问题标签 [google-cloud-identity]

如果我打开组织策略约束“域限制共享”( doc ) 并将其设置为仅允许我的组织域foo.com，这会阻止大量平台服务帐户获得其 IAM 权限吗？例如，域中的帐户@iam.gserviceaccount.com或@developer.gserviceaccount.com. 这些服务帐户在所有地方都得到配置和授予权限。我担心启用“域限制共享”会阻止这些帐户拥有 IAM 访问权限。

另一种问法是：“域限制共享”是否忽略了这些基于平台的服务帐户？如果没有，我觉得很难维护一个例外列表。

一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity / Google Workspace 帐户，因此与服务帐户无关？

我正在尝试遵循本教程。我的最终目标是将基于设备的访问级别应用于身份识别代理 (IAP) 安全资源，特别是 App Engine。但是，正如文档所述：

在新访问级别窗格的条件部分中，单击添加属性，然后单击设备策略。

我没有看到任何设备策略属性。请参阅下面的屏幕截图...

我相信我已经在此处正确启用了端点验证。在 Google Admin 中，通过Devices ->Mobile and endpoints我可以看到正在收集的设备信息。

我在 Google Workspace Enterprise Plus 上的 Google 管理员帐户，我们有 Cloud Identity Premium for GCP。

任何想法为什么我在创建新的访问级别时看不到设备策略属性？？？

我正在尝试从 GCP 环境外部通过 Python 以编程方式访问受 IAP 保护的 App Engine 标准应用程序。我尝试了各种方法，包括此处文档中显示的方法：https ://cloud.google.com/iap/docs/authentication-howto#iap-make-request-python 。这是我的代码：

当我在本地运行它时，我将 GOOGLE_APPLICATION_CREDENTIALS 环境变量设置为本地 JSON 凭据文件，其中包含我要使用的服务帐户的密钥。我还尝试在 Cloud Functions 中运行它，因此它可能会使用元数据服务来获取 App Engine 默认服务帐户（我认为？）。

在这两种情况下，我都能够生成一个看起来有效的令牌。使用 jwt.io，我看到它包含预期的数据并且签名有效。但是，当我使用令牌向应用程序发出请求时，我总是会收到以下异常：

应用程序的错误响应：401 / {'X-Goog-IAP-Generated-Response'：'true'，'Date'：'Tue，2021 年 2 月 9 日 19:25:43 GMT'，'Content-Type'：'text /html', '服务器': '谷歌前端', '内容长度': '47', 'Alt-Svc': 'h3-29=":443"; ma=2592000,h3-T051=":443"; ma=2592000,h3-Q050=":443"; ma=2592000,h3-Q046=":443"; ma=2592000,h3-Q043=":443"; ma=2592000,quic=":443"; 马=2592000；v="46,43"'} / '无效的 GCIP ID 令牌：JWT 签名无效'

我可能做错了什么？

我们开发 SaaS 已经有一段时间了。

我们决定使用Google Cloud Identity Platform来处理多租户身份验证，并使用firestore作为我们的主数据库，但我有一些疑问。

我可以将 Identity Platform 与多个域和子域一起使用吗？

之所以想到这个问题，是因为在应用程序中，除了免费的子域之外，我还允许我的客户连接他们的自定义域，例如：

Client1 将拥有 client1.com 和 client1.myapp.com

Client2 将拥有 client2.com 和 client2.myapp.com

但是，我想知道我是否可以以这种方式使用身份平台以及是否可能。

我还想知道是否可以使用 firestore 执行相同的任务，以便我的客户可以从多个域和子域的单个 firestore 数据库中获取数据。

应该注意的是，我们已经配置了在我们的自定义服务器上托管多个域的机制，我们只是想集成 firestore 和身份平台。

我们正在将应用程序从 AWS 迁移到 GCP。在 AWS 中，我们使用 Cognito 服务来维护用户池中不同类型的用户（例如：SSO 用户有不同的用户池，并且具有电子邮件和密码的用户配置在不同的用户池中，对于 MFA 用户，他们有不同的用户池）在 AWS Cognito 中，我们还利用某些功能（如 appclient id 和 secret）在预注册触发器中生成 JWT 令牌和授权者 lambda）

我们如何在 GCP 中实现上述实现？

我有将 AWS cognito 与 Azure AD (SSO) 集成的经验。但我不知道如何在 GCP 中实现类似的身份验证。

我想对 Azure AD 中的用户进行身份验证，以使用部署在 Google 云运行中的自定义 Web 应用程序。

我在 GCP 中看到了三个选项，但我找不到任何资源来实现。

1. 谷歌云身份
2. 谷歌云身份平台
3. Firebase 身份验证

此自定义 Web 应用应仅对我们组织中的 Azure AD 用户进行身份验证。

Google Identity Platform 文档仅通过 SMS 提及 MFA。像 TOTP 这样的程序真的不支持吗？这是在不久的将来计划的吗？

对于一个复杂的企业应用程序，我认为这是必要的，既出于安全原因，也出于 SMS 的成本。

目前，我正在使用google-ap-client gem作为服务帐户进行身份验证以获取设备列表（https://cloud.google.com/identity/docs/reference/rest/v1/devices/list#http-请求）

我可以在这里生成一个令牌，但仍然得到 Google::Apis::ClientError。

https://i.stack.imgur.com/WiFmq.png

AWS Cognito 有一个用户池的概念，每个池都有其应用程序客户端。我们正在尝试在 GCP 中实现相同的功能，并发现 Google Identity 平台是 cognito 的替代品。但我无法在 GCP 身份平台中找到任何此类用户池选项。请指教

目前在试图弄清楚如何将 GCP 设置为我们的应用程序的 IDP 和 SP 时遇到问题，我们需要将 GCP 作为我们的 IDP 和 saml 的 SP。从我所做的研究来看，由于 IDP 有点令人困惑，所以我设置了谷歌。身份平台是我主要查看的资源，但它似乎并不是您实际创建 IDP 的地方，但我想在 GCP 中的哪个位置配置 IDP 和 SP？