Configura un proveedor de identidad

Un primer paso importante para configurar Trusted Cloud by S3NS es configurar un proveedor de identidad (IdP) para que los miembros de tu organización puedan acceder a Trusted Cloudy tener autorización para usar servicios y recursos con IAM. En Trusted Cloud, puedes usar tu propio proveedor de identidad con la federación de identidades de personal, que te permite seguir usando los IDs y los grupos de usuarios existentes si es necesario. Puedes usar la federación de identidades de personal con cualquier IdP que admita OpenID Connect (OIDC) o SAML 2.0, como Microsoft Entra ID, Active Directory Federation Services (AD FS) y Okta.

Esta página está dirigida a los administradores que necesitan configurar un proveedor de identidad para una organización nueva en Trusted Cloud, incluida la configuración de un rol de administrador de la organización.

Si tu organización ya tiene configurado su proveedor de identidad (con tu administrador de la organización) y solo necesitas configurar proyectos, redes y otros recursos nuevos para los usuarios, puedes omitir esta guía y dirigirte directamente a Configura tu organización. Si eres otro usuario que necesita comenzar, incluidos desarrolladores y otros profesionales técnicos, consulta Cómo comenzar a usar Trusted Cloud.

Antes de leer esta guía, debes hacer lo siguiente:

• Comprende los conceptos Trusted Cloud básicos que se describen en la Trusted Cloud descripción general, incluidas las Trusted Cloud organizaciones y los proyectos.

• Comprende el flujo general de configuración de la organización en Comienza a usar Trusted Cloud.

Antes de comenzar

Antes de configurar una organización Trusted Cloud by S3NS nueva por primera vez, se te proporciona un ID temporal de un IdP Trusted Cloud especial, conocido como ID de inicio, junto con instrucciones para acceder. Necesitas este ID para completar los pasos de configuración de esta guía.

Descripción general del procedimiento

Para configurar tu IdP, debes seguir los siguientes pasos principales:

1. Accede con tu ID de arranque para obtener acceso de administrador inicial a Trusted Cloud by S3NS y a la consola Trusted Cloud . Realizarás todos los pasos de configuración de esta guía con la consola de Trusted Cloud .
2. Otorga permisos a tu ID de inicio para que puedas configurar la federación de identidades de personal.
3. Configura la federación de identidades de personal para obtener información de identidad de los IdP que elijas.
4. Crea un nuevo administrador de la organización con un ID de tu IdP (el tuyo o de un grupo al que pertenezcas) para que puedas acceder y administrar Trusted Cloud by S3NS sin usar tu ID de arranque.
5. Sal y vuelve a acceder con el ID de administrador que acabas de configurar.

Accede con tu ID de arranque

Accede a Trusted Cloud con tu ID de arranque:

• Sigue las instrucciones que se proporcionan con tu ID de arranque para acceder a Trusted Cloud. Ahora deberías tener acceso a la consola de Trusted Cloud para completar los pasos restantes de esta guía.

Otorga permisos a tu ID de arranque

De forma predeterminada, tu ID de arranque es el administrador de tu organización, pero no tiene otros permisos. Para otorgar los permisos necesarios a este ID y configurar la federación de Workforce Identity, haz lo siguiente:

1. En la consola de Trusted Cloud , navega a la página IAM y administración:

   Ir a IAM y administración

   En la página IAM y administrador, se muestran todos los permisos de tu organización y las identidades (principales) a las que se les otorgaron. Deberías ver un solo principal (tu ID de inicio) con el rol de administrador de la organización.
2. Haz clic en Editar principal edit junto a tu ID.
3. En el panel Editar permisos, selecciona Agregar otra función.
4. En el menú desplegable Seleccionar un rol, busca y selecciona Administrador del grupo de trabajo de IAM.
5. Haz clic en Guardar.

Es posible que debas esperar unos minutos para que se asigne el rol a tu ID.

Configura la federación de identidades de personal

Ahora que tu ID de arranque está autorizado para configurar la Federación de identidades de personal, puedes agregar un proveedor de identidad (o proveedores) a tu organización. Para ello, primero debes crear un grupo de identidades de personal que se pueda usar en toda tu organización y, luego, configurarlo para que use tus proveedores. Puedes obtener más información sobre cómo funciona la federación de identidades de personal en la documentación de la federación de identidades de personal.

1. En la Trusted Cloud consola, navega a IAM > Federación de identidades de personal:

   Ir a federación de identidades de personal

   Se te pedirá que crees un nuevo grupo de identidades de personal.
2. Sigue las instrucciones de Consola en Configura la federación de identidades de personal para agregar tu grupo de identidades de personal y tu IdP. Según el IdP que elijas, te recomendamos que consultes nuestras guías específicas del proveedor para IdPs comunes, por ejemplo, Microsoft Entra ID y Okta.

Debes establecer la asignación de atributos google.posix_username opcional cuando configures tu proveedor, como se muestra en el siguiente ejemplo. Esto se debe a que esta asignación de atributos es necesaria para que SSH funcione.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Cómo establecer un administrador de la organización

A continuación, debes especificar un nuevo administrador de la organización con un ID de tu IdP configurado (por ejemplo, tu ID de usuario existente). También debes otorgarle permiso a este ID para administrar la federación de identidades de personal. Después de hacerlo, ya no necesitarás usar el ID de arranque para acceder a Trusted Cloudni administrarlo.

Para establecer un nuevo administrador de la organización, sigue estos pasos:

1. En la Trusted Cloud consola, vuelve a la página principal IAM y administración:

   Ir a IAM y administración

2. Haz clic en person_add Otorgar acceso para agregar una principal nueva.

3. En el campo Principal nuevo, especifica tu ID de usuario en el siguiente formato:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Reemplaza lo siguiente:

   • POOL_ID: El identificador único de tu grupo de identidades para cargas de trabajo.
   • USERNAME: tu ID de usuario

   Como alternativa, si deseas especificar un grupo en lugar de un solo usuario, usa el siguiente formato:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. En el menú desplegable Rol, busca y selecciona Administrador de la organización.

5. Haz clic en Agregar otra función.

6. En el menú desplegable Role, busca y selecciona IAM Workforce Pool Admin.

7. Haz clic en Guardar.

Puedes obtener más información sobre los diferentes tipos de entidades y grupos de tu IdP que se pueden representar como principales de IAM en Identificadores principales.

Accede con tu ID de administrador

Por último, sal de Trusted Cloudy vuelve a acceder con el ID de administrador que acabas de configurar en tu IdP.

¿Qué sigue?

1. Configura Google Cloud CLI con tu ID de administrador. La usarás para verificar los otros pasos de configuración en Configura tu organización, así como para realizar muchas otras tareas comunes desde la línea de comandos. Para obtener instrucciones, consulta Configura Google Cloud CLI para Trusted Cloud.

2. Continúa con Configura tu organización.