Configurar um provedor de identidade

Uma primeira etapa importante na configuração do Trusted Cloud by S3NS é configurar um provedor de identidade (IdP) para que os membros da sua organização possam fazer login no Trusted Cloude ser autorizados a usar serviços e recursos com o IAM. Em Trusted Cloud, você traz seu próprio provedor de identidade usando a Federação de identidade de colaboradores, que permite continuar usando IDs e grupos de usuários existentes, se necessário. É possível usar a federação de identidade de colaboradores com qualquer IdP compatível com o OpenID Connect (OIDC) ou o SAML 2.0, incluindo o ID do Microsoft Entra, os Serviços de Federação do Active Directory (AD FS) e o Okta.

Esta página é destinada a administradores que precisam configurar um provedor de identidade para uma nova organização no Trusted Cloud, incluindo a configuração de uma função de administrador da organização.

Se a sua organização já tiver um provedor de identidade configurado (com você como administrador da organização) e você só precisar configurar novos projetos, redes e outros recursos para os usuários, pule este guia e vá direto para Configurar sua organização. Para outros usuários que precisam começar, incluindo desenvolvedores e outros profissionais técnicos, consulte Primeiros passos com o Trusted Cloud.

Antes de ler este guia, você precisa:

• Entenda os conceitos Trusted Cloud básicos descritos na visão geral doTrusted Cloud, incluindo Trusted Cloud organizações e projetos.

• Entenda o fluxo geral de configuração da organização em Começar a usar o Trusted Cloud.

Antes de começar

Antes de configurar uma nova organização Trusted Cloud by S3NSpela primeira vez, você recebe um ID temporário de um IdP Trusted Cloudespecial, conhecido como ID de inicialização, com instruções para fazer login. Você precisa desse ID para concluir as etapas de configuração neste guia.

Visão geral do procedimento

As seguintes etapas principais estão envolvidas na configuração do IdP:

1. Faça login com seu ID de inicialização para ter acesso inicial de administrador a Trusted Cloud by S3NS e ao console Trusted Cloud . Você vai realizar todas as etapas de configuração neste guia usando o console Trusted Cloud .
2. Conceda permissões de ID de inicialização para configurar a federação de identidade de colaboradores.
3. Configure a federação de identidade de colaboradores para receber informações de identidade dos IdPs escolhidos.
4. Crie um novo administrador da organização com um ID do seu IdP (seu próprio ou de um grupo ao qual você pertence) para fazer login e gerenciar o Trusted Cloud by S3NSsem usar o ID de inicialização.
5. Sair e fazer login novamente com o ID de administrador recém-configurado.

Fazer login com seu ID de inicialização

Faça login em Trusted Cloud com seu ID de inicialização:

• Siga as instruções fornecidas com seu ID de inicialização para fazer login em Trusted Cloud. Agora você tem acesso ao console Trusted Cloud para concluir as demais etapas deste guia.

Conceder permissões ao seu ID de inicialização

O ID de inicialização é o administrador da sua organização por padrão, mas não tem outras permissões. Para conceder as permissões necessárias a esse ID para configurar a federação de identidade da força de trabalho, faça o seguinte:

1. No Trusted Cloud console, acesse a página IAM e administrador:

   Acessar IAM e administrador

   A página IAM e administrador mostra todas as permissões da sua organização e as identidades (principais) a que elas foram concedidas. Você vai encontrar apenas um principal (seu ID de inicialização) com a função de administrador da organização.
2. Clique em Editar principal edit ao lado do seu ID.
3. No painel Editar permissões, selecione Adicionar outro papel.
4. No menu suspenso Selecionar um papel, pesquise e selecione Administrador do pool de força de trabalho do IAM.
5. Clique em Salvar.

Talvez seja necessário aguardar alguns minutos até que o papel seja atribuído ao seu ID.

Configurar a federação de identidade de colaboradores

Agora que seu ID de inicialização está autorizado a configurar a federação de identidade de colaboradores, você pode adicionar um ou mais provedores de identidade à sua organização. Para fazer isso, primeiro é necessário criar um pool de identidade da força de trabalho que possa ser usado em toda a organização e, em seguida, configurar o pool para usar os provedores. Saiba mais sobre como a federação de identidade da força de trabalho funciona na documentação da federação de identidade da força de trabalho.

1. No Trusted Cloud console, acesse IAM > Federação de identidade da força de trabalho:

   Acessar a federação de identidade de colaboradores

   Você vai receber uma solicitação para criar um novo pool de identidades da força de trabalho.
2. Siga as instruções do console em Configurar a federação de identidade da força de trabalho para adicionar o pool de identidade da força de trabalho e o IdP. Dependendo do IdP escolhido, confira nossos guias específicos do provedor para IdPs comuns, como Microsoft Entra ID e Okta.

É necessário definir o mapeamento opcional de atributo google.posix_username ao configurar o provedor, como no exemplo a seguir. Isso ocorre porque esse mapeamento de atributos é necessário para que o SSH funcione.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Definir um administrador da organização

Em seguida, especifique um novo administrador da organização usando um ID do seu IdP configurado (por exemplo, o ID do usuário). Você também precisa conceder essa permissão para gerenciar a federação de identidade da força de trabalho. Depois disso, não será mais necessário usar o ID de inicialização para fazer login e gerenciar o Trusted Cloud.

Para definir um novo administrador da organização:

1. No Trusted Cloud console, volte à página principal IAM e administrador:

   Acessar IAM e administrador

2. Clique em person_add Conceder acesso para adicionar um novo principal.

3. No campo Novo principal, especifique o ID do usuário no seguinte formato:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Substitua:

   • POOL_ID: o identificador exclusivo do pool de identidade da carga de trabalho.
   • USERNAME: seu ID de usuário.

   Como alternativa, se você quiser especificar um grupo em vez de um único usuário, use o seguinte formato:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. No menu suspenso Papel, pesquise e selecione Administrador da organização.

5. Clique em Adicionar outro papel.

6. No menu suspenso Papel, pesquise e selecione Administrador do pool de força de trabalho do IAM.

7. Clique em Salvar.

Saiba mais sobre os diferentes tipos de entidades e grupos no seu IdP que podem ser representados como principais do IAM em Identificadores de principais.

Fazer login com o ID de administrador

Por fim, saia de Trusted Cloude faça login novamente usando o ID de administrador recém-configurado do IdP.

A seguir

1. Configure a CLI do Google Cloud com seu ID de administrador: você vai usá-lo para verificar as outras etapas de configuração em Configurar sua organização, além de realizar muitas outras tarefas comuns na linha de comando. Para instruções, consulte Configurar a CLI do Google Cloud para Trusted Cloud.

2. Continue em Configurar sua organização.