Configurer un fournisseur d'identité

Une première étape importante de la configuration consiste à configurer un fournisseur d'identité (IdP) afin que les membres de votre organisation puissent se connecter à et être autorisés à utiliser des services et des ressources avec IAM. Cloud de Confiance by S3NS Cloud de ConfianceDans Cloud de Confiance, vous apportez votre propre fournisseur d'identité à l'aide de la fédération des identités des employés Workforce Identity Federation, ce qui vous permet de continuer à utiliser les ID utilisateur et les groupes existants si nécessaire. Vous pouvez utiliser la fédération des identités des employés avec n'importe quel fournisseur d'identité compatible avec OpenID Connect (OIDC) ou SAML 2.0, y compris Google Workspace, Microsoft Entra ID, Active Directory Federation Services (AD FS) et Okta.

Cette page s'adresse aux administrateurs qui doivent configurer un fournisseur d'identité pour une nouvelle organisation dans Cloud de Confiance, y compris la configuration d'un rôle d'administrateur de l'organisation.

Si le fournisseur d'identité de votre organisation est déjà configuré (avec vous en tant qu' administrateur de l'organisation) et que vous avez simplement besoin de configurer de nouveaux projets, réseaux et autres ressources pour les utilisateurs, vous pouvez ignorer ce guide et passer directement à la section Configurer votre organisation. Pour les autres utilisateurs qui doivent commencer, y compris les développeurs et autres professionnels techniques, consultez la page Premiers pas avec Cloud de Confiance.

Avant de lire ce guide, vous devez :

• Comprendre les concepts de base Cloud de Confiance décrits dans la Cloud de Confiance présentation, y compris Cloud de Confiance les organisations et les projets.

• Comprendre le flux de configuration global de l'organisation dans Premiers pas avec Cloud de Confiance.

Avant de commencer

Avant de configurer une nouvelle Cloud de Confiance by S3NS organisation pour la première fois, vous recevez un ID temporaire d'un IdP spécial Cloud de Confiance, appelé ID de démarrage, ainsi que des instructions pour vous connecter. Vous avez besoin de cet ID pour suivre les étapes de configuration décrites dans ce guide.

Présentation de la procédure

Voici les principales étapes à suivre pour configurer votre IdP :

1. Connectez-vous avec votre ID de démarrage pour obtenir un accès administrateur initial à Cloud de Confiance by S3NS et à la Cloud de Confiance console. Vous suivrez toutes les étapes de configuration de ce guide à l'aide de la Cloud de Confiance console.
2. Accordez des autorisations à votre ID de démarrage afin de pouvoir configurer la fédération des identités des employés.
3. Configurez la fédération des identités des employés pour obtenir des informations d'identité auprès du ou des IdP de votre choix.
4. Créez un administrateur de l'organisation avec un ID de votre IdP (le vôtre ou celui d'un groupe auquel vous appartenez) afin de pouvoir vous connecter et gérer Cloud de Confiance by S3NS sans utiliser votre ID de démarrage.
5. Déconnectez-vous, puis reconnectez-vous avec l'ID administrateur que vous venez de configurer.

Se connecter avec votre ID de démarrage

Connectez-vous à Cloud de Confiance avec votre ID de démarrage :

• Suivez les instructions fournies avec votre ID de démarrage pour vous connecter à Cloud de Confiance. Vous devriez maintenant avoir accès à la Cloud de Confiance console pour suivre les étapes restantes de ce guide.

Accorder des autorisations à votre ID de démarrage

Par défaut, votre ID de démarrage est l'administrateur de votre organisation, mais il ne dispose d'aucune autre autorisation. Pour accorder les autorisations nécessaires à cet ID afin de configurer la fédération des identités des employés, procédez comme suit :

1. Dans la Cloud de Confiance console, accédez à la page IAM et administration :

   Accéder à "IAM et administration"

   La page IAM et administration affiche toutes les autorisations de votre organisation, ainsi que les identités (comptes principaux) auxquelles elles ont été accordées. Vous ne devriez voir qu'un seul compte principal (votre ID de démarrage) avec le rôle Administrateur de l'organisation.
2. Cliquez sur Modifier le compte principal edit à côté de votre ID.
3. Dans le volet Modifier les autorisations, sélectionnez Ajouter un autre rôle.
4. Dans la liste déroulante Sélectionner un rôle, recherchez et sélectionnez Administrateur de pool d'employés IAM.
5. Cliquez sur Enregistrer.

Vous devrez peut-être patienter quelques minutes avant que le rôle ne soit attribué à votre ID.

Configurer la fédération des identités des employés

Maintenant que votre ID de démarrage est autorisé à configurer la fédération des identités des employés, vous pouvez ajouter un ou plusieurs fournisseurs d'identité à votre organisation. Pour ce faire, vous devez d'abord créer un pool d'identités des employés qui peut être utilisé dans toute votre organisation, puis configurer le pool pour qu'il utilise votre ou vos fournisseurs. Pour en savoir plus sur le fonctionnement de la fédération des identités des employés , consultez la documentation sur la fédération des identités des employés.

1. Dans la Cloud de Confiance console, accédez à IAM > Fédération des identités des employés :

   Accéder à la fédération des identités des employés

   Vous devriez être invité à créer un pool d'identités des employés.
2. Suivez les instructions de la console dans Configurer la fédération des identités des employés pour ajouter votre pool d'identités des employés et votre IdP. En fonction de l'IdP que vous avez choisi, vous pouvez consulter nos guides spécifiques aux fournisseurs pour les IdP courants, par exemple Microsoft Entra ID et Okta.

Vous devez définir le mappage d'attribut facultatif google.posix_username lors de la configuration de votre fournisseur, comme dans l'exemple suivant. En effet, ce mappage d'attribut est requis pour que SSH fonctionne.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Définir un administrateur de l'organisation

Vous devez ensuite spécifier un administrateur de l'organisation à l'aide d'un ID de l'IdP que vous avez configuré (par exemple, votre ID utilisateur existant). Vous devez également accorder à cet ID l'autorisation de gérer la fédération des identités des employés. Une fois cette opération effectuée, vous n'avez plus besoin d'utiliser l'ID de démarrage pour vous connecter à et gérer Cloud de Confiance.

Pour définir un administrateur de l'organisation :

1. Dans la Cloud de Confiance console, revenez à la page principale IAM et administration :

   Accéder à "IAM et administration"

2. Cliquez sur person_add Accorder l'accès pour ajouter un compte principal.

3. Dans le champ Nouveau compte principal, spécifiez votre ID utilisateur au format suivant :

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Remplacez les éléments suivants :

   • POOL_ID: identifiant unique de votre pool d'identités des employés.
   • USERNAME : votre ID utilisateur.

   Si vous souhaitez spécifier un groupe au lieu d'un seul utilisateur, utilisez le format suivant :

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. Dans la liste déroulante Rôle, recherchez et sélectionnez Administrateur de l'organisation.

5. Cliquez sur Ajouter un autre rôle.

6. Dans la liste déroulante Rôle, recherchez et sélectionnez Administrateur de pool d'employés IAM.

7. Cliquez sur Enregistrer.

Pour en savoir plus sur les différents types d'entités et de groupes de votre IdP qui peuvent être représentés en tant que comptes principaux IAM, consultez la section Identifiants de compte principal.

Se connecter avec votre ID administrateur

Enfin, déconnectez-vous de Cloud de Confiance, puis reconnectez-vous à l'aide de l'ID administrateur que vous venez de configurer à partir de votre IdP.

Étape suivante

1. Configurez la Google Cloud CLI avec votre ID administrateur : vous l'utiliserez pour vérifier les autres étapes de configuration décrites dans Configurer votre organisation, ainsi que pour effectuer de nombreuses autres tâches courantes à partir de la ligne de commande. Pour obtenir des instructions, consultez Configurer la Google Cloud CLI pour Cloud de Confiance.

2. Si vous souhaitez explorer les services et les tutoriels avant de procéder à une configuration complète en production, vous pouvez configurer une configuration minimale avec un seul projet.

3. Lorsque vous êtes prêt à configurer pour vos utilisateurs et vos équipes, découvrez comment configurer votre organisation.