Identitätsanbieter einrichten

Ein wichtiger erster Schritt bei der Einrichtung von Cloud de Confiance by S3NS ist die Einrichtung eines Identitätsanbieters (Identity Provider, IdP), damit sich Mitglieder Ihrer Organisation in anmelden und zur Verwendung von Diensten und Ressourcen mit IAMautorisiert werden können. Cloud de ConfianceIn Cloud de Confiancebringen Sie Ihren eigenen Identitäts anbieter mit der Mitarbeiteridentitätsföderation ein. So können Sie bei Bedarf vorhandene Nutzer-IDs und Gruppen weiter verwenden. Sie können die Mitarbeiteridentitätsföderation mit jedem IdP verwenden, der OpenID Connect (OIDC) oder SAML 2.0, einschließlich Google Workspace, Microsoft Entra ID, Active Directory Federation Services (AD FS) und Okta.

Diese Seite richtet sich an Administratoren, die einen Identitätsanbieter für eine neue Organisation in Cloud de Confianceeinrichten müssen, einschließlich der Konfiguration einer Organisationsadministratorrolle.

Wenn der Identitätsanbieter Ihrer Organisation bereits eingerichtet ist (mit Ihnen als Organisationsadministrator) und Sie nur neue Projekte, Netzwerke und andere Ressourcen für Nutzer einrichten müssen, können Sie diese Anleitung überspringen und direkt zu Organisation einrichten wechseln. Informationen für andere Nutzer, die mitanfangen möchten, einschließlich Entwickler und anderer technischer Experten, finden Sie unter Erste Schritte mit Cloud de Confiance.

Bevor Sie diese Anleitung lesen, sollten Sie Folgendes wissen:

Hinweis

Bevor Sie zum ersten Mal eine neue Cloud de Confiance by S3NS Organisation konfigurieren, erhalten Sie eine temporäre ID von einem speziellen Cloud de Confiance IdP, die sogenannte Bootstrap-ID, sowie eine Anleitung zur Anmeldung. Sie benötigen diese ID, um die Einrichtungsschritte in dieser Anleitung auszuführen.

Verfahrensübersicht

Die folgenden Hauptschritte sind für die Einrichtung Ihres IdP erforderlich:

  1. Melden Sie sich mit Ihrer Bootstrap-ID an , um den ersten Administratorzugriff auf Cloud de Confiance by S3NS und die Cloud de Confiance Console zu erhalten. Sie führen alle Einrichtungsschritte in dieser Anleitung mit der Cloud de Confiance Console aus.
  2. Gewähren Sie Ihrer Bootstrap-ID Berechtigungen , damit Sie die Mitarbeiteridentitätsföderation konfigurieren können.
  3. Konfigurieren Sie die Mitarbeiteridentitätsföderation , um Identitätsinformationen von den ausgewählten IdPs zu erhalten.
  4. Erstellen Sie einen neuen Organisationsadministrator mit einer ID von Ihrem IdP (Ihrer eigenen oder einer Gruppe, der Sie angehören), damit Sie sich anmelden und verwalten können Cloud de Confiance by S3NS , ohne Ihre Bootstrap-ID zu verwenden.
  5. Melden Sie sich ab und wieder an mit Ihrer neu konfigurierten Administrator-ID.

Mit Ihrer Bootstrap-ID anmelden

So melden Sie sich mit Ihrer Bootstrap-ID in an: Cloud de Confiance

  • Folgen Sie der Anleitung, die Sie mit Ihrer Bootstrap-ID erhalten haben, um sich inanzumelden Cloud de Confiance. Sie sollten jetzt Zugriff auf die Cloud de Confiance Console haben, um die restlichen Schritte in dieser Anleitung auszuführen.

Ihrer Bootstrap-ID Berechtigungen gewähren

Ihre Bootstrap-ID ist standardmäßig der Administrator Ihrer Organisation, hat aber keine anderen Berechtigungen. So gewähren Sie dieser ID die erforderlichen Berechtigungen zum Konfigurieren der Mitarbeiteridentitätsföderation:

  1. Rufen Sie in der Cloud de Confiance Console die Seite IAM & Verwaltung auf:

    Zu „IAM und Verwaltung“

    Auf der Seite IAM &Verwaltung werden alle Berechtigungen für Ihre Organisation und die Identitäten (Hauptkonten) angezeigt, denen sie gewährt wurden. Sie sollten nur ein einzelnes Hauptkonto (Ihre Bootstrap-ID) mit der Rolle „Organisationsadministrator“ sehen.
  2. Klicken Sie neben Ihrer ID auf Hauptkonto bearbeiten .
  3. Wählen Sie im Bereich Berechtigungen bearbeiten die Option Weitere Rolle hinzufügen aus.
  4. Suchen Sie im Drop-down-Menü Rolle auswählen nach IAM Workforce Pool Admin und wählen Sie diese Rolle aus.
  5. Klicken Sie auf Speichern.

Es kann einige Minuten dauern, bis die Rolle Ihrer ID zugewiesen wird.

Mitarbeiteridentitätsföderation konfigurieren

Nachdem Ihre Bootstrap-ID zum Konfigurieren der Mitarbeiteridentitätsföderation autorisiert wurde, können Sie Ihrer Organisation einen oder mehrere Identitätsanbieter hinzufügen. Dazu müssen Sie zuerst einen Mitarbeiteridentitätspool erstellen, der in Ihrer gesamten Organisation verwendet werden kann, und dann den Pool so konfigurieren, dass er Ihre Anbieter verwendet. Weitere Informationen zur Funktionsweise der Mitarbeiteridentitätsföderation finden Sie in der Dokumentation zur Mitarbeiteridentitätsföderation.

  1. Rufen Sie in der Cloud de Confiance Console IAM > Mitarbeiteridentitätsföderation auf:

    Zur Mitarbeiteridentitätsföderation

    Sie werden aufgefordert, einen neuen Mitarbeiteridentitätspool zu erstellen.
  2. Folgen Sie der Anleitung in der Console unter Mitarbeiteridentitätsföderation konfigurieren, um Ihren Mitarbeiteridentitätspool und IdP hinzuzufügen. Je nach ausgewähltem IdP, sollten Sie sich unsere anbieterspezifischen Anleitungen für gängige IdPs ansehen, z. B. Microsoft Entra ID und Okta.

Sie müssen die optionale Attributzuordnung google.posix_username beim Einrichten Ihres Anbieters festlegen, wie im folgenden Beispiel. Diese Attributzuordnung ist erforderlich, damit SSH funktioniert.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Organisationsadministrator festlegen

Als Nächstes müssen Sie einen neuen Organisationsadministrator mit einer ID von Ihrem konfigurierten IdP angeben (z. B. Ihre vorhandene Nutzer-ID). Sie sollten dieser ID auch die Berechtigung zum Verwalten der Mitarbeiteridentitätsföderation gewähren. Danach müssen Sie die Bootstrap-ID nicht mehr verwenden, um sich inanzumelden und zu verwalten Cloud de Confiance.

So legen Sie einen neuen Organisationsadministrator fest:

  1. Rufen Sie in der Cloud de Confiance Console die Hauptseite IAM & Verwaltung auf:

    Zu „IAM und Verwaltung“

  2. Klicken Sie auf „Zugriff gewähren , um ein neues Hauptkonto hinzuzufügen.

  3. Geben Sie im Feld Neues Hauptkonto Ihre Nutzer-ID im folgenden Format an:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME

    Ersetzen Sie Folgendes:

    • POOL_ID: die eindeutige ID für Ihren Mitarbeiteridentitätspool.
    • USERNAME: Ihre Nutzer-ID.

    Wenn Sie anstelle eines einzelnen Nutzers eine Gruppe angeben möchten, verwenden Sie das folgende Format:

    principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL

  4. Suchen Sie im Drop-down-Menü Rolle nach Organisationsadministrator und wählen Sie diese Rolle aus.

  5. Klicken Sie auf Weitere Rolle hinzufügen.

  6. Suchen Sie im Drop-down-Menü Rolle nach IAM Workforce Pool Admin und wählen Sie diese Rolle aus.

  7. Klicken Sie auf Speichern.

Weitere Informationen zu den verschiedenen Arten von Entitäten und Gruppen in Ihrem IdP , die als IAM-Hauptkonten dargestellt werden können, finden Sie unter Hauptkonto IDs.

Mit Ihrer Administrator-ID anmelden

Melden Sie sich abschließend von Cloud de Confianceab und dann mit Ihrer neu konfigurierten Administrator-ID von Ihrem IdP wieder an.

Nächste Schritte

  1. Richten Sie die Google Cloud CLI mit Ihrer Administrator-ID ein. Sie verwenden sie, um die anderen Einrichtungsschritte unter Organisation einrichten zu überprüfen und viele andere gängige Aufgaben über die Befehlszeile auszuführen. Eine Anleitung finden Sie unter Google Cloud CLI für einrichten Cloud de Confiance.

  2. Wenn Sie Dienste und Anleitungen kennenlernen möchten, bevor Sie eine vollständige Produktionseinrichtung vornehmen, können Sie eine minimale Konfiguration mit einem einzelnen Projekt einrichten.

  3. Wenn Sie bereit sind, für Ihre Nutzer und Teams einzurichten, erfahren Sie unter Organisation einrichten, wie Sie vorgehen müssen.