Identitätsanbieter einrichten

Ein wichtiger erster Schritt bei der Einrichtung von Cloud de Confiance by S3NS ist die Einrichtung eines Identitätsanbieters (IdP), damit sich Mitglieder Ihrer Organisation in Cloud de Confianceanmelden und mit IAM für die Verwendung von Diensten und Ressourcen autorisiert werden können. InCloud de Confiancekönnen Sie Ihren eigenen Identitätsanbieter mit der Workforce Identity-Föderation verwenden. So können Sie bei Bedarf weiterhin vorhandene Nutzer-IDs und Gruppen verwenden. Sie können die Mitarbeiteridentitätsföderation mit jedem IdP verwenden, der OpenID Connect (OIDC) oder SAML 2.0 unterstützt, z. B. Microsoft Entra ID, Active Directory Federation Services (AD FS) und Okta.

Diese Seite richtet sich an Administratoren, die einen Identitätsanbieter für eine neue Organisation in Cloud de Confianceeinrichten müssen, einschließlich der Konfiguration einer Administratorrolle für die Organisation.

Wenn der Identitätsanbieter Ihrer Organisation bereits eingerichtet ist (mit Ihnen als Organisationsadministrator) und Sie nur neue Projekte, Netzwerke und andere Ressourcen für Nutzer einrichten müssen, können Sie diese Anleitung überspringen und direkt zum Abschnitt Organisation einrichten gehen. Informationen für andere Nutzer, die mit Cloud de Confiancebeginnen möchten, z. B. Entwickler und andere technische Fachkräfte, finden Sie unter Erste Schritte mit Cloud de Confiance.

Bevor Sie diesen Leitfaden lesen, sollten Sie Folgendes tun:

• Sie kennen die grundlegenden Cloud de Confiance Konzepte, die in der Cloud de Confiance Übersicht beschrieben werden, einschließlich Cloud de Confiance Organisationen und Projekten.

• Informationen zum allgemeinen Ablauf der Organisationseinrichtung finden Sie unter Erste Schritte mit Cloud de Confiance.

Hinweise

Bevor Sie eine neue Cloud de Confiance by S3NS-Organisation zum ersten Mal konfigurieren, erhalten Sie eine temporäre ID von einem speziellen Cloud de Confiance-IdP, der als Bootstrap-ID bezeichnet wird, sowie eine Anleitung für die Anmeldung. Sie benötigen diese ID, um die Einrichtungsanleitung in diesem Leitfaden auszuführen.

Verfahrensübersicht

Die Einrichtung Ihres Identitätsanbieters umfasst die folgenden primären Schritte:

1. Melden Sie sich mit Ihrer Bootstrap-ID an, um den ersten Administratorzugriff auf Cloud de Confiance by S3NS und die Cloud de Confiance -Konsole zu erhalten. Alle Einrichtungsaufgaben in diesem Leitfaden werden über die Cloud de Confiance Console ausgeführt.
2. Gewähren Sie Ihrer Bootstrap-ID Berechtigungen, damit Sie die Mitarbeiteridentitätsföderation konfigurieren können.
3. Workforce Identity-Föderation konfigurieren, um Identitätsinformationen von den ausgewählten IdPs abzurufen.
4. Erstellen Sie einen neuen Organisationsadministrator mit einer ID von Ihrem IdP (Ihrer eigenen oder einer Gruppe, der Sie angehören), damit Sie sich anmelden und Cloud de Confiance by S3NSverwalten können, ohne Ihre Bootstrap-ID zu verwenden.
5. Melden Sie sich ab und mit Ihrer neu konfigurierten Administrator-ID wieder an.

Mit Ihrer Bootstrap-ID anmelden

Melden Sie sich mit Ihrer Bootstrap-ID bei Cloud de Confiance an:

• Folgen Sie der Anleitung, die Sie mit Ihrer Bootstrap-ID erhalten haben, um sich in Cloud de Confianceanzumelden. Sie sollten jetzt Zugriff auf die Cloud de Confiance -Konsole haben, um die verbleibenden Schritte in diesem Leitfaden auszuführen.

Berechtigungen für Ihre Bootstrap-ID erteilen

Ihre Bootstrap-ID ist standardmäßig der Administrator Ihrer Organisation, hat aber keine anderen Berechtigungen. So erteilen Sie dieser ID die erforderlichen Berechtigungen zum Konfigurieren der Workforce Identity-Föderation:

1. Rufen Sie in der Cloud de Confiance Console die Seite IAM & Verwaltung auf:

   Zu „IAM & Verwaltung“

   Auf der Seite IAM und Verwaltung werden alle Berechtigungen für Ihre Organisation und die Identitäten (Hauptkonten) angezeigt, denen sie gewährt wurden. Es sollte nur ein Prinzipal (Ihre Bootstrap-ID) mit der Rolle „Organisationsadministrator“ angezeigt werden.
2. Klicken Sie neben Ihrer ID auf Hauptkonto bearbeiten edit.
3. Wählen Sie im Bereich Berechtigungen bearbeiten die Option Weitere Rolle hinzufügen aus.
4. Suchen Sie im Drop-down-Menü Rolle auswählen nach IAM Workforce Pool Admin und wählen Sie diese Rolle aus.
5. Klicken Sie auf Speichern.

Es kann einige Minuten dauern, bis die Rolle Ihrer ID zugewiesen wird.

Identitätsföderation von Arbeitslasten konfigurieren

Nachdem Ihre Bootstrap-ID autorisiert wurde, die Mitarbeiteridentitätsföderation zu konfigurieren, können Sie Ihrer Organisation einen oder mehrere Identitätsanbieter hinzufügen. Dazu müssen Sie zuerst einen Personalpool erstellen, der in Ihrer gesamten Organisation verwendet werden kann, und dann den Pool so konfigurieren, dass er Ihre Anbieter verwendet. Weitere Informationen zur Funktionsweise der Workforce Identity-Föderation finden Sie in der Dokumentation zur Workforce Identity-Föderation.

1. Rufen Sie in der Cloud de Confiance Console IAM > Workforce Identity Federation auf:

   Zur Workforce Identity-Föderation

   Sie sollten aufgefordert werden, einen neuen Workforce Identity-Pool zu erstellen.
2. Folgen Sie der Anleitung für die Console unter Mitarbeiteridentitätsföderation konfigurieren, um Ihren Mitarbeiteridentitätspool und IdP hinzuzufügen. Je nach ausgewähltem IdP sollten Sie sich unsere anbieterspezifischen Leitfäden für gängige IdPs ansehen, z. B. Microsoft Entra ID und Okta.

Sie müssen die optionale google.posix_username-Attributzuordnung beim Einrichten Ihres Anbieters festlegen, wie im folgenden Beispiel. Diese Attributzuordnung ist erforderlich, damit SSH funktioniert.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Organisationsadministrator festlegen

Als Nächstes müssen Sie einen neuen Organisationsadministrator mit einer ID aus Ihrem konfigurierten IdP (z. B. Ihrer vorhandenen Nutzer-ID) angeben. Sie sollten dieser ID auch die Berechtigung zum Verwalten der Mitarbeiteridentitätsföderation erteilen. Danach müssen Sie die Bootstrap-ID nicht mehr verwenden, um sich in Cloud de Confianceanzumelden und Cloud de Confiancezu verwalten.

So legen Sie einen neuen Organisationsadministrator fest:

1. Kehren Sie in der Cloud de Confiance Console zur Hauptseite IAM & Verwaltung zurück:

   Zu „IAM & Verwaltung“

2. Klicken Sie auf person_add Zugriff gewähren, um ein neues Hauptkonto hinzuzufügen.

3. Geben Sie im Feld Neues Hauptkonto Ihre Nutzer-ID im folgenden Format an:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Ersetzen Sie Folgendes:

   • POOL_ID: die eindeutige Kennung für Ihren Workforce Identity-Pool.
   • USERNAME: Ihre Nutzer-ID.

   Wenn Sie stattdessen eine Gruppe anstelle eines einzelnen Nutzers angeben möchten, verwenden Sie das folgende Format:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. Suchen Sie im Drop-down-Menü Rolle nach Organisationsadministrator und wählen Sie die Rolle aus.

5. Klicken Sie auf Weitere Rolle hinzufügen.

6. Suchen Sie im Drop-down-Menü Rolle nach IAM Workforce Pool Admin und wählen Sie diese Rolle aus.

7. Klicken Sie auf Speichern.

Weitere Informationen zu den verschiedenen Arten von Identitäten und Gruppen in Ihrem IdP, die als IAM-Hauptkonten dargestellt werden können, finden Sie unter Hauptkonto-IDs.

Mit Ihrer Administrator-ID anmelden

Melden Sie sich schließlich von Cloud de Confianceab und dann mit der neu konfigurierten Administrator-ID Ihres IdP wieder an.

Nächste Schritte

1. Richten Sie die Google Cloud CLI mit Ihrer Administrator-ID ein. Sie benötigen sie, um die anderen Einrichtungsschritte unter Organisation einrichten zu bestätigen und viele andere gängige Aufgaben über die Befehlszeile auszuführen. Eine Anleitung finden Sie unter Google Cloud CLI für Cloud de Confianceeinrichten.

2. Fahren Sie mit dem Einrichten Ihrer Organisation fort.