Un primo passo importante nella configurazione di Cloud de Confiance by S3NS è la configurazione di un provider di identità (IdP), in modo che i membri della tua organizzazione possano accedere Cloud de Confiance, e essere autorizzati a utilizzare servizi e risorse con IAM. In Cloud de Confiance, utilizzi il tuo provider di identità tramite la federazione delle identità per la forza lavoro , che ti consente di continuare a utilizzare gli ID utente e i gruppi esistenti, se necessario. Puoi utilizzare la federazione delle identità per la forza lavoro con qualsiasi IdP che supporti OpenID Connect (OIDC) o SAML 2.0, inclusi Google Workspace, Microsoft Entra ID, Active Directory Federation Services (AD FS) e Okta.
Questa pagina è rivolta agli amministratori che devono configurare un provider di identità per una nuova organizzazione in Cloud de Confiance, inclusa la configurazione di un ruolo di amministratore dell'organizzazione.
Se la tua organizzazione ha già configurato il provider di identità (con te come amministratore dell'organizzazione) e devi solo configurare nuovi progetti, reti e altre risorse per gli utenti, puoi saltare questa guida e andare direttamente a Configurare l'organizzazione. Per altri utenti che devono iniziare, inclusi sviluppatori e altri professionisti tecnici, consulta la guida introduttiva a Get started with Cloud de Confiance.
Prima di leggere questa guida, devi:
Comprendere i concetti di base Cloud de Confiance descritti nella Cloud de Confiance panoramica, inclusi Cloud de Confiance organizzazioni e progetti.
Comprendere il flusso di configurazione generale dell'organizzazione in Guida introduttiva a Cloud de Confiance.
Prima di iniziare
Prima di configurare una nuova Cloud de Confiance by S3NS organizzazione per la prima volta, ti viene fornito un ID temporaneo da un IdP speciale Cloud de Confiance, noto come ID di bootstrap, insieme alle istruzioni per l'accesso. Questo ID è necessario per completare i passaggi di configurazione descritti in questa guida.
Panoramica della procedura
I seguenti passaggi principali sono coinvolti nella configurazione dell'IdP:
- Accedi con il tuo ID di bootstrap per ottenere l'accesso amministrativo iniziale a Cloud de Confiance by S3NS e alla Cloud de Confiance console. Eseguirai tutti i passaggi di configurazione descritti in questa guida utilizzando la Cloud de Confiance console.
- Concedi le autorizzazioni al tuo ID di bootstrap in modo da poter configurare la federazione delle identità per la forza lavoro.
- Configura la federazione delle identità per la forza lavoro per ottenere le informazioni sull'identità dagli IdP scelti.
- Crea un nuovo amministratore dell'organizzazione con un ID del tuo IdP (il tuo o un gruppo a cui appartieni), in modo da poter accedere e gestire Cloud de Confiance by S3NS senza utilizzare l'ID di bootstrap.
- Esci e accedi di nuovo con l'ID amministratore appena configurato.
Accedi con il tuo ID di bootstrap
Accedi a Cloud de Confiance con il tuo ID di bootstrap:
- Segui le istruzioni fornite con l'ID di bootstrap per accedere a Cloud de Confiance. Ora dovresti avere accesso alla Cloud de Confiance console per completare i passaggi rimanenti di questa guida.
Concedi le autorizzazioni al tuo ID di bootstrap
Per impostazione predefinita, l'ID di bootstrap è l'amministratore della tua organizzazione, ma non ha altre autorizzazioni. Per concedere le autorizzazioni necessarie a questo ID per configurare la federazione delle identità per la forza lavoro:
- Nella Cloud de Confiance console, vai alla pagina IAM e amministrazione: La pagina IAM e amministrazione mostra tutte le autorizzazioni per la tua organizzazione e le identità (entità) a cui sono state concesse. Dovresti visualizzare una sola entità (il tuo ID di bootstrap) con il ruolo di Amministratore organizzazione.
- Fai clic su Modifica entità accanto a l tuo ID.
- Nel riquadro Modifica autorizzazioni, seleziona Aggiungi un altro ruolo.
- Nell'elenco a discesa Seleziona un ruolo, cerca e seleziona Amministratore del pool di forza lavoro IAM.
- Fai clic su Salva.
Potresti dover attendere qualche minuto prima che il ruolo venga assegnato al tuo ID.
Configura la federazione delle identità per la forza lavoro
Ora che il tuo ID di bootstrap è autorizzato a configurare la federazione delle identità per la forza lavoro, puoi aggiungere uno o più provider di identità alla tua organizzazione. Per farlo, devi prima creare un pool di identità per la forza lavoro che possa essere utilizzato in tutta l'organizzazione, quindi configurare il pool in modo che utilizzi i tuoi provider. Puoi scoprire di più sul funzionamento della federazione delle identità per la forza lavoro nella relativa documentazione.
- Nella Cloud de Confiance console, vai a IAM > Federazione delle identità per la forza lavoro: Ti verrà chiesto di creare un nuovo pool di identità per la forza lavoro.
- Segui le istruzioni della console riportate in Configurare la federazione delle identità per la forza lavoro per aggiungere il pool di identità per la forza lavoro e l'IdP. A seconda dell'IdP scelto, potresti voler consultare le nostre guide specifiche per i provider per gli IdP comuni, per esempio Microsoft Entra ID e Okta.
Durante la configurazione del provider, devi impostare il mapping degli attributi google.posix_username facoltativo
, come nell'esempio seguente. Questo perché questo mapping degli attributi è necessario per il funzionamento di SSH.
google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']
Imposta un Amministratore organizzazione
Poi devi specificare un nuovo Amministratore organizzazione utilizzando un ID dell'IdP configurato (ad esempio, il tuo ID utente esistente). Devi anche concedere a questo ID l'autorizzazione per gestire la federazione delle identità per la forza lavoro. Dopo averlo fatto, non dovrai più utilizzare l'ID di bootstrap per accedere e gestire Cloud de Confiance.
Per impostare un nuovo Amministratore organizzazione:
- Nella Cloud de Confiance console, torna alla pagina principale IAM e amministrazione:
- Fai clic su Concedi l'accesso per aggiungere una nuova entità.
Nel campo Nuova entità, specifica il tuo ID utente nel seguente formato:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAMESostituisci quanto segue:
POOL_ID: l'identificatore univoco del pool di identità per la forza lavoro.USERNAME: il tuo ID utente.
In alternativa, se vuoi specificare un gruppo anziché un singolo utente, utilizza il seguente formato:
principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAILNell'elenco a discesa Ruolo, cerca e seleziona Amministratore dell'organizzazione.
Fai clic su Aggiungi un altro ruolo.
Nell'elenco a discesa Ruolo, cerca e seleziona Amministratore del pool di forza lavoro IAM.
Fai clic su Salva.
Puoi scoprire di più sui diversi tipi di entità e gruppi nel tuo IdP che possono essere rappresentati come entità IAM in Identificatori di entità.
Accedi con il tuo ID amministratore
Infine, esci da Cloud de Confiance, quindi accedi di nuovo utilizzando l'ID amministratore appena configurato del tuo IdP.
Passaggi successivi
Configura il Google Cloud CLI con il tuo ID amministratore: lo utilizzerai per verificare gli altri passaggi di configurazione in Configurare l'organizzazione, nonché per eseguire molte altre attività comuni dalla riga di comando. Per istruzioni, consulta Configurare Google Cloud CLI per Cloud de Confiance.
Se vuoi esplorare servizi e tutorial prima di eseguire una configurazione di produzione completa, puoi configurare una configurazione minima con un singolo progetto.
Quando sei pronto per la configurazione per i tuoi utenti e team, scopri come configurare l'organizzazione.