Configurare un provider di identità

Un primo passaggio importante per la configurazione di Trusted Cloud by S3NS è configurare un provider di identità (IdP), in modo che i membri della tua organizzazione possano accedere a Trusted Clouded essere autorizzati a utilizzare servizi e risorse con IAM. In Trusted Cloud, puoi utilizzare il tuo provider di identità tramite la federazione delle identità per la forza lavoro, che ti consente di continuare a utilizzare gli ID utente e i gruppi esistenti, se necessario. Puoi utilizzare la federazione delle identità della forza lavoro con qualsiasi IdP che supporti OpenID Connect (OIDC) o SAML 2.0, tra cui Microsoft Entra ID, Active Directory Federation Services (AD FS) e Okta.

Questa pagina è rivolta agli amministratori che devono configurare un provider di identità per una nuova organizzazione in Trusted Cloud, inclusa la configurazione di un ruolo di amministratore dell'organizzazione.

Se la tua organizzazione ha già configurato il proprio provider di identità (con te come amministratore dell'organizzazione) e devi solo configurare nuovi progetti, reti e altre risorse per gli utenti, puoi saltare questa guida e andare direttamente a Configurare la tua organizzazione. Per gli altri utenti che devono iniziare, inclusi sviluppatori e altri professionisti tecnici, consulta la sezione Iniziare a utilizzare Trusted Cloud.

Prima di leggere questa guida, devi:

• Comprendi i concetti Trusted Cloud di base descritti nella Trusted Cloud panoramica, tra cui Trusted Cloud organizzazioni e progetti.

• Scopri il flusso di configurazione complessivo dell'organizzazione in Guida introduttiva a Trusted Cloud.

Prima di iniziare

Prima di configurare una nuova Trusted Cloud by S3NS organizzazione per la prima volta, ti viene fornito un ID temporaneo da un Trusted Cloud IdP speciale, noto come ID bootstrap, insieme alle istruzioni per accedere. Ti occorre questo ID per completare i passaggi di configurazione descritti in questa guida.

Panoramica della procedura

Per configurare l'identità provider, sono necessari i seguenti passaggi principali:

1. Accedi con il tuo ID bootstrap per ottenere l'accesso iniziale come amministratore a Trusted Cloud by S3NS e alla Trusted Cloud console. Eseguirai tutti i passaggi di configurazione descritti in questa guida utilizzando la Trusted Cloud console.
2. Concedi le autorizzazioni per l'ID di bootstrap per poter configurare la federazione delle identità per la forza lavoro.
3. Configura la federazione delle identità per la forza lavoro per ottenere le informazioni sull'identità dai provider di identità scelti.
4. Crea un nuovo amministratore dell'organizzazione con un ID del tuo IdP (il tuo o di un gruppo a cui appartieni), in modo da poter accedere e gestire Trusted Cloud by S3NSsenza utilizzare il tuo ID di bootstrap.
5. Esci e accedi di nuovo con l'ID amministratore appena configurato.

Accedi con il tuo ID bootstrap

Accedi a Trusted Cloud con il tuo ID bootstrap:

• Segui le istruzioni fornite con il tuo ID bootstrap per accedere a Trusted Cloud. Ora dovresti avere accesso alla Trusted Cloud console per completare i passaggi rimanenti di questa guida.

Concedi le autorizzazioni al tuo ID bootstrap

Per impostazione predefinita, l'ID bootstrap è l'amministratore della tua organizzazione, ma non ha altre autorizzazioni. Per concedere a questo ID le autorizzazioni necessarie per configurare la federazione delle identità per la forza lavoro, svolgi i seguenti passaggi:

1. Nella Trusted Cloud console, vai alla pagina IAM e amministrazione:

   Vai a IAM e amministrazione

   La pagina IAM e amministrazione mostra tutte le autorizzazioni per la tua organizzazione e le identità (principal) a cui sono state concesse. Dovresti vedere un solo principale (il tuo ID bootstrap) con il ruolo Amministratore dell'organizzazione.
2. Fai clic su Modifica entità edit accanto al tuo ID.
3. Nel riquadro Modifica autorizzazioni, seleziona Aggiungi un altro ruolo.
4. Nel menu a discesa Seleziona un ruolo, cerca e seleziona Amministratore pool risorse umane IAM.
5. Fai clic su Salva.

Potresti dover attendere qualche minuto prima che il ruolo venga assegnato al tuo ID.

Configura la federazione delle identità per la forza lavoro

Ora che il tuo ID bootstrap è autorizzato a configurare la federazione delle identità per la forza lavoro, puoi aggiungere uno o più provider di identità alla tua organizzazione. Per farlo, devi prima creare un pool di identità della forza lavoro che possa essere utilizzato in tutta l'organizzazione e poi configurare il pool in modo da utilizzare i tuoi provider. Puoi scoprire di più sul funzionamento della federazione delle identità per la forza lavoro nella documentazione della federazione delle identità per la forza lavoro.

1. Nella Trusted Cloud console, vai a IAM > Federazione dell'identità del personale:

   Vai a Federazione delle identità per la forza lavoro

   Dovresti visualizzare la richiesta di creazione di un nuovo pool di identità per la forza lavoro.
2. Segui le istruzioni della console in Configura la federazione delle identità della forza lavoro per aggiungere il pool di identità per la forza lavoro e l'IdP. A seconda dell'IdP scelto, potresti consultare le nostre guide specifiche per i provider per gli IdP comuni, ad esempio Microsoft Entra ID e Okta.

Devi impostare la mappatura facoltativa degli attributi google.posix_username durante la configurazione del fornitore, come nell'esempio seguente. Questo accade perché questa mappatura degli attributi è necessaria per il funzionamento di SSH.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Impostare un amministratore dell'organizzazione

Successivamente, devi specificare un nuovo amministratore dell'organizzazione utilizzando un ID del tuo IdP configurato (ad esempio il tuo ID utente esistente). Devi anche concedere a questo ID l'autorizzazione per gestire la federazione delle identità per la forza lavoro. Dopodiché, non più bisogno di utilizzare l'ID bootstrap per accedere e gestire Trusted Cloud.

Per impostare un nuovo amministratore dell'organizzazione:

1. Nella Trusted Cloud console, torna alla pagina principale IAM e amministrazione:

   Vai a IAM e amministrazione

2. Fai clic su person_add Concedi l'accesso per aggiungere un nuovo entità.

3. Nel campo Nuovo principale, specifica il tuo ID utente nel seguente formato:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Sostituisci quanto segue:

   • POOL_ID: l'identificatore univoco per il pool di identità di carico di lavoro.
   • USERNAME: il tuo ID utente.

   In alternativa, se vuoi specificare un gruppo anziché un singolo utente, utilizza il seguente formato:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. Nel menu a discesa Ruolo, cerca e seleziona Amministratore dell'organizzazione.

5. Fai clic su Aggiungi un altro ruolo.

6. Nel menu a discesa Ruolo, cerca e seleziona Amministratore pool Workload Identity IAM.

7. Fai clic su Salva.

Puoi scoprire di più sui diversi tipi di entità e gruppi nell'IDP che possono essere rappresentati come entità IAM in Identificatori di entità.

Accedi con il tuo ID amministratore

Infine, esci da Trusted Cloud, quindi rientra utilizzando l'ID amministratore appena configurato dall'IdP.

Passaggi successivi

1. Configura Google Cloud CLI con il tuo ID amministratore: lo utilizzerai per verificare gli altri passaggi di configurazione descritti in Configurare l'organizzazione, nonché per eseguire molte altre attività comuni dalla riga di comando. Per le istruzioni, consulta Configurare Google Cloud CLI per Trusted Cloud.

2. Vai a Configurare l'organizzazione.