Une première étape importante dans la configuration de Cloud de Confiance by S3NS consiste à configurer un fournisseur d'identité (IdP) afin que les membres de votre organisation puissent se connecter à Cloud de Confianceet être autorisés à utiliser les services et les ressources avec IAM. DansCloud de Confiance, vous apportez votre propre fournisseur d'identité à l'aide de la fédération d'identité de personnel, qui vous permet de continuer à utiliser les ID utilisateur et les groupes existants si nécessaire. Vous pouvez utiliser la fédération des identités des employés avec n'importe quel fournisseur d'identité compatible avec OpenID Connect (OIDC) ou SAML 2.0, y compris Microsoft Entra ID, Active Directory Federation Services (AD FS) et Okta.
Cette page s'adresse aux administrateurs qui doivent configurer un fournisseur d'identité pour une nouvelle organisation dans Cloud de Confiance, y compris le rôle d'administrateur de l'organisation.
Si votre organisation a déjà configuré son fournisseur d'identité (avec vous en tant qu'administrateur de l'organisation) et que vous avez juste besoin de configurer de nouveaux projets, réseaux et autres ressources pour les utilisateurs, vous pouvez ignorer ce guide et passer directement à Configurer votre organisation. Pour les autres utilisateurs qui ont besoin de se lancer, y compris les développeurs et autres professionnels techniques, consultez Premiers pas avec Cloud de Confiance.
Avant de lire ce guide, vous devez :
Comprendre les concepts de base Cloud de Confiance décrits dans la présentationCloud de Confiance, y compris les Cloud de Confiance organisations et les projets.
Découvrez le flux de configuration global de l'organisation dans Premiers pas avec Cloud de Confiance.
Avant de commencer
Avant de configurer une nouvelle organisation Cloud de Confiance by S3NSpour la première fois, vous recevez un ID temporaire d'un IdP Cloud de Confiancespécial, appelé ID d'amorçage, ainsi que des instructions pour vous connecter. Vous en aurez besoin pour suivre la procédure de configuration décrite dans ce guide.
Présentation de la procédure
Voici les principales étapes à suivre pour configurer votre IdP :
- Connectez-vous avec votre ID de démarrage pour obtenir un accès administrateur initial à Cloud de Confiance by S3NS et à la console Cloud de Confiance . Vous effectuerez toutes les étapes de configuration de ce guide à l'aide de la console Cloud de Confiance .
- Accordez des autorisations à votre ID de bootstrap pour pouvoir configurer la fédération des identités des employés.
- Configurez la fédération d'identité de personnel pour obtenir des informations sur l'identité auprès du ou des IdP de votre choix.
- Créez un administrateur de l'organisation avec un ID provenant de votre IdP (le vôtre ou celui d'un groupe auquel vous appartenez) afin de pouvoir vous connecter et gérer Cloud de Confiance by S3NSsans utiliser votre ID d'amorçage.
- Déconnectez-vous, puis reconnectez-vous avec l'ID administrateur que vous venez de configurer.
Se connecter avec votre ID de démarrage
Connectez-vous à Cloud de Confiance avec votre ID d'amorçage :
- Suivez les instructions fournies avec votre ID de démarrage pour vous connecter à Cloud de Confiance. Vous devriez maintenant avoir accès à la console Cloud de Confiance pour terminer les étapes restantes de ce guide.
Accorder des autorisations à votre ID de bootstrap
Par défaut, votre ID de bootstrap est l'administrateur de votre organisation, mais il ne dispose d'aucune autre autorisation. Pour accorder à cet ID les autorisations nécessaires pour configurer la fédération d'identité des employés, procédez comme suit :
- Dans la console Cloud de Confiance , accédez à la page IAM et administration : La page IAM et administration affiche toutes les autorisations de votre organisation, ainsi que les identités (comptes principaux) auxquelles elles ont été accordées. Vous ne devriez voir qu'un seul principal (votre ID d'amorçage) avec le rôle d'administrateur de l'organisation.
- Cliquez sur Modifier le compte principal à côté de votre ID.
- Dans le volet Modifier les autorisations, sélectionnez Ajouter un autre rôle.
- Dans le menu déroulant Sélectionner un rôle, recherchez et sélectionnez Administrateur de pool d'identités de personnel IAM.
- Cliquez sur Enregistrer.
Vous devrez peut-être patienter quelques minutes avant que le rôle ne soit attribué à votre ID.
Configurer la fédération des identités des employés
Maintenant que votre ID bootstrap est autorisé à configurer la fédération d'identité de personnel, vous pouvez ajouter un ou plusieurs fournisseurs d'identité à votre organisation. Pour ce faire, vous devez d'abord créer un pool d'identités de personnel qui peut être utilisé dans toute votre organisation, puis configurer le pool pour qu'il utilise vos fournisseurs. Pour en savoir plus sur le fonctionnement de la fédération d'identité de personnel, consultez la documentation sur la fédération d'identité de personnel.
- Dans la console Cloud de Confiance , accédez à IAM > Fédération d'identité du personnel : Vous devriez être invité à créer un pool d'identités de personnel.
- Suivez les instructions de la section Console dans Configurer la fédération d'identité de personnel pour ajouter votre pool d'identités de personnel et votre fournisseur d'identité. Selon le fournisseur d'identité que vous avez choisi, vous pouvez consulter nos guides spécifiques aux fournisseurs d'identité courants, par exemple Microsoft Entra ID et Okta.
Vous devez définir le mappage de l'attribut google.posix_username facultatif lorsque vous configurez votre fournisseur, comme dans l'exemple suivant. En effet, ce mappage d'attributs est nécessaire pour que SSH fonctionne.
google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']
Définir un administrateur de l'organisation
Vous devez ensuite spécifier un nouvel administrateur de l'organisation à l'aide d'un ID provenant de l'IdP que vous avez configuré (par exemple, votre ID utilisateur existant). Vous devez également accorder à cet ID l'autorisation de gérer la fédération des identités des employés. Une fois cette opération effectuée, vous n'aurez plus besoin d'utiliser l'ID de démarrage pour vous connecter à Cloud de Confianceet le gérer.
Pour définir un nouvel administrateur de l'organisation :
- Dans la console Cloud de Confiance , revenez à la page principale IAM et administration :
- Cliquez sur Accorder l'accès pour ajouter un compte principal.
Dans le champ Nouveau compte principal, spécifiez votre ID utilisateur au format suivant :
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAMERemplacez les éléments suivants :
POOL_ID: identifiant unique de votre pool d'identités de personnel.USERNAME: votre ID utilisateur.
Si vous souhaitez spécifier un groupe plutôt qu'un seul utilisateur, utilisez le format suivant :
principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAILDans le menu déroulant Rôle, recherchez et sélectionnez Administrateur de l'organisation.
Cliquez sur Ajouter un autre rôle.
Dans le menu déroulant Rôle, recherchez et sélectionnez Administrateur de pool d'identités des employés IAM.
Cliquez sur Enregistrer.
Pour en savoir plus sur les différents types d'entités et de groupes de votre IdP pouvant être représentés en tant que comptes principaux IAM, consultez Identifiants de compte principal.
Se connecter avec votre ID administrateur
Enfin, déconnectez-vous de Cloud de Confiance, puis reconnectez-vous à l'aide de l'ID administrateur que vous venez de configurer dans votre IdP.
Étapes suivantes
Configurez la Google Cloud CLI avec votre ID administrateur. Vous l'utiliserez pour vérifier les autres étapes de configuration dans Configurer votre organisation, ainsi que pour effectuer de nombreuses autres tâches courantes à partir de la ligne de commande. Pour obtenir des instructions, consultez Configurer Google Cloud CLI pour Cloud de Confiance.
Passez à la section Configurer votre organisation.