Identitätsanbieter einrichten

Ein wichtiger erster Schritt bei der Einrichtung von Trusted Cloud by S3NS besteht darin, einen Identitätsanbieter (IdP) einzurichten, damit sich Mitglieder Ihrer Organisation in Trusted Cloudanmelden und Dienste und Ressourcen mit IAM verwenden können. InTrusted Cloudkönnen Sie mit der Workforce Identity-Föderation Ihren eigenen Identitätsanbieter verwenden. So können Sie bei Bedarf vorhandene Nutzer-IDs und ‑gruppen weiter verwenden. Sie können die Workforce Identity-Föderation mit jedem IdP verwenden, der OpenID Connect (OIDC) oder SAML 2.0 unterstützt, z. B. Microsoft Entra ID, Active Directory Federation Services (AD FS) und Okta.

Diese Seite richtet sich an Administratoren, die einen Identitätsanbieter für eine neue Organisation in Trusted Cloudeinrichten und eine Rolle für den Administrator der Organisation konfigurieren müssen.

Wenn in Ihrer Organisation bereits ein Identitätsanbieter eingerichtet ist (mit Ihnen als Organisationsadministrator) und Sie nur neue Projekte, Netzwerke und andere Ressourcen für Nutzer einrichten müssen, können Sie diese Anleitung überspringen und direkt mit Organisation einrichten fortfahren. Informationen für andere Nutzer, einschließlich Entwickler und andere technische Fachkräfte, finden Sie unter Erste Schritte mit Trusted Cloud.

Bevor Sie diesen Leitfaden lesen, sollten Sie Folgendes tun:

  • Machen Sie sich mit den grundlegenden Trusted Cloud Konzepten vertraut, die in der Trusted Cloud Übersicht beschrieben werden, einschließlich Trusted Cloud Organisationen und Projekten.

  • Eine allgemeine Anleitung zur Einrichtung einer Organisation finden Sie unter Erste Schritte mit Trusted Cloud.

Hinweise

Bevor Sie eine neue Trusted Cloud by S3NS Organisation zum ersten Mal konfigurieren, erhalten Sie von einem speziellen Trusted Cloud IdP eine temporäre ID, die sogenannte Bootstrap-ID, sowie eine Anleitung zum Anmelden. Sie benötigen diese ID, um die Einrichtungsschritte in diesem Leitfaden auszuführen.

Verfahrensübersicht

Die folgenden Schritte sind für die Einrichtung Ihrer Identitätsanbieter erforderlich:

  1. Melden Sie sich mit Ihrer Bootstrap-ID an, um den ersten Administratorzugriff auf Trusted Cloud by S3NSund die Trusted Cloud -Konsole zu erhalten. Sie führen alle Einrichtungsschritte in diesem Leitfaden mit der Trusted Cloud -Konsole aus.
  2. Weisen Sie Ihrer Bootstrap-ID Berechtigungen zu, damit Sie die Mitarbeiteridentitätsföderation konfigurieren können.
  3. Konfigurieren Sie die Workforce Identity-Föderation, um Identitätsinformationen von den von Ihnen ausgewählten Identitätsanbietern abzurufen.
  4. Erstellen Sie einen neuen Administrator für Ihre Organisation mit einer ID Ihres IdP (Ihrer eigenen oder einer Gruppe, zu der Sie gehören), damit Sie sich anmelden und Trusted Cloud by S3NSverwalten können, ohne Ihre Bootstrap-ID zu verwenden.
  5. Melden Sie sich ab und melden Sie sich mit der neu konfigurierten Administrator-ID wieder an.

Mit der Bootstrap-ID anmelden

Melden Sie sich mit Ihrer Bootstrap-ID in Trusted Cloud an:

  • Folgen Sie der Anleitung in Ihrer Bootstrap-ID, um sich in Trusted Cloudanzumelden. Sie sollten jetzt Zugriff auf die Trusted Cloud Console haben, um die restlichen Schritte in diesem Leitfaden auszuführen.

Berechtigungen für Ihre Bootstrap-ID erteilen

Ihre Bootstrap-ID ist standardmäßig der Administrator Ihrer Organisation, hat aber keine anderen Berechtigungen. So gewähren Sie dieser ID die erforderlichen Berechtigungen, um die Workforce Identity-Föderation zu konfigurieren:

  1. Rufen Sie in der Trusted Cloud Console die Seite IAM & Verwaltung auf:

    IAM & Verwaltung aufrufen

    Auf der Seite IAM & Admin (IAM & Admin) werden alle Berechtigungen für Ihre Organisation und die Identitäten (Hauptkonten), denen sie gewährt wurden, angezeigt. Es sollte nur eine einzige Hauptperson (Ihre Bootstrap-ID) mit der Rolle „Organisationsadministrator“ angezeigt werden.
  2. Klicken Sie neben Ihrer ID auf Hauptkonto bearbeiten .
  3. Wählen Sie im Bereich Berechtigungen bearbeiten die Option Weitere Rolle hinzufügen aus.
  4. Suchen Sie im Drop-down-Menü Rolle auswählen nach IAM Workforce Pool Admin und wählen Sie diese Rolle aus.
  5. Klicken Sie auf Speichern.

Es kann einige Minuten dauern, bis die Rolle Ihrer ID zugewiesen wird.

Identitätsföderation von Arbeitslasten konfigurieren

Da Ihre Bootstrap-ID jetzt zum Konfigurieren der Workforce Identity-Föderation autorisiert ist, können Sie Ihrer Organisation einen oder mehrere Identitätsanbieter hinzufügen. Dazu müssen Sie zuerst einen Mitarbeiteridentitätspool erstellen, der in Ihrer gesamten Organisation verwendet werden kann, und dann den Pool so konfigurieren, dass Ihre Anbieter verwendet werden. Weitere Informationen zur Funktionsweise der Workforce Identity-Föderation finden Sie in der Dokumentation zur Workforce Identity-Föderation.

  1. Gehen Sie in der Trusted Cloud Console zu IAM > Workforce Identity Federation:

    Zur Workforce Identity-Föderation

    Sie werden aufgefordert, einen neuen Workforce Identity-Pool zu erstellen.
  2. Folgen Sie der Anleitung in der Console unter Mitarbeiteridentitätsföderation konfigurieren, um den Mitarbeiteridentitätspool und den Identitätsanbieter hinzuzufügen. Je nach ausgewähltem IdP können Sie sich unsere anbieterspezifischen Anleitungen für gängige IdPs ansehen, z. B. für Microsoft Entra ID und Okta.

Sie müssen die optionale google.posix_username-Attributzuordnung bei der Einrichtung des Anbieters festlegen, wie im folgenden Beispiel. Das liegt daran, dass diese Attributzuordnung für die Funktion von SSH erforderlich ist.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Organisationsadministrator festlegen

Als Nächstes müssen Sie einen neuen Administrator für die Organisation mit einer ID aus Ihrem konfigurierten IdP angeben, z. B. Ihre vorhandene Nutzer-ID. Sie sollten dieser ID außerdem die Berechtigung erteilen, die Workforce Identity-Föderation zu verwalten. Danach müssen Sie die Bootstrap-ID nicht mehr verwenden, um sich in Trusted Cloudanzumelden und sie zu verwalten.

So legen Sie einen neuen Organisationsadministrator fest:

  1. Trusted Cloud Kehren Sie in der Console zur Hauptseite IAM & Verwaltung zurück:

    IAM & Verwaltung aufrufen

  2. Klicken Sie auf Zugriff gewähren, um ein neues Hauptkonto hinzuzufügen.

  3. Geben Sie im Feld Neues Hauptkonto Ihre Nutzer-ID im folgenden Format an:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME

    Ersetzen Sie Folgendes:

    • POOL_ID: Die eindeutige Kennung für Ihren Workload Identity-Pool.
    • USERNAME: Ihre Nutzer-ID.

    Wenn Sie stattdessen eine Gruppe anstelle eines einzelnen Nutzers angeben möchten, verwenden Sie das folgende Format:

    principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL

  4. Suchen Sie im Drop-down-Menü Rolle nach Organisationsadministrator und wählen Sie diese Option aus.

  5. Klicken Sie auf Weitere Rolle hinzufügen.

  6. Wählen Sie im Drop-down-Menü Rolle die Option IAM Workforce Pool Admin aus.

  7. Klicken Sie auf Speichern.

Weitere Informationen zu den verschiedenen Arten von Entitäten und Gruppen in Ihrer IdP, die als IAM-Hauptkonten dargestellt werden können, finden Sie unter Principal-IDs.

Mit Ihrer Administrator-ID anmelden

Melden Sie sich abschließend von Trusted Cloudab und melden Sie sich dann mit der neu konfigurierten Administrator-ID Ihres Identitätsanbieters wieder an.

Nächste Schritte

  1. Richten Sie die Google Cloud CLI mit Ihrer Administrator-ID ein. Sie verwenden sie, um die anderen Einrichtungsschritte unter Ihre Organisation einrichten zu bestätigen und viele andere gängige Aufgaben über die Befehlszeile auszuführen. Eine Anleitung finden Sie unter Google Cloud CLI für Trusted Cloudeinrichten.

  2. Fahren Sie mit Ihre Organisation einrichten fort.