung auf.
  - Wechseln Sie zu Entra ID > App-Registrierungen.
  - Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.
Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:
1. Rufen Sie die API-Berechtigungen auf.
2. Klicken Sie auf Berechtigung hinzufügen.
3. Wählen Sie Microsoft API aus.
4. Wählen Sie Delegated permissions (Delegierte Berechtigungen) aus.
5. Geben Sie im Suchfeld User.Read ein.
6. Klicken Sie auf Berechtigungen hinzufügen.
Sie können die Microsoft Entra ID-Gruppen mithilfe einer Gruppenobjekt-ID, einer Gruppen-E-Mail-Adresse für E-Mail-aktivierte Gruppen oder eines Gruppennamens abrufen.

Wenn Sie Gruppen als Gruppen-E-Mail-Adressen oder Anzeigenamen abrufen möchten, ist der nächste Schritt erforderlich.
Wenn Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen oder Anzeigenamen abrufen möchten, gehen Sie so vor. Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
1. Rufen Sie die API-Berechtigungen auf.
2. Klicken Sie auf Berechtigung hinzufügen.
3. Wählen Sie Microsoft API aus.
4. Wählen Sie Delegated permissions (Delegierte Berechtigungen) aus.
5. Geben Sie im Suchfeld GroupMember.Read.All ein.
6. Klicken Sie auf Berechtigungen hinzufügen.
Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben. Klicken Sie auf Endpunkte. Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Workforce-Pool darzustellen. Die Pool-ID muss unter allen Workforce Identity-Pools in Google Cloudglobal eindeutig sein. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Workforce Identity-Pool. Workforce Identity-Pools sind in allen Projekten und Ordnern der Organisation verfügbar.
DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
SESSION_DURATION: Optional. Die Sitzungsdauer als Zahl mit dem Suffix s, z. B. 3600s. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

Console

So erstellen Sie den Workforce Identity-Pool:

Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

Zu Workforce Identity-Pools
Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.
Klicken Sie auf Pool erstellen und gehen Sie so vor:
1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.
2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.
3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

OIDC-Codeflow-Anbieter für Mitarbeiteridentitätspools konfigurieren

gcloud

Führen Sie den folgenden Befehl aus, um den Anbieter des OIDC-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ersetzen Sie Folgendes:

PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
WORKFORCE_POOL_ID: die ID des Workforce-Pools.
DISPLAY_NAME: Ein Anzeigename für den Anbieter.
ISSUER_URI: der Aussteller-URI der Microsoft Entra ID-Anwendung, die Sie zuvor in diesem Dokument erstellt haben.
CLIENT_ID: die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
ATTRIBUTE_MAPPING: die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie --extra-attributes-Flags verwenden, um Gruppen aus Microsoft Entra ID abzufragen, wird jede google.groups-Zuordnung, die Standard-SAML- oder OIDC-Ansprüche verwendet, ignoriert. Wenn Sie beispielsweise die Attribute groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"
```
Weitere Informationen finden Sie unter Attributzuordnung.
EXTRA_ATTRIBUTES_ISSUER_URI: der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
Hinweis:Wenn es ein Konfigurationsproblem mit zusätzlichen Attributen gibt, z. B. eine falsche Client-ID oder ein falscher Clientschlüssel, schlägt der Anmeldeversuch fehl.
EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
EXTRA_ATTRIBUTES_CLIENT_SECRET: Der zusätzliche Clientschlüssel aus Ihrer Microsoft Entra ID-Anwendung.
EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E‑Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen. Verwenden Sie azure-ad-groups-display-name, um die Anzeigenamen der Gruppen abzurufen.
EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, mit dem die Microsoft Graph API nach Gruppen abgefragt wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der aus dem IdP abgerufenen Gruppen unter dem Limit von 400 Gruppen bleibt.
Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat:
```
--extra-attributes-filter='"mail:sales"'
```
Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.
```
--extra-attributes-filter='"displayName:sales"'
```
Die Mitarbeiteridentitätsföderation detaillierte Audit-Logs protokolliert Informationen, die von Ihrem IdP in Logging empfangen werden. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Mitarbeiteridentitäts-Poolanbieters helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierten Audit-Logs finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Logging-Preisen finden Sie unter Google Cloud Observability-Preise.

Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

Console

Rufen Sie in der Google Cloud Console die Seite Mitarbeiteridentitätspools auf:

Zu Workforce Identity-Pools

Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
Klicken Sie im Bereich Anbieter auf Anbieter hinzufügen.
Wählen Sie in der Liste Select a Provider vendor (Anbieter auswählen) Ihren Identitätsanbieter (IdP) aus.
Wenn Ihr IdP nicht aufgeführt ist, wählen Sie Generic Identity Provider aus.
Wählen Sie unter Authentifizierungsprotokoll auswählen die Option OpenID Connect (OIDC) aus.
Führen Sie im Abschnitt Anbieter erstellen die folgenden Schritte aus:
1. Geben Sie unter Name den Namen für den Anbieter ein.
2. Geben Sie unter Beschreibung die Beschreibung für den Anbieter ein.
3. Geben Sie unter Aussteller (URL) den URI des Ausstellers ein. Der OIDC-Aussteller-URI muss ein gültiges URI-Format haben und mit https beginnen. Beispiel: https://example.com/oidc
4. Geben Sie unter Client-ID die OIDC-Client-ID ein, die bei Ihrem OIDC-IdP registriert ist. Die ID muss mit der aud-Anforderung des JWT übereinstimmen, die von Ihrem IdP ausgestellt wird.
5. Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Anbieter aktivieren aktiviert sein.
6. Klicken Sie auf Weiter.
Kopieren Sie im Abschnitt Providerinformationen für IdP freigeben die URL. Konfigurieren Sie diese URL in Ihrem IdP als Weiterleitungs-URI, damit Ihr IdP weiß, wohin das Assertion-Token nach der Anmeldung gesendet werden soll.
Klicken Sie auf Weiter.
Führen Sie im Abschnitt OIDC-Webanmeldung konfigurieren die folgenden Schritte aus:
1. Wählen Sie in der Liste Ablaufart die Option Code aus.
2. Wählen Sie in der Liste Verhalten bei Assertion-Anforderungen eine der folgenden Optionen aus:
  - Nutzerinformationen und ID-Token
  - Nur ID-Token
3. Geben Sie im Feld Clientschlüssel den Clientschlüssel von Ihrem IdP ein.
Klicken Sie auf Weiter.
Unter Anbieter konfigurieren können Sie eine Attributzuordnung und eine Attributbedingung konfigurieren. Gehen Sie dazu so vor: Sie können entweder den Namen des IdP-Felds oder einen CEL-formatierten Ausdruck angeben, der einen String zurückgibt.
1. Erforderlich: Geben Sie in OIDC 1 den Betreff des IdP ein, z. B. assertion.sub.
2. Optional: So fügen Sie zusätzliche Attributzuordnungen hinzu:
  1. Klicken Sie auf Zuordnung hinzufügen.
  2. Geben Sie in Google n, wobei n eine Zahl ist, einen der vonGoogle Cloudunterstützten Schlüssel ein.
  3. Geben Sie im entsprechenden Feld OIDC n den Namen des IdP-spezifischen Felds im CEL-Format ein.
3. So erhöhen Sie die Anzahl der Gruppen:
  1. Wählen Sie Zusätzliche Attribute verwenden aus.
  2. Geben Sie im Feld Aussteller-URI für zusätzliche Attribute die Aussteller-URL ein.
  3. Geben Sie im Feld Client-ID für zusätzliche Attribute die Client-ID ein.
  4. Geben Sie im Feld Clientschlüssel für zusätzliche Attribute den Clientschlüssel ein.
  5. Wählen Sie in der Liste Typ für zusätzliche Attribute einen Attributtyp für zusätzliche Attribute aus.
  6. Geben Sie im Feld Filter für zusätzliche Attribute einen Filterausdruck ein, mit dem die Microsoft Graph API nach Gruppen abgefragt wird.
4. So erstellen Sie eine Attributbedingung:
  1. Klicken Sie auf Bedingung hinzufügen.
  2. Geben Sie im Feld Attributbedingungen eine Bedingung im CEL-Format ein, z. B. assertion.role == 'gcp-users'. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit der Rolle gcp-users über diesen Anbieter anmelden können.
  3. Wenn Sie das detaillierte Audit-Logging aktivieren möchten, klicken Sie unter Detaillierte Protokollierung auf den Schieberegler Audit-Logging für Attributwerte aktivieren.
    Die Mitarbeiteridentitätsföderation detaillierte Audit-Logs protokolliert Informationen, die von Ihrem IdP in Logging empfangen werden. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Mitarbeiteridentitäts-Poolanbieters helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierten Audit-Logs finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Logging-Preisen finden Sie unter Google Cloud Observability-Preise.
    
    Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.
Klicken Sie auf Senden, um den Anbieter zu erstellen.

Viele Gruppen in Microsoft Entra ID mit SAML 2.0 konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit dem SAML 2.0-Protokoll bis zu 400 Gruppen aus Microsoft Entra ID der Mitarbeiteridentitätsföderation zuordnen.

Microsoft Entra ID-Anwendung konfigurieren

So konfigurieren Sie Ihre Anwendung:

Führen Sie im Microsoft Entra ID-Portal die folgenden Schritte aus:
- Folgen Sie der Anleitung unter Neue Anwendung registrieren, um eine neue Anwendung zu registrieren.
- So aktualisieren Sie eine vorhandene Anwendung:
  - Rufen Sie die Seite Übersicht Ihrer Microsoft Entra ID-Anwendungsregistrierung auf.
  - Wechseln Sie zu Entra ID > App-Registrierungen.
  - Wählen Sie die Anwendung aus, die Sie aktualisieren möchten.
Erstellen Sie einen neuen Clientschlüssel in der Anwendung. Folgen Sie dazu der Anleitung unter Zertifikate und Secrets. Notieren Sie sich den Clientschlüsselwert, da er nur einmal angezeigt wird.
Notieren Sie sich die folgenden Werte aus der Anwendung, die Sie erstellt oder aktualisiert haben. Sie geben die Werte an, wenn Sie den Anbieter des Mitarbeiteridentitätspools später in diesem Dokument konfigurieren.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Wenn Sie die Microsoft Entra ID-Gruppen abrufen möchten, fügen Sie die API-Berechtigung hinzu, damit Workforce Identity Federation über die Microsoft Graph API auf Nutzerinformationen aus Microsoft Entra ID zugreifen kann, und erteilen Sie die Administratorzustimmung. Gehen Sie in Microsoft Entra ID so vor:
1. Rufen Sie die API-Berechtigungen auf.
2. Klicken Sie auf Berechtigung hinzufügen.
3. Wählen Sie Microsoft API aus.
4. Wählen Sie Anwendungsberechtigungen aus.
5. Geben Sie im Suchfeld User.ReadBasic.All ein.
6. Klicken Sie auf Berechtigungen hinzufügen.
Sie können die Microsoft Entra ID-Gruppen mithilfe einer Gruppenobjekt-ID, einer Gruppen-E-Mail-Adresse für E-Mail-aktivierte Gruppen oder eines Gruppennamens abrufen.

Wenn Sie Gruppen als Gruppen-E-Mail-Adressen oder Anzeigenamen abrufen möchten, ist der nächste Schritt erforderlich.
Wenn Sie die Microsoft Entra ID-Gruppen als Gruppen-E-Mail-Adressen oder Anzeigenamen abrufen möchten, gehen Sie so vor. Wenn Sie Gruppen als Gruppenobjekt-IDs abrufen, überspringen Sie diesen Schritt.
1. Rufen Sie die API-Berechtigungen auf.
2. Klicken Sie auf Berechtigung hinzufügen.
3. Wählen Sie Microsoft API aus.
4. Wählen Sie Anwendungsberechtigungen aus.
5. Geben Sie im Suchfeld GroupMember.Read.All ein.
6. Klicken Sie auf Berechtigungen hinzufügen.
Rufen Sie die Seite Übersicht der Microsoft Entra ID-Anwendung auf, die Sie zuvor erstellt oder aktualisiert haben. Klicken Sie auf Endpunkte. Der Aussteller-URI ist der URI des OIDC-Metadatendokuments ohne den Pfad /.well-known/openid-configuration.

Wenn das OIDC-Metadatendokument beispielsweise https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration ist, lautet der Aussteller-URI https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Workforce Identity-Pool erstellen

gcloud

Führen Sie folgenden Befehl aus, um den Workforce Identity-Pool zu erstellen:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Ersetzen Sie Folgendes:

WORKFORCE_POOL_ID: Eine ID, die Sie ausgewählt haben, um den Google Cloud Workforce-Pool darzustellen. Die Pool-ID muss unter allen Workforce Identity-Pools in Google Cloudglobal eindeutig sein. Informationen zum Formatieren der ID finden Sie in der API-Dokumentation im Abschnitt Abfrageparameter.
ORGANIZATION_ID: die numerische Organisations-ID Ihrer Google Cloud Organisation für den Workforce Identity-Pool. Workforce Identity-Pools sind in allen Projekten und Ordnern der Organisation verfügbar.
DISPLAY_NAME: Optional. Ein Anzeigename für Ihren Workforce Identity-Pool.
DESCRIPTION: Optional. Beschreibung des Workforce Identity-Pools.
SESSION_DURATION: Optional. Die Sitzungsdauer als Zahl mit dem Suffix s, z. B. 3600s. Die Sitzungsdauer bestimmt, wie lange die Google Cloud -Zugriffstokens, die Console (föderiert)-Anmeldesitzungen und die gcloud CLI-Anmeldungssitzungen aus diesem Workforce-Pool gültig sind. Die Sitzungsdauer beträgt standardmäßig eine Stunde (3.600 Sekunden). Der Wert für die Sitzungsdauer muss zwischen 15 Minuten (900 Sekunden) und 12 Stunden (43.200 Sekunden) liegen.

Console

So erstellen Sie den Workforce Identity-Pool:

Rufen Sie in der Google Cloud Console die Seite Workforce Identity-Pools auf:

Zu Workforce Identity-Pools
Wählen Sie die Organisation für Ihren Pool der Mitarbeiteridentitätsföderation aus. Workforce Identity-Pools sind in allen Projekten und Ordnern einer Organisation verfügbar.
Klicken Sie auf Pool erstellen und gehen Sie so vor:
1. Geben Sie im Feld Name den Anzeigenamen des Pools ein. Die Pool-ID wird während der Eingabe automatisch aus dem Namen abgeleitet und unter dem Feld Name angezeigt. Sie können die Pool-ID aktualisieren, indem Sie neben der Pool-ID auf Bearbeiten klicken.
2. Optional: Geben Sie unter Beschreibung eine Beschreibung des Pools ein.
3. Klicken Sie zum Erstellen des Workforce Identity-Pools auf Weiter.

SAML 2.0-Anbieter für Mitarbeiteridentitätspool konfigurieren

gcloud

Führen Sie den folgenden Befehl aus, um den Anbieter des SAML-Mitarbeiteridentitätspools zu erstellen:

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Ersetzen Sie Folgendes:

PROVIDER_ID: eine eindeutige Anbieter-ID Das Präfix gcp- ist reserviert und kann nicht in einem Pool oder einer Anbieter-ID verwendet werden.
WORKFORCE_POOL_ID: die ID des Workforce-Pools.
DISPLAY_NAME: Ein Anzeigename für den Anbieter.
XML_METADATA_PATH: der Pfad zur SAML 2.0-XML-Metadatendatei.
ATTRIBUTE_MAPPING: die Zuordnung von Attributen aus Microsoft Entra ID zu Google Cloud. Wenn Sie --extra-attributes-Flags verwenden, um Gruppen aus Microsoft Entra ID abzufragen, wird jede google.groups-Zuordnung, die Standard-SAML- oder OIDC-Ansprüche verwendet, ignoriert. Wenn Sie beispielsweise die Attribute groups und subject aus Microsoft Entra ID zuordnen möchten, verwenden Sie die folgende Attributzuordnung:
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"
```
Weitere Informationen finden Sie unter Attributzuordnung.
EXTRA_ATTRIBUTES_ISSUER_URI: der Aussteller-URI aus Ihrer Microsoft Entra ID-Anwendung.
Hinweis:Wenn es ein Konfigurationsproblem mit zusätzlichen Attributen gibt, z. B. eine falsche Client-ID oder ein falscher Clientschlüssel, schlägt der Anmeldeversuch fehl.
EXTRA_ATTRIBUTES_CLIENT_ID: Die Client-ID aus Ihrer Microsoft Entra ID-Anwendung.
EXTRA_ATTRIBUTES_CLIENT_SECRET: Der zusätzliche Clientschlüssel aus Ihrer Microsoft Entra ID-Anwendung.
EXTRA_ATTRIBUTES_TYPE: Verwenden Sie azure-ad-groups-mail, um die E‑Mail-Adressen der Gruppen abzurufen. Verwenden Sie azure-ad-groups-id, um die IDs der Gruppen abzurufen. Verwenden Sie azure-ad-groups-display-name, um die Anzeigenamen der Gruppen abzurufen.
EXTRA_ATTRIBUTES_FILTER: Optional. Ein Filterausdruck, mit dem die Microsoft Graph API nach Gruppen abgefragt wird. Mit diesem Parameter können Sie dafür sorgen, dass die Anzahl der aus dem IdP abgerufenen Gruppen unter dem Limit von 400 Gruppen bleibt.
Im folgenden Beispiel werden die Gruppen abgerufen, deren E-Mail-ID das Präfix sales hat:
```
--extra-attributes-filter='"mail:sales"'
```
Der folgende Ausdruck ruft Gruppen mit einem Anzeigenamen ab, der den String sales enthält.
```
--extra-attributes-filter='"displayName:sales"'
```
Die Mitarbeiteridentitätsföderation detaillierte Audit-Logs protokolliert Informationen, die von Ihrem IdP in Logging empfangen werden. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Mitarbeiteridentitäts-Poolanbieters helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierten Audit-Logs finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Logging-Preisen finden Sie unter Google Cloud Observability-Preise.

Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.

Console

Rufen Sie in der Google Cloud Console die Seite Mitarbeiteridentitätspools auf:

Zu Workforce Identity-Pools

Wählen Sie in der Tabelle Workforce Identity-Pools den Pool aus, für den Sie den Anbieter erstellen möchten.
Klicken Sie im Bereich Anbieter auf Anbieter hinzufügen.
Wählen Sie in der Liste Select a Provider vendor (Anbieter auswählen) Ihren Identitätsanbieter (IdP) aus.
Wenn Ihr IdP nicht aufgeführt ist, wählen Sie Generic Identity Provider aus.
Wählen Sie unter Authentifizierungsprotokoll auswählen die Option SAML aus.
Führen Sie im Abschnitt Anbieter erstellen die folgenden Schritte aus:
1. Geben Sie unter Name einen Namen für den Anbieter ein.
2. Optional: Geben Sie unter Beschreibung eine Beschreibung für den Anbieter ein.
3. Wählen Sie in der IdP-Metadatendatei (XML) die XML-Metadatendatei aus, die Sie zuvor in dieser Anleitung generiert haben.
4. Wenn Sie einen aktivierten Anbieter erstellen möchten, muss die Option Anbieter aktivieren aktiviert sein.
5. Klicken Sie auf Weiter.
Kopieren Sie im Abschnitt Share your provider information (Informationen zum Anbieter freigeben) die URLs. Konfigurieren Sie in Ihrem IdP die erste URL als Entitäts-ID, mit der Ihre Anwendung gegenüber dem IdP identifiziert wird. Konfigurieren Sie die andere URL als Weiterleitungs-URI, damit Ihr IdP weiß, wohin das Assertion-Token nach der Anmeldung gesendet werden soll.
Klicken Sie auf Weiter.
Führen Sie im Abschnitt Anbieter konfigurieren die folgenden Schritte aus:
1. Geben Sie unter Attributzuordnung einen CEL-Ausdruck für google.subject ein.
2. Optional: Wenn Sie andere Zuordnungen eingeben möchten, klicken Sie auf Zuordnung hinzufügen und geben Sie andere Zuordnungen ein. Beispiel:
3. Wenn Sie Microsoft Entra ID als IdP ausgewählt haben, können Sie die Anzahl der Gruppen erhöhen.
  1. Wählen Sie Zusätzliche Attribute verwenden aus.
  2. Geben Sie im Feld Aussteller-URI für zusätzliche Attribute die Aussteller-URL ein.
  3. Geben Sie im Feld Client-ID für zusätzliche Attribute die Client-ID ein.
  4. Geben Sie im Feld Clientschlüssel für zusätzliche Attribute den Clientschlüssel ein.
  5. Wählen Sie in der Liste Typ für zusätzliche Attribute einen Attributtyp für zusätzliche Attribute aus.
  6. Geben Sie im Feld Filter für zusätzliche Attribute einen Filterausdruck ein, der beim Abfragen der Microsoft Graph API nach Gruppen verwendet wird.
4. Optional: Klicken Sie auf Bedingung hinzufügen und geben Sie einen CEL-Ausdruck ein, der eine Attributbedingung darstellt, um eine Attributbedingung hinzuzufügen. Wenn Sie beispielsweise das Attribut ipaddr auf einen bestimmten IP-Bereich beschränken möchten, können Sie die Bedingung assertion.attributes.ipaddr.startsWith('98.11.12.') festlegen. Durch diese Beispielbedingung wird gewährleistet, dass sich nur Nutzer mit einer IP-Adresse, die mit 98.11.12. beginnt, über diesen Workforce-anbieter anmelden können.
5. Klicken Sie auf Weiter.
6. Wenn Sie das detaillierte Audit-Logging aktivieren möchten, klicken Sie unter Detaillierte Protokollierung auf den Schieberegler Audit-Logging für Attributwerte aktivieren.
  Die Mitarbeiteridentitätsföderation detaillierte Audit-Logs protokolliert Informationen, die von Ihrem IdP in Logging empfangen werden. Detaillierte Audit-Logs können Ihnen bei der Fehlerbehebung bei der Konfiguration Ihres Mitarbeiteridentitäts-Poolanbieters helfen. Informationen zur Fehlerbehebung bei Attributzuordnungsfehlern mit detaillierten Audit-Logs finden Sie unter Allgemeine Attributzuordnungsfehler. Informationen zu den Logging-Preisen finden Sie unter Google Cloud Observability-Preise.
  
  Wenn Sie die detaillierte Audit-Protokollierung für einen Workforce Identity-Pool-Anbieter deaktivieren möchten, lassen Sie das Flag --detailed-audit-logging weg, wenn Sie gcloud iam workforce-pools providers create ausführen. Wenn Sie das detaillierte Audit-Logging deaktivieren möchten, können Sie auch den Anbieter aktualisieren.
Klicken Sie auf Senden, um den Anbieter zu erstellen.

Anbieterkonfiguration überprüfen

Bevor Sie den Anmeldevorgang für Endnutzer testen, können Sie prüfen, ob Ihre Anbieterkonfiguration korrekt ist und Google Cloud Tokens mit Ihrem IdP austauschen kann.

Die Seite Anbieterattribute validieren in der Google Cloud Console enthält einen Attributbetrachter, mit dem Sie Ihre Konfiguration interaktiv testen und CEL-Ausdrücke (Common Expression Language) debuggen können. Mit der Attributansicht haben Sie folgende Möglichkeiten:

Sehen Sie sich die Rohattribute an, die in der IdP-Assertion gesendet wurden.
Prüfen Sie, ob die Attributzuordnungen und ‑bedingungen diese Attribute richtig transformieren.
Komplexe CEL-Ausdrücke in Echtzeit debuggen

So überprüfen Sie die Konfiguration Ihres Anbieters:

Wenn Sie den browserbasierten Anmeldevorgang für die Mitarbeiteridentitätsföderation aktivieren möchten, fügen Sie https://auth.cloud.google/signin-callback/locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID der Liste der zulässigen Weiterleitungs-URIs Ihres IdP hinzu.
Rufen Sie in der Google Cloud Console Workforce Identity-Pools auf.
Zu Workforce Identity-Pools
Klicken Sie in der Liste der Pools auf den Namen des Pools, den Sie prüfen möchten.
Klicken Sie auf der Seite Workforce-Pool-Details auf den Namen des IdP, den Sie bestätigen möchten.
Klicken Sie auf der Seite Provider Details (Details zum Anbieter) auf Debug IdP token (IdP-Token debuggen).
Melden Sie sich im Dialogfeld Sign in (Anmelden) als Testnutzer bei Ihrem IdP an.

Auf der Seite Anbieterattribute validieren werden die zugeordneten Attribute und das Ergebnis der Attributbedingung angezeigt.

Im Bereich Zugeordnete Attribute aus Ihrem IdP-Token sehen Sie, wie Google-Attribute wie google.subject basierend auf Ihrer Zuordnungskonfiguration aus dem Token Ihres Identitätsanbieters (IdP) übernommen werden. Wenn eine Zuordnung falsch ist, wird ein Fehlersymbol angezeigt.

Im Bereich Attributbedingung wird das boolesche Ergebnis Ihrer Bedingung angezeigt. Wenn die Bedingung false ergibt, wird die Anmeldung blockiert.

Wenn Sie das vollständige Assertion-Token aufrufen möchten, klicken Sie auf Vollständiges Token ansehen. Dadurch wird das Roh-JSON-Objekt von Ihrem IdP angezeigt. Verweisen Sie in Ihren Zuordnungen mit dem Format assertion.PROPERTY_NAME auf eine Eigenschaft der obersten Ebene.

Anbieterkonfiguration bearbeiten

So beheben Sie Fehler:

Klicken Sie auf der Seite Anbieterattribute bestätigen auf Bearbeiten.
Nehmen Sie die erforderlichen Änderungen vor.
Wenn Sie einen neuen Test starten und die aktualisierten Ergebnisse sehen möchten, klicken Sie auf Save and refetch token (Token speichern und neu abrufen).

Gruppen IAM-Rollen zuweisen

In diesem Abschnitt weisen Sie Gruppen Rollen für Google Cloud -Ressourcen zu. Weitere Informationen zu Hauptkonto-IDs für die Mitarbeiteridentitätsföderation finden Sie unter Mitarbeiterpoolnutzer in IAM-Richtlinien darstellen.

Im folgenden Beispiel wird Nutzern in einer Microsoft Entra ID-Gruppe die Rolle „Storage-Administrator“ (roles/storage.admin) zugewiesen.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Ersetzen Sie Folgendes:

PROJECT_ID: die Projekt-ID
WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
GROUP_ID: die Gruppen-ID, die vom Wert von --extra-attributes-type abhängt, der zum Erstellen des Bereitstellers des Mitarbeiteridentitätspools verwendet wurde:
- azure-ad-groups-mail: Die Gruppen-ID ist eine E-Mail-Adresse, z. B. admin-group@altostrat.com.
- azure-ad-groups-id: Die Gruppen-ID ist eine UUID für die Gruppe, z. B. abcdefgh-0123-0123-abcdef.

In diesem Abschnitt melden Sie sich als Workforce Identity-Pool-Nutzer an und testen, ob Sie Zugriff auf Google Cloud -Ressourcen haben.

In diesem Abschnitt erfahren Sie, wie Sie sich als föderierter Nutzer anmelden und aufGoogle Cloud -Ressourcen zugreifen.

So melden Sie sich in der Google Cloud Console für die Mitarbeiteridentitätsföderation an, die auch als Console (föderiert) bezeichnet wird:

Rufen Sie die (föderierte) Anmeldeseite der Konsole auf.

Zur Konsole (föderiert)

Geben Sie den Namen des Anbieters ein. Er muss so formatiert sein:

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Geben Sie bei Aufforderung die Nutzeranmeldedaten in Microsoft Entra ID ein.

Wenn Sie eine IdP-initiierte Anmeldung starten, verwenden Sie die folgende Relay-URL: https://console.cloud.google/.

So melden Sie sich mit einem browserbasierten Anmeldevorgang in der gcloud CLI an:

Konfigurationsdatei erstellen

Führen Sie den folgenden Befehl aus, um eine Konfigurationsdatei für die Anmeldung zu erstellen:

Linux und macOS

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --output-file=LOGIN_CONFIG_PATH

Windows (PowerShell)

gcloud iam workforce-pools create-login-config `
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID `
    --output-file=LOGIN_CONFIG_PATH

Hinweis:Optional können Sie die Anmeldekonfigurationsdatei als Standard für die gcloud CLI aktivieren, indem Sie das Flag --activate hinzufügen. Anschließend können Sie gcloud auth login ausführen, um die gcloud CLI zu autorisieren, ohne den Pfad der Anmeldekonfigurationsdatei jedes Mal angeben zu müssen.

Ersetzen Sie Folgendes:

WORKFORCE_POOL_ID: Die ID des Pools für die Mitarbeiteridentitätsföderation.
WORKFORCE_PROVIDER_ID: Die ID des Anbieters der Mitarbeiteridentitätsföderation.
LOGIN_CONFIG_PATH: Der Pfad, in den die Anmeldekonfigurationsdatei geschrieben werden soll. Beispiel: login-config.json.

Die Konfigurationsdatei für die Anmeldung enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den IdP festzulegen, der im Workforce Identity-Poolanbieter konfiguriert wurde. Die Datei enthält keine vertraulichen Informationen.

Der Inhalt der Anmeldekonfigurationsdatei sieht in etwa so aus:

{
  "universe_domain": "googleapis.com",
  "universe_cloud_web_domain": "cloud.google",
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Mit der browserbasierten Authentifizierung anmelden

Verweisen Sie mit einer Umgebungsvariable oder einem Attribut in der aktiven gcloud CLI-Konfiguration auf die Konfigurationsdatei für die Anmeldung oder verwenden Sie sie direkt mit dem Befehl gcloud auth login:

Umgebungsvariable

So verwenden Sie die Konfigurationsdatei für die Anmeldung mit einer Umgebungsvariable:

Legen Sie die Umgebungsvariable CLOUDSDK_AUTH_LOGIN_CONFIG_FILE auf den Pfad der Anmeldekonfigurationsdatei fest.
Führen Sie dazu diesen Befehl aus:
```
gcloud auth login
```
Die gcloud CLI verweist auf die Umgebungsvariable, um die Anmeldekonfigurationsdatei zu finden, und startet dann den Authentifizierungsprozess. Folgen Sie dem browserbasierten Ablauf, um die gcloud CLI zu authentifizieren und zu autorisieren, damit sie in Ihrem Namen auf Ressourcen für zukünftige Befehle zugreifen kann.

Wenn Sie die Konfigurationsdatei für die Anmeldung für gcloud auth login-Befehle nicht mehr verwenden möchten, löschen Sie die Umgebungsvariable CLOUDSDK_AUTH_LOGIN_CONFIG_FILE.

gcloud CLI-Konfiguration

So verwenden Sie die Konfigurationsdatei für die Anmeldung mit einer Konfigurationseigenschaft der gcloud CLI:

Legen Sie das Attribut auth/login_config_file der aktiven gcloud CLI-Konfiguration mit dem folgenden Befehl auf den Pfad der Anmeldekonfigurationsdatei fest:
```
gcloud config set auth/login_config_file LOGIN_CONFIG_PATH
```
Führen Sie dazu diesen Befehl aus:
```
gcloud auth login
```
Die gcloud CLI verweist auf das Konfigurationsattribut, um die Anmeldekonfigurationsdatei zu finden, und startet dann den Authentifizierungsprozess. Folgen Sie dem browserbasierten Ablauf, um die gcloud CLI zu authentifizieren und zu autorisieren, damit sie in Ihrem Namen auf Ressourcen für zukünftige Befehle zugreifen kann.

Wenn Sie die Konfigurationsdatei für die Anmeldung nicht mehr für gcloud auth login-Befehle verwenden möchten, heben Sie die Einstellung der Property mit dem folgenden Befehl auf:

gcloud config unset auth/login_config_file

Wenn Sie die Konfigurationsdatei für die Anmeldung direkt mit dem Befehl gcloud auth login verwenden möchten, folgen Sie dieser Anleitung:

Wenn Sie das Flag --activate beim Erstellen der Konfigurationsdatei für die Anmeldung verwendet haben, führen Sie den folgenden Befehl aus:
```
gcloud auth login
```
Wenn Sie das Flag --activate beim Erstellen der Konfigurationsdatei für die Anmeldung nicht verwendet haben, führen Sie den folgenden Befehl aus:
Linux und macOS
gcloud auth login \ --login-config=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud auth login ` --login-config=LOGIN_CONFIG_PATH
Ersetzen Sie LOGIN_CONFIG_PATH durch den Pfad Ihrer Anmeldekonfigurationsdatei.

Mit dem Befehl gcloud auth login werden Anmeldedaten für den Zugriff in Ihrem Basisverzeichnis gespeichert. Der authentifizierte Prinzipal wird zum aktiven Prinzipal in Ihrer aktiven gcloud CLI-Konfiguration. Sofern nicht anders angegeben, verwendet die gcloud CLI diese gespeicherten Anmeldedaten für den Zugriff auf Google Cloud.

So melden Sie sich mit der gcloud CLI in Microsoft Entra ID an:

OIDC

Führen Sie die Schritte unter Anmeldeanfrage senden aus. Melden Sie den Nutzer mithilfe von Microsoft Entra ID und OIDC in Ihrer Anwendung an.
Kopieren Sie das ID-Token aus dem Parameter id_token der Weiterleitungs-URL und speichern Sie es in einer Datei an einem sicheren Ort auf Ihrem lokalen Computer, wo. Sie Im späteren Schritt PATH_TO_OIDC_ID_TOKEN auf den Pfad zu dieser Datei festlegen.

Generieren Sie eine Konfigurationsdatei, die dem Beispiel weiter unten in diesem Schritt ähnelt, indem Sie den folgenden Befehl ausführen:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Ersetzen Sie Folgendes:

WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools
WORKFORCE_PROVIDER_ID: die ID des Anbieters des Workforce Identity-Pools.
PATH_TO_OIDC_ID_TOKEN ist der Pfad zum Speicherort der Datei, an dem das Identitätsanbieter-Token gespeichert ist.
WORKFORCE_POOL_USER_PROJECT: die Projektnummer oder ID, die für Kontingente und die Abrechnung verwendet wird. Das Hauptkonto muss die Berechtigung serviceusage.services.use für dieses Projekt haben.

Wenn der Befehl abgeschlossen ist, wird die folgende Konfigurationsdatei von Microsoft Entra ID erstellt:

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Öffnen Sie die gcloud-CLI und führen Sie den folgenden Befehl aus:
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Ersetzen Sie PATH_TO_OIDC_CREDENTIALS durch den Pfad zur Ausgabedatei aus einem vorherigen Schritt.

Die gcloud-CLI sendet Ihre Anmeldedaten transparent an den Endpunkt des Security Token-Services. Auf dem Endpunkt werden sie gegen temporäre Google Cloud Zugriffstokens ausgetauscht.

Sie können jetzt gcloud CLI-Befehle fürGoogle Cloudausführen.

SAML

Melden Sie einen Nutzer bei Ihrer Microsoft Entra ID-Anwendung an und rufen Sie die SAML-Antwort ab.
Speichern Sie die von Microsoft Entra ID zurückgegebene SAML-Antwort an einem sicheren Ort auf Ihrem lokalen Computer und speichern Sie den Pfad dann so:
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Führen Sie den folgenden Befehl aus, um eine Konfigurationsdatei für Anmeldedaten zu generieren:

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Ersetzen Sie Folgendes:

WORKFORCE_PROVIDER_ID: die ID des Anbieters des Workforce Identity-Pools, den Sie zuvor in dieser Anleitung erstellt haben
WORKFORCE_POOL_ID: die ID des Workforce Identity-Pools, den Sie zuvor in dieser Anleitung erstellt haben
SAML_ASSERTION_PATH: der Pfad der SAML-Assertion-Datei.
PROJECT_ID: die Projekt-ID

Die generierte Konfigurationsdatei sieht in etwa so aus:

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Führen Sie den folgenden Befehl aus, um sich mit dem Token-Austausch der Mitarbeiteridentitätsföderation in der gcloud CLI anzumelden:
```
gcloud auth login --cred-file=config.json
```
Die gcloud CLI tauscht dann Ihre Microsoft Entra ID-Anmeldedaten transparent gegen temporäre Google Cloud Zugriffstokens aus. Mit den Zugriffstokens können Sie auf Google Cloudzugreifen.

Die Ausgabe sollte in etwa so aussehen:
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Führen Sie den folgenden Befehl aus, um die Konten mit Anmeldedaten und Ihr aktives Konto aufzulisten:
```
gcloud auth list
```

Testzugriff

Sie haben jetzt Zugriff auf die Google Cloud Produkte, die die Mitarbeiteridentitätsföderation unterstützen und auf die Sie Zugriff erhalten haben. Sie haben zuvor in diesem Dokument allen Identitäten innerhalb der Gruppen-ID, die Sie in gcloud projects add-iam-policy-binding für das Projekt TEST_PROJECT_ID angegeben haben, die Rolle „Storage-Admin“ (roles/storage.admin) zugewiesen.

Sie können jetzt testen, ob Sie Zugriff haben. Dazu listen Sie Cloud Storage-Buckets auf.

Konsole (föderiert)

So testen Sie, ob Sie über die Console (föderiert) Zugriff haben:

Rufen Sie die Cloud Storage-Seite auf.

Cloud Storage aufrufen
Prüfen Sie, ob Sie die Liste der vorhandenen Buckets für den TEST_PROJECT_ID sehen.

gcloud-CLI

Wenn Sie mit der gcloud CLI testen möchten, ob Sie Zugriff haben, können Sie Cloud Storage-Buckets und -Objekte für das Projekt auflisten, auf das Sie Zugriff haben. Führen Sie hierzu den folgenden Befehl aus. Das Hauptkonto muss die Berechtigung serviceusage.services.use für das angegebene Projekt haben.

gcloud storage ls --project="TEST_PROJECT_ID"

Nutzer löschen

Die Mitarbeiteridentitätsföderation erstellt Nutzermetadaten und -ressourcen für föderierte Nutzeridentitäten. Wenn Sie Nutzer in Ihrem IdP löschen, müssen Sie diese Ressourcen auch explizit in Google Cloudlöschen. Weitere Informationen finden Sie unter Nutzer und Daten der Mitarbeiteridentitätsföderation löschen.

Möglicherweise sind Ressourcen weiterhin einem gelöschten Nutzer zugeordnet. Das liegt daran, dass das Löschen von Nutzermetadaten und ‑ressourcen einen Vorgang mit langer Ausführungszeit erfordert. Nachdem Sie das Löschen der Identität eines Nutzers eingeleitet haben, können Prozesse, die der Nutzer vor dem Löschen gestartet hat, weiter ausgeführt werden, bis sie abgeschlossen oder abgebrochen werden.

Nächste Schritte

SCIM in Microsoft Entra ID konfigurieren
Nutzer von Identitätsföderation von Arbeitslasten und deren Daten löschen
Google Cloud -Produkte, die die Mitarbeiteridentitätsföderation unterstützen
Nutzerzugriff auf die Console (föderiert) einrichten

Workforce Identity-Föderation mit Microsoft Entra ID konfigurieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Wichtige Konzepte

Zusätzliche Attribute

Hinweis

Kosten

Erforderliche Rollen

Microsoft Entra ID-Anwendung erstellen

OIDC

SAML

Viele Gruppen mit Microsoft Entra ID konfigurieren

Viele Gruppen mit Microsoft Entra ID mit dem impliziten OIDC-Ablauf konfigurieren

Microsoft Entra ID-Anwendung konfigurieren

Workforce Identity-Pool erstellen

gcloud

Console

OIDC-Workforce Identity-Pool-Anbieter für den impliziten Ablauf konfigurieren

gcloud

Console

Eine große Anzahl von Gruppen in Microsoft Entra ID mit dem OIDC-Codefluss konfigurieren

Microsoft Entra ID-Anwendung konfigurieren

Workforce Identity-Pool erstellen

gcloud

Console

OIDC-Codeflow-Anbieter für Mitarbeiteridentitätspools konfigurieren

gcloud

Console

Viele Gruppen in Microsoft Entra ID mit SAML 2.0 konfigurieren

Microsoft Entra ID-Anwendung konfigurieren

Workforce Identity-Pool erstellen

gcloud

Console

SAML 2.0-Anbieter für Mitarbeiteridentitätspool konfigurieren

gcloud

Console

Anbieterkonfiguration überprüfen

Anbieterkonfiguration bearbeiten

Gruppen IAM-Rollen zuweisen

Anmelden und Zugriff testen

Anmelden

(Föderierte) Anmeldung bei der Console

Browserbasierte Anmeldung bei der gcloud CLI

Linux und macOS

Windows (PowerShell)

Umgebungsvariable

gcloud CLI-Konfiguration

gcloud auth login

Linux und macOS

Windows (PowerShell)

Monitorlose Anmeldung bei der gcloud CLI

OIDC

SAML

Testzugriff

Konsole (föderiert)

gcloud-CLI

Nutzer löschen

Nächste Schritte

Workforce Identity-Föderation mit Microsoft Entra ID konfigurieren