הגדרת איחוד שירותי אימות הזהות של כוח העבודה באמצעות Microsoft Entra ID

כדי למפות פחות מ-150 קבוצות מ-Microsoft Entra ID אל Google Cloud, אפשר לעיין במאמר בנושא הגדרה של איחוד שירותי אימות הזהות של כוח העבודה באמצעות Microsoft Entra ID וכניסת משתמשים.

מושגים מרכזיים

בקטע הזה מוסברים מושגים שמשמשים להגדרת איחוד שירותי אימות הזהות של כוח עבודה, בהמשך המסמך.

מאפיינים נוספים

כדי למפות עד 400 קבוצות, משתמשים במאפיינים נוספים על ידי ציון דגלים של extra-attributes כשיוצרים את ספק מאגר הזהויות של כוח העבודה. אפשר להשתמש במאפיינים נוספים עם הפרוטוקולים הבאים:

• OIDC עם זרם הענקת גישה משתמע
• OIDC עם זרימת קוד
• פרוטוקול SAML 2.0

מספר כתובות האימייל הקבוצתיות שאפליקציה של Microsoft Entra ID יכולה להנפיק באסימון מוגבל ל-150 עבור SAML ול-200 עבור JWT. מידע נוסף על המגבלה הזו זמין במאמר הגדרת בקשות של קבוצות משתמשים לאפליקציות באמצעות Microsoft Entra ID. כדי לאחזר עוד קבוצות, איחוד שירותי אימות הזהות של כוח העבודה משתמש בתהליך של פרטי כניסה של לקוח OAuth 2.0 של Microsoft Identity כדי לקבל פרטי כניסה שמאפשרים לאיחוד שירותי אימות הזהות של כוח העבודה לשלוח שאילתה ל-Microsoft Graph API ולאחזר את הקבוצות של משתמש.

כדי להשתמש במאפיינים נוספים, צריך לבצע את הפעולות הבאות:

• יוצרים אפליקציה חדשה של Microsoft Entra ID או מעדכנים את האפליקציה הקיימת כדי לקבל את חברות המשתמשים בקבוצות מ-Microsoft Graph API. מידע נוסף על האופן שבו Microsoft Graph מאחזר מספר גדול של קבוצות מ-Microsoft Entra ID זמין במאמר חריגות בשימוש בקבוצות.

• כשיוצרים את ספק הזהויות של כוח העבודה, משתמשים בדגלים extra-attributes כדי להגדיר את איחוד זהויות של כוח עבודה כך שיאחזר כתובות אימייל קבוצתיות של משתמשים מ-Microsoft Graph API.

איחוד זהויות של כוח עבודה יכול לאחזר עד 999 קבוצות מ-Microsoft Graph API. אם Microsoft Graph API מחזיר יותר מ-999 קבוצות, הכניסה נכשלת.

כדי לצמצם את מספר הקבוצות שמוחזרות על ידי Microsoft Graph API, אפשר לשפר את השאילתה של איחוד שירותי אימות הזהות של כוח העבודה באמצעות הדגל --extra-attributes-filter כשיוצרים את הספק של מאגר הזהויות של כוח העבודה.

אחרי שאיחוד זהויות של כוח עבודה מאחזר את הקבוצות מ-Microsoft Graph API, הוא יוצר את טוקן הגישה. איחוד שירותי אימות הזהות של כוח עבודה יכול להוסיף עד 400 קבוצות לאסימון הגישה. לכן, כדי לסנן עוד את מספר הקבוצות ל-400 או פחות, אפשר לציין מיפוי מאפיינים שמכיל ביטויים של Common Expression Language‏ (CEL) כשיוצרים את ספק מאגר הזהויות של כוח העבודה.

מאפיינים מורחבים

משתמשי Gemini Enterprise יכולים להשתמש במאפיינים מורחבים כדי למפות עד 1, 000 קבוצות מ-Microsoft Entra ID. המגבלה הזו גבוהה יותר מהמגבלה של מאפיינים נוספים. כדי להשתמש במאפיינים מורחבים, צריך לציין את הדגלים extended-attributes כשיוצרים את ספק מאגר הזהויות של כוח העבודה. באמצעות מאפיינים מורחבים, איחוד זהויות של כוח עבודה מאחזר מזהי קבוצות (UUID) מ-Microsoft Entra ID.

כדי לאפשר למשתמשי Gemini Enterprise להזין שמות קבוצות שקלים לקריאה במקום מזהי UUID בממשק המשתמש של שיתוף מחברות ב-Gemini Enterprise, צריך גם להגדיר SCIM.

בהמשך המאמר הזה מוסבר איך להגדיר את SCIM באיחוד זהויות של כוח עבודה וב-IdP.

כדי להגדיר מאפיינים מורחבים, משתמשים בדגלים הבאים:

• --extended-attributes-issuer-uri
• --extended-attributes-client-id
• --extended-attributes-client-secret-value

כשמשתמשים במאפיינים מורחבים, חלות גם המגבלות הבאות:

• אתם לא צריכים להגדיר את google.groups במיפוי המאפיינים כי לא נעשה שימוש במאפייני הקבוצות. עם זאת, נעשה שימוש במיפויים אחרים של מאפיינים.

• אפשר להגדיר דגלים אחרים של ספקים של מאגרי זהויות של כוח עבודה, כפי שמתואר במסמכים, אבל ההגדרות האלה חלות על מוצרים אחרים מלבד Gemini Enterprise שתומכים באיחוד שירותי אימות הזהות של כוח עבודה.

• מאפיינים מורחבים מתעדכנים ומתרעננים באופן תקופתי ברקע למשך הסשן, גם אחרי הכניסה לחשבון.

• ב-Microsoft Entra ID, צריך להעניק לאפליקציה את ההרשאה User.Read.All במקום User.Read,‏ User.ReadBasic.All או GroupMember.Read.All.

• דגל הסוג של המאפיינים המורחבים --extended-attributes-type תומך רק בסוג azure-ad-groups-id.

• מאפיינים מורחבים תומכים בעד 1,000 קבוצות. לעומת זאת, בדגל --extra-attributes יש תמיכה בעד 400 קבוצות.

• אפשר להשתמש במאפיינים מורחבים רק לכניסה לאינטרנט דרך vertexaisearch.cloud.google, ולא לכניסה למסוף או ל-CLI של gcloud.

לפני שמתחילים

1. ודאו שיש לכם ארגון מוגדר ב- Google Cloud .

2. התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:

   gcloud init

   אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

3. ב-Microsoft Entra ID, מוודאים שאסימוני הזיהוי מאפשרים זרם הענקת גישה משתמע. מידע נוסף זמין במאמר הפעלת הענקת גישה משתמעת של אסימון מזהה.
4. כדי להיכנס לחשבון, ספק הזהויות שלכם צריך לספק פרטי אימות חתומים: ספקי זהויות שתומכים ב-OIDC צריכים לספק אסימון JWT, ותשובות שמגיעות מספקי זהויות שתומכים ב-SAML חייבות להיות חתומות.
5. כדי לקבל מידע חשוב על שינויים בארגון או במוצרים שלכם, אתם צריכים לספק אנשי קשר חיוניים.Google Cloud מידע נוסף זמין במאמר סקירה כללית על איחוד שירותי אימות הזהות של כוח עבודה.
6. כל הקבוצות שרוצים למפות צריכות להיות מסומנות כקבוצות אבטחה ב-Microsoft Entra ID.

עלויות

איחוד שירותי אימות הזהות של כוח עבודה זמין כתכונה ללא עלות. עם זאת, רישום מפורט ביומני הביקורת של איחוד שירותי אימות הזהות של כוח עבודה מתבצע באמצעות Cloud Logging. מידע על התמחור של Logging זמין במאמר התמחור של Google Cloud Observability.

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות להגדרה של איחוד זהויות של כוח עבודה, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של מאגר זהויות של כוח עבודה ב-IAM (roles/iam.workforcePoolAdmin) בארגון. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

אם אתם מגדירים הרשאות בסביבת פיתוח או בדיקה – אבל לא בסביבת ייצור – אתם יכולים להקצות את התפקיד הבסיסי 'בעלים' ב-IAM (roles/owner), שכולל גם הרשאות לאיחוד זהויות של כוח עבודה.

יצירת אפליקציה ב-Microsoft Entra ID

בקטע הזה מוסבר איך ליצור אפליקציה של Microsoft Entra ID באמצעות פורטל הניהול של Microsoft Entra. אפשר גם לעדכן את הבקשה הקיימת. פרטים נוספים מופיעים במאמר הגדרת אפליקציות במערכת האקולוגית של Microsoft Entra ID.

מאגרי הזהויות של כוח העבודה תומכים באיחוד בעזרת הפרוטוקולים OIDC ו-SAML.

הגדרה של מספר גדול של קבוצות באמצעות Microsoft Entra ID

בקטע הזה מוסבר איך למפות עד 400 קבוצות מ-Microsoft Entra ID לאיחוד זהויות של כוח עבודה באמצעות הפרוטוקולים OIDC ו-SAML.

הגדרה של מספר גדול של קבוצות באמצעות Microsoft Entra ID עם זרם הענקת גישה משתמע של OIDC

בקטע הזה מוסבר איך למפות עד 400 קבוצות מ-Microsoft Entra ID לאיחוד זהויות של כוח עבודה באמצעות פרוטוקול OpenID Connect‏ (OIDC) עם זרם הענקת גישה משתמע.

הגדרת האפליקציה שלכם ב-Microsoft Entra ID

אפשר להגדיר אפליקציה קיימת של Microsoft Entra ID או ליצור אפליקציה חדשה. כדי להגדיר את האפליקציה:

1. בפורטל של Microsoft Entra ID, מבצעים את הפעולות הבאות:
   • כדי לרשום אפליקציה חדשה, פועלים לפי ההוראות במאמר רישום אפליקציה חדשה.
   • כדי לעדכן אפליקציה קיימת:
     • עוברים אל Identity > Applications > Enterprise applications.
     • בוחרים את האפליקציה שרוצים לעדכן.
2. יוצרים סוד לקוח חדש באפליקציה לפי ההוראות שבקטע Certificates & secrets. חשוב לרשום את הערך של סוד הלקוח כי הוא מוצג רק פעם אחת.

   חשוב לשים לב לערכים הבאים מהאפליקציה שיצרתם או עדכנתם. תצטרכו לספק את הערכים האלה בהמשך המסמך, כשתיצרו את ספק מאגר הזהויות של כוח העבודה.

   • Client ID
   • Issuer URI
   • Client Secret
   • Tenant ID

3. כדי לאחזר את הקבוצות של Microsoft Entra ID, צריך להוסיף את הרשאת ה-API כדי לאפשר לאיחוד שירותי אימות הזהות של כוח עבודה לגשת למידע של משתמשים מ-Microsoft Entra ID באמצעות Microsoft Graph API, ולתת הסכמת אדמין. ב-Microsoft Entra ID, מבצעים את הפעולות הבאות:

   1. עוברים אל הרשאות API.
   2. לוחצים על Add a Permission (הוספת הרשאה).
   3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
   4. בוחרים באפשרות הרשאות לאפליקציה.
   5. בשדה החיפוש, מקלידים User.ReadBasic.All.
   6. לוחצים על הוספת הרשאות.

   אפשר לאחזר את הקבוצות של Microsoft Entra ID כמזהים של אובייקטים של קבוצות (מזהה) או ככתובת אימייל של קבוצה עבור קבוצות שמוגדרות להן כתובות אימייל.

   אם בוחרים לאחזר קבוצות ככתובות אימייל קבוצתיות, צריך לבצע את השלב הבא.

4. כדי לאחזר את הקבוצות של Microsoft Entra ID ככתובות אימייל של קבוצות, מבצעים את הפעולות הבאות. אם מאחזרים קבוצות כמזהי אובייקטים של קבוצות, מדלגים על השלב הזה.
   1. בשדה החיפוש, מזינים GroupMember.Read.All.
   2. לוחצים על הוספת הרשאות.
   3. לוחצים על Grant admin consent (מתן הסכמת אדמין) לצד שם הדומיין.
   4. בתיבת הדו-שיח שמופיעה, לוחצים על כן.
   5. עוברים לדף Overview של אפליקציית Microsoft Entra ID שיצרתם או עדכנתם קודם.
   6. לוחצים על נקודות קצה.

   ה-URI של המנפיק הוא ה-URI של מסמך המטא-נתונים של OIDC, בלי הנתיב /.well-known/openid-configuration.

   לדוגמה, אם מסמך המטא-נתונים של OIDC הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, ה-URI של המנפיק הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

יצירת מאגר זהויות של כוח העבודה

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

הגדרת ספק זהויות של כוח עבודה ב-OIDC עם זרם הענקת גישה משתמע

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging
    

הגדרת מספר גדול של קבוצות ב-Microsoft Entra ID באמצעות זרימת קוד OIDC

בקטע הזה מוסבר איך למפות עד 400 קבוצות מ-Microsoft Entra ID לאיחוד זהויות של כוח עבודה באמצעות פרוטוקול OIDC עם זרימת קוד.

הגדרת האפליקציה שלכם ב-Microsoft Entra ID

אפשר להגדיר אפליקציה קיימת של Microsoft Entra ID או ליצור אפליקציה חדשה. כדי להגדיר את האפליקציה:

1. בפורטל של Microsoft Entra ID, מבצעים את הפעולות הבאות:
   • כדי לרשום אפליקציה חדשה, פועלים לפי ההוראות במאמר רישום אפליקציה חדשה.
   • כדי לעדכן אפליקציה קיימת:
     • עוברים אל Identity > Applications > Enterprise applications.
     • בוחרים את האפליקציה שרוצים לעדכן.
2. יוצרים סוד לקוח חדש באפליקציה לפי ההוראות שבקטע Certificates & secrets. חשוב לרשום את הערך של סוד הלקוח כי הוא מוצג רק פעם אחת.

   חשוב לשים לב לערכים הבאים מהאפליקציה שיצרתם או עדכנתם. תצטרכו לספק את הערכים האלה בהמשך המסמך, כשתיצרו את ספק מאגר הזהויות של כוח העבודה.

   • Client ID
   • Issuer URI
   • Client Secret
   • Tenant ID

3. כדי לאחזר את הקבוצות של Microsoft Entra ID, צריך להוסיף את הרשאת ה-API כדי לאפשר לאיחוד שירותי אימות הזהות של כוח עבודה לגשת למידע של משתמשים מ-Microsoft Entra ID באמצעות Microsoft Graph API, ולתת הסכמת אדמין. ב-Microsoft Entra ID, מבצעים את הפעולות הבאות:

   1. עוברים אל הרשאות API.
   2. לוחצים על Add a Permission (הוספת הרשאה).
   3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
   4. בוחרים באפשרות הענקת הרשאות.
   5. בשדה החיפוש, מקלידים User.Read.
   6. לוחצים על הוספת הרשאות.

   אפשר לאחזר את הקבוצות של Microsoft Entra ID כמזהים של אובייקטים של קבוצות (מזהה) או ככתובת אימייל של קבוצה עבור קבוצות שמוגדרות להן כתובות אימייל.

   אם בוחרים לאחזר קבוצות ככתובות אימייל קבוצתיות, צריך לבצע את השלב הבא.

4. כדי לאחזר את הקבוצות של Microsoft Entra ID ככתובות אימייל של קבוצות, מבצעים את הפעולות הבאות. אם מאחזרים קבוצות כמזהי אובייקטים של קבוצות, מדלגים על השלב הזה.
   1. בשדה החיפוש, מזינים GroupMember.Read.All.
   2. לוחצים על הוספת הרשאות.
   3. לוחצים על Grant admin consent (מתן הסכמת אדמין) לצד שם הדומיין.
   4. בתיבת הדו-שיח שמופיעה, לוחצים על כן.
   5. עוברים לדף Overview של אפליקציית Microsoft Entra ID שיצרתם או עדכנתם קודם.
   6. לוחצים על נקודות קצה.

   ה-URI של המנפיק הוא ה-URI של מסמך המטא-נתונים של OIDC, בלי הנתיב /.well-known/openid-configuration.

   לדוגמה, אם מסמך המטא-נתונים של OIDC הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, ה-URI של המנפיק הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

יצירת מאגר זהויות של כוח העבודה

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

הגדרת ספק של מאגר זהויות של כוח עבודה ב-OIDC באמצעות זרימת קוד

gcloud iam workforce-pools providers create-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=CLIENT_ID \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=code \
    --web-sso-assertion-claims-behavior=merge-user-info-over-id-token-claims \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging
    

הגדרה של מספר גדול של קבוצות ב-Microsoft Entra ID באמצעות SAML 2.0

בקטע הזה מוסבר איך למפות עד 400 קבוצות מ-Microsoft Entra ID לאיחוד זהויות של כוח עבודה באמצעות פרוטוקול SAML 2.0.

הגדרת האפליקציה שלכם ב-Microsoft Entra ID

כדי להגדיר את האפליקציה:

1. בפורטל של Microsoft Entra ID, מבצעים את הפעולות הבאות:
   • כדי לרשום אפליקציה חדשה, פועלים לפי ההוראות במאמר רישום אפליקציה חדשה.
   • כדי לעדכן אפליקציה קיימת:
     • עוברים אל Identity > Applications > Enterprise applications.
     • בוחרים את האפליקציה שרוצים לעדכן.
2. יוצרים סוד לקוח חדש באפליקציה לפי ההוראות שבקטע Certificates & secrets. חשוב לרשום את הערך של סוד הלקוח כי הוא מוצג רק פעם אחת.

   חשוב לשים לב לערכים הבאים מהאפליקציה שיצרתם או עדכנתם. תצטרכו לספק את הערכים האלה בהמשך המסמך, כשתיצרו את ספק מאגר הזהויות של כוח העבודה.

   • Client ID
   • Issuer URI
   • Client Secret
   • Tenant ID

3. כדי לאחזר את הקבוצות של Microsoft Entra ID, צריך להוסיף את הרשאת ה-API כדי לאפשר לאיחוד שירותי אימות הזהות של כוח עבודה לגשת למידע של משתמשים מ-Microsoft Entra ID באמצעות Microsoft Graph API, ולתת הסכמת אדמין. ב-Microsoft Entra ID, מבצעים את הפעולות הבאות:

   1. עוברים אל הרשאות API.
   2. לוחצים על Add a Permission (הוספת הרשאה).
   3. בוחרים באפשרות Microsoft API (ממשק API של מיקרוסופט).
   4. בוחרים באפשרות הרשאות לאפליקציה.
   5. בשדה החיפוש, מקלידים User.ReadBasic.All.
   6. לוחצים על הוספת הרשאות.

   אפשר לאחזר את הקבוצות של Microsoft Entra ID כמזהים של אובייקטים של קבוצות (מזהה) או ככתובת אימייל של קבוצה עבור קבוצות שמוגדרות להן כתובות אימייל.

   אם בוחרים לאחזר קבוצות ככתובות אימייל קבוצתיות, צריך לבצע את השלב הבא.

4. כדי לאחזר את הקבוצות של Microsoft Entra ID ככתובות אימייל של קבוצות, מבצעים את הפעולות הבאות. אם מאחזרים קבוצות כמזהי אובייקטים של קבוצות, מדלגים על השלב הזה.
   1. בשדה החיפוש, מזינים GroupMember.Read.All.
   2. לוחצים על הוספת הרשאות.
   3. לוחצים על Grant admin consent (מתן הסכמת אדמין) לצד שם הדומיין.
   4. בתיבת הדו-שיח שמופיעה, לוחצים על כן.
   5. עוברים לדף Overview של אפליקציית Microsoft Entra ID שיצרתם או עדכנתם קודם.
   6. לוחצים על נקודות קצה.

   ה-URI של המנפיק הוא ה-URI של מסמך המטא-נתונים של OIDC, בלי הנתיב /.well-known/openid-configuration.

   לדוגמה, אם מסמך המטא-נתונים של OIDC הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, ה-URI של המנפיק הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

יצירת מאגר זהויות של כוח העבודה

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

הגדרת ספק הזהויות של מאגר כוח העבודה ב-SAML 2.0

gcloud iam workforce-pools providers create-saml PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --idp-metadata-path=XML_METADATA_PATH \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --extra-attributes-issuer-uri=EXTRA_ATTRIBUTES_ISSUER_URI \
    --extra-attributes-client-id=EXTRA_ATTRIBUTES_CLIENT_ID \
    --extra-attributes-client-secret-value=EXTRA_ATTRIBUTES_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_ATTRIBUTES_TYPE  \
    --extra-attributes-filter=EXTRA_ATTRIBUTES_FILTER \
    --detailed-audit-logging
    

אימות ההגדרה של הספק

לפני שבודקים את תהליך הכניסה של משתמשי הקצה, אפשר לוודא שההגדרה של הספק נכונה ושהוא יכול להחליף אסימונים עם IdP. Google Cloud

בדף Validate your provider attributes במסוף Google Cloud יש כלי לצפייה במאפיינים שמאפשר לבדוק את ההגדרה באופן אינטראקטיבי ולנפות באגים בביטויים של Common Expression Language‏ (CEL). בעזרת הכלי לבדיקת מאפיינים אפשר:

• צפייה במאפיינים הגולמיים שנשלחים בהצהרת ה-IdP.
• מוודאים שמיפויי המאפיינים והתנאים משנים את המאפיינים האלה בצורה נכונה.
• ניפוי באגים של ביטויי CEL מורכבים בזמן אמת.

כדי לוודא שהגדרתם את הספק בצורה נכונה:

1. כדי להפעיל את תהליך הכניסה מבוסס-הדפדפן לאיחוד שירותי אימות הזהות של כוח עבודה, מוסיפים את https://auth.cloud.google/signin-callback/locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID לרשימת ה-URI להפניה אוטומטית המותרים ב-IdP.

2. במסוף Google Cloud , עוברים אל Workforce Identity Pools.

   כניסה לדף Workforce Identity Pools
3. ברשימת המאגרים, לוחצים על שם המאגר שרוצים לאמת.
4. בדף פרטי מאגר כוח העבודה, לוחצים על השם של ספק הזהויות שרוצים לאמת.
5. בדף פרטי הספק, לוחצים על ניפוי באגים של טוקן IdP.
6. בתיבת הדו-שיח Sign in (כניסה), נכנסים ל-IdP בתור חשבון למטרות בדיקה.

בדף Validate your provider attributes (אימות המאפיינים של הספק) מוצגים המאפיינים הממופים והתוצאה של תנאי המאפיין.

בקטע Mapped attributes from your IdP token (מאפיינים ממופים מטוקן ספק הזהויות) מוצג אופן האכלוס של מאפייני Google, כמו google.subject, מטוקן ספק הזהויות על סמך הגדרת המיפוי. אם המיפוי שגוי, מופיע סמל שגיאה.

בקטע Attribute condition (תנאי למאפיין) מוצגת התוצאה הבוליאנית של התנאי. אם התנאי מקבל את הערך false, הכניסה נחסמת.

כדי לראות את אסימון הטענה המלא, לוחצים על הצגת האסימון המלא. כאן מוצג אובייקט ה-JSON הגולמי מ-IdP. כדי להפנות למאפיין ברמה העליונה במיפויים, משתמשים בפורמט assertion.PROPERTY_NAME.

עריכת הגדרת הספק

כדי לתקן שגיאות, אפשר לערוך את ההגדרות:

1. בדף Validate your provider attributes (אימות מאפייני הספק), לוחצים על edit Edit (עריכה).
2. מבצעים את השינויים הנדרשים.
3. כדי להתחיל בדיקה חדשה ולראות את התוצאות המעודכנות, לוחצים על שמירה ואחזור מחדש של הטוקן.

הקצאת תפקידי IAM לקבוצות

בקטע הזה מקצים תפקידים לקבוצות במשאבים של Google Cloud . מידע נוסף על מזהי חשבונות משתמשים באיחוד שירותי אימות הזהות של כוח עבודה זמין במאמר ייצוג משתמשים במאגר זהויות של כוח העבודה בכללי המדיניות של IAM.

בדוגמה הבאה, התפקיד Storage Admin (roles/storage.admin) מוקצה למשתמשים בקבוצה ב-Microsoft Entra ID.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/storage.admin" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

מחליפים את מה שכתוב בשדות הבאים:

• ‫PROJECT_ID: מזהה הפרויקט
• ‫WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה
• ‫GROUP_ID: מזהה הקבוצה, שתלוי בערך של --extra-attributes-type ששימש ליצירת ספק מאגר הזהויות של כוח העבודה, באופן הבא:
  • ‫azure-ad-groups-mail: מזהה הקבוצה הוא כתובת אימייל, לדוגמה: admin-group@altostrat.com
  • ‫azure-ad-groups-id: מזהה הקבוצה הוא UUID של הקבוצה. לדוגמה: abcdefgh-0123-0123-abcdef

כניסה לחשבון ובדיקת גישה

בקטע הזה נכנסים כמשתמש של מאגר הזהויות של כוח העבודה ובודקים שיש גישה ל Google Cloud משאבים.

כניסה

בקטע הזה מוסבר איך נכנסים כמשתמש מאיחוד שירותי האימות ומקבלים גישה למשאביGoogle Cloud .

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

בדיקת הגישה

עכשיו יש לכם גישה ל Google Cloud מוצרים שתומכים באיחוד שירותי אימות הזהות של כוח העבודה, ושאליהם ניתנה לכם גישה. מוקדם יותר במסמך הזה הקציתם את התפקיד Storage Admin (roles/storage.admin) לכל הזהויות במזהה הקבוצה שציינתם ב-gcloud projects add-iam-policy-binding עבור פרויקט TEST_PROJECT_ID.

עכשיו תוכלו לבדוק אם יש לכם גישה על ידי הצגת הרשימה של הקטגוריות של Cloud Storage.

gcloud storage ls --project="TEST_PROJECT_ID"

מחק משתמשים

איחוד שירותי אימות הזהות של כוח עבודה יוצר מטא-נתונים ומשאבים של משתמשים עבור זהויות משתמשים מאוחדות. אם בוחרים למחוק משתמשים ב-IdP, צריך גם למחוק באופן מפורש את המשאבים האלה ב- Google Cloud. למידע נוסף, אפשר לעיין במאמר מחיקת המשתמשים באיחוד שירותי אימות הזהות של כוח עבודה והנתונים שלהם.

יכול להיות שמשאבים ימשיכו להיות משויכים למשתמש שנמחק. הסיבה לכך היא שמחיקת מטא-נתונים ומשאבים של משתמשים דורשת פעולה ארוכת טווח. אחרי שמתחילים למחוק את הזהות של משתמש, תהליכים שהמשתמש התחיל לפני המחיקה יכולים להמשיך לפעול עד שהם מסתיימים או עד שמבטלים אותם.

הגדרת SCIM

בקטע הזה מוסבר איך להגדיר דייר SCIM במאגר זהויות של כוח עבודה. מידע נוסף על SCIM זמין במאמר הקצאת הרשאות SCIM לאיחוד שירותי אימות הזהות של כוח עבודה.

כל מאגר זהויות של כוח עבודה תומך רק בדייר SCIM אחד. כדי להגדיר דייר SCIM חדש במאגר שכבר יש בו דייר, צריך קודם למחוק את הדייר הקיים באופן סופי.

הדגל --claim-mapping לדייר SCIM יכול להכיל רק ביטויים ספציפיים ב-Common Expression Language ‏ (CEL). כדי לראות אילו ביטויים נתמכים, אפשר לעיין במאמר מיפוי של מאפייני טוקן ו-SCIM.

• הגדרת דייר וטוקן SCIM ב- Google Cloud
• הגדרת SCIM בספק הזהויות

הגדרת דייר וטוקן SCIM ב- Google Cloud

כדי להגדיר דייר SCIM ב- Google Cloud:

1. יוצרים דייר SCIM.

       gcloud iam workforce-pools providers scim-tenants create SCIM_TENANT_ID \
           --workforce-pool="WORKFORCE_POOL_ID" \
           --provider="PROVIDER_ID" \
           --display-name="SCIM_TENANT_DISPLAY_NAME" \
           --description="SCIM_TENANT_DESCRIPTION" \
           --claim-mapping="CLAIM_MAPPING" \
           --location="global"
       

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SCIM_TENANT_ID: מזהה של דייר SCIM.
   • ‫WORKFORCE_POOL_ID: המזהה של מאגר כוח העבודה שיצרתם קודם במסמך הזה.
   • ‫PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה שיצרתם קודם במסמך הזה.
   • ‫SCIM_TENANT_DISPLAY_NAME: שם מוצג לדייר SCIM.
   • ‫SCIM_TENANT_DESCRIPTION: תיאור של דייר SCIM.
   • ‫CLAIM_MAPPING: רשימה מופרדת בפסיקים של מיפויי מאפיינים. רשימה מורחבת של מאפייני מיפוי זמינה במאמר מיפוי של מאפייני טוקן ו-SCIM. מומלץ להשתמש במיפוי הבא ב-Gemini Enterprise:
     ‫

     google.subject=user.emails[0].value.lowerAscii(),google.group=group.externalId

     המאפיין google.subject שמיפיתם בדייר SCIM חייב להתייחס באופן ייחודי לאותן זהויות שמופו במאפיין google.subject בספק הזהויות של כוח העבודה באמצעות הדגל --attribute-mapping. אחרי שיוצרים את דייר SCIM, אי אפשר לעדכן את מיפוי הטענות. כדי להחליף אותו, אפשר למחוק את דייר SCIM באופן סופי וליצור מיד דייר חדש. מידע נוסף על שיקולים לשימוש ב-SCIM זמין במאמר בנושא תמיכה ב-SCIM.

2. בסיום הפקודה, מבצעים את הפעולות הבאות:

   1. בשדה baseUri בפלט, שומרים את מזהה ה-URI כולו, בפורמט https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID. צריך לספק את ה-URI הזה ל-IdP.
   2. בנוסף, מה-URI, שומרים רק את SCIM_TENANT_UID. תצטרכו את ה-UID הזה כדי להגדיר מדיניות IAM בדייר SCIM, בהמשך המסמך הזה.

3. יצירת טוקן SCIM:

       gcloud iam workforce-pools providers scim-tenants tokens create SCIM_TOKEN_ID \
           --display-name DISPLAY_NAME \
           --scim-tenant SCIM_TENANT_ID \
           --workforce-pool WORKFORCE_POOL_ID \
           --provider PROVIDER_ID \
           --location global
       

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SCIM_TOKEN_ID: מזהה לאסימון SCIM
   • ‫DISPLAY_NAME: השם המוצג של אסימון SCIM
   • ‫WORKFORCE_POOL_ID: המזהה של מאגר כוח העבודה
   • ‫SCIM_TENANT_ID: המזהה של דייר SCIM
   • ‫PROVIDER_ID: המזהה של ספק מאגר הזהויות של כוח העבודה

4. אחרי שהפקודה gcloud iam workforce-pools providers scim-tenants tokens create מסתיימת, מבצעים את הפעולות הבאות:

   1. בפלט, שומרים את הערך של SCIM_TOKEN בשדה securityToken. צריך לספק את אסימון האבטחה הזה ל-IdP. אסימון האבטחה מוצג רק בפלט הזה, ואם הוא אבד, צריך ליצור אסימון SCIM חדש.
   2. כדי לבדוק אם SCIM_TOKEN נדחה על ידי מדיניות הארגון, מריצים את הפקודה הבאה:

      curl -v -H "Authorization: Bearer SCIM_TOKEN"  https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID/Users

      אם הפקודה נכשלת בגלל שגיאה שקשורה להרשאות, מריצים את הפקודה gcloud organizations add-iam-policy-binding, שמתוארת בשלב מאוחר יותר. אם הפקודה מצליחה, אפשר לדלג על השלב הזה.

5. הגדרת מדיניות IAM לדייר ולטוקן של SCIM. אם הפקודה curl בשלב הקודם נכשלה בגלל שגיאה שקשורה להרשאות, צריך להריץ את הפקודה הבאה:

       gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
           --member=serviceAccount:SERVICE_AGENT_EMAIL \
           --role roles/iam.scimSyncer
       

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫ORGANIZATION_ID: מזהה הארגון.
   • ‫SERVICE_AGENT_EMAIL: כתובת האימייל של סוכן השירות. כתובת האימייל היא בפורמט הבא: o-ORGANIZATION_ID-SCIM_TENANT_UID@gcp-sa-iamscim.iam.gserviceaccount.com. ‫SCIM_TENANT_UID מוחזר כשיוצרים את דייר SCIM.

כשמקצים קבוצות ב-IdP, צריך לוודא ששם התצוגה של כל קבוצה, כפי שמופיע בשדה displayName, הוא ייחודי בדייר SCIM. מידע נוסף על קבוצות ועל SCIM ב-Microsoft Entra ID זמין במאמר Groups.

הגדרת SCIM ב-Microsoft Entra ID

כדי להגדיר SCIM ב-Microsoft Entra ID, מבצעים את הפעולות הבאות:

1. פותחים את פורטל Azure ונכנסים כמשתמש עם הרשאות אדמין גלובלי.
2. בוחרים באפשרות Microsoft Entra ID > Enterprise Apps (אפליקציות ארגוניות).
3. לוחצים על בקשה חדשה.
4. בקטע Browse Microsoft Entra App gallery (חיפוש בגלריית האפליקציות של Microsoft Entra), לוחצים על Create your own application (יצירת אפליקציה משלכם).
5. בחלונית Create your own application שמופיעה, מבצעים את הפעולות הבאות:
   1. בשדה What's the name of your app (מה שם האפליקציה שלך), מזינים את שם האפליקציה.
   2. בוחרים באפשרות Integrate any other application you don't find in gallery (Non-gallery) (שילוב של אפליקציה אחרת שלא מופיעה בגלריה).
   3. כדי ליצור את האפליקציה, לוחצים על Create.
6. באפליקציה, מבצעים את הפעולות הבאות:
   1. בקטע ניהול, לוחצים על הקצאת הרשאות.
   2. בחלונית השמאלית שמופיעה, לוחצים על הגדרה חדשה.

   3. בקטע Admin Credentials (פרטי הכניסה של האדמין), בשדה Tenant URL (כתובת ה-URL של הדייר), מזינים את כתובת ה-URL של SCIM שהתקבלה כשנוצר דייר SCIM, עם התוספת ?aadOptscim062020. צריך להוסיף את המחרוזת ?aadOptscim062020 לסוף של URI הבסיס.

      פרמטר השאילתה הזה נדרש על ידי Microsoft Entra ID כדי לוודא שבקשות SCIM PATCH תואמות לתקני SCIM RFC. פרטים נוספים מופיעים במאמרי העזרה של מיקרוסופט.

      כתובת ה-URL הסופית של הדייר ב-Microsoft Entra ID צריכה להיות בפורמט הבא:

      https://iamscim.googleapis.com/v1alpha1/tenants/SCIM_TENANT_UID?aadOptscim062020

      מחליפים את SCIM_TENANT_UID ב-UID של הדייר ב-SCIM.

   4. בקטע Secret token (טוקן סודי), מזינים את הטוקן הסודי שקיבלתם כשיצרתם את דייר SCIM.
   5. כדי לבדוק את הגדרת SCIM באמצעות איחוד שירותי אימות הזהות של כוח העבודה, לוחצים על בדיקת החיבור.
   6. כדי לשמור את ההגדרות, לוחצים על Create.
7. בקטע Manage (ניהול), מבצעים את הפעולות הבאות:
   1. לוחצים על מיפוי מאפיינים.
   2. לוחצים על Provision Microsoft Entra ID Users (הקצאת הרשאות למשתמשים ב-Microsoft Entra ID).
   3. בדף מיפוי מאפיינים, מבצעים את הפעולות הבאות:
      1. בטבלה מיפוי מאפיינים, מאתרים את השורה של externalId ולוחצים על עריכה בשורה הזו. בדף Edit attributes (עריכת מאפיינים), מבצעים את הפעולות הבאות:
         1. ברשימה הנפתחת מאפיין המקור, בוחרים באפשרות objectId.
         2. לוחצים על אישור.
      2. כדי לשמור את מיפוי המאפיינים, לוחצים על Save.

עדכון הספק כדי להפעיל את SCIM

כדי להפעיל SCIM לספק:

      gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups
    

      gcloud iam workforce-pools providers update-saml PROVIDER_ID \
          --workforce-pool=WORKFORCE_POOL_ID \
          --location=LOCATION \
          --scim-usage=enabled-for-groups
    

מיפוי של אסימונים ומאפייני SCIM

צריך למפות את המאפיינים באופן עקבי, גם בספק של מאגר הזהויות של כוח העבודה וגם בדייר SCIM שהוגדר עבור הספק. לספק הזהויות של כוח העבודה משתמשים בדגל --attribute-mapping, ולדייר SCIM משתמשים בדגל --claim-mapping. מאפיין IdP שממופה ל-google.subject עבור משתמשים צריך להתייחס באופן ייחודי לאותה זהות, בין אם הוא מוגדר במיפוי של טוקן או SCIM. מידע נוסף על מיפוי מאפיינים כשמשתמשים ב-SCIM זמין בקטע תמיכה ב-SCIM. בטבלה הבאה מוסבר איך למפות מאפיינים בהצהרות על אסימונים ובמאפייני SCIM:

מחיקה בכוח של דייר SCIM

כדי למחוק דייר SCIM בכוח:

1. אם --scim-usage=enabled-for-groups מוגדר אצל הספק שלכם, משביתים אותו בהגדרת הספק:

             gcloud iam workforce-pools providers update-oidc
             --provider=PROVIDER_ID \
             --workforce-pool=WORKFORCE_POOL_ID \
             --location= global
             --scim-usage=SCIM_USAGE_UNSPECIFIED
           

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫PROVIDER_ID: המזהה של ספק מאגר הזהויות של כוח העבודה
   • ‫WORKFORCE_POOL_ID: המזהה של מאגר כוח העבודה

2. מחיקת הדייר ב-SCIM:

     gcloud iam workforce-pools providers scim-tenants delete SCIM_TENANT_ID \
         --workforce-pool=WORKFORCE_POOL_ID \
         --provider=PROVIDER_ID \
         --hard-delete \
         --location=global
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SCIM_TENANT_ID: המזהה של דייר SCIM למחיקה
   • ‫WORKFORCE_POOL_ID: המזהה של מאגר כוח העבודה
   • ‫PROVIDER_ID: המזהה של ספק מאגר הזהויות של כוח העבודה
   מידע נוסף על SCIM, כולל מחיקת דיירים של SCIM

המאמרים הבאים

• מחיקת המשתמשים באיחוד שירותי אימות הזהות של כוח העבודה והנתונים שלהם
• מידע על מוצרי Google Cloud Google Cloud שתומכים באיחוד שירותי אימות הזהויות של כוח העבודה
• הגדרת גישה של משתמשים למסוף (מאוחד)