Un primer paso importante para configurar Cloud de Confiance by S3NS es configurar un proveedor de identidades (IdP) para que los miembros de tu organización puedan iniciar sesión en Cloud de Confiancey tener autorización para usar servicios y recursos con IAM. EnCloud de Confiance, puedes usar tu propio proveedor de identidades mediante la federación de identidades de Workforce, que te permite seguir usando los IDs de usuario y los grupos que ya tengas si es necesario. Puedes usar la federación de identidades de trabajo con cualquier proveedor de identidades que admita OpenID Connect (OIDC) o SAML 2.0, incluido Microsoft Entra ID, Servicios de federación de Active Directory (AD FS) y Okta.
Esta página está dirigida a administradores que necesitan configurar un proveedor de identidades para una organización nueva en Cloud de Confiance, incluida la configuración de un rol de administrador de la organización.
Si tu organización ya tiene configurado su proveedor de identidades (y tú eres el administrador de la organización) y solo necesitas configurar nuevos proyectos, redes y otros recursos para los usuarios, puedes saltarte esta guía e ir directamente a Configurar tu organización. Si otros usuarios necesitan empezar a usar, como desarrolladores y otros profesionales técnicos, consulta el artículo Empezar a usar Cloud de Confiance.
Antes de leer esta guía, debes hacer lo siguiente:
Familiarízate con los conceptos básicos que se describen en la Cloud de Confiance descripción general, como las organizaciones y los proyectos. Cloud de Confiance Cloud de Confiance
Consulta el flujo de configuración general de la organización en Empezar a usar Cloud de Confiance.
Antes de empezar
Antes de configurar una organización por primera vez, se te proporcionará un ID temporal de un IdP especial, conocido como ID de arranque, junto con instrucciones para iniciar sesión. Cloud de Confiance by S3NSCloud de ConfianceNecesitas este ID para completar los pasos de configuración que se indican en esta guía.
Descripción general del procedimiento
Para configurar tu proveedor de identidades, debes seguir estos pasos principales:
- Inicia sesión con tu ID de bootstrap para obtener acceso inicial de administrador a Cloud de Confiance by S3NS y a la consola de Cloud de Confiance . Para completar todos los pasos de configuración de esta guía, debes usar la Cloud de Confiance consola.
- Concede permisos a tu ID de bootstrap para que puedas configurar la federación de identidades de Workforce.
- Configura la federación de identidades de los trabajadores para obtener información de identidad de los proveedores de identidades que elijas.
- Crea un administrador de la organización con un ID de tu proveedor de identidades (el tuyo o el de un grupo al que pertenezcas) para que puedas iniciar sesión y gestionar Cloud de Confiance by S3NS sin usar tu ID de bootstrap.
- Cierra sesión y vuelve a iniciarla con el ID de administrador que acabas de configurar.
Iniciar sesión con tu ID de bootstrap
Inicia sesión en Cloud de Confiance con tu ID de bootstrap:
- Sigue las instrucciones que se te hayan proporcionado con tu ID de bootstrap para iniciar sesión en Cloud de Confiance. Ahora deberías tener acceso a la consola de Cloud de Confiance para completar los pasos que quedan en esta guía.
Conceder permisos a tu ID de bootstrap
Tu ID de bootstrap es el administrador de tu organización de forma predeterminada, pero no tiene ningún otro permiso. Para conceder los permisos necesarios a este ID para configurar la federación de identidades de los trabajadores, haz lo siguiente:
- En la Cloud de Confiance consola, ve a la página IAM y administración: En la página IAM y administrador se muestran todos los permisos de tu organización y las identidades (principales) a las que se han concedido. Solo debería ver una entidad principal (su ID de bootstrap) con el rol de administrador de la organización.
- Haz clic en Editar principal junto a tu ID.
- En el panel Editar permisos, selecciona Añadir otro rol.
- En el menú desplegable Selecciona un rol, busca y selecciona Administrador de grupo de identidades de la plantilla de IAM.
- Haz clic en Guardar.
Es posible que tengas que esperar unos minutos para que se asigne el rol a tu ID.
Configurar Workforce Identity Federation
Ahora que tu ID de arranque está autorizado para configurar la federación de identidades de los empleados, puedes añadir uno o varios proveedores de identidades a tu organización. Para ello, primero debes crear un grupo de identidades de los empleados que se pueda usar en toda tu organización y, a continuación, configurar el grupo para que use tus proveedores. Puedes consultar más información sobre cómo funciona Workforce Identity Federation en la documentación de Workforce Identity Federation.
- En la Cloud de Confiance consola, ve a IAM > Federación de identidades de la fuerza de trabajo: Se te pedirá que crees un grupo de identidades de Workforce.
- Sigue las instrucciones de la consola que se indican en Configurar la federación de identidades de Workforce para añadir tu grupo de identidades de Workforce y tu proveedor de identidades. En función del proveedor de identidades que elijas, puede que te interese consultar nuestras guías específicas para proveedores de identidades comunes, como Microsoft Entra ID y Okta.
Debe definir la asignacióngoogle.posix_username de atributos opcional al configurar su proveedor, como en el siguiente ejemplo. Esto se debe a que esta asignación de atributos es necesaria para que funcione SSH.
google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']
Definir un administrador de la organización
A continuación, debes especificar un nuevo administrador de la organización con un ID de tu proveedor de identidades configurado (por ejemplo, tu ID de usuario). También debes conceder este ID permiso para gestionar Workforce Identity Federation. Una vez que lo hayas hecho, ya no tendrás que usar el ID de bootstrap para iniciar sesión en Cloud de Confiancey gestionarlo.
Para asignar un nuevo administrador de la organización, sigue estos pasos:
- En la Cloud de Confiance consola, vuelve a la página principal IAM y administración:
- Haz clic en Conceder acceso para añadir un nuevo principal.
En el campo Nuevo principal, especifica tu ID de usuario con el siguiente formato:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAMEHaz los cambios siguientes:
POOL_ID: identificador único de tu grupo de identidades de Workforce.USERNAME: tu ID de usuario.
Si quieres especificar un grupo en lugar de un solo usuario, usa el siguiente formato:
principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAILEn el menú desplegable Rol, busca y selecciona Administrador de la organización.
Haz clic en Añadir otro rol.
En el menú desplegable Rol, busca y selecciona Administrador de grupo de trabajo de IAM.
Haz clic en Guardar.
Puedes consultar más información sobre los distintos tipos de entidades y grupos de tu proveedor de identidades que se pueden representar como principales de IAM en Identificadores de principales.
Inicia sesión con tu ID de administrador
Por último, cierra sesión en Cloud de Confiancey vuelve a iniciarla con el ID de administrador que acabas de configurar en tu proveedor de identidades.
Siguientes pasos
Configura la interfaz de línea de comandos de Google Cloud con tu ID de administrador: la usarás para verificar los demás pasos de configuración de Configurar tu organización, así como para realizar muchas otras tareas habituales desde la línea de comandos. Para obtener instrucciones, consulta Configurar Google Cloud CLI para Cloud de Confiance.