Trusted Cloud by S3NS 설정의 첫 번째 중요한 단계는 조직 구성원이 Trusted Cloud에 로그인하고 IAM으로 서비스와 리소스를 사용할 수 있는 권한을 부여받을 수 있도록 ID 공급업체(IdP)를 설정하는 것입니다.Trusted Cloud에서는 직원 ID 제휴를 사용하여 자체 ID 공급업체를 가져오므로 필요한 경우 기존 사용자 ID와 그룹을 계속 사용할 수 있습니다. Microsoft Entra ID, Active Directory Federation Services(AD FS), Okta를 포함하여 OpenID Connect(OIDC) 또는 SAML 2.0을 지원하는 모든 IdP에서 직원 ID 제휴를 사용할 수 있습니다.
이 페이지는 조직 관리자 역할 구성을 포함하여 Trusted Cloud에서 새 조직의 ID 공급업체를 설정해야 하는 관리자를 위해 작성되었습니다.
조직 관리자가 이미 조직에 ID 공급업체를 설정했고 사용자를 위해 새 프로젝트, 네트워크, 기타 리소스를 설정해야만 하는 경우 이 가이드를 건너뛰고 조직 설정으로 바로 이동할 수 있습니다. 개발자 및 기타 기술 전문가를 포함하여 시작해야 하는 다른 사용자의 경우 Trusted Cloud시작하기를 참조하세요.
이 가이드를 읽기 전에 다음을 수행해야 합니다.
Trusted Cloud조직 및 프로젝트를 포함하여 Trusted Cloud개요에 설명된 기본 Trusted Cloud개념을 이해합니다.
Trusted Cloud시작하기에서 전체 조직 설정 흐름을 이해합니다.
시작하기 전에
새 Trusted Cloud by S3NS조직을 처음 구성하기 전에 부트스트랩 ID라고 하는 특수 Trusted CloudIdP의 임시 ID와 로그인 안내가 제공됩니다. 이 가이드의 설정 단계를 완료하려면 이 ID가 필요합니다.
절차 개요
IdP 설정에 다음과 같은 기본 단계가 포함됩니다.
- 부트스트랩 ID로 로그인하여 Trusted Cloud by S3NS및 Trusted Cloud 콘솔에 대한 초기 관리자 액세스 권한을 얻습니다. Trusted Cloud 콘솔을 사용하여 이 가이드의 모든 설정 단계를 수행합니다.
- 직원 ID 제휴를 구성할 수 있도록 부트스트랩 ID 권한을 부여합니다.
- 직원 ID 제휴를 구성하여 선택한 IdP에서 ID 정보를 가져옵니다.
- 부트스트랩 ID를 사용하지 않고 Trusted Cloud by S3NS에 로그인하고 관리할 수 있도록 IdP(개발자 또는 개발자가 속한 그룹)의 ID로 새로운 조직 관리자를 만듭니다.
- 새로 구성된 관리자 ID로 로그아웃했다가 다시 로그인합니다.
부트스트랩 ID로 로그인
부트스트랩 ID로 Trusted Cloud 에 로그인합니다.
- 부트스트랩 ID와 함께 제공된 안내에 따라 Trusted Cloud에 로그인합니다. 이제 이 가이드의 나머지 단계를 완료하려면 Trusted Cloud 콘솔에 액세스해야 합니다.
부트스트랩 ID에 권한 부여
부트스트랩 ID는 기본적으로 조직의 관리자이지만 다른 권한은 없습니다. 직원 ID 제휴를 구성하는 데 필요한 권한을 이 ID에 부여하려면 다음을 수행합니다.
- Trusted Cloud 콘솔에서 IAM 및 관리자 페이지로 이동합니다. IAM 및 관리자 페이지에는 조직의 모든 권한과 권한이 부여된 ID(주 구성원)가 표시됩니다. 조직 관리자 역할이 있는 주 구성원(부트스트랩 ID) 하나만 표시됩니다.
- ID 옆에 있는 주 구성원 수정 을 클릭합니다.
- 권한 수정 창에서 다른 역할 추가를 클릭합니다.
- 역할 선택 드롭다운에서 IAM 인력 풀 관리자를 검색하여 선택합니다.
- 저장을 클릭합니다.
역할이 ID에 할당될 때까지 몇 분 정도 기다려야 할 수 있습니다.
직원 ID 제휴 구성
이제 부트스트랩 ID에 직원 ID 제휴를 구성할 수 있는 권한이 부여되었으므로 ID 공급업체를 조직에 추가할 수 있습니다. 이렇게 하려면 먼저 조직 전체에서 사용할 수 있는 직원 ID 풀을 만든 후 풀이 공급업체를 사용하도록 구성해야 합니다. 직원 ID 제휴 문서에서 직원 ID 제휴 작동 방식을 자세히 알아볼 수 있습니다.
- Trusted Cloud 콘솔에서 IAM > 직원 ID 제휴로 이동합니다. 새 직원 ID 풀을 만들라는 메시지가 표시됩니다.
- 직원 ID 제휴 구성의 콘솔 안내에 따라 직원 ID 풀과 IdP를 추가합니다. 선택한 IdP에 따라 일반적인 IdP(예: Microsoft Entra ID 및 Okta)에 대한 공급업체별 가이드를 살펴볼 수 있습니다.
다음 예시와 같이 공급업체를 설정할 때 선택적 google.posix_username 속성 매핑을 설정해야 합니다. SSH가 작동하려면 이 속성 매핑이 필요하기 때문입니다.
google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']
조직 관리자 설정
다음으로 구성된 IdP의 ID(예: 기존 사용자 ID)를 사용하여 새 조직 관리자를 지정해야 합니다. 또한 이 ID에 직원 ID 제휴를 관리할 수 있는 권한을 부여해야 합니다. 이렇게 하면 더 이상 부트스트랩 ID를 사용하여 Trusted Cloud에 로그인하고 관리할 필요가 없습니다.
새 조직 관리자를 설정하려면 다음 안내를 따르세요.
- Trusted Cloud 콘솔에서 기본 IAM 및 관리자 페이지로 돌아갑니다.
- 액세스 권한 부여를 클릭하여 새 주 구성원을 추가합니다.
새 주 구성원 필드에 사용자 ID를 다음 형식으로 지정합니다.
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME다음을 바꿉니다.
POOL_ID: 워크로드 아이덴티티 풀의 고유 식별자USERNAME: 사용자 ID
또는 단일 사용자 대신 그룹을 지정하려면 다음 형식을 사용합니다.
principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL역할 드롭다운에서 조직 관리자를 검색하여 선택합니다.
다른 역할 추가를 클릭합니다.
역할 드롭다운에서 IAM 직원 풀 관리자를 검색하여 선택합니다.
저장을 클릭합니다.
주 구성원 식별자에서 IAM 주 구성원으로 표시될 수 있는 다양한 유형의 IdP 항목과 그룹을 자세히 알아볼 수 있습니다.
관리자 ID로 로그인
마지막으로 Trusted Cloud에서 로그아웃한 후 IdP에서 새로 구성된 관리자 ID를 사용하여 다시 로그인합니다.
다음 단계
관리자 ID로 Google Cloud CLI를 설정합니다. 조직 설정의 다른 설정 단계를 확인하고 명령줄에서 다른 여러 일반적인 태스크를 수행하는 데 사용합니다. 자세한 내용은 Trusted Cloud용 Google Cloud CLI 설정을 참조하세요.
조직 설정을 계속 진행합니다.