En esta guía, se muestra cómo configurar el acceso a la consola de la federación de identidades de personal de Google Cloud, también conocida como la consola (federada), desde tu proveedor de identidad (IdP) y se muestra cómo proporcionar instrucciones de acceso a tu usuarios.
Antes de comenzar
Configura la federación de identidades de personal en la organización de Google Cloud, incluido un grupo de Workforce Identity y un proveedor de grupo de Workforce Identity. Como alternativa, si usas uno de los siguientes IdP, consulta las guías específicas de IdP para obtener más información:
Anota el nombre del proveedor de grupos de Workforce Identity, que usarás más adelante en esta guía.
Configura las URLs de redireccionamiento en tu IdP
Puedes configurar tu IdP para que publique una respuesta de IdP y redireccione a tu usuario a la consola (federada) después de que tu usuario se autentique. Para ello, debes configurar una URL de redireccionamiento y configurarla en tu configuración de IdP.
Para crear la URL de redireccionamiento, haz lo siguiente:
Comparte el nombre del proveedor de grupos de Workforce Identity con tus usuarios. Su formato es el siguiente:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Reemplaza lo siguiente:
WORKFORCE_POOL_ID
: El ID del grupo de Workforce Identity.WORKFORCE_PROVIDER_ID
: El ID del proveedor de Workforce Identity.
Crea la URL de redireccionamiento. Su formato es el siguiente:
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
Reemplaza
WORKFORCE_POOL_PROVIDER_NAME
por el nombre del proveedor de grupos de Workforce Identity del paso anterior.Configura tu IdP con la URL de redireccionamiento.
En el IdP, ingresa la URL de redireccionamiento. El campo en el que ingresas la URL puede variar.
OIDC
En el IdP, el campo se podría llamar
Redirect URL
oCallback URL
.El IdP envía la respuesta y el token de nombre a esta URL.
SAML
En el IdP, el campo se podría llamar
Single sign-on URL
oSAML assertion consumer service (ACS) URL
.Tu IdP publica la aserción de SAML en esta URL.
Si deseas habilitar el acceso iniciado por IdP con tu proveedor de SAML, ingresa la siguiente URL en la configuración
Default RelayState
o su equivalente. El IdP redirecciona a tu usuario a esta URL después de que se autentica con éxito:https://console.cloud.google/
Informa a los usuarios cómo acceder
En esta sección, se describen las diferentes formas en que los usuarios pueden acceder a la consola (federada).
Inicia el proceso de acceso con un vínculo de SSO
Para comenzar el proceso de acceso con el IdP, puedes compartir un vínculo con los usuarios que los redireccione al IdP sin pedirles el nombre del proveedor. Una vez que los usuarios acceden correctamente, se los redirecciona de forma automática a la consola (federada).
Si quieres usar este método, envía el siguiente vínculo de acceso a tus usuarios:
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
Inicia el proceso de acceso con la consola (federada)
Para iniciar el proceso de acceso en la consola (federada), haz lo siguiente:
Proporciona a tus usuarios el nombre de tu proveedor de grupos de Workforce Identity que se describió antes en este documento.
Proporciona a tus usuarios el siguiente vínculo a la consola (federada):
https://console.cloud.google/
Cuando tus usuarios accedan por primera vez a la consola (federada), se les solicitará que ingresen el nombre del proveedor de grupos de Workforce Identity. Luego, se los redireccionará al IdP para autenticarse. Después de que se autentiquen, se los redireccionará a la consola (federada).
Usa el acceso con IdP con SAML
La especificación SAML define un flujo llamado acceso iniciado por IdP, en el que los usuarios inician el proceso de acceso en el IdP. Si tu IdP admite este flujo, puedes compartir los detalles con tus usuarios.
Usa la consola (federada) en comparación con la consola de Google Cloud
La consola (federada) proporciona acceso limitado solo a los productos de Google Cloud que admiten la federación de identidades de personal. Debido a esto, cuando usas la consola (federada), ves una cantidad limitada de productos de Google Cloud, y las IU del producto en sí podrían tener más limitaciones cuando se ven en la consola (federada).
Para obtener más información sobre los productos que admiten la federación de identidades de personal y las limitaciones relacionadas, consulta Federación de identidades: productos y limitaciones compatibles.
La consola de Google Cloud, en comparación, puede proporcionar acceso completo a todos los productos y funciones, según las funciones otorgadas a los usuarios.