Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer la fédération des identités des employés avec Microsoft Entra ID

Vous pouvez configurer la fédération des identités des employés avec le fournisseur d'identité (IdP) Microsoft Entra ID et mapper jusqu'à 400 groupes de Microsoft Entra ID à Google Cloud à l'aide de Microsoft Graph. Vous pouvez ensuite attribuer des rôles IAM à ces groupes, ce qui permet aux utilisateurs Microsoft Entra ID qui en sont membres de se connecter à Google Cloud. Les utilisateurs peuvent ensuite accéder aux produits Google Cloud pour lesquels ils ont reçu un accès IAM et qui sont également compatibles avec la fédération des identités des employés.

Pour mapper moins de 150 groupes de Microsoft Entra ID à Google Cloud, consultez Configurer la fédération des identités des employés avec Microsoft Entra ID et connecter les utilisateurs.

Concepts clés

Cette section décrit les concepts utilisés pour configurer la fédération des identités des employés, plus loin dans ce document.

Attributs supplémentaires

Pour mapper jusqu'à 400 groupes, vous utilisez des attributs supplémentaires en spécifiant des indicateurs extra-attributes lorsque vous créez le fournisseur de pool d'identités de personnel. Vous pouvez utiliser des attributs supplémentaires avec les protocoles suivants :

OIDC avec flux implicite
OIDC avec flux de code
Protocole SAML 2.0

Le nombre d'adresses e-mail de groupe qu'une application Microsoft Entra ID peut émettre dans un jeton est limité à 150 pour SAML et à 200 pour JWT. Pour en savoir plus sur cette limite, consultez Configurer les revendications de groupe pour les applications à l'aide de Microsoft Entra ID. Pour récupérer d'autres groupes, la fédération des identités des employés utilise le flux d'identifiants client OAuth 2.0 de Microsoft Identity pour obtenir des identifiants qui lui permettent d'interroger l'API Microsoft Graph et d'extraire les groupes d'un utilisateur.

Pour utiliser des attributs supplémentaires, vous devez, de manière générale :

Créez une application Microsoft Entra ID ou mettez à jour votre application existante pour obtenir les appartenances aux groupes des utilisateurs à partir de l'API Microsoft Graph. Pour en savoir plus sur la façon dont Microsoft Graph récupère un grand nombre de groupes à partir de Microsoft Entra ID, consultez Dépassement du nombre de groupes.
Lorsque vous créez le fournisseur de pool d'identités de personnel, vous utilisez des indicateurs extra-attributes pour configurer la fédération des identités des employés afin de récupérer les adresses e-mail de groupe ou les noms à afficher des groupes d'utilisateurs à partir de l'API Microsoft Graph.

La fédération des identités des employés peut récupérer un maximum de 999 groupes à partir de l'API Microsoft Graph. Si l'API Microsoft Graph renvoie plus de 999 groupes, la connexion échoue.

Pour réduire le nombre de groupes renvoyés par l'API Microsoft Graph, vous pouvez affiner la requête de la fédération d'identité des employés à l'aide de l'indicateur --extra-attributes-filter lorsque vous créez le fournisseur de pools d'identités des employés.

Une fois que la fédération des identités des employés a récupéré les groupes à partir de l'API Microsoft Graph, elle génère le jeton d'accès. La fédération des identités des employés peut ajouter jusqu'à 400 groupes au jeton d'accès. Pour réduire davantage le nombre de groupes à 400 ou moins, vous pouvez spécifier un mappage d'attributs contenant des expressions CEL (Common Expression Language) lorsque vous créez le fournisseur de pool d'identités des employés.

Avant de commencer

Assurez-vous d'avoir configuré une organisation Google Cloud .
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
```
gcloud init
```
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Remarque : Si vous avez déjà installé la gcloud CLI, assurez-vous que vous disposez de la dernière version en exécutant gcloud components update.
Dans Microsoft Entra ID, assurez-vous que les jetons d'identité sont activés pour le flux implicite. Pour en savoir plus, consultez Activer l'octroi implicite de jeton d'identité.
Pour la connexion, votre fournisseur d'identité doit fournir des informations d'authentification signées : les fournisseurs d'identité OIDC doivent fournir un jeton JWT, et les réponses de l'IdP SAML doivent être signées.
Pour recevoir des informations importantes sur les modifications concernant votre organisation ou vos produitsGoogle Cloud , vous devez fournir des contacts essentiels. Pour en savoir plus, consultez la Présentation de la fédération des identités des employés.
Tous les groupes que vous souhaitez mapper doivent être marqués comme groupes de sécurité dans Microsoft Entra ID.
Important : Vous pouvez récupérer jusqu'à 999 groupes.

Coûts

La fédération des identités des employés est disponible sans frais. Toutefois, la journalisation d'audit détaillée de la fédération des identités des employés utilise Cloud Logging. Pour en savoir plus sur les tarifs de Logging, consultez Tarifs de Google Cloud Observability.

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer la fédération des identités des employés, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur de pools d'employés (roles/iam.workforcePoolAdmin) sur l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Si vous configurez des autorisations dans un environnement de développement ou de test, mais pas dans un environnement de production, vous pouvez attribuer le rôle de base Propriétaire IAM (roles/owner), qui inclut également les autorisations pour la fédération d'identité de personnel.

Créer une application Microsoft Entra ID

Cette section explique comment créer une application Microsoft Entra ID à l'aide du portail d'administration Microsoft Entra. Vous pouvez également mettre à jour votre application existante. Pour en savoir plus, consultez Établir des applications dans l'écosystème Microsoft Entra ID.

Les pools d'identités de personnel sont compatibles avec la fédération avec les protocoles OIDC et SAML.

OIDC

Pour créer une inscription d'application Microsoft Entra ID qui utilise le protocole OIDC, procédez comme suit :

Connectez-vous au centre d'administration Microsoft Entra.
Accédez à la page Présentation de l'enregistrement de votre application Microsoft Entra ID.
Accédez à Entra ID > Inscriptions d'application.
Pour commencer à configurer l'enregistrement de l'application, procédez comme suit :
1. Cliquez sur Nouvelle inscription.
2. Saisissez un nom pour votre application.
3. Dans Types de comptes compatibles, sélectionnez une option.
4. Dans la section Redirect URI (URI de redirection), dans la liste déroulante Select a platform (Sélectionner une plate-forme), sélectionnez Web.
5. Dans le champ de texte, saisissez une URL de redirection. Vos utilisateurs sont redirigés vers cette URL après s'être connectés. Si vous configurez l'accès à la console (fédéré), utilisez le format d'URL suivant :
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
  Remplacez les éléments suivants :
  - WORKFORCE_POOL_ID : ID de pool d'identités de personnel que vous utiliserez lorsque vous créerez le pool d'identités de personnel plus loin dans ce document. Par exemple : entra-id-oidc-pool
  - WORKFORCE_PROVIDER_ID : ID de fournisseur de pool d'identités de personnel que vous utiliserez lorsque vous créerez le fournisseur de pool d'identités de personnel plus loin dans ce document. Par exemple : entra-id-oidc-pool-provider
    
    Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
6. Pour créer l'enregistrement de l'application, cliquez sur Enregistrer.
7. Pour utiliser l'exemple de mappage d'attributs fourni plus loin dans ce document, vous devez créer un attribut department personnalisé.

SAML

Pour créer une inscription d'application Microsoft Entra ID qui utilise le protocole SAML, procédez comme suit :

Connectez-vous au portail d'administration Microsoft Entra.
Dans le menu de navigation de gauche, accédez à Entra ID > Applications d'entreprise.
Pour commencer à configurer l'application d'entreprise, procédez comme suit :
1. Cliquez sur Nouvelle application > Créer votre propre application.
2. Dans le volet Créer votre propre application qui s'affiche, saisissez le nom de votre application.
3. Cliquez sur Créer.
4. Accédez à Authentification unique > SAML.
5. Mettez à jour la configuration SAML de base comme suit :
  1. Dans le champ Identifiant (ID d'entité), saisissez la valeur suivante :
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Remplacez les éléments suivants :
    - WORKFORCE_POOL_ID : ID de pool d'identités de personnel que vous utiliserez lorsque vous créerez le pool d'identités de personnel plus loin dans ce document. Par exemple : entra-id-saml-pool
    - WORKFORCE_PROVIDER_ID : ID de fournisseur de pool d'identités de personnel que vous utiliserez lorsque vous créerez le fournisseur de pool d'identités de personnel plus loin dans ce document. Par exemple : entra-id-saml-pool-provider
      
      Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
  2. Dans le champ URL de réponse (URL ACS - Assertion Consumer Service URL), saisissez une URL de redirection. Vos utilisateurs sont redirigés vers cette URL après s'être connectés. Si vous configurez l'accès à la console (fédéré), utilisez le format d'URL suivant :
```
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
    Remplacez les éléments suivants :
    - WORKFORCE_POOL_ID : ID du pool d'identités de personnel
    - WORKFORCE_PROVIDER_ID : ID du fournisseur d'identité de personnel
  3. Pour activer l'authentification initiée par le fournisseur d'identité, définissez le champ État du relais sur la valeur suivante :
```
https://console.cloud.google/
```
  4. Pour enregistrer la configuration de l'application SAML, cliquez sur Enregistrer.
6. Pour utiliser l'exemple de mappage d'attributs fourni plus loin dans ce document, vous devez créer un attribut department personnalisé.

Configurer un grand nombre de groupes avec Microsoft Entra ID

Cette section explique comment mapper jusqu'à 400 groupes de Microsoft Entra ID à la fédération des identités des employés à l'aide des protocoles OIDC et SAML.

Configurer un grand nombre de groupes avec Microsoft Entra ID et le flux implicite OIDC

Cette section explique comment mapper jusqu'à 400 groupes de Microsoft Entra ID à la fédération des identités des employés à l'aide du protocole OpenID Connect (OIDC) avec flux implicite.

Configurer votre application Microsoft Entra ID

Vous pouvez configurer une application Microsoft Entra ID existante ou en créer une. Pour configurer votre application, procédez comme suit :

Dans le portail Microsoft Entra ID, procédez comme suit :
- Pour enregistrer une application, suivez les instructions de la section Enregistrer une application.
- Pour mettre à jour une application existante, procédez comme suit :
  - Accédez à la page Présentation de l'enregistrement de votre application Microsoft Entra ID.
  - Accédez à Entra ID > Inscriptions d'application.
  - Sélectionnez l'application que vous souhaitez mettre à jour.
Créez un code secret du client dans l'application en suivant les instructions de Certificats et codes secrets. Assurez-vous de noter la valeur du code secret du client, car elle ne s'affiche qu'une seule fois.
Notez les valeurs suivantes de l'application que vous avez créée ou mise à jour. Vous fournissez les valeurs lorsque vous configurez le fournisseur de pools d'identités des employés plus loin dans ce document.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Pour récupérer les groupes Microsoft Entra ID, ajoutez l'autorisation d'API permettant à la fédération des identités des employés d'accéder aux informations des utilisateurs depuis Microsoft Entra ID à l'aide de l'API Microsoft Graph, puis accordez l'autorisation de l'administrateur. Dans Microsoft Entra ID, procédez comme suit :
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations de l'application.
5. Dans le champ de recherche, saisissez User.ReadBasic.All.
6. Cliquez sur Ajouter des autorisations.
Vous pouvez récupérer les groupes Microsoft Entra ID à l'aide d'un identifiant d'objet de groupe (ID), d'une adresse e-mail de groupe pour les groupes à extension messagerie ou d'un nom à afficher de groupe.

Si vous choisissez de récupérer les groupes en tant qu'adresses e-mail de groupe ou noms à afficher, l'étape suivante est requise.
Pour récupérer les groupes Microsoft Entra ID en tant qu'adresses e-mail de groupe ou noms à afficher, procédez comme suit. Si vous récupérez les groupes en tant qu'identifiants d'objet de groupe, ignorez cette étape.
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations de l'application.
5. Dans le champ de recherche, saisissez GroupMember.Read.All.
6. Cliquez sur Ajouter des autorisations.
Accédez à la page Présentation de l'application Microsoft Entra ID que vous avez créée ou mise à jour précédemment. Cliquez sur Points de terminaison. L'URI de l'émetteur est l'URI du document de métadonnées OIDC, en omettant le chemin d'accès /.well-known/openid-configuration.

Par exemple, si le document de métadonnées OIDC est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI d'émetteur est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Créer un pool d'identités de personnel

gcloud

Pour créer le pool d'identités de personnel, exécutez la commande suivante :

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID que vous choisissez pour représenter votre pool de personnel Google Cloud . L'ID de pool doit être unique au niveau mondial dans tous les pools d'identités de personnel de Google Cloud. Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
ORGANIZATION_ID : ID numérique de votre organisation Google Cloud pour le pool d'identités des employés. Les pools d'identités des employés sont disponibles dans tous les projets et dossiers de l'organisation.
DISPLAY_NAME : facultatif. Un nom à afficher pour votre pool d'identités d'employés.
DESCRIPTION : facultatif. Description du pool d'identités de personnel
SESSION_DURATION : facultatif. Durée de la session, exprimée sous la forme d'un nombre suivi de s (par exemple, 3600s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , les sessions de connexion à la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. La durée de la session est définie par défaut sur une heure (3 600 s). La valeur de la durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).

Console

Pour créer le pool d'identités de personnel, procédez comme suit :

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel
Sélectionnez l'organisation pour votre pool d'identités de personnel. Les pools d'identités du personnel sont disponibles pour tous les projets et dossiers d'une organisation.
Cliquez sur Créer un pool et procédez comme suit :
1. Dans le champ Nom, saisissez le nom à afficher du pool. L'ID du pool est automatiquement dérivé du nom au fur et à mesure de la saisie, et s'affiche sous le champ Nom. Vous pouvez modifier l'ID du pool en cliquant sur Modifier à côté de l'ID du pool.
2. Facultatif : Dans le champ Description, saisissez une description du pool.
3. Pour créer le pool d'identités de personnel, cliquez sur Suivant.

La durée de session du pool d'identités de personnel est définie par défaut sur une heure (3 600 s). Elle détermine la durée de validité des jetons d'accès Google Cloud , des sessions de connexion à la console (fédération) et des sessions de connexion à gcloud CLI de ce pool de personnel. Une fois le pool créé, vous pouvez le modifier pour définir une durée de session personnalisée. La durée de session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).

Configurer le fournisseur de pools d'identités de personnel avec flux implicite OIDC

gcloud

Pour créer le fournisseur de pools d'identités de personnel OIDC, exécutez la commande suivante :

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Remplacez les éléments suivants :

PROVIDER_ID : ID de fournisseur unique. Le préfixe gcp- est réservé et ne peut pas être utilisé dans un ID de pool ou de fournisseur.
WORKFORCE_POOL_ID : ID du pool de personnel.
DISPLAY_NAME : nom à afficher pour le fournisseur.
ISSUER_URI : URI de l'émetteur de l'application Microsoft Entra ID que vous avez créée précédemment dans ce document.
CLIENT_ID : ID client de votre application Microsoft Entra ID.
ATTRIBUTE_MAPPING : mappage des attributs de Microsoft Entra ID à Google Cloud. Si vous utilisez des indicateurs --extra-attributes pour interroger des groupes depuis Microsoft Entra ID, tout mappage google.groups qui utilise des revendications SAML ou OIDC standards est ignoré. Par exemple, pour mapper les attributs groups et subject de Microsoft Entra ID, utilisez le mappage d'attributs suivant :
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"
```
Pour en savoir plus, consultez Mappage d'attributs.
EXTRA_ATTRIBUTES_ISSUER_URI : URI de l'émetteur de votre application Microsoft Entra ID.
Remarque : Si un problème de configuration se produit avec des attributs supplémentaires, comme un ID client ou un code secret incorrects, la tentative de connexion échoue.
EXTRA_ATTRIBUTES_CLIENT_ID : ID client de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET : code secret du client supplémentaire de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE : utilisez azure-ad-groups-mail pour récupérer les adresses e-mail des groupes. Utilisez azure-ad-groups-id pour récupérer les ID des groupes. Utilisez azure-ad-groups-display-name pour récupérer les noms à afficher des groupes.
EXTRA_ATTRIBUTES_FILTER : facultatif. Expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph. Vous pouvez utiliser ce paramètre pour vous assurer que le nombre de groupes récupérés auprès de l'IdP ne dépasse pas la limite de 400 groupes.
L'exemple suivant récupère les groupes dont l'adresse e-mail est précédée du préfixe sales :
```
--extra-attributes-filter='"mail:sales"'
```
L'expression suivante récupère les groupes dont le nom à afficher contient la chaîne sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.

Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pools d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.

Console

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel

Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans la section Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans la liste Sélectionner un fournisseur, sélectionnez votre fournisseur d'identité (IdP).
Si votre fournisseur d'identité n'est pas listé, sélectionnez Fournisseur d'identité générique.
Dans Sélectionner un protocole d'authentification, sélectionnez OpenID Connect (OIDC).
Dans la section Créer un fournisseur, procédez comme suit :
1. Dans Nom, saisissez le nom du fournisseur.
2. Dans Description, saisissez la description du fournisseur.
3. Dans le champ Issuer (URL) (Émetteur (URL)), saisissez l'URI de l'émetteur. L'URI d'émetteur OIDC doit être dans un format d'URI valide et commencer par https. Exemple : https://example.com/oidc.
4. Dans ID client, saisissez l'ID client OIDC enregistré auprès de votre fournisseur d'identité OIDC. L'ID doit correspondre à la revendication aud du jeton JWT émis par votre fournisseur d'identité.
5. Pour créer un fournisseur activé, assurez-vous que l'option Activer le fournisseur est activée.
6. Cliquez sur Continuer.
Dans la section Share your provider information with IdP (Partagez les informations de votre fournisseur avec l'IdP), copiez l'URL. Dans votre IdP, configurez cette URL comme URI de redirection. Elle indique à votre IdP où envoyer le jeton d'assertion après la connexion.
Cliquez sur Continuer.
Dans la section Configurer la connexion Web OIDC, procédez comme suit :
1. Dans la liste Type de flux, sélectionnez Jeton d'ID.
2. Dans la liste Comportement des revendications d'assertion, l'option Jeton d'ID est sélectionnée.
Cliquez sur Continuer.
Dans Configurer le fournisseur, vous pouvez configurer un mappage d'attributs et une condition d'attributs. Pour créer un mappage d'attributs, procédez comme suit. Vous pouvez indiquer le nom du champ du fournisseur d'identité ou une expression au format CEL qui renvoie une chaîne.
1. Obligatoire : dans OIDC 1, saisissez l'objet du fournisseur d'identité. Exemple : assertion.sub.
2. Facultatif : Pour ajouter des mappages d'attributs supplémentaires, procédez comme suit :
  1. Cliquez sur Ajouter un mappage.
  2. Dans Google n, où n est un nombre, saisissez l'une des clés compatibles avecGoogle Cloud.
  3. Dans le champ OIDC n correspondant, saisissez le nom du champ spécifique au fournisseur d'identité à mapper, au format CEL.
3. Pour augmenter le nombre de groupes, procédez comme suit :
  1. Sélectionnez Utiliser des attributs supplémentaires.
  2. Dans le champ URI de l'émetteur des attributs supplémentaires, saisissez l'URL de l'émetteur.
  3. Dans le champ ID client des attributs supplémentaires, saisissez l'ID client.
  4. Dans le champ Code secret du client pour les attributs supplémentaires, saisissez le code secret du client.
  5. Dans la liste Type d'attributs supplémentaires, sélectionnez un type d'attribut pour les attributs supplémentaires.
  6. Dans le champ Filtre d'attributs supplémentaires, saisissez une expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph.
4. Pour créer une condition d'attribut :
  1. Cliquez sur Ajouter une condition :
  2. Dans le champ Conditions d'attribut, saisissez une condition au format CEL. Par exemple, assertion.role == 'gcp-users'. Cet exemple de condition garantit que seuls les utilisateurs disposant du rôle gcp-users peuvent se connecter via ce fournisseur.
  3. Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation d'audit des valeurs d'attribut.
    La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
    
    Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pools d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Pour créer le fournisseur, cliquez sur Envoyer.

Configurer un grand nombre de groupes dans Microsoft Entra ID avec le flux de code OIDC

Cette section explique comment mapper jusqu'à 400 groupes de Microsoft Entra ID à la fédération des identités des employés à l'aide du protocole OIDC avec le flux de code.

Configurer votre application Microsoft Entra ID

Vous pouvez configurer une application Microsoft Entra ID existante ou en créer une. Pour configurer votre application, procédez comme suit :

Dans le portail Microsoft Entra ID, procédez comme suit :
- Pour enregistrer une application, suivez les instructions de la section Enregistrer une application.
- Pour mettre à jour une application existante, procédez comme suit :
  - Accédez à la page Présentation de l'enregistrement de votre application Microsoft Entra ID.
  - Accédez à Entra ID > Inscriptions d'application.
  - Sélectionnez l'application que vous souhaitez mettre à jour.
Créez un code secret du client dans l'application en suivant les instructions de Certificats et codes secrets. Assurez-vous de noter la valeur du code secret du client, car elle ne s'affiche qu'une seule fois.
Notez les valeurs suivantes de l'application que vous avez créée ou mise à jour. Vous fournissez les valeurs lorsque vous configurez le fournisseur de pools d'identités des employés plus loin dans ce document.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Pour récupérer les groupes Microsoft Entra ID, ajoutez l'autorisation d'API permettant à la fédération des identités des employés d'accéder aux informations des utilisateurs depuis Microsoft Entra ID à l'aide de l'API Microsoft Graph, puis accordez l'autorisation de l'administrateur. Dans Microsoft Entra ID, procédez comme suit :
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations déléguées.
5. Dans le champ de recherche, saisissez User.Read.
6. Cliquez sur Ajouter des autorisations.
Vous pouvez récupérer les groupes Microsoft Entra ID à l'aide d'un identifiant d'objet de groupe (ID), d'une adresse e-mail de groupe pour les groupes à extension messagerie ou d'un nom à afficher de groupe.

Si vous choisissez de récupérer les groupes en tant qu'adresses e-mail de groupe ou noms à afficher, l'étape suivante est requise.
Pour récupérer les groupes Microsoft Entra ID en tant qu'adresses e-mail de groupe ou noms à afficher, procédez comme suit. Si vous récupérez les groupes en tant qu'identifiants d'objet de groupe, ignorez cette étape.
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations déléguées.
5. Dans le champ de recherche, saisissez GroupMember.Read.All.
6. Cliquez sur Ajouter des autorisations.
Accédez à la page Présentation de l'application Microsoft Entra ID que vous avez créée ou mise à jour précédemment. Cliquez sur Points de terminaison. L'URI de l'émetteur est l'URI du document de métadonnées OIDC, en omettant le chemin d'accès /.well-known/openid-configuration.

Par exemple, si le document de métadonnées OIDC est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI d'émetteur est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Créer un pool d'identités de personnel

gcloud

Pour créer le pool d'identités de personnel, exécutez la commande suivante :

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID que vous choisissez pour représenter votre pool de personnel Google Cloud . L'ID de pool doit être unique au niveau mondial dans tous les pools d'identités de personnel de Google Cloud. Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
ORGANIZATION_ID : ID numérique de votre organisation Google Cloud pour le pool d'identités des employés. Les pools d'identités des employés sont disponibles dans tous les projets et dossiers de l'organisation.
DISPLAY_NAME : facultatif. Un nom à afficher pour votre pool d'identités d'employés.
DESCRIPTION : facultatif. Description du pool d'identités de personnel
SESSION_DURATION : facultatif. Durée de la session, exprimée sous la forme d'un nombre suivi de s (par exemple, 3600s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , les sessions de connexion à la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. La durée de la session est définie par défaut sur une heure (3 600 s). La valeur de la durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).

Console

Pour créer le pool d'identités de personnel, procédez comme suit :

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel
Sélectionnez l'organisation pour votre pool d'identités de personnel. Les pools d'identités du personnel sont disponibles pour tous les projets et dossiers d'une organisation.
Cliquez sur Créer un pool et procédez comme suit :
1. Dans le champ Nom, saisissez le nom à afficher du pool. L'ID du pool est automatiquement dérivé du nom au fur et à mesure de la saisie, et s'affiche sous le champ Nom. Vous pouvez modifier l'ID du pool en cliquant sur Modifier à côté de l'ID du pool.
2. Facultatif : Dans le champ Description, saisissez une description du pool.
3. Pour créer le pool d'identités de personnel, cliquez sur Suivant.

Configurer le fournisseur de pools d'identités de personnel avec flux de code OIDC

gcloud

Pour créer le fournisseur de pools d'identités de personnel OIDC, exécutez la commande suivante :

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Remplacez les éléments suivants :

PROVIDER_ID : ID de fournisseur unique. Le préfixe gcp- est réservé et ne peut pas être utilisé dans un ID de pool ou de fournisseur.
WORKFORCE_POOL_ID : ID du pool de personnel.
DISPLAY_NAME : nom à afficher pour le fournisseur.
ISSUER_URI : URI de l'émetteur de l'application Microsoft Entra ID que vous avez créée précédemment dans ce document.
CLIENT_ID : ID client de votre application Microsoft Entra ID.
ATTRIBUTE_MAPPING : mappage des attributs de Microsoft Entra ID à Google Cloud. Si vous utilisez des indicateurs --extra-attributes pour interroger des groupes depuis Microsoft Entra ID, tout mappage google.groups qui utilise des revendications SAML ou OIDC standards est ignoré. Par exemple, pour mapper les attributs groups et subject de Microsoft Entra ID, utilisez le mappage d'attributs suivant :
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"
```
Pour en savoir plus, consultez Mappage d'attributs.
EXTRA_ATTRIBUTES_ISSUER_URI : URI de l'émetteur de votre application Microsoft Entra ID.
Remarque : Si un problème de configuration se produit avec des attributs supplémentaires, comme un ID client ou un code secret incorrects, la tentative de connexion échoue.
EXTRA_ATTRIBUTES_CLIENT_ID : ID client de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET : code secret du client supplémentaire de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE : utilisez azure-ad-groups-mail pour récupérer les adresses e-mail des groupes. Utilisez azure-ad-groups-id pour récupérer les ID des groupes. Utilisez azure-ad-groups-display-name pour récupérer les noms à afficher des groupes.
EXTRA_ATTRIBUTES_FILTER : facultatif. Expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph. Vous pouvez utiliser ce paramètre pour vous assurer que le nombre de groupes récupérés auprès de l'IdP ne dépasse pas la limite de 400 groupes.
L'exemple suivant récupère les groupes dont l'adresse e-mail est précédée du préfixe sales :
```
--extra-attributes-filter='"mail:sales"'
```
L'expression suivante récupère les groupes dont le nom à afficher contient la chaîne sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.

Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pools d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.

Console

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel

Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans la section Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans la liste Sélectionner un fournisseur, sélectionnez votre fournisseur d'identité (IdP).
Si votre fournisseur d'identité n'est pas listé, sélectionnez Fournisseur d'identité générique.
Dans Sélectionner un protocole d'authentification, sélectionnez OpenID Connect (OIDC).
Dans la section Créer un fournisseur, procédez comme suit :
1. Dans Nom, saisissez le nom du fournisseur.
2. Dans Description, saisissez la description du fournisseur.
3. Dans le champ Issuer (URL) (Émetteur (URL)), saisissez l'URI de l'émetteur. L'URI d'émetteur OIDC doit être dans un format d'URI valide et commencer par https. Exemple : https://example.com/oidc.
4. Dans ID client, saisissez l'ID client OIDC enregistré auprès de votre fournisseur d'identité OIDC. L'ID doit correspondre à la revendication aud du jeton JWT émis par votre fournisseur d'identité.
5. Pour créer un fournisseur activé, assurez-vous que l'option Activer le fournisseur est activée.
6. Cliquez sur Continuer.
Dans la section Share your provider information with IdP (Partagez les informations de votre fournisseur avec l'IdP), copiez l'URL. Dans votre IdP, configurez cette URL comme URI de redirection. Elle indique à votre IdP où envoyer le jeton d'assertion après la connexion.
Cliquez sur Continuer.
Dans la section Configurer la connexion Web OIDC, procédez comme suit :
1. Dans la liste Type de flux, sélectionnez Code.
2. Dans la liste Comportement des revendications d'assertion, sélectionnez l'une des options suivantes :
  - Informations sur l'utilisateur et jeton d'ID
  - Jeton d'ID uniquement
3. Dans le champ Code secret du client, saisissez le code secret du client provenant de votre fournisseur d'identité.
Cliquez sur Continuer.
Dans Configurer le fournisseur, vous pouvez configurer un mappage d'attributs et une condition d'attributs. Pour créer un mappage d'attributs, procédez comme suit. Vous pouvez indiquer le nom du champ du fournisseur d'identité ou une expression au format CEL qui renvoie une chaîne.
1. Obligatoire : dans OIDC 1, saisissez l'objet du fournisseur d'identité. Exemple : assertion.sub.
2. Facultatif : Pour ajouter des mappages d'attributs supplémentaires, procédez comme suit :
  1. Cliquez sur Ajouter un mappage.
  2. Dans Google n, où n est un nombre, saisissez l'une des clés compatibles avecGoogle Cloud.
  3. Dans le champ OIDC n correspondant, saisissez le nom du champ spécifique au fournisseur d'identité à mapper, au format CEL.
3. Pour augmenter le nombre de groupes, procédez comme suit :
  1. Sélectionnez Utiliser des attributs supplémentaires.
  2. Dans le champ URI de l'émetteur des attributs supplémentaires, saisissez l'URL de l'émetteur.
  3. Dans le champ ID client des attributs supplémentaires, saisissez l'ID client.
  4. Dans le champ Code secret du client pour les attributs supplémentaires, saisissez le code secret du client.
  5. Dans la liste Type d'attributs supplémentaires, sélectionnez un type d'attribut pour les attributs supplémentaires.
  6. Dans le champ Filtre d'attributs supplémentaires, saisissez une expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph.
4. Pour créer une condition d'attribut :
  1. Cliquez sur Ajouter une condition :
  2. Dans le champ Conditions d'attribut, saisissez une condition au format CEL. Par exemple, assertion.role == 'gcp-users'. Cet exemple de condition garantit que seuls les utilisateurs disposant du rôle gcp-users peuvent se connecter via ce fournisseur.
  3. Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation d'audit des valeurs d'attribut.
    La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
    
    Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pools d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Pour créer le fournisseur, cliquez sur Envoyer.

Configurer un grand nombre de groupes dans Microsoft Entra ID avec SAML 2.0

Cette section explique comment mapper jusqu'à 400 groupes de Microsoft Entra ID à la fédération des identités des employés à l'aide du protocole SAML 2.0.

Configurer votre application Microsoft Entra ID

Pour configurer votre application, procédez comme suit :

Dans le portail Microsoft Entra ID, procédez comme suit :
- Pour enregistrer une application, suivez les instructions de la section Enregistrer une application.
- Pour mettre à jour une application existante, procédez comme suit :
  - Accédez à la page Présentation de l'enregistrement de votre application Microsoft Entra ID.
  - Accédez à Entra ID > Inscriptions d'application.
  - Sélectionnez l'application que vous souhaitez mettre à jour.
Créez un code secret du client dans l'application en suivant les instructions de Certificats et codes secrets. Assurez-vous de noter la valeur du code secret du client, car elle ne s'affiche qu'une seule fois.
Notez les valeurs suivantes de l'application que vous avez créée ou mise à jour. Vous fournissez les valeurs lorsque vous configurez le fournisseur de pools d'identités des employés plus loin dans ce document.
- Client ID
- Issuer URI
- Client Secret
- Tenant ID
Pour récupérer les groupes Microsoft Entra ID, ajoutez l'autorisation d'API permettant à la fédération des identités des employés d'accéder aux informations des utilisateurs depuis Microsoft Entra ID à l'aide de l'API Microsoft Graph, puis accordez l'autorisation de l'administrateur. Dans Microsoft Entra ID, procédez comme suit :
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations de l'application.
5. Dans le champ de recherche, saisissez User.ReadBasic.All.
6. Cliquez sur Ajouter des autorisations.
Vous pouvez récupérer les groupes Microsoft Entra ID à l'aide d'un identifiant d'objet de groupe (ID), d'une adresse e-mail de groupe pour les groupes à extension messagerie ou d'un nom à afficher de groupe.

Si vous choisissez de récupérer les groupes en tant qu'adresses e-mail de groupe ou noms à afficher, l'étape suivante est requise.
Pour récupérer les groupes Microsoft Entra ID en tant qu'adresses e-mail de groupe ou noms à afficher, procédez comme suit. Si vous récupérez les groupes en tant qu'identifiants d'objet de groupe, ignorez cette étape.
1. Accédez à Autorisations des API.
2. Cliquez sur Ajouter une autorisation.
3. Sélectionnez API Microsoft.
4. Sélectionnez Autorisations de l'application.
5. Dans le champ de recherche, saisissez GroupMember.Read.All.
6. Cliquez sur Ajouter des autorisations.
Accédez à la page Présentation de l'application Microsoft Entra ID que vous avez créée ou mise à jour précédemment. Cliquez sur Points de terminaison. L'URI de l'émetteur est l'URI du document de métadonnées OIDC, en omettant le chemin d'accès /.well-known/openid-configuration.

Par exemple, si le document de métadonnées OIDC est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, l'URI d'émetteur est https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Créer un pool d'identités de personnel

gcloud

Pour créer le pool d'identités de personnel, exécutez la commande suivante :

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID que vous choisissez pour représenter votre pool de personnel Google Cloud . L'ID de pool doit être unique au niveau mondial dans tous les pools d'identités de personnel de Google Cloud. Pour plus d'informations sur la mise en forme de l'ID, consultez la section Paramètres de requête dans la documentation de l'API.
ORGANIZATION_ID : ID numérique de votre organisation Google Cloud pour le pool d'identités des employés. Les pools d'identités des employés sont disponibles dans tous les projets et dossiers de l'organisation.
DISPLAY_NAME : facultatif. Un nom à afficher pour votre pool d'identités d'employés.
DESCRIPTION : facultatif. Description du pool d'identités de personnel
SESSION_DURATION : facultatif. Durée de la session, exprimée sous la forme d'un nombre suivi de s (par exemple, 3600s). La durée de la session détermine la durée pendant laquelle les jetons d'accès Google Cloud , les sessions de connexion à la console (fédération) et les sessions de connexion à gcloud CLI de ce pool de personnel sont valides. La durée de la session est définie par défaut sur une heure (3 600 s). La valeur de la durée de la session doit être comprise entre 15 minutes (900 s) et 12 heures (43 200 s).

Console

Pour créer le pool d'identités de personnel, procédez comme suit :

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel
Sélectionnez l'organisation pour votre pool d'identités de personnel. Les pools d'identités du personnel sont disponibles pour tous les projets et dossiers d'une organisation.
Cliquez sur Créer un pool et procédez comme suit :
1. Dans le champ Nom, saisissez le nom à afficher du pool. L'ID du pool est automatiquement dérivé du nom au fur et à mesure de la saisie, et s'affiche sous le champ Nom. Vous pouvez modifier l'ID du pool en cliquant sur Modifier à côté de l'ID du pool.
2. Facultatif : Dans le champ Description, saisissez une description du pool.
3. Pour créer le pool d'identités de personnel, cliquez sur Suivant.

Configurer le fournisseur de pools d'identités de personnel SAML 2.0

gcloud

Pour créer le fournisseur de pools d'identité de personnel SAML, exécutez la commande suivante :

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging

Remplacez les éléments suivants :

PROVIDER_ID : ID de fournisseur unique. Le préfixe gcp- est réservé et ne peut pas être utilisé dans un ID de pool ou de fournisseur.
WORKFORCE_POOL_ID : ID du pool de personnel.
DISPLAY_NAME : nom à afficher pour le fournisseur.
XML_METADATA_PATH : chemin d'accès au fichier de métadonnées XML SAML 2.0.
ATTRIBUTE_MAPPING : mappage des attributs de Microsoft Entra ID à Google Cloud. Si vous utilisez des indicateurs --extra-attributes pour interroger des groupes depuis Microsoft Entra ID, tout mappage google.groups qui utilise des revendications SAML ou OIDC standards est ignoré. Par exemple, pour mapper les attributs groups et subject de Microsoft Entra ID, utilisez le mappage d'attributs suivant :
```
--attribute-mapping="google.groups=assertion.groups, google.subject=assertion.oid"
```
Pour en savoir plus, consultez Mappage d'attributs.
EXTRA_ATTRIBUTES_ISSUER_URI : URI de l'émetteur de votre application Microsoft Entra ID.
Remarque : Si un problème de configuration se produit avec des attributs supplémentaires, comme un ID client ou un code secret incorrects, la tentative de connexion échoue.
EXTRA_ATTRIBUTES_CLIENT_ID : ID client de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_CLIENT_SECRET : code secret du client supplémentaire de votre application Microsoft Entra ID.
EXTRA_ATTRIBUTES_TYPE : utilisez azure-ad-groups-mail pour récupérer les adresses e-mail des groupes. Utilisez azure-ad-groups-id pour récupérer les ID des groupes. Utilisez azure-ad-groups-display-name pour récupérer les noms à afficher des groupes.
EXTRA_ATTRIBUTES_FILTER : facultatif. Expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph. Vous pouvez utiliser ce paramètre pour vous assurer que le nombre de groupes récupérés auprès de l'IdP ne dépasse pas la limite de 400 groupes.
L'exemple suivant récupère les groupes dont l'adresse e-mail est précédée du préfixe sales :
```
--extra-attributes-filter='"mail:sales"'
```
L'expression suivante récupère les groupes dont le nom à afficher contient la chaîne sales.
```
--extra-attributes-filter='"displayName:sales"'
```
La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.

Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pools d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.

Console

Dans la console Google Cloud , accédez à la page Pools d'identités de personnel :

Accéder aux pools d'identités de personnel

Dans le tableau Pools d'identités de personnel, sélectionnez le pool pour lequel vous souhaitez créer le fournisseur.
Dans la section Fournisseurs, cliquez sur Ajouter un fournisseur.
Dans la liste Sélectionner un fournisseur, sélectionnez votre fournisseur d'identité (IdP).
Si votre fournisseur d'identité n'est pas listé, sélectionnez Fournisseur d'identité générique.
Dans Sélectionner un protocole d'authentification, sélectionnez SAML.
Dans la section Créer un fournisseur, procédez comme suit :
1. Dans Nom, saisissez un nom pour le fournisseur.
2. Facultatif : Dans le champ Description, saisissez une description du fournisseur.
3. Dans Fichier de métadonnées IdP (XML), sélectionnez le fichier XML de métadonnées que vous avez généré précédemment dans ce guide.
4. Pour créer un fournisseur activé, assurez-vous que l'option Activer le fournisseur est activée.
5. Cliquez sur Continuer.
Dans la section Share your provider information (Partager les informations sur votre fournisseur), copiez les URL. Dans votre IdP, configurez la première URL comme ID d'entité, qui identifie votre application auprès de l'IdP. Configurez l'autre URL comme URI de redirection, qui indique à votre IdP où envoyer le jeton d'assertion après la connexion.
Cliquez sur Continuer.
Dans la section Configurer le fournisseur, procédez comme suit :
1. Dans Mappage des attributs, saisissez une expression CEL pour google.subject.
2. Facultatif : Pour définir d'autres mappages, cliquez sur Ajouter un mappage et saisissez d'autres mappages. Par exemple :
3. Si vous avez sélectionné Microsoft Entra ID comme IdP, vous pouvez augmenter le nombre de groupes.
  1. Sélectionnez Utiliser des attributs supplémentaires.
  2. Dans le champ URI de l'émetteur des attributs supplémentaires, saisissez l'URL de l'émetteur.
  3. Dans le champ ID client des attributs supplémentaires, saisissez l'ID client.
  4. Dans le champ Code secret du client pour les attributs supplémentaires, saisissez le code secret du client.
  5. Dans la liste Type d'attributs supplémentaires, sélectionnez un type d'attribut pour les attributs supplémentaires.
  6. Dans le champ Filtre d'attributs supplémentaires, saisissez une expression de filtre utilisée pour rechercher des groupes avec l'API Microsoft Graph.
4. Facultatif : pour ajouter une condition d'attribut, cliquez sur Ajouter une condition, puis saisissez une expression CEL représentant une condition d'attribut. Par exemple, pour limiter l'attribut ipaddr à une certaine plage d'adresses IP, vous pouvez définir la condition assertion.attributes.ipaddr.startsWith('98.11.12.'). Cet exemple de condition garantit que seuls les utilisateurs dont l'adresse IP commence par 98.11.12. peuvent se connecter en utilisant ce fournisseur de personnel.
5. Cliquez sur Continuer.
6. Pour activer la journalisation d'audit détaillée, dans Journalisation détaillée, cliquez sur le bouton Activer la journalisation d'audit des valeurs d'attribut.
  La journalisation d'audit détaillée de la fédération des identités des employés enregistre les informations reçues de votre fournisseur d'identité dans Logging. La journalisation d'audit détaillée peut vous aider à résoudre les problèmes liés à la configuration de votre fournisseur de pools d'identités des employés. Pour savoir comment résoudre les erreurs de mappage d'attributs à l'aide de journaux d'audit détaillés, consultez Erreurs générales de mappage d'attributs. Pour en savoir plus sur les tarifs de Logging, consultez la page Tarifs de Google Cloud Observability.
  
  Pour désactiver la journalisation d'audit détaillée pour un fournisseur de pools d'identités de personnel, omettez l'indicateur --detailed-audit-logging lorsque vous exécutez gcloud iam workforce-pools providers create. Pour désactiver la journalisation d'audit détaillée, vous pouvez également mettre à jour le fournisseur.
Pour créer le fournisseur, cliquez sur Envoyer.

Vérifier la configuration de votre fournisseur

Avant de tester le parcours de connexion de l'utilisateur final, vous pouvez vérifier que la configuration de votre fournisseur est correcte et que Google Cloud peut échanger des jetons avec votre IdP.

La page Valider les attributs de votre fournisseur de la console Google Cloud inclut un outil de visualisation des attributs qui vous permet de tester votre configuration de manière interactive et de déboguer les expressions CEL (Common Expression Language). Vous pouvez utiliser cet outil pour effectuer les opérations suivantes :

Affichez les attributs bruts envoyés dans l'assertion IdP.
Vérifiez que vos mappages et conditions d'attributs transforment correctement ces attributs.
Déboguez des expressions CEL complexes en temps réel.

Pour vérifier la configuration de votre fournisseur, procédez comme suit :

Pour activer le flux de connexion basé sur le navigateur pour la fédération d'identité des employés, ajoutez https://auth.cloud.google/signin-callback/locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID à la liste des URI de redirection autorisés de votre fournisseur d'identité.
Dans la console Google Cloud , accédez à Pools d'identités de personnel.
Accéder aux pools d'identités de personnel
Dans la liste des pools, cliquez sur le nom du pool que vous souhaitez vérifier.
Sur la page Détails du pool de personnel, cliquez sur le nom de l'IdP que vous souhaitez valider.
Sur la page Informations sur le fournisseur, cliquez sur Déboguer le jeton IdP.
Dans la boîte de dialogue Connexion, connectez-vous à votre IdP en tant qu'utilisateur test.

La page Valider les attributs de votre fournisseur affiche les attributs mappés et le résultat de la condition d'attribut.

La section Attributs mappés à partir de votre jeton IdP indique comment les attributs Google, tels que google.subject, sont renseignés à partir du jeton de votre IdP en fonction de votre configuration de mappage. Une icône d'erreur s'affiche si un mappage est incorrect.

La section Condition d'attribut affiche le résultat booléen de votre condition. Si la condition renvoie false, la connexion est bloquée.

Pour afficher le jeton d'assertion complet, cliquez sur Afficher le jeton complet. L'objet JSON brut de votre IdP s'affiche. Référencez une propriété de premier niveau dans vos mappages en utilisant le format assertion.PROPERTY_NAME.

Modifier la configuration de votre fournisseur

Pour corriger les éventuelles erreurs, vous pouvez modifier la configuration :

Sur la page Valider les attributs de votre fournisseur, cliquez sur Modifier.
Apportez les modifications nécessaires.
Pour lancer un nouveau test et afficher les résultats mis à jour, cliquez sur Enregistrer et récupérer le jeton.

Attribuer des rôles IAM à des groupes

Dans cette section, vous allez attribuer des rôles à des groupes sur les ressources Google Cloud . Pour en savoir plus sur les identifiants de compte principal de la fédération d'identité de personnel, consultez Représenter les utilisateurs de pools de personnel dans les stratégies IAM.

L'exemple suivant attribue le rôle Administrateur Storage (roles/storage.admin) aux utilisateurs d'un groupe Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Remplacez les éléments suivants :

PROJECT_ID : ID du projet
WORKFORCE_POOL_ID : ID du pool d'identités de personnel
GROUP_ID : identifiant du groupe, qui dépend de la valeur de --extra-attributes-type utilisée pour créer le fournisseur de pool d'identités de personnel, comme suit :
- azure-ad-groups-mail : l'identifiant du groupe est une adresse e-mail, par exemple admin-group@altostrat.com.
- azure-ad-groups-id : l'identifiant de groupe est un UUID pour le groupe, par exemple : abcdefgh-0123-0123-abcdef

Dans cette section, vous vous connectez en tant qu'utilisateur de pool d'identités de personnel et vérifiez que vous avez accès aux ressources Google Cloud .

Cette section explique comment se connecter en tant qu'utilisateur fédéré et accéder aux ressourcesGoogle Cloud .

Pour vous connecter à la console de fédération des identités des employés Google Cloud , également appelée console (fédérée), procédez comme suit :

Accédez à la page de connexion de la console (fédéré).

Accéder à la console (fédéré)

Saisissez le nom du fournisseur, en respectant le format suivant :

locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

Si vous y êtes invité, saisissez les identifiants utilisateur dans Microsoft Entra ID.

Si vous démarrez une connexion initiée par le fournisseur d'identité, utilisez l'URL de relais suivante : https://console.cloud.google/.

Pour vous connecter à gcloud CLI à l'aide d'un flux de connexion basé sur un navigateur, procédez comme suit :

Créer un fichier de configuration

Exécutez la commande suivante pour créer un fichier de configuration de connexion :

Linux et macOS

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --output-file=LOGIN_CONFIG_PATH

Windows (PowerShell)

gcloud iam workforce-pools create-login-config `
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID `
    --output-file=LOGIN_CONFIG_PATH

Remarque : Vous pouvez éventuellement activer le fichier de configuration de connexion comme fichier par défaut pour gcloud CLI en ajoutant l'option --activate. Vous pouvez ensuite exécuter gcloud auth login pour autoriser la gcloud CLI sans spécifier le chemin d'accès au fichier de configuration de connexion à chaque fois.

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID du pool de fédération des identités des employés.
WORKFORCE_PROVIDER_ID : ID du fournisseur de fédération des identités des employés
LOGIN_CONFIG_PATH : chemin d'accès au fichier de configuration de connexion. Exemple :login-config.json

Le fichier de configuration de connexion contient les points de terminaison utilisés par gcloud CLI pour activer le flux d'authentification via le navigateur et définir l'audience sur le fournisseur d'identité configuré dans le fournisseur de pools d'identités des employés. Votre fichier ne contient aucune information confidentielle.

Le contenu du fichier de configuration de connexion ressemble à ce qui suit :

{
  "universe_domain": "googleapis.com",
  "universe_cloud_web_domain": "cloud.google",
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

Se connecter à l'aide d'une authentification basée sur le navigateur

Pointez vers le fichier de configuration de connexion avec une variable d'environnement, une propriété dans la configuration active de gcloud CLI, ou utilisez-le directement avec la commande gcloud auth login :

Variable d'environnement

Pour utiliser le fichier de configuration de connexion avec une variable d'environnement, suivez les instructions ci-dessous :

Définissez la variable d'environnement CLOUDSDK_AUTH_LOGIN_CONFIG_FILE sur le chemin d'accès du fichier de configuration de connexion.
Exécutez la commande suivante :
```
gcloud auth login
```
gcloud CLI fait référence à la variable d'environnement pour trouver le fichier de configuration de connexion, puis lance le processus d'authentification. Suivez le flux basé sur le navigateur pour authentifier et autoriser la gcloud CLI à accéder aux ressources en votre nom pour les commandes futures.

Pour arrêter d'utiliser le fichier de configuration de connexion pour les commandes gcloud auth login, effacez la variable d'environnement CLOUDSDK_AUTH_LOGIN_CONFIG_FILE.

Configuration de gcloud CLI

Pour utiliser le fichier de configuration de connexion avec une propriété de configuration gcloud CLI, suivez les instructions ci-dessous :

Définissez la propriété auth/login_config_file de la configuration gcloud CLI active sur le chemin d'accès au fichier de configuration de connexion à l'aide de la commande suivante :
```
gcloud config set auth/login_config_file LOGIN_CONFIG_PATH
```
Exécutez la commande suivante :
```
gcloud auth login
```
gcloud CLI référence la propriété de configuration pour trouver le fichier de configuration de connexion, puis démarre le processus d'authentification. Suivez le flux basé sur le navigateur pour authentifier et autoriser la gcloud CLI à accéder aux ressources en votre nom pour les commandes futures.

Pour arrêter d'utiliser le fichier de configuration de connexion pour les commandes gcloud auth login, annulez la définition de la propriété à l'aide de la commande suivante :

gcloud config unset auth/login_config_file

Pour utiliser le fichier de configuration de connexion directement avec la commande gcloud auth login, suivez les instructions ci-dessous :

Si vous avez utilisé l'option --activate lors de la création du fichier de configuration de connexion, exécutez la commande suivante :
```
gcloud auth login
```
Si vous n'avez pas utilisé l'option --activate lors de la création du fichier de configuration de connexion, exécutez la commande suivante :
Linux et macOS
gcloud auth login \ --login-config=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud auth login ` --login-config=LOGIN_CONFIG_PATH
Remplacez LOGIN_CONFIG_PATH par le chemin d'accès à votre fichier de configuration de connexion.

La commande gcloud auth login stocke les identifiants d'accès dans votre répertoire personnel. Le principal authentifié devient le principal actif dans votre configuration gcloud CLI active. Sauf indication contraire, la gcloud CLI utilise ces identifiants stockés pour accéder à Google Cloud.

Pour vous connecter à Microsoft Entra ID avec gcloud CLI, procédez comme suit :

OIDC

Suivez les étapes de l'article Envoyer la demande de connexion. Connectez l'utilisateur à votre application avec Microsoft Entra ID à l'aide d'OIDC.
Copiez le jeton d'ID à partir du paramètre id_token de l'URL de redirection et enregistrez-le dans un fichier placé dans un emplacement sécurisé sur votre machine locale. Lors d'une étape ultérieure, vous définirez PATH_TO_OIDC_ID_TOKEN sur le chemin d'accès à ce fichier.

Générez un fichier de configuration semblable à l'exemple plus loin dans cette étape en exécutant la commande suivante :

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:id_token \
    --credential-source-file=PATH_TO_OIDC_ID_TOKEN \
    --workforce-pool-user-project=WORKFORCE_POOL_USER_PROJECT \
    --output-file=config.json

Remplacez les éléments suivants :

WORKFORCE_POOL_ID : ID du pool d'identités de personnel
WORKFORCE_PROVIDER_ID : ID du fournisseur de pools d'identités des employés
PATH_TO_OIDC_ID_TOKEN : chemin d'accès à l'emplacement du fichier dans lequel le jeton de fournisseur d'identité est stocké.
WORKFORCE_POOL_USER_PROJECT : numéro ou ID du projet utilisé pour les quotas et la facturation. Le compte principal doit disposer de l'autorisation serviceusage.services.use sur ce projet.

Une fois l'exécution de la commande terminée, le fichier de configuration suivant est créé par Microsoft Entra ID :

{
  "type": "external_account",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "subject_token_type": "urn:ietf:params:oauth:token-type:id_token",
  "token_url": "https://sts.googleapis.com/v1/token",
  "workforce_pool_user_project": "WORKFORCE_POOL_USER_PROJECT",
  "credential_source": {
    "file": "PATH_TO_OIDC_CREDENTIALS"
  }
}

Ouvrez gcloud CLI et exécutez la commande suivante :
```
gcloud auth login --cred-file=PATH_TO_OIDC_CREDENTIALS
```
Remplacez PATH_TO_OIDC_CREDENTIALS par le chemin d'accès au fichier de sortie d'une étape précédente.

gcloud CLI publie vos identifiants de manière transparente sur le point de terminaison Security Token Service. Dans le point de terminaison, ils sont échangés contre des jetons d'accès Google Cloud temporaires.

Vous pouvez désormais exécuter des commandes gcloud CLI surGoogle Cloud.

SAML

Connectez un utilisateur à votre application Microsoft Entra ID et obtenez la réponse SAML.
Enregistrez la réponse SAML renvoyée par Microsoft Entra ID dans un emplacement sécurisé sur votre ordinateur local, puis stockez le chemin d'accès comme suit :
```
SAML_ASSERTION_PATH=SAML_ASSERTION_PATH
```

Pour générer un fichier de configuration d'identifiants, exécutez la commande suivante :

gcloud iam workforce-pools create-cred-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \
    --subject-token-type=urn:ietf:params:oauth:token-type:saml2 \
    --credential-source-file=SAML_ASSERTION_PATH  \
    --workforce-pool-user-project=PROJECT_ID  \
    --output-file=config.json

Remplacez les éléments suivants :

WORKFORCE_PROVIDER_ID : ID du fournisseur de pools d'identités de personnel que vous avez créé précédemment dans ce guide
WORKFORCE_POOL_ID : ID du pool d'identités de personnel que vous avez créé précédemment dans ce guide.
SAML_ASSERTION_PATH : chemin d'accès du fichier d'assertion SAML
PROJECT_ID : ID du projet

Le fichier de configuration généré se présente comme suit :

{
   "type": "external_account",
   "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
   "subject_token_type": "urn:ietf:params:oauth:token-type:saml2",
   "token_url": "https://sts.googleapis.com/v1/token",
   "credential_source": {
     "file": "SAML_ASSERTION_PATH"
   },
   "workforce_pool_user_project": "PROJECT_ID"
}

Pour vous connecter à la gcloud CLI à l'aide de l'échange de jetons de la fédération des identités des employés, exécutez la commande suivante :
```
gcloud auth login --cred-file=config.json
```
gcloud CLI échange ensuite de manière transparente vos identifiants Microsoft Entra ID contre des jetons d'accès Google Cloud temporaires. Les jetons d'accès vous permettent d'accéder à Google Cloud.

Vous obtenez un résultat semblable à celui-ci :
```
Authenticated with external account user credentials for:
[principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_ID].
```
Pour répertorier les comptes avec identifiants et votre compte actif, exécutez la commande suivante :
```
gcloud auth list
```

Tester l'accès

Vous avez désormais accès aux produits Google Cloud compatibles avec la fédération des identités des employés et auxquels on vous a accordé l'accès. Plus tôt dans ce document, vous avez accordé le rôle Administrateur de l'espace de stockage (roles/storage.admin) à toutes les identités du groupe dont vous avez spécifié l'identifiant dans gcloud projects add-iam-policy-binding pour le projet TEST_PROJECT_ID.

Vous pouvez désormais tester l'accès en répertoriant les buckets Cloud Storage.

Console (fédéré)

Pour vérifier que vous avez accès à l'aide de la console (fédérée), procédez comme suit :

Accédez à la page Cloud Storage.

Accéder à Cloud Storage
Vérifiez que vous pouvez voir la liste des buckets existants pour le TEST_PROJECT_ID.

CLI gcloud

Pour tester votre accès à l'aide de la gcloud CLI, vous pouvez lister les buckets et les objets Cloud Storage du projet auquel vous avez accès. Pour ce faire, exécutez la commande suivante. Le compte principal doit disposer de l'autorisation serviceusage.services.use sur le projet spécifié.

gcloud storage ls --project="TEST_PROJECT_ID"

Supprimer des comptes utilisateur

La fédération d'identité de personnel crée des métadonnées et des ressources utilisateur pour les identités des utilisateurs fédérées. Si vous choisissez de supprimer des utilisateurs dans votre IdP, vous devez également supprimer explicitement ces ressources dans Google Cloud. Pour ce faire, consultez Supprimer des utilisateurs de la fédération d'identité des employés et leurs données.

Il est possible que des ressources restent associées à un utilisateur supprimé. En effet, la suppression de métadonnées et de ressources utilisateur nécessite une opération de longue durée. Une fois que vous avez lancé la suppression de l'identité d'un utilisateur, les processus qu'il a lancés avant la suppression peuvent continuer à s'exécuter jusqu'à ce qu'ils soient terminés ou annulés.

Étapes suivantes

Configurer SCIM dans Microsoft Entra ID
Supprimer les utilisateurs et leurs données de la fédération des identités des employés
Découvrez les produits Google Cloud compatibles avec la fédération des identités des employés.
Configurer l'accès utilisateur à la console (fédéré)

Configurer la fédération des identités des employés avec Microsoft Entra ID Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Concepts clés

Attributs supplémentaires

Avant de commencer

Coûts

Rôles requis

Créer une application Microsoft Entra ID

OIDC

SAML

Configurer un grand nombre de groupes avec Microsoft Entra ID

Configurer un grand nombre de groupes avec Microsoft Entra ID et le flux implicite OIDC

Configurer votre application Microsoft Entra ID

Créer un pool d'identités de personnel

gcloud

Console

Configurer le fournisseur de pools d'identités de personnel avec flux implicite OIDC

gcloud

Console

Configurer un grand nombre de groupes dans Microsoft Entra ID avec le flux de code OIDC

Configurer votre application Microsoft Entra ID

Créer un pool d'identités de personnel

gcloud

Console

Configurer le fournisseur de pools d'identités de personnel avec flux de code OIDC

gcloud

Console

Configurer un grand nombre de groupes dans Microsoft Entra ID avec SAML 2.0

Configurer votre application Microsoft Entra ID

Créer un pool d'identités de personnel

gcloud

Console

Configurer le fournisseur de pools d'identités de personnel SAML 2.0

gcloud

Console

Vérifier la configuration de votre fournisseur

Modifier la configuration de votre fournisseur

Attribuer des rôles IAM à des groupes

Se connecter et tester l'accès

Se connecter

Connexion à la console (fédéré)

Connexion à gcloud CLI depuis un navigateur

Linux et macOS

Windows (PowerShell)

Variable d'environnement

Configuration de gcloud CLI

gcloud auth login

Linux et macOS

Windows (PowerShell)

Connexion à gcloud CLI sans interface graphique

OIDC

SAML

Tester l'accès

Console (fédéré)

CLI gcloud

Supprimer des comptes utilisateur

Étapes suivantes

Configurer la fédération des identités des employés avec Microsoft Entra ID