Menyiapkan penyedia identitas

Langkah pertama yang penting dalam menyiapkan Cloud de Confiance by S3NS adalah menyiapkan penyedia identitas (IdP), sehingga anggota organisasi Anda dapat login ke Cloud de Confiance, dan diberi otorisasi untuk menggunakan layanan dan resource dengan IAM. Di Cloud de Confiance, Anda menggunakan penyedia identitas Anda sendiri menggunakan Workforce Identity Federation, yang memungkinkan Anda terus menggunakan ID pengguna dan grup yang ada jika diperlukan. Anda dapat menggunakan Workforce Identity Federation dengan IdP apa pun yang mendukung OpenID Connect (OIDC) atau SAML 2.0, termasuk Google Workspace, Microsoft Entra ID, Active Directory Federation Services (AD FS), dan Okta.

Halaman ini ditujukan bagi administrator yang perlu menyiapkan penyedia identitas untuk organisasi baru di Cloud de Confiance, termasuk mengonfigurasi peran administrator organisasi.

Jika organisasi Anda telah menyiapkan penyedia identitasnya (dengan Anda sebagai administrator organisasi) dan Anda hanya perlu menyiapkan project, jaringan, dan resource baru lainnya untuk pengguna, Anda dapat melewati panduan ini dan langsung membuka Menyiapkan organisasi Anda. Untuk pengguna lain yang perlu memulai, termasuk developer dan praktisi teknis lainnya, lihat Memulai Cloud de Confiance.

Sebelum membaca panduan ini, Anda harus:

• Memahami konsep dasar Cloud de Confiance yang dijelaskan dalam Cloud de Confiance ringkasan, termasuk Cloud de Confiance organisasi dan project.

• Memahami alur penyiapan organisasi secara keseluruhan di Memulai Cloud de Confiance.

Sebelum memulai

Sebelum mengonfigurasi organisasi baru Cloud de Confiance by S3NS untuk pertama kalinya, Anda akan diberi ID sementara dari IdP Cloud de Confiance khusus, yang dikenal sebagai ID bootstrap, beserta petunjuk untuk login. Anda memerlukan ID ini untuk menyelesaikan langkah-langkah penyiapan dalam panduan ini.

Ringkasan prosedur

Langkah-langkah utama berikut diperlukan dalam menyiapkan IdP Anda:

1. Login dengan ID bootstrap Anda untuk mendapatkan akses administrator awal ke Cloud de Confiance by S3NS dan Cloud de Confiance konsol. Anda akan melakukan semua langkah penyiapan dalam panduan ini menggunakan Cloud de Confiance konsol.
2. Memberikan izin ID bootstrap Anda sehingga Anda dapat mengonfigurasi Workforce Identity Federation.
3. Mengonfigurasi Workforce Identity Federation untuk mendapatkan informasi identitas dari IdP yang Anda pilih.
4. Membuat Organization Administrator baru dengan ID dari IdP Anda (milik Anda sendiri atau grup tempat Anda berada), sehingga Anda dapat login dan mengelola Cloud de Confiance by S3NS tanpa menggunakan ID bootstrap Anda.
5. Logout dan login kembali dengan ID administrator yang baru dikonfigurasi.

Login dengan ID bootstrap Anda

Login ke Cloud de Confiance dengan ID bootstrap Anda:

• Ikuti petunjuk yang diberikan bersama ID bootstrap Anda untuk login ke Cloud de Confiance. Anda kini akan memiliki akses ke Cloud de Confiance konsol untuk menyelesaikan langkah-langkah yang tersisa dalam panduan ini.

Memberikan izin ke ID bootstrap Anda

Secara default, ID bootstrap Anda adalah administrator organisasi Anda, tetapi tidak memiliki izin lain. Untuk memberikan izin yang diperlukan ke ID ini guna mengonfigurasi Workforce Identity Federation, lakukan hal berikut:

1. Di Cloud de Confiance konsol, buka halaman IAM & Admin:

   Buka IAM &admin

   Halaman IAM &Admin menampilkan semua izin untuk organisasi Anda, dan identitas (akun utama) yang telah diberi izin tersebut. Anda hanya akan melihat satu akun utama (ID bootstrap Anda) dengan peran Organization Administrator.
2. Klik Edit principal edit di samping ID Anda.
3. Di panel Edit permissions, pilih Add another role.
4. Di drop-down Select a role, telusuri dan pilih IAM Workforce Pool Admin.
5. Klik Save.

Anda mungkin perlu menunggu beberapa menit sebelum peran ditetapkan ke ID Anda.

Mengonfigurasi Workforce Identity Federation

Setelah ID bootstrap Anda diberi otorisasi untuk mengonfigurasi Workforce Identity Federation, Anda dapat menambahkan penyedia identitas (atau penyedia) ke organisasi Anda. Untuk melakukannya, Anda harus membuat pool identitas tenaga kerja yang dapat digunakan di seluruh organisasi Anda, lalu mengonfigurasi pool untuk menggunakan penyedia Anda. Anda dapat mempelajari lebih lanjut cara kerja Workforce Identity Federation di dokumentasi Workforce Identity Federation.

1. Di Cloud de Confiance konsol, buka IAM > Workforce Identity Federation:

   Buka Workforce Identity Federation

   Anda akan diminta untuk membuat workforce identity pool baru.
2. Ikuti petunjuk Console di Mengonfigurasi Workforce Identity Federation untuk menambahkan workforce identity pool dan IdP Anda. Bergantung pada IdP yang Anda pilih, Anda mungkin ingin melihat panduan khusus penyedia kami untuk IdP umum, misalnya Microsoft Entra ID dan Okta.

Anda harus menetapkan pemetaan atribut google.posix_username opsional saat menyiapkan penyedia Anda, seperti dalam contoh berikut. Hal ini karena pemetaan atribut ini diperlukan agar SSH dapat berfungsi.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Menetapkan Organization Administrator

Selanjutnya, Anda harus menentukan Organization Administrator baru menggunakan ID dari IdP yang dikonfigurasi (misalnya, ID pengguna yang ada). Anda juga harus memberikan izin ID ini untuk mengelola Workforce Identity Federation. Setelah melakukannya, Anda tidak perlu lagi menggunakan ID bootstrap untuk login ke dan mengelola Cloud de Confiance.

Untuk menetapkan Organization Administrator baru:

1. Di Cloud de Confiance konsol, kembali ke halaman utama IAM & Admin:

   Buka IAM &admin

2. Klik person_add Grant access untuk menambahkan akun utama baru.

3. Di kolom New principal, tentukan ID pengguna Anda dalam format berikut:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Ganti kode berikut:

   • POOL_ID: ID unik untuk workforce identity pool Anda.
   • USERNAME: ID pengguna Anda.

   Atau, jika Anda ingin menentukan grup, bukan satu pengguna, gunakan format berikut:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. Di drop-down Role, telusuri dan pilih Organization Administrator.

5. Klik Add another role.

6. Di drop-down Role, telusuri dan pilih IAM Workforce Pool Admin.

7. Klik Save.

Anda dapat mempelajari lebih lanjut berbagai jenis entitas dan grup di IdP Anda yang dapat direpresentasikan sebagai akun utama IAM di ID akun utama.

Login dengan ID administrator Anda

Terakhir, logout dari Cloud de Confiance, lalu login kembali menggunakan ID administrator yang baru dikonfigurasi dari IdP Anda.

Langkah berikutnya

1. Siapkan Google Cloud CLI dengan ID administrator Anda: Anda akan menggunakannya untuk memverifikasi langkah-langkah penyiapan lainnya di Menyiapkan organisasi, serta melakukan banyak tugas umum lainnya dari command line. Untuk mengetahui petunjuknya, lihat Menyiapkan Google Cloud CLI untuk Cloud de Confiance.

2. Jika ingin menjelajahi layanan dan tutorial sebelum melakukan penyiapan produksi lengkap, Anda dapat menyiapkan konfigurasi minimal dengan satu project.

3. Jika Anda siap menyiapkan untuk pengguna dan tim, pelajari cara Menyiapkan organisasi.