问题标签 [google-cloud-identity]

我已经在 Azure AD 和 Google Cloud Identity 之间建立了联合。我正在尝试使用我的 Azure AD 帐户登录 Google Cloud Console。我正确地重新定向到 MS 登录以进行联合。在键入凭据时，我收到以下错误 -

" G Suite - 电子邮件无效

电子邮件无效 我们目前无法处理您的请求，请稍后再试。"

微软文档说明了这一点 -

” 问：当我收到“无效电子邮件”错误信息时，我该怎么办？

答：对于此设置，用户需要电子邮件属性才能登录。该属性不能手动设置。

对于具有有效 Exchange 许可证的任何用户，都会自动填充电子邮件属性。如果用户未启用电子邮件，则会收到此错误，因为应用程序需要获取此属性才能授予访问权限。

您可以使用管理员帐户访问 portal.office.com，然后单击管理中心、计费、订阅，选择您的 Microsoft 365 订阅，然后单击分配给用户，选择您要检查其订阅的用户，然后在右窗格，单击编辑许可证。"

我的问题是——这个设置必须要有一个交换账户才能工作吗？

更新 我启用了具有商业入门版的 Google Workspace 并将工作区许可证分配给用户，但同样的错误。听起来 Office 365 是必须的！

我正在尝试使用 Google Cloud Identity 平台将我的 Firebase 应用作为服务提供商连接到身份提供商。

使用这个优秀的教程，我能够为另一个 IdP（Jump-Cloud）做到这一点

由于某种原因，它不适用于我实际上需要与之集成的 IdP，并且在这里超出了我的深度，我并不真正了解问题所在。

我已经在 Google Cloud 中设置了所有内容以匹配 IdP ( Kennisnet ) 配置

另一方 Kennisnet 需要 Jump-Cloud 不需要的元数据。我看不到任何从谷歌云获取的方法，所以我使用了一个在线工具来创建以下内容

这大约是我在 afaik 端可以配置的量，但集成会在其端引发错误（错误 500 没有任何详细信息）。我已经询问了他们的日志，他们很友好地发送了它们。

所以我现在的问题是：
任何人都可以从这个错误中得到正面或反面吗？我生成的元数据与 Firebase 如何处理 SAML 之间是否存在不匹配？我试图在绑定中更改HTTP-POST为HTTP-Redirect，但它显然会产生相同的结果。也许完全是别的东西？

我signInWithPopup在客户端上使用 AngularFire（与 Firebase.auth 本身的结果相同）。

查看问题的链接：https ://ffleren-dev.web.app/login

并提前感谢您抽出时间查看我的问题。

在使用 Cloud Identity API 从我们的 Google Workspace 查询托管设备（Windows、Mac）的详细信息时，我能够通过 google 分配的“设备 ID”成功查询，但是响应中不包含“主机名”字段.

这是我得到的回应的一个例子。

通过 Workspace 查看任何设备时，我可以看到类似的详细信息，包括主机名。任何提示或想法表示赞赏。 工作区 gui 中设备详细信息的示例图像

我正在尝试制作一个自定义 SAML 应用程序以与 Google Workspace 集成（即，如果组织中的某个人想要访问它，他们可以从 google.com 上的应用程序列表中进行访问）。

由于 Google Cloud Identity Platform 仅支持服务提供商发起的登录，因此使用它们提供的默认回调 URL 似乎是不可能的。我看到了一个类似问题的答案，并希望实现这样的东西。但是，进来的 SAMLResponse 似乎是加密的，而且我对加密过程知之甚少，不知道如何解密它（或者是否有可能）。

我使用云函数作为我的回调 URL，并且要清楚我正在尝试解密res.body.SAMLResponse字符串：

我最好的猜测是它与我必须从 Google 管理控制台复制到 Cloud Identity 设置页面的证书有关？

预先感谢您抽出宝贵时间查看我的问题。

在使用 Cloud Identity API 从我们的 Google Workspace 查询托管设备（Windows、Mac）的详细信息时，我能够通过 google 分配的“设备 ID”成功查询，但是响应中不包含“主机名”字段.

这是我收到的呼叫和响应的一个示例。

https://cloudidentity.googleapis.com/v1/devices

通过 Workspace 查看任何设备时，我可以看到类似的详细信息，包括主机名。

[工作区 UI 设备主机名示例][1]

UI URL 如下所示：https ://admin.google.com/ac/devices/details/8613sw4fa4-90b2-5098-61384-d139d0775r9gg/information?uid=7dhdhsw7hd3h83d&dt=4

这是 API 端点：我用来检索设备数据的 cloudidentity.googleapis.com/v1。

我使用以下命令导入了一个错误的文件：firebase auth: import FILE.csv它以一些格式不正确的 uid 生成。我正在尝试使用 firestore 和 python SDK 清理所有日志，但出现以下错误：

ValueError" Invalid uid: \ "1003, sdfsdfsdfdf @ hotmail.com ,, $ 2y $ 13 $ LFNvaEjSHO33kpTwql2imudfgsdgsdgdfgdfg56J22.QacwwNiYS, 80fjzj456sdfgdfsgsdfgsdfgdsfg0ok8o8, asdasy 不能超过 28 个非空字符串"。

uid 字面意思是错误输出显示

这是我的代码：

删除整个项目对我来说不是解决方案

我修改了“重置密码”的电子邮件模板。如果用户不在身份计划表上的租户范围内 - 模板可以正常工作。但是当用户在租户范围内时 - 模板不起作用。

用户超出范围：

IDP：https ://i.stack.imgur.com/CNO8S.png

电子邮件：https ://i.stack.imgur.com/7B4ra.png

租户范围内的用户：

IDP：https ://i.stack.imgur.com/Q42EP.png

电子邮件：https ://i.stack.imgur.com/6dB6o.png

IAP 允许您通过使用roles/iap.httpsResourceAccessor. 如果我在 IAM 中有一个名为的组participants并将外部人员（个人 gmail 帐户和承包商）添加到该组，这些人是否可以访问我的应用程序？或者我是否必须提交申请以进行验证，即使我想限制我们的员工和参加研讨会的几十名客户的访问权限？

换句话说，IAP 是否将“组织中的人员”定义为@myorg.com仅拥有电子邮件地址的人员或属于具有 IAM 权限的组的人员？

我有一个域的谷歌身份，example.com并创建了一个组，比如说my-admins@example.com。我可以创建用户a-user@example.com并说another-user@example.com并将他们添加到 group my-admins@example.com。

我有一个 Google Cloud 组织 example.com 并已成功添加my-admins@example.com并分配了我想要的角色（例如组织管理员）。

我可以添加 google 帐户，例如googleaccount123@gmail.com作为我的组织的负责人并为他们分配角色，但我似乎无法将它们添加到my-admins@example.com组中。

我的 Google 身份组是否始终仅限于具有相同域的用户？如果是这样，我如何才能管理混合的示例用户和谷歌帐户组？

我正在尝试按照此设置指南使用 Firebase 注册具有多因素身份验证的用户：https ://cloud.google.com/identity-platform/docs/web/mfa

我正在努力弄清楚如何让我的函数在将代码发送到用户的手机后等待用户输入的验证码（我认为这就是代码出错的原因。）我下面的当前代码片段将在我之后抛出这个错误单击发送验证码按钮：错误：'auth/missing-verification-code'，消息：'电话身份验证凭据是使用空的 SMS 验证码创建的。

这是我第一次实施 MFA 流程，所以有人对我应该如何做有想法吗？谢谢！