Cloud de Confiance by S3NS の設定の最初の重要なステップは、組織のメンバーが Cloud de Confianceにログインし、IAM でサービスとリソースを使用する権限を付与されるように、ID プロバイダ(IdP)を設定することです。Cloud de Confianceでは、Workforce Identity 連携を使用して独自の ID プロバイダを持ち込みます。これにより、必要に応じて既存のユーザー ID とグループを引き続き使用できます。Workforce Identity 連携は、OpenID Connect(OIDC)や SAML 2.0 をサポートする任意の IdP(Microsoft Entra ID、Active Directory Federation Services(AD FS)、Okta など)で使用できます。
このページは、 Cloud de Confianceで新しい組織の ID プロバイダを設定する必要がある管理者(組織管理者のロールの構成など)を対象としています。
組織に ID プロバイダがすでに設定されており(自身が組織管理者である)、ユーザー用に新しいプロジェクト、ネットワーク、その他のリソースを設定する必要がある場合は、このガイドをスキップして、組織を設定するに進んでください。デベロッパーやその他の技術担当者など、使用を開始する必要がある他のユーザーについては、 Cloud de Confianceを使ってみるをご覧ください。
このガイドを読む前に、次のことを行ってください。
Cloud de Confiance組織やプロジェクトなど、Cloud de Confianceの概要で説明されている基本的な Cloud de Confianceコンセプトを理解します。
Cloud de Confianceを使ってみるで、組織の全体的な設定フローを理解します。
始める前に
新しい Cloud de Confiance by S3NS組織を初めて構成する前に、特別な Cloud de ConfianceIdP からの一時 ID(ブートストラップ ID)とログイン手順が提供されます。このガイドの設定手順を完了するには、この ID が必要です。
手順の概要
IdP の設定には、次の主な手順が含まれます。
- ブートストラップ ID でログインして、 Cloud de Confiance by S3NSと Cloud de Confiance コンソールへの最初の管理者アクセス権を取得します。このガイドのすべての設定手順は、 Cloud de Confiance コンソールを使用して行います。
- ブートストラップ ID に権限を付与して、Workforce Identity 連携を構成できるようにします。
- 選択した IdP から ID 情報を取得するように Workforce Identity 連携を構成します。
- IdP の ID(自分の ID または所属するグループの ID)を使用して新しい組織管理者を作成し、ブートストラップ ID を使用せずに Cloud de Confiance by S3NSにログインして管理できるようにします。
- 新しく構成した管理者 ID でログアウトしてから再度ログインします。
ブートストラップ ID でログインする
ブートストラップ ID を使用して Cloud de Confiance にログインします。
- ブートストラップ ID に記載されている手順に沿って Cloud de Confianceにログインします。これで、 Cloud de Confiance コンソールにアクセスして、このガイドの残りの手順を完了できるようになりました。
ブートストラップ ID に権限を付与する
デフォルトでは、ブートストラップ ID は組織の管理者ですが、他の権限はありません。Workforce Identity 連携を構成するためにこの ID に必要な権限を付与するには、次の操作を行います。
- Cloud de Confiance コンソールで、[IAM と管理] ページに移動します。 [IAM と管理] ページには、組織のすべての権限と、権限が付与されている ID(プリンシパル)が表示されます。組織管理者ロールを持つプリンシパルは 1 つだけ(ブートストラップ ID)表示されます。
- ID の横にある [プリンシパルを編集します] をクリックします。
- [権限の編集] ペインで、[別のロールを追加] を選択します。
- [ロールを選択] プルダウンで、[IAM Workforce プール管理者] を検索して選択します。
- [保存] をクリックします。
ロールが ID に割り当てられるまで、数分かかることがあります。
Workforce Identity 連携を構成する
これで、ブートストラップ ID が Workforce Identity 連携の構成を承認されたため、組織に ID プロバイダを追加できます。これを行うには、まず組織全体で使用できる Workforce Identity プールを作成し、プロバイダを使用するようにプールを構成する必要があります。Workforce Identity 連携の仕組みの詳細については、Workforce Identity 連携のドキュメントをご覧ください。
- Cloud de Confiance コンソールで、[IAM] > [Workforce Identity 連携] に移動します。 新しい Workforce Identity プールを作成するよう求められます。
- Workforce Identity 連携を構成するのコンソールの手順に沿って、Workforce Identity プールと IdP を追加します。選択した IdP に応じて、一般的な IdP(Microsoft Entra ID、Okta など)のプロバイダ固有のガイドをご覧ください。
次の例に示すように、プロバイダの設定時にオプションの google.posix_username 属性マッピングを設定する必要があります。これは、SSH が機能するためにこの属性マッピングが必要であるためです。
google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']
組織管理者を設定する
次に、構成した IdP の ID(既存のユーザー ID など)を使用して、新しい組織管理者を指定する必要があります。また、この ID に Workforce Identity 連携を管理する権限も付与する必要があります。これで、ブートストラップ ID を使用して Cloud de Confianceにログインして管理する必要がなくなります。
新しい組織管理者を設定するには:
- Cloud de Confiance コンソールで、メインの [IAM と管理] ページに戻ります。
- [アクセス権を付与] をクリックして、新しいプリンシパルを追加します。
[新しいプリンシパル] フィールドに、次の形式でユーザー ID を指定します。
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME次のように置き換えます。
POOL_ID: Workforce Identity プールの一意の ID。USERNAME: ユーザー ID。
単一のユーザーではなくグループを指定する場合は、次の形式を使用します。
principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL[ロール] プルダウンで、[組織管理者] を検索して選択します。
[別のロールを追加] をクリックします。
[ロール] プルダウンで、[IAM Workforce プール管理者] を検索して選択します。
[保存] をクリックします。
IAM プリンシパルとして表すことができる IdP 内のさまざまなタイプのエンティティとグループについて詳しくは、プリンシパル ID をご覧ください。
管理者 ID でログインする
最後に、 Cloud de Confianceからログアウトし、IdP で新しく構成した管理者 ID を使用して再度ログインします。
次のステップ
管理者 ID を使用して Google Cloud CLI を設定する。この CLI を使用して、組織を設定するの他の設定手順を確認し、コマンドラインから他の一般的なタスクを実行します。手順については、 Cloud de Confiance用に Google Cloud CLI を設定するをご覧ください。
組織の設定を続行する。