Configura un proveedor de identidad

Un primer paso importante para configurar Cloud de Confiance by S3NS es configurar un proveedor de identidad (IdP), de modo que los miembros de tu organización puedan acceder a Cloud de Confiancey estar autorizados para usar servicios y recursos con IAM. EnCloud de Confiance, puedes usar tu propio proveedor de identidades con la federación de identidades de personal, lo que te permite seguir usando los IDs de usuario y los grupos existentes si es necesario. Puedes usar la federación de identidades de personal con cualquier IdP que admita OpenID Connect (OIDC) o SAML 2.0, incluidos Microsoft Entra ID, Active Directory Federation Services (AD FS) y Okta.

Esta página está dirigida a los administradores que necesitan configurar un proveedor de identidad para una organización nueva en Cloud de Confiance, incluida la configuración de un rol de administrador de la organización.

Si tu organización ya tiene configurado su proveedor de identidad (y tú eres el administrador de la organización) y solo necesitas configurar proyectos, redes y otros recursos nuevos para los usuarios, puedes omitir esta guía y dirigirte directamente a Configura tu organización. Si otros usuarios necesitan comenzar a usar la plataforma, incluidos los desarrolladores y otros profesionales técnicos, consulta Comienza a usar Cloud de Confiance.

Antes de leer esta guía, debes hacer lo siguiente:

• Comprende los conceptos básicos Cloud de Confiance que se describen en la Cloud de Confiance descripción general, incluidas Cloud de Confiance las organizaciones y los proyectos.

• Comprende el flujo general de configuración de la organización en Comienza a usar Cloud de Confiance.

Antes de comenzar

Antes de configurar una organización Cloud de Confiance by S3NSnueva por primera vez, se te proporciona un ID temporal de un IdP Cloud de Confianceespecial, conocido como tu ID de bootstrap, junto con instrucciones para acceder. Necesitas este ID para completar los pasos de configuración de esta guía.

Descripción general del procedimiento

Estos son los pasos principales que se deben seguir para configurar tu IdP:

1. Accede con tu ID de bootstrap para obtener acceso inicial de administrador a Cloud de Confiance by S3NSy a la consola de Cloud de Confiance . Realizarás todos los pasos de configuración de esta guía con la consola de Cloud de Confiance .
2. Otorga permisos a tu ID de arranque para que puedas configurar la federación de identidades de personal.
3. Configura la federación de Workforce Identity para obtener información de identidad de los IdP que elijas.
4. Crea un nuevo administrador de la organización con un ID de tu IdP (el tuyo o un grupo al que pertenezcas) para que puedas acceder y administrar Cloud de Confiance by S3NSsin usar tu ID de bootstrap.
5. Sal de tu sesión de usuario y vuelve a acceder con el ID de administrador que acabas de configurar.

Accede con tu ID de bootstrap

Accede a Cloud de Confiance con tu ID de arranque:

• Sigue las instrucciones que se proporcionan con tu ID de arranque para acceder a Cloud de Confiance. Ahora deberías tener acceso a la consola de Cloud de Confiance para completar los pasos restantes de esta guía.

Otorga permisos a tu ID de bootstrap

De forma predeterminada, tu ID de bootstrap es el administrador de tu organización, pero no tiene otros permisos. Para otorgar los permisos necesarios a este ID para configurar la federación de identidades de la fuerza laboral, haz lo siguiente:

1. En la consola de Cloud de Confiance , navega a la página IAM y administración:

   Ir a IAM y administración

   En la página IAM y administración, se muestran todos los permisos de tu organización y las identidades (principales) a las que se les otorgaron. Solo deberías ver un principal (tu ID de bootstrap) con el rol de administrador de la organización.
2. Haz clic en Editar principal edit junto a tu ID.
3. En el panel Editar permisos, selecciona Agregar otra función.
4. En el menú desplegable Selecciona un rol, busca y selecciona Administrador del grupo de identidades para la fuerza laboral de IAM.
5. Haz clic en Guardar.

Es posible que debas esperar unos minutos para que se asigne el rol a tu ID.

Configura la federación de identidades de personal

Ahora que tu ID de bootstrap está autorizado para configurar la federación de identidades de personal, puedes agregar uno o más proveedores de identidad a tu organización. Para ello, primero debes crear un grupo de identidades de personal que se pueda usar en toda tu organización y, luego, configurar el grupo para que use tus proveedores. Puedes obtener más información sobre cómo funciona la federación de identidades de personal en la documentación de la federación de identidades de personal.

1. En la consola de Cloud de Confiance , navega a IAM > Federación de identidades de personal:

   Ir a federación de identidades de personal

   Se te solicitará que crees un nuevo grupo de identidades para personal.
2. Sigue las instrucciones de la consola en Configura la federación de identidades de personal para agregar tu grupo de identidades de personal y tu IdP. Según el IdP que elijas, es posible que desees consultar nuestras guías específicas del proveedor para los IdP comunes, por ejemplo, Microsoft Entra ID y Okta.

Debes establecer la asignación de atributosgoogle.posix_username opcional cuando configures tu proveedor, como en el siguiente ejemplo. Esto se debe a que esta asignación de atributos es necesaria para que funcione SSH.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Cómo establecer un administrador de la organización

A continuación, debes especificar un nuevo administrador de la organización con un ID de tu IdP configurado (por ejemplo, tu ID de usuario existente). También debes otorgarle a este ID permiso para administrar la federación de identidades de personal. Después de hacerlo, ya no necesitarás usar el ID de bootstrap para acceder a Cloud de Confiancey administrarlo.

Para establecer un nuevo administrador de la organización, sigue estos pasos:

1. En la consola de Cloud de Confiance , vuelve a la página principal de IAM y administración:

   Ir a IAM y administración

2. Haz clic en person_add Otorgar acceso para agregar una principal nueva.

3. En el campo Principal nuevo, especifica tu ID de usuario con el siguiente formato:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Reemplaza lo siguiente:

   • POOL_ID: Es el identificador único de tu grupo de identidades para personal.
   • USERNAME: Tu ID de usuario

   Como alternativa, si quieres especificar un grupo en lugar de un solo usuario, usa el siguiente formato:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. En el menú desplegable Rol, busca y selecciona Administrador de la organización.

5. Haz clic en Agregar otra función.

6. En el menú desplegable Rol, busca y selecciona Administrador del grupo de identidades de IAM para la fuerza laboral.

7. Haz clic en Guardar.

Puedes obtener más información sobre los diferentes tipos de entidades y grupos en tu IdP que se pueden representar como principales de IAM en Identificadores de principales.

Accede con tu ID de administrador

Por último, sal de Cloud de Confiancey, luego, vuelve a acceder con el ID de administrador que acabas de configurar desde tu IdP.

¿Qué sigue?

1. Configura Google Cloud CLI con tu ID de administrador: Lo usarás para verificar los otros pasos de configuración en Configura tu organización, así como para realizar muchas otras tareas comunes desde la línea de comandos. Para obtener instrucciones, consulta Configura Google Cloud CLI para Cloud de Confiance.

2. Continúa con Configura tu organización.