Configurare un provider di identità

Un primo passo importante per configurare Cloud de Confiance by S3NS è configurare un provider di identità (IdP), in modo che i membri della tua organizzazione possano accedere a Cloud de Confianceed essere autorizzati a utilizzare servizi e risorse con IAM. In Cloud de Confiance, porti il tuo provider di identità utilizzando la federazione delle identità per la forza lavoro, che ti consente di continuare a utilizzare gli ID utente e i gruppi esistenti, se necessario. Puoi utilizzare la federazione delle identità per la forza lavoro con qualsiasi IdP che supporti OpenID Connect (OIDC) o SAML 2.0, inclusi Microsoft Entra ID, Active Directory Federation Services (AD FS) e Okta.

Questa pagina è rivolta agli amministratori che devono configurare un provider di identità per una nuova organizzazione in Cloud de Confiance, inclusa la configurazione di un ruolo di amministratore dell'organizzazione.

Se la tua organizzazione ha già configurato il provider di identità (con te come amministratore dell'organizzazione) e devi solo configurare nuovi progetti, reti e altre risorse per gli utenti, puoi saltare questa guida e andare direttamente a Configurare l'organizzazione. Per altri utenti che devono iniziare, inclusi sviluppatori e altri professionisti tecnici, consulta Inizia a utilizzare Cloud de Confiance.

Prima di leggere questa guida, devi:

• Comprendi i concetti di base Cloud de Confiance descritti nella Cloud de Confiance panoramica, tra cui Cloud de Confiance organizzazioni e progetti.

• Comprendi il flusso di configurazione generale dell'organizzazione in Inizia a utilizzare Cloud de Confiance.

Prima di iniziare

Prima di configurare una nuova Cloud de Confiance by S3NS organizzazione per la prima volta, ti viene fornito un ID temporaneo da un IdP Cloud de Confiance speciale, noto come ID bootstrap, insieme alle istruzioni per l'accesso. Questo ID è necessario per completare i passaggi di configurazione descritti in questa guida.

Panoramica della procedura

Di seguito sono riportati i passaggi principali per configurare il tuo IdP:

1. Accedi con il tuo ID bootstrap per ottenere l'accesso amministratore iniziale a Cloud de Confiance by S3NS e alla console Cloud de Confiance . Segui tutti i passaggi di configurazione descritti in questa guida utilizzando la console Cloud de Confiance .
2. Concedi le autorizzazioni all'ID bootstrap in modo da poter configurare la federazione delle identità per la forza lavoro.
3. Configura la federazione delle identità per la forza lavoro per ottenere informazioni sull'identità dai provider di identità(IdP) che hai scelto.
4. Crea un nuovo amministratore dell'organizzazione con un ID del tuo IdP (il tuo o un gruppo a cui appartieni), in modo da poter accedere e gestire Cloud de Confiance by S3NSsenza utilizzare il tuo ID bootstrap.
5. Esci e accedi di nuovo con l'ID amministratore appena configurato.

Accedi con il tuo ID bootstrap

Accedi a Cloud de Confiance con il tuo ID bootstrap:

• Segui le istruzioni fornite con l'ID bootstrap per accedere a Cloud de Confiance. Ora dovresti avere accesso alla console Cloud de Confiance per completare i passaggi rimanenti di questa guida.

Concedere le autorizzazioni al tuo ID bootstrap

Il tuo ID bootstrap è per impostazione predefinita l'amministratore della tua organizzazione, ma non dispone di altre autorizzazioni. Per concedere a questo ID le autorizzazioni necessarie per configurare la federazione delle identità per la forza lavoro, procedi nel seguente modo:

1. Nella console Cloud de Confiance , vai alla pagina IAM e amministrazione:

   Vai a IAM e amministrazione

   La pagina IAM e amministrazione mostra tutte le autorizzazioni per la tua organizzazione e le identità (principal) a cui sono state concesse. Dovresti visualizzare un solo principal (il tuo ID bootstrap) con il ruolo Amministratore organizzazionee.
2. Fai clic su Modifica entità edit accanto al tuo ID.
3. Nel riquadro Modifica autorizzazioni, seleziona Aggiungi un altro ruolo.
4. Nel menu a discesa Seleziona un ruolo, cerca e seleziona Amministratore pool IAM Workforce.
5. Fai clic su Salva.

Potresti dover attendere alcuni minuti prima che il ruolo venga assegnato al tuo ID.

Configura la federazione delle identità per la forza lavoro

Ora che il tuo ID bootstrap è autorizzato a configurare la federazione delle identità per la forza lavoro, puoi aggiungere uno o più provider di identità alla tua organizzazione. Per farlo, devi prima creare un pool di identità della forza lavoro che possa essere utilizzato in tutta l'organizzazione, quindi configurare il pool in modo che utilizzi i tuoi provider. Puoi scoprire di più sul funzionamento della federazione delle identità per la forza lavoro nella documentazione sulla federazione delle identità per la forza lavoro.

1. Nella console Cloud de Confiance , vai a IAM > Federazione delle identità della forza lavoro:

   Vai a Federazione delle identità della forza lavoro

   Ti verrà chiesto di creare un nuovo pool di identità per la forza lavoro.
2. Segui le istruzioni della console in Configura la federazione delle identità per la forza lavoro per aggiungere il pool di identità per la forza lavoro e l'IdP. A seconda dell'IdP scelto, potresti consultare le nostre guide specifiche per i provider per gli IdP comuni, ad esempio Microsoft Entra ID e Okta.

Devi impostare il mapping degli attributi google.posix_username facoltativo durante la configurazione del fornitore, come nell'esempio seguente. Questo perché la mappatura degli attributi è necessaria per il funzionamento di SSH.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Imposta un Amministratore organizzazione

Successivamente, devi specificare un nuovo Amministratore organizzazione#39;organizzazione utilizzando un ID del tuo IdP configurato (ad esempio, il tuo ID utente esistente). Devi anche concedere a questo ID l'autorizzazione per gestire la federazione delle identità per la forza lavoro. Dopo averlo fatto, non dovrai più utilizzare l'ID bootstrap per accedere a Cloud de Confiancee gestirlo.

Per impostare un nuovo Amministratore organizzazione:

1. Nella console Cloud de Confiance , torna alla pagina principale IAM e amministrazione:

   Vai a IAM e amministrazione

2. Fai clic su person_add Concedi l'accesso per aggiungere una nuova entità.

3. Nel campo Nuova entità, specifica il tuo ID utente nel seguente formato:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Sostituisci quanto segue:

   • POOL_ID: l'identificatore univoco del pool di identità della forza lavoro.
   • USERNAME: il tuo ID utente.

   In alternativa, se vuoi specificare un gruppo anziché un singolo utente, utilizza il seguente formato:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. Nel menu a discesa Ruolo, cerca e seleziona Amministratore dell'organizzazione.

5. Fai clic su Aggiungi un altro ruolo.

6. Nel menu a discesa Ruolo, cerca e seleziona Amministratore pool di identità della forza lavoro IAM.

7. Fai clic su Salva.

Puoi scoprire di più sui diversi tipi di entità e gruppi nel tuo IdP che possono essere rappresentati come entità IAM in Identificatori entità.

Accedi con il tuo ID amministratore

Infine, esci da Cloud de Confiance, poi accedi di nuovo utilizzando l'ID amministratore appena configurato dal tuo IdP.

Passaggi successivi

1. Configura Google Cloud CLI con il tuo ID amministratore: lo utilizzerai per verificare gli altri passaggi di configurazione in Configura la tua organizzazione, nonché per eseguire molte altre attività comuni dalla riga di comando. Per istruzioni, vedi Configurare Google Cloud CLI per Cloud de Confiance.

2. Continua a configurare la tua organizzazione.