Trusted Cloud by S3NS の設定の最初の重要なステップは、組織のメンバーが Trusted Cloudにログインし、IAM でサービスとリソースを使用する権限を付与されるように、ID プロバイダ(IdP)を設定することです。Trusted Cloudでは、Workforce Identity 連携を使用して独自の ID プロバイダを持ち込みます。これにより、必要に応じて既存のユーザー ID とグループを引き続き使用できます。Workforce Identity 連携は、OpenID Connect(OIDC)や SAML 2.0 をサポートする任意の IdP(Microsoft Entra ID、Active Directory Federation Services(AD FS)、Okta など)で使用できます。
このページは、 Trusted Cloudで新しい組織の ID プロバイダを設定する必要がある管理者(組織管理者のロールの構成など)を対象としています。
組織に ID プロバイダがすでに設定されており(自身が組織管理者である)、ユーザー用に新しいプロジェクト、ネットワーク、その他のリソースを設定する必要がある場合は、このガイドをスキップして、組織を設定するに進んでください。デベロッパーやその他の技術担当者など、使用を開始する必要がある他のユーザーについては、 Trusted Cloudを使ってみるをご覧ください。
このガイドを読む前に、次のことを行ってください。
Trusted Cloud組織やプロジェクトなど、Trusted Cloudの概要で説明されている基本的な Trusted Cloudコンセプトを理解します。
Trusted Cloudを使ってみるで、組織の全体的な設定フローを理解します。
始める前に
新しい Trusted Cloud by S3NS組織を初めて構成する前に、特別な Trusted CloudIdP からの一時 ID(ブートストラップ ID)とログイン手順が提供されます。このガイドの設定手順を完了するには、この ID が必要です。
手順の概要
IdP の設定には、次の主な手順が含まれます。
- ブートストラップ ID でログインして、 Trusted Cloud by S3NSと Trusted Cloud コンソールへの最初の管理者アクセス権を取得します。このガイドのすべての設定手順は、 Trusted Cloud コンソールを使用して行います。
- ブートストラップ ID に権限を付与して、Workforce Identity 連携を構成できるようにします。
- 選択した IdP から ID 情報を取得するように Workforce Identity 連携を構成します。
- IdP の ID(自分の ID または所属するグループの ID)を使用して新しい組織管理者を作成し、ブートストラップ ID を使用せずに Trusted Cloud by S3NSにログインして管理できるようにします。
- 新しく構成した管理者 ID でログアウトしてから再度ログインします。
ブートストラップ ID でログインする
ブートストラップ ID を使用して Trusted Cloud にログインします。
- ブートストラップ ID に記載されている手順に沿って Trusted Cloudにログインします。これで、 Trusted Cloud コンソールにアクセスして、このガイドの残りの手順を完了できるようになりました。
ブートストラップ ID に権限を付与する
デフォルトでは、ブートストラップ ID は組織の管理者ですが、他の権限はありません。Workforce Identity 連携を構成するためにこの ID に必要な権限を付与するには、次の操作を行います。
- Trusted Cloud コンソールで、[IAM と管理] ページに移動します。 [IAM と管理] ページには、組織のすべての権限と、権限が付与されている ID(プリンシパル)が表示されます。組織管理者ロールを持つプリンシパルは 1 つだけ(ブートストラップ ID)表示されます。
- ID の横にある [プリンシパルを編集します] をクリックします。
- [権限の編集] ペインで、[別のロールを追加] を選択します。
- [ロールを選択] プルダウンで、[IAM Workforce プール管理者] を検索して選択します。
- [保存] をクリックします。
ロールが ID に割り当てられるまで、数分かかることがあります。
Workforce Identity 連携を構成する
これで、ブートストラップ ID が Workforce Identity 連携の構成を承認されたため、組織に ID プロバイダを追加できます。これを行うには、まず組織全体で使用できる Workforce Identity プールを作成し、プロバイダを使用するようにプールを構成する必要があります。Workforce Identity 連携の仕組みの詳細については、Workforce Identity 連携のドキュメントをご覧ください。
- Trusted Cloud コンソールで、[IAM] > [Workforce Identity 連携] に移動します。 新しい Workforce Identity プールを作成するよう求められます。
- Workforce Identity 連携を構成するのコンソールの手順に沿って、Workforce Identity プールと IdP を追加します。選択した IdP に応じて、一般的な IdP(Microsoft Entra ID、Okta など)のプロバイダ固有のガイドをご覧ください。
次の例に示すように、プロバイダの設定時にオプションの google.posix_username 属性マッピングを設定する必要があります。これは、SSH が機能するためにこの属性マッピングが必要であるためです。
google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']
組織管理者を設定する
次に、構成した IdP の ID(既存のユーザー ID など)を使用して、新しい組織管理者を指定する必要があります。また、この ID に Workforce Identity 連携を管理する権限も付与する必要があります。これで、ブートストラップ ID を使用して Trusted Cloudにログインして管理する必要がなくなります。
新しい組織管理者を設定するには:
- Trusted Cloud コンソールで、メインの [IAM と管理] ページに戻ります。
- [アクセス権を付与] をクリックして、新しいプリンシパルを追加します。
[新しいプリンシパル] フィールドに、次の形式でユーザー ID を指定します。
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME次のように置き換えます。
POOL_ID: Workload Identity プールの一意の ID。USERNAME: ユーザー ID。
単一のユーザーではなくグループを指定する場合は、次の形式を使用します。
principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL[ロール] プルダウンで、[組織管理者] を検索して選択します。
[別のロールを追加] をクリックします。
[ロール] プルダウンで、[IAM Workforce プール管理者] を検索して選択します。
[保存] をクリックします。
IAM プリンシパルとして表すことができる IdP 内のさまざまなタイプのエンティティとグループについて詳しくは、プリンシパル ID をご覧ください。
管理者 ID でログインする
最後に、 Trusted Cloudからログアウトし、IdP で新しく構成した管理者 ID を使用して再度ログインします。
次のステップ
管理者 ID を使用して Google Cloud CLI を設定する。この CLI を使用して、組織を設定するの他の設定手順を確認し、コマンドラインから他の一般的なタスクを実行します。手順については、 Trusted Cloud用に Google Cloud CLI を設定するをご覧ください。
組織の設定を続行する。