הגדרת ספק זהויות

שלב חשוב ראשון בהגדרת Cloud de Confiance by S3NS הוא הגדרת ספק זהויות (IdP), כדי שחברי הארגון יוכלו להיכנס ל- Cloud de Confiance by S3NS ולקבל הרשאה להשתמש בשירותים ובמשאבים באמצעות IAM. Cloud de Confianceב-Cloud de Confiance, אתם מביאים את ספק הזהויות שלכם באמצעות איחוד שירותי אימות הזהות של כוח העבודה, שמאפשר לכם להמשיך להשתמש במזהי משתמשים ובקבוצות קיימים, אם נדרש. אפשר להשתמש באיחוד שירותי אימות הזהות של כוח עבודה עם כל IdP שתומך ב-OpenID Connect ‏ (OIDC) או ב-SAML 2.0, כולל Microsoft Entra ID,‏ Active Directory Federation Services ‏ (AD FS) ו-Okta.

הדף הזה מיועד לאדמינים שצריכים להגדיר ספק זהויות לארגון חדש ב- Cloud de Confiance, כולל הגדרת תפקיד של אדמין ארגוני.

אם הארגון שלכם כבר הגדיר ספק זהויות (ואתם מוגדרים כאדמינים של הארגון) וכל מה שאתם צריכים לעשות זה להגדיר פרויקטים חדשים, רשתות ומשאבים אחרים למשתמשים, אתם יכולים לדלג על המדריך הזה ולעבור ישירות אל הגדרת הארגון. משתמשים אחרים שצריכים להתחיל לעבוד עם Cloud de Confiance, כולל מפתחים ואנשי מקצוע טכניים אחרים, יכולים לעיין במאמר תחילת העבודה עם Cloud de Confiance.

לפני שקוראים את המדריך הזה, צריך:

• כדאי לקרוא ולהבין את המושגים הבסיסיים שמתוארים בCloud de Confianceסקירה הכללית, כולל ארגונים ופרויקטים. Cloud de Confiance Cloud de Confiance

• במאמר איך מתחילים להשתמש ב- Cloud de Confiance מוסבר על תהליך ההגדרה הכולל של הארגון.

לפני שמתחילים

לפני שמגדירים ארגון חדש ב- Cloud de Confiance by S3NSבפעם הראשונה, מקבלים מזהה זמני מספק IdP מיוחד ב- Cloud de Confiance, שנקרא מזהה bootstrap, וגם הוראות לכניסה לחשבון. תצטרכו את המזהה הזה כדי להשלים את שלבי ההגדרה במדריך הזה.

סקירה כללית של התהליך

אלה השלבים העיקריים בהגדרת ספק הזהויות:

1. נכנסים באמצעות מזהה ה-bootstrap כדי לקבל גישת אדמין ראשונית אל Cloud de Confiance by S3NS ואל Cloud de Confiance המסוף. כל שלבי ההגדרה במדריך הזה מתבצעים באמצעות מסוף Cloud de Confiance .
2. מעניקים הרשאות למזהה ה-bootstrap כדי שתוכלו להגדיר את איחוד שירותי אימות הזהות של כוח העבודה.
3. מגדירים איחוד זהויות של כוח עבודה כדי לקבל פרטי זהות מספקי הזהויות שבחרתם.
4. יוצרים אדמין ארגוני חדש עם מזהה מ-IdP (מזהה משלכם או מזהה של קבוצה שאתם משתייכים אליה), כדי שתוכלו להיכנס ולנהל את Cloud de Confiance by S3NSבלי להשתמש במזהה האתחול.
5. יוצאים מהחשבון ונכנסים אליו שוב באמצעות מזהה האדמין שהגדרתם.

כניסה באמצעות מזהה האתחול

נכנסים אל Cloud de Confiance עם מזהה ה-bootstrap:

• פועלים לפי ההוראות שקיבלתם עם מזהה ה-bootstrap כדי להיכנס אל Cloud de Confiance. עכשיו אמורה להיות לכם גישה למסוף Cloud de Confiance כדי להשלים את השלבים שנותרו במדריך הזה.

מתן הרשאות למזהה האתחול

מזהה ה-bootstrap שלכם מוגדר כברירת מחדל כאדמין של הארגון, אבל אין לו הרשאות אחרות. כדי להעניק למזהה הזה את ההרשאות הנדרשות להגדרה של איחוד שירותי אימות הזהות של כוח העבודה, מבצעים את הפעולות הבאות:

1. במסוף Cloud de Confiance , עוברים לדף IAM & Admin:

   כניסה לדף IAM & admin

   בדף IAM & Admin מוצגות כל ההרשאות של הארגון והזהויות (הגורמים הראשיים) שההרשאות הוענקו להן. צריך לראות רק גורם ראשי אחד (מזהה האתחול שלכם) עם התפקיד אדמין ארגוני.
2. לוחצים על עריכת הגורם המרכזי edit ליד המזהה.
3. בחלונית Edit permissions, לוחצים על Add another role.
4. בתפריט הנפתח Select a role, מחפשים את IAM Workforce Pool Admin ובוחרים בו.
5. לוחצים על Save.

יכול להיות שתצטרכו להמתין כמה דקות עד שהתפקיד יוקצה למזהה שלכם.

הגדרת איחוד שירותי אימות הזהויות של כוח העבודה

עכשיו, אחרי שמזהה ה-bootstrap שלכם קיבל הרשאה להגדיר את איחוד שירותי אימות הזהות של כוח העבודה, אתם יכולים להוסיף ספק זהויות (או ספקים) לארגון. כדי לעשות את זה, קודם צריך ליצור מאגר של זהויות כוח עבודה שאפשר להשתמש בו בכל הארגון, ואז להגדיר את המאגר כך שישתמש בספקים שלכם. מידע נוסף על אופן הפעולה של איחוד שירותי אימות הזהות של כוח עבודה זמין במאמר בנושא איחוד שירותי אימות הזהות של כוח עבודה.

1. במסוף Cloud de Confiance , עוברים אל IAM > Workforce Identity Federation (איחוד שירותי אימות הזהות של כוח עבודה):

   כניסה אל 'איחוד שירותי אימות הזהות של כוח עבודה'

   תוצג לכם בקשה ליצור מאגר זהויות חדש של כוח עבודה.
2. פועלים לפי ההוראות לשימוש במסוף במאמר הגדרת איחוד זהויות של כוח עבודה כדי להוסיף את מאגר הזהויות של כוח העבודה ואת IdP. בהתאם ל-IdP שבחרתם, כדאי לעיין במדריכים הספציפיים לספקים של IdP נפוצים, למשל Microsoft Entra ID ו-Okta.

חובה להגדיר את מיפוי מאפייני google.posix_username האופציונליים במהלך הגדרת הספק, כמו בדוגמה הבאה. הסיבה לכך היא שמיפוי המאפיינים הזה נדרש כדי ש-SSH יפעל.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

הגדרת אדמין ארגוני

בשלב הבא צריך לציין אדמין ארגוני חדש באמצעות מזהה מספק הזהויות שהגדרתם (לדוגמה, מזהה המשתמש הקיים). כדאי גם להעניק לאדמין הזה הרשאה לנהל את איחוד שירותי אימות הזהות של כוח העבודה. אחרי שתעשו את זה, לא תצטרכו יותר להשתמש במזהה האתחול כדי להיכנס ל- Cloud de Confianceולנהל אותו.

כדי להגדיר אדמין ארגוני חדש:

1. במסוף Cloud de Confiance , חוזרים לדף הראשי IAM & Admin:

   כניסה לדף IAM & admin

2. לוחצים על person_add Grant access כדי להוסיף חשבון משתמש חדש.

3. בשדה New principal, מציינים את מזהה המשתמש בפורמט הבא:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫POOL_ID: המזהה הייחודי של מאגר הזהויות של כוח העבודה.
   • ‫USERNAME: מזהה המשתמש.

   לחלופין, אם רוצים לציין קבוצה במקום משתמש יחיד, צריך להשתמש בפורמט הבא:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. בתפריט הנפתח תפקיד, מחפשים את האפשרות אדמין של הארגון ובוחרים בה.

5. לוחצים על הוספת תפקיד נוסף.

6. בתפריט הנפתח Role (תפקיד), מחפשים את האפשרות IAM Workforce Pool Admin (אדמין של מאגר כוח העבודה ב-IAM) ובוחרים בה.

7. לוחצים על Save.

במאמר מזהי ישויות מורשות אפשר לקרוא מידע נוסף על הסוגים השונים של ישויות וקבוצות ב-IdP שאפשר לייצג כישויות מורשות ב-IAM.

כניסה באמצעות מזהה האדמין

לבסוף, יוצאים מ Cloud de Confiance, ואז נכנסים שוב באמצעות מזהה האדמין החדש שהוגדר ב-IdP.

המאמרים הבאים

1. מגדירים את Google Cloud CLI עם מזהה האדמין: תשתמשו בו כדי לאמת את שאר שלבי ההגדרה במאמר הגדרת הארגון, וגם כדי לבצע משימות נפוצות רבות אחרות משורת הפקודה. הוראות מפורטות זמינות במאמר הגדרת Google Cloud CLI ל- Cloud de Confiance.

2. ממשיכים אל הגדרת הארגון.