Configurer un fournisseur d'identité

La première étape importante de la configuration de Trusted Cloud by S3NS consiste à configurer un fournisseur d'identité (IdP) afin que les membres de votre organisation puissent se connecter à Trusted Cloudet être autorisés à utiliser les services et les ressources avec IAM. DansTrusted Cloud, vous apportez votre propre fournisseur d'identité à l'aide de la fédération d'identité des employés, ce qui vous permet de continuer à utiliser les ID utilisateur et les groupes existants si nécessaire. Vous pouvez utiliser la fédération des identités des employés avec n'importe quel fournisseur d'identité compatible avec OpenID Connect (OIDC) ou SAML 2.0, y compris Microsoft Entra ID, Active Directory Federation Services (AD FS) et Okta.

Cette page s'adresse aux administrateurs qui doivent configurer un fournisseur d'identité pour une nouvelle organisation dans Trusted Cloud, y compris configurer un rôle d'administrateur de l'organisation.

Si le fournisseur d'identité de votre organisation est déjà configuré (avec vous en tant qu'administrateur de l'organisation) et que vous n'avez qu'à configurer de nouveaux projets, réseaux et autres ressources pour les utilisateurs, vous pouvez ignorer ce guide et passer directement à la section Configurer votre organisation. Pour les autres utilisateurs qui doivent se lancer, y compris les développeurs et autres professionnels techniques, consultez Premiers pas avec Trusted Cloud.

Avant de lire ce guide, vous devez:

Avant de commencer

Avant de configurer une nouvelle Trusted Cloud by S3NSorganisation pour la première fois, vous recevez un ID temporaire d'un fournisseur d'identité Trusted Cloudspécial, appelé ID de démarrage, ainsi que des instructions pour vous connecter. Vous en aurez besoin pour suivre la procédure de configuration décrite dans ce guide.

Présentation de la procédure

Voici les principales étapes à suivre pour configurer votre IdP:

  1. Connectez-vous avec votre ID de démarrage pour obtenir un accès administrateur initial à Trusted Cloud by S3NSet à la console Trusted Cloud . Vous allez effectuer toutes les étapes de configuration de ce guide à l'aide de la console Trusted Cloud .
  2. Accordez des autorisations à votre ID de démarrage pour pouvoir configurer la fédération des identités des employés.
  3. Configurez la fédération d'identité de personnel pour obtenir des informations d'identité auprès du ou des fournisseurs d'identité de votre choix.
  4. Créez un administrateur de l'organisation avec un ID de votre IdP (le vôtre ou celui d'un groupe auquel vous appartenez) afin de pouvoir vous connecter et gérer Trusted Cloud by S3NSsans utiliser votre ID de démarrage.
  5. Déconnectez-vous, puis reconnectez-vous avec votre ID administrateur nouvellement configuré.

Se connecter avec votre ID de démarrage

Connectez-vous à Trusted Cloud avec votre ID de démarrage:

  • Suivez les instructions fournies avec votre ID de démarrage pour vous connecter à Trusted Cloud. Vous devriez maintenant avoir accès à la console Trusted Cloud pour effectuer les étapes restantes de ce guide.

Accorder des autorisations à votre ID de démarrage

Par défaut, votre ID de démarrage est l'administrateur de votre organisation, mais il n'a aucune autre autorisation. Pour accorder les autorisations nécessaires à cet ID afin de configurer la fédération d'identité des employés, procédez comme suit:

  1. Dans la console Trusted Cloud , accédez à la page IAM et administration:

    Accéder à IAM et administration

    La page IAM et administrateur affiche toutes les autorisations de votre organisation, ainsi que les identités (principals) auxquelles elles ont été accordées. Un seul principal (votre ID de démarrage) doit s'afficher avec le rôle "Administrateur de l'organisation".
  2. Cliquez sur Modifier le compte principal à côté de votre ID.
  3. Dans le volet Modifier les autorisations, sélectionnez Ajouter un autre rôle.
  4. Dans la liste déroulante Sélectionner un rôle, recherchez et sélectionnez Administrateur de pool de ressources humaines IAM.
  5. Cliquez sur Enregistrer.

Vous devrez peut-être patienter quelques minutes avant que le rôle ne soit attribué à votre ID.

Configurer la fédération des identités des employés

Maintenant que votre ID de démarrage est autorisé à configurer la fédération d'identité de personnel, vous pouvez ajouter un ou plusieurs fournisseurs d'identité à votre organisation. Pour ce faire, vous devez d'abord créer un pool d'identités de personnel pouvant être utilisé dans l'ensemble de votre organisation, puis configurer le pool pour qu'il utilise vos fournisseurs. Pour en savoir plus sur le fonctionnement de la fédération des identités des employés, consultez la documentation sur la fédération des identités des employés.

  1. Dans la console Trusted Cloud , accédez à IAM > Workforce Identity Federation:

    Accéder à la fédération des identités des employés

    Vous devriez être invité à créer un pool d'identités de personnel.
  2. Suivez les instructions de la console dans Configurer la fédération d'identité des employés pour ajouter votre pool d'identités des employés et votre fournisseur d'identité. Selon le fournisseur d'identité que vous avez choisi, vous pouvez consulter nos guides spécifiques aux fournisseurs pour les fournisseurs d'identité courants, tels que Microsoft Entra ID et Okta.

Vous devez définir le mappage d'attribut google.posix_username facultatif lors de la configuration de votre fournisseur, comme dans l'exemple suivant. En effet, ce mappage d'attributs est nécessaire pour que SSH fonctionne.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Définir un administrateur de l'organisation

Vous devez ensuite spécifier un nouvel administrateur de l'organisation à l'aide d'un ID de votre IdP configuré (par exemple, votre ID utilisateur existant). Vous devez également accorder à cet ID l'autorisation de gérer la fédération des identités des employés. Une fois cette opération effectuée, vous n'avez plus besoin d'utiliser l'ID de démarrage pour vous connecter et gérer Trusted Cloud.

Pour définir un nouvel administrateur de l'organisation:

  1. Dans la console Trusted Cloud , revenez à la page principale IAM et administration:

    Accéder à IAM et administration

  2. Cliquez sur Accorder l'accès pour ajouter un compte principal.
  3. Dans le champ Nouveau compte principal, spécifiez votre ID utilisateur au format suivant:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
    

    Remplacez les éléments suivants :

    • POOL_ID: identifiant unique de votre pool d'identités de charge de travail.
    • USERNAME: votre ID utilisateur.

    Si vous souhaitez spécifier un groupe au lieu d'un seul utilisateur, utilisez le format suivant:

    principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
    
  4. Dans le menu déroulant Rôle, recherchez et sélectionnez Administrateur de l'organisation.

  5. Cliquez sur Ajouter un autre rôle.

  6. Dans la liste déroulante Rôle, recherchez et sélectionnez Administrateur de pool d'identités des employés IAM.

  7. Cliquez sur Enregistrer.

Pour en savoir plus sur les différents types d'entités et de groupes de votre IdP pouvant être représentés en tant que comptes principaux IAM, consultez Identifiants de principal.

Se connecter avec votre ID administrateur

Enfin, déconnectez-vous de Trusted Cloud, puis reconnectez-vous à l'aide de l'ID administrateur que vous venez de configurer dans votre IdP.

Étape suivante

  1. Configurez la Google Cloud CLI avec votre ID administrateur. Vous l'utiliserez pour vérifier les autres étapes de configuration de la section Configurer votre organisation, ainsi que pour effectuer de nombreuses autres tâches courantes à partir de la ligne de commande. Pour obtenir des instructions, consultez Configurer Google Cloud CLI pour Trusted Cloud.

  2. Passez à la section Configurer votre organisation.