Menyiapkan penyedia identitas

Langkah pertama yang penting dalam menyiapkan Cloud de Confiance by S3NS adalah menyiapkan penyedia identitas (IdP), sehingga anggota organisasi Anda dapat login ke Cloud de Confiance, dan diberi otorisasi untuk menggunakan layanan dan resource dengan IAM. Di Cloud de Confiance, Anda menggunakan penyedia identitas Anda sendiri menggunakan Workforce Identity Federation, yang memungkinkan Anda terus menggunakan ID dan grup pengguna yang ada jika diperlukan. Anda dapat menggunakan Workforce Identity Federation dengan IdP apa pun yang mendukung OpenID Connect (OIDC) atau SAML 2.0, termasuk Microsoft Entra ID, Active Directory Federation Services (AD FS), dan Okta.

Halaman ini ditujukan bagi administrator yang perlu menyiapkan penyedia identitas untuk organisasi baru di Cloud de Confiance, termasuk mengonfigurasi peran administrator organisasi.

Jika organisasi Anda telah menyiapkan penyedia identitasnya (dengan Anda sebagai administrator organisasi) dan Anda hanya perlu menyiapkan project, jaringan, dan resource lainnya untuk pengguna, Anda dapat melewati panduan ini dan langsung membuka Menyiapkan organisasi Anda. Untuk pengguna lain yang perlu memulai, termasuk developer dan praktisi teknis lainnya, lihat Mulai menggunakan Cloud de Confiance.

Sebelum membaca panduan ini, Anda harus:

• Memahami konsep Cloud de Confiance dasar yang dijelaskan dalam Cloud de Confiance ringkasan, termasuk Cloud de Confiance organisasi dan project.

• Pahami alur penyiapan organisasi secara keseluruhan di Mulai menggunakan Cloud de Confiance.

Sebelum memulai

Sebelum mengonfigurasi organisasi baru Cloud de Confiance by S3NS untuk pertama kalinya, Anda akan diberi ID sementara dari IdP Cloud de Confiance khusus, yang dikenal sebagai ID bootstrap, beserta petunjuk untuk login. Anda memerlukan ID ini untuk menyelesaikan langkah-langkah penyiapan dalam panduan ini.

Ringkasan prosedur

Langkah-langkah utama berikut diperlukan untuk menyiapkan IdP Anda:

1. Login dengan ID bootstrap Anda untuk mendapatkan akses administrator awal ke Cloud de Confiance by S3NS dan konsol Cloud de Confiance . Anda akan melakukan semua langkah penyiapan dalam panduan ini dengan menggunakan konsol Cloud de Confiance .
2. Beri ID bootstrap Anda izin agar Anda dapat mengonfigurasi Workforce Identity Federation.
3. Konfigurasi Workforce Identity Federation untuk mendapatkan informasi identitas dari IdP pilihan Anda.
4. Buat Administrator Organisasi baru dengan ID dari IdP Anda (ID Anda sendiri atau grup tempat Anda berada), sehingga Anda dapat login dan mengelola Cloud de Confiance by S3NS tanpa menggunakan ID bootstrap Anda.
5. Logout dan login kembali dengan ID administrator yang baru dikonfigurasi.

Login dengan ID bootstrap Anda

Login ke Cloud de Confiance dengan ID bootstrap Anda:

• Ikuti petunjuk yang diberikan bersama ID bootstrap Anda untuk login ke Cloud de Confiance. Sekarang Anda akan memiliki akses ke konsol Cloud de Confiance untuk menyelesaikan langkah-langkah yang tersisa dalam panduan ini.

Memberikan izin ke ID bootstrap Anda

ID bootstrap Anda secara default adalah administrator organisasi Anda, tetapi tidak memiliki izin lain. Untuk memberikan izin yang diperlukan ke ID ini guna mengonfigurasi Workforce Identity Federation, lakukan hal berikut:

1. Di konsol Cloud de Confiance , buka halaman IAM & Admin:

   Buka IAM & admin

   Halaman IAM & Admin menampilkan semua izin untuk organisasi Anda, dan identitas (pokok) yang telah diberi izin tersebut. Anda hanya akan melihat satu prinsipal (ID bootstrap Anda) dengan peran Administrator Organisasi.
2. Klik Edit principal edit di samping tanda pengenal Anda.
3. Di panel Edit izin, pilih Tambahkan peran lain.
4. Di drop-down Pilih peran, telusuri dan pilih IAM Workforce Pool Admin.
5. Klik Simpan.

Anda mungkin perlu menunggu beberapa menit sebelum peran ditetapkan ke ID Anda.

Mengonfigurasi Workforce Identity Federation

Setelah ID bootstrap Anda diizinkan untuk mengonfigurasi Workforce Identity Federation, Anda dapat menambahkan penyedia identitas (atau beberapa penyedia identitas) ke organisasi Anda. Untuk melakukannya, Anda harus membuat kumpulan identitas tenaga kerja yang dapat digunakan di seluruh organisasi, lalu mengonfigurasi kumpulan tersebut untuk menggunakan penyedia Anda. Anda dapat mempelajari lebih lanjut cara kerja Workforce Identity Federation di dokumentasi Workforce Identity Federation.

1. Di konsol Cloud de Confiance , buka IAM > Workforce Identity Federation:

   Buka Workforce Identity Federation

   Anda akan diminta untuk membuat workforce identity pool baru.
2. Ikuti petunjuk Konsol di Mengonfigurasi Workforce Identity Federation untuk menambahkan penyedia IdP dan kumpulan identitas tenaga kerja Anda. Bergantung pada IdP yang Anda pilih, Anda mungkin ingin melihat panduan khusus penyedia kami untuk IdP umum, misalnya Microsoft Entra ID dan Okta.

Anda harus menetapkan pemetaan atribut google.posix_username opsional saat menyiapkan penyedia, seperti dalam contoh berikut. Hal ini karena pemetaan atribut ini diperlukan agar SSH berfungsi.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Menetapkan Administrator Organisasi

Selanjutnya, Anda perlu menentukan Administrator Organisasi baru menggunakan ID dari IdP yang dikonfigurasi (misalnya, ID pengguna yang ada). Anda juga harus memberikan izin ID ini untuk mengelola Workforce Identity Federation. Setelah melakukannya, Anda tidak perlu lagi menggunakan ID bootstrap untuk login ke dan mengelola Cloud de Confiance.

Untuk menetapkan Administrator Organisasi baru:

1. Di konsol Cloud de Confiance , kembali ke halaman IAM & Admin utama:

   Buka IAM & admin

2. Klik person_add Grant access untuk menambahkan akun utama baru.

3. Di kolom New principal, tentukan ID pengguna Anda dalam format berikut:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Ganti kode berikut:

   • POOL_ID: ID unik untuk workforce identity pool Anda.
   • USERNAME: ID pengguna Anda.

   Atau, jika Anda ingin menentukan grup, bukan satu pengguna, gunakan format berikut:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. Di drop-down Role, telusuri dan pilih Organization Administrator.

5. Klik Add another role.

6. Di menu drop-down Role, telusuri dan pilih IAM Workforce Pool Admin.

7. Klik Simpan.

Anda dapat mempelajari lebih lanjut berbagai jenis entitas dan grup di IdP yang dapat ditampilkan sebagai akun utama IAM di ID akun utama.

Login dengan ID administrator Anda

Terakhir, logout dari Cloud de Confiance, lalu login kembali menggunakan ID administrator yang baru dikonfigurasi dari IdP Anda.

Langkah berikutnya

1. Siapkan Google Cloud CLI dengan ID administrator Anda: Anda akan menggunakannya untuk memverifikasi langkah-langkah penyiapan lainnya di Menyiapkan organisasi Anda, serta melakukan banyak tugas umum lainnya dari command line. Untuk mengetahui petunjuknya, lihat Menyiapkan Google Cloud CLI untuk Cloud de Confiance.

2. Lanjutkan ke Menyiapkan organisasi Anda.