Menyiapkan penyedia identitas

Langkah pertama yang penting dalam menyiapkan Trusted Cloud by S3NS adalah menyiapkan penyedia identitas (IdP), sehingga anggota organisasi Anda dapat login ke Trusted Cloud, dan diberi otorisasi untuk menggunakan layanan dan resource dengan IAM. Di Trusted Cloud, Anda membawa penyedia identitas Anda sendiri menggunakan Workforce Identity Federation, yang memungkinkan Anda terus menggunakan ID dan grup pengguna yang ada jika diperlukan. Anda dapat menggunakan Workforce Identity Federation dengan IdP apa pun yang mendukung OpenID Connect (OIDC) atau SAML 2.0, termasuk Microsoft Entra ID, Active Directory Federation Services (AD FS), dan Okta.

Halaman ini ditujukan bagi administrator yang perlu menyiapkan penyedia identitas untuk organisasi baru di Trusted Cloud, termasuk mengonfigurasi peran administrator organisasi.

Jika organisasi Anda sudah menyiapkan penyedia identitas (dengan Anda sebagai administrator organisasi) dan Anda hanya perlu menyiapkan project, jaringan, dan resource baru untuk pengguna, Anda dapat melewati panduan ini dan langsung membuka Menyiapkan organisasi. Untuk pengguna lain yang perlu memulai, termasuk developer dan praktisi teknis lainnya, lihat Memulai Trusted Cloud.

Sebelum membaca panduan ini, Anda harus:

Sebelum memulai

Sebelum mengonfigurasi organisasi Trusted Cloud by S3NS baru untuk pertama kalinya, Anda akan diberi ID sementara dari IdP Trusted Cloud khusus, yang dikenal sebagai ID bootstrap, beserta petunjuk untuk login. Anda memerlukan ID ini untuk menyelesaikan langkah-langkah penyiapan dalam panduan ini.

Ringkasan prosedur

Langkah-langkah utama berikut diperlukan dalam menyiapkan IdP Anda:

  1. Login dengan ID bootstrap Anda untuk mendapatkan akses administrator awal ke konsol Trusted Cloud by S3NS dan Trusted Cloud . Anda akan melakukan semua langkah penyiapan dalam panduan ini menggunakan konsol Trusted Cloud .
  2. Berikan izin ID bootstrap Anda agar Anda dapat mengonfigurasi Workforce Identity Federation.
  3. Konfigurasikan Workforce Identity Federation untuk mendapatkan informasi identitas dari IdP yang Anda pilih.
  4. Buat Administrator Organisasi baru dengan ID dari IdP Anda (ID Anda sendiri atau grup tempat Anda berada), sehingga Anda dapat login dan mengelola Trusted Cloud by S3NS tanpa menggunakan ID bootstrap.
  5. Logout dan login kembali dengan ID administrator yang baru dikonfigurasi.

Login dengan ID bootstrap Anda

Login ke Trusted Cloud dengan ID bootstrap Anda:

  • Ikuti petunjuk yang diberikan dengan ID bootstrap Anda untuk login ke Trusted Cloud. Sekarang Anda seharusnya memiliki akses ke konsol Trusted Cloud untuk menyelesaikan langkah-langkah lainnya dalam panduan ini.

Memberikan izin ke ID bootstrap Anda

ID bootstrap Anda secara default adalah administrator organisasi Anda, tetapi tidak memiliki izin lain. Untuk memberikan izin yang diperlukan ke ID ini guna mengonfigurasi Workforce Identity Federation, lakukan hal berikut:

  1. Di konsol Trusted Cloud , buka halaman IAM & Admin:

    Buka IAM & admin

    Halaman IAM & Admin menampilkan semua izin untuk organisasi Anda, dan identitas (prinsipal) yang telah diberikan izinnya. Anda hanya akan melihat satu akun utama (ID bootstrap) dengan peran Administrator Organisasi.
  2. Klik Edit akun utama di samping ID Anda.
  3. Di panel Edit permissions, pilih Add another role.
  4. Di menu drop-down Select a role, telusuri dan pilih IAM Workforce Pool Admin.
  5. Klik Simpan.

Anda mungkin perlu menunggu beberapa menit sebelum peran ditetapkan ke ID Anda.

Mengonfigurasi Workforce Identity Federation

Setelah ID bootstrap Anda diberi otorisasi untuk mengonfigurasi Workforce Identity Federation, Anda dapat menambahkan penyedia identitas (atau penyedia) ke organisasi Anda. Untuk melakukannya, Anda harus membuat kumpulan identitas tenaga kerja terlebih dahulu yang dapat digunakan di seluruh organisasi, lalu mengonfigurasi kumpulan tersebut untuk menggunakan penyedia Anda. Anda dapat mempelajari lebih lanjut cara kerja Workforce Identity Federation di dokumentasi Workforce Identity Federation.

  1. Di konsol Trusted Cloud , buka IAM > Workforce Identity Federation:

    Buka Workforce Identity Federation

    Anda akan diminta untuk membuat workforce identity pool baru.
  2. Ikuti petunjuk Konsol di Mengonfigurasi Workforce Identity Federation untuk menambahkan kumpulan identitas tenaga kerja dan IdP Anda. Bergantung pada IdP yang Anda pilih, Anda dapat melihat panduan khusus penyedia kami untuk IdP umum, misalnya Microsoft Entra ID dan Okta.

Anda harus menetapkan pemetaan atribut google.posix_username opsional saat menyiapkan penyedia, seperti dalam contoh berikut. Hal ini karena pemetaan atribut ini diperlukan agar SSH dapat berfungsi.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Menetapkan Administrator Organisasi

Selanjutnya, Anda perlu menentukan Administrator Organisasi baru menggunakan ID dari IdP yang dikonfigurasi (misalnya, ID pengguna yang ada). Anda juga harus memberikan izin ID ini untuk mengelola Workforce Identity Federation. Setelah melakukannya, Anda tidak lagi perlu menggunakan ID bootstrap untuk login dan mengelola Trusted Cloud.

Untuk menetapkan Administrator Organisasi baru:

  1. Di Trusted Cloud konsol, kembali ke halaman IAM & Admin utama:

    Buka IAM & admin

  2. Klik Berikan akses untuk menambahkan akun utama baru.
  3. Di kolom New principal, tentukan ID pengguna Anda dalam format berikut:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
    

    Ganti kode berikut:

    • POOL_ID: ID unik untuk workload identity pool Anda.
    • USERNAME: ID pengguna Anda.

    Atau, jika Anda ingin menentukan grup, bukan satu pengguna, gunakan format berikut:

    principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
    
  4. Di menu drop-down Role, telusuri dan pilih Organization Administrator.

  5. Klik Add another role.

  6. Di menu drop-down Role, telusuri dan pilih IAM Workforce Pool Admin.

  7. Klik Simpan.

Anda dapat mempelajari lebih lanjut berbagai jenis entitas dan grup di IdP yang dapat direpresentasikan sebagai akun utama IAM di ID utama.

Login dengan ID administrator Anda

Terakhir, logout dari Trusted Cloud, lalu login kembali menggunakan ID administrator yang baru dikonfigurasi dari IdP Anda.

Langkah berikutnya

  1. Siapkan Google Cloud CLI dengan ID administrator Anda: Anda akan menggunakannya untuk memverifikasi langkah-langkah penyiapan lainnya di Menyiapkan organisasi, serta melakukan banyak tugas umum lainnya dari command line. Untuk mengetahui petunjuknya, lihat Menyiapkan Google Cloud CLI untuk Trusted Cloud.

  2. Lanjutkan ke Menyiapkan organisasi.