Configura un proveedor de identidad

Un primer paso importante para configurar Cloud de Confiance by S3NS es configurar un proveedor de identidad (IdP), de modo que los miembros de tu organización puedan acceder a Cloud de Confiance, y estar autorizados para usar servicios y recursos con IAM. En Cloud de Confiance, traes tu propio proveedor de identidad con la federación de identidades de personal , que te permite seguir usando los IDs de usuario y los grupos existentes si es necesario. Puedes usar la federación de identidades de personal con cualquier IdP que admita OpenID Connect (OIDC) o SAML 2.0, incluidos Google Workspace, Microsoft Entra ID, Active Directory Federation Services (AD FS) y Okta.

Esta página es para los administradores que necesitan configurar un proveedor de identidad para una organización nueva en Cloud de Confiance, incluida la configuración de un rol de administrador de la organización.

Si tu organización ya tiene configurado su proveedor de identidad (contigo como administrador de la organización) y solo necesitas configurar proyectos, redes y otros recursos nuevos para los usuarios, puedes omitir esta guía y dirigirte directamente a Configura tu organización. Para otros usuarios que necesitan comenzar, incluidos los desarrolladores y otros profesionales técnicos, consulta Comienza a usar Cloud de Confiance.

Antes de leer esta guía, debes hacer lo siguiente:

• Comprender los conceptos básicos Cloud de Confiance que se describen en la Cloud de Confiance descripción general de, incluidas Cloud de Confiance las organizaciones y los proyectos

• Comprender el flujo general de configuración de la organización en Comienza a usar Cloud de Confiance.

Antes de comenzar

Antes de configurar una organización nueva Cloud de Confiance by S3NS por primera vez, se te proporciona un ID temporal de un IdP especial Cloud de Confiance, conocido como tu ID de bootstrap, junto con instrucciones para acceder. Necesitas este ID para completar los pasos de configuración de esta guía.

Descripción general del procedimiento

Estos son los pasos principales que se deben seguir para configurar tu IdP:

1. Accede con tu ID de bootstrap para obtener acceso inicial de administrador a Cloud de Confiance by S3NS y a la Cloud de Confiance consola. Realizarás todos los pasos de configuración de esta guía con la Cloud de Confiance consola.
2. Otorga permisos a tu ID de bootstrap para que puedas configurar la federación de identidades de personal.
3. Configura la federación de identidades de personal para obtener información de identidad de los IdPs que elijas.
4. Crea un nuevo administrador de la organización con un ID de tu IdP (el tuyo o un grupo al que perteneces), de modo que puedas acceder y administrar Cloud de Confiance by S3NS sin usar tu ID de bootstrap.
5. Sal y vuelve a acceder con tu ID de administrador recién configurado.

Accede con tu ID de bootstrap

Accede a Cloud de Confiance con tu ID de bootstrap:

• Sigue las instrucciones que se proporcionan con tu ID de bootstrap para acceder a Cloud de Confiance. Ahora deberías tener acceso a la Cloud de Confiance consola para completar los pasos restantes de esta guía.

Otorga permisos a tu ID de bootstrap

De forma predeterminada, tu ID de bootstrap es el administrador de tu organización, pero no tiene otros permisos. Para otorgar los permisos necesarios a este ID para configurar la federación de identidades de personal, haz lo siguiente:

1. En la Cloud de Confiance consola, navega a la página IAM y administración:

   Ir a IAM y administración

   En la página IAM y administración, se muestran todos los permisos de tu organización y las identidades (principales) a las que se les otorgaron. Solo deberías ver un principal (tu ID de bootstrap) con el rol de administrador de la organización.
2. Haz clic en Editar principal edit junto a tu ID.
3. En el panel Editar permisos, selecciona Agregar otra función.
4. En el menú desplegable Seleccionar una función, busca y selecciona Administrador de grupos de personal de IAM.
5. Haz clic en Guardar.

Es posible que debas esperar unos minutos para que se asigne el rol a tu ID.

Configura la federación de identidades de personal

Ahora que tu ID de bootstrap está autorizado para configurar la federación de identidades de personal, puedes agregar un proveedor de identidad (o proveedores) a tu organización. Para ello, primero debes crear un grupo de identidades de personal que se pueda usar en toda la organización y, luego, configurar el grupo para que use tus proveedores. Puedes obtener más información sobre cómo funciona la federación de identidades de personal en la documentación de la federación de identidades de personal.

1. En la Cloud de Confiance consola, navega a IAM > Federación de identidades de personal:

   Ir a federación de identidades de personal

   Se te solicitará que crees un nuevo grupo de identidades de personal.
2. Sigue las instrucciones de la consola en Configura la federación de identidades de personal para agregar tu grupo de identidades de personal y tu IdP. Según el IdP que elijas, es posible que quieras consultar nuestras guías específicas del proveedor para IdPs comunes, por ejemplo Microsoft Entra ID y Okta.

Debes establecer la asignación de atributos google.posix_username opcional mientras configuras tu proveedor, como en el siguiente ejemplo. Esto se debe a que esta asignación de atributos es necesaria para que funcione SSH.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Establece un administrador de la organización

A continuación, debes especificar un nuevo administrador de la organización con un ID de tu IdP configurado (por ejemplo, tu ID de usuario existente). También debes otorgar permiso a este ID para administrar la federación de identidades de personal. Después de hacerlo, ya no necesitarás usar el ID de bootstrap para acceder a y administrar Cloud de Confiance.

Para establecer un nuevo administrador de la organización, haz lo siguiente:

1. En la Cloud de Confiance consola, vuelve a la página principal IAM y administración:

   Ir a IAM y administración

2. Haz clic en person_add Otorgar acceso para agregar un principal nuevo.

3. En el campo Principal nuevo, especifica tu ID de usuario con el siguiente formato:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Reemplaza lo siguiente:

   • POOL_ID: El identificador único de tu grupo de identidades de personal.
   • USERNAME: Tu ID de usuario.

   Como alternativa, si deseas especificar un grupo en lugar de un solo usuario, usa el siguiente formato:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. En el menú desplegable Rol, busca y selecciona Administrador de la organización.

5. Haz clic en Agregar otra función.

6. En el menú desplegable Rol, busca y selecciona Administrador de grupos de personal de IAM.

7. Haz clic en Guardar.

Puedes obtener más información sobre los diferentes tipos de entidades y grupos en tu IdP que se pueden representar como principales de IAM en Identificadores principales.

Accede con tu ID de administrador

Por último, sal de Cloud de Confiancey vuelve a acceder con tu ID de administrador recién configurado de tu IdP.

¿Qué sigue?

1. Configura el Google Cloud CLI con tu ID de administrador: Lo usarás para verificar los otros pasos de configuración en Configura tu organización, así como para realizar muchas otras tareas comunes desde la línea de comandos. Para obtener instrucciones, consulta Configura Google Cloud CLI para Cloud de Confiance.

2. Si deseas explorar los servicios y los instructivos antes de realizar una configuración de producción completa, puedes configurar una configuración mínima con un solo proyecto.

3. Cuando estés listo para configurar para tus usuarios y equipos, obtén información para configurar tu organización.