Configure um Fornecedor de identidade

Um primeiro passo importante na configuração Cloud de Confiance by S3NS é configurar um fornecedor de identidade (IdP), para que os membros da sua organização possam iniciar sessão no Cloud de Confiancee ser autorizados a usar serviços e recursos com o IAM. No Cloud de Confiance, usa o seu próprio fornecedor de identidade através da federação de identidades da força de trabalho, que lhe permite continuar a usar os IDs dos utilizadores e os grupos existentes, se necessário. Pode usar a federação de identidades da força de trabalho com qualquer IdP que suporte o OpenID Connect (OIDC) ou o SAML 2.0, incluindo o Microsoft Entra ID, os Active Directory Federation Services (AD FS) e o Okta.

Esta página destina-se a administradores que precisam de configurar um fornecedor de identidade para uma nova organização no Cloud de Confiance, incluindo a configuração de uma função de administrador da organização.

Se a sua organização já tiver o fornecedor de identidade configurado (com a sua conta como administrador da organização) e só precisar de configurar novos projetos, redes e outros recursos para os utilizadores, pode ignorar este guia e aceder diretamente a Configurar a sua organização. Para outros utilizadores que precisam de começar, incluindo programadores e outros profissionais técnicos, consulte o artigo Comece a usar o Cloud de Confiance.

Antes de ler este guia, deve:

• Compreenda os conceitos básicos descritos na Cloud de Confiancevista geral, incluindo Cloud de Confianceorganizações e projetos. Cloud de Confiance

• Compreenda o fluxo de configuração geral da organização em Comece a usar o Cloud de Confiance.

Antes de começar

Antes de configurar uma nova Cloud de Confiance by S3NS organização pela primeira vez, é-lhe fornecido um ID temporário de um Cloud de Confiance IdP especial, conhecido como o seu ID de arranque, juntamente com instruções para iniciar sessão. Precisa deste ID para concluir os passos de configuração neste guia.

Vista geral do procedimento

Seguem-se os principais passos envolvidos na configuração do seu IdP:

1. Inicie sessão com o seu ID de arranque para obter acesso inicial de administrador à Cloud de Confiance by S3NS e à Cloud de Confiance consola. Vai fazer todos os passos de configuração neste guia através da Cloud de Confiance consola.
2. Conceda autorizações ao seu ID de arranque para poder configurar a federação de identidade da força de trabalho.
3. Configure a federação de identidade da força de trabalho para receber informações de identidade dos IdPs escolhidos.
4. Crie um novo administrador da organização com um ID do seu IdP (o seu ou um grupo ao qual pertence), para que possa iniciar sessão e gerir Cloud de Confiance by S3NS sem usar o seu ID de arranque.
5. Termine sessão e volte a iniciar sessão com o ID de administrador recém-configurado.

Inicie sessão com o seu ID de arranque

Inicie sessão em Cloud de Confiance com o seu ID de arranque:

• Siga as instruções fornecidas com o ID de arranque para iniciar sessão no Cloud de Confiance. Agora, deve ter acesso à Cloud de Confiance consola para concluir os passos restantes neste guia.

Conceda autorizações ao seu ID de arranque

Por predefinição, o seu ID de arranque é o administrador da sua organização, mas não tem outras autorizações. Para conceder as autorizações necessárias a este ID para configurar a federação de identidade da força de trabalho, faça o seguinte:

1. Na Cloud de Confiance consola, navegue para a página IAM e administração:

   Aceda a IAM e administração

   A página IAM e administração apresenta todas as autorizações da sua organização e as identidades (diretores) às quais foram concedidas. Deve ver apenas um principal (o seu ID de arranque) com a função de administrador da organização.
2. Clique em Editar principal edit junto ao seu ID.
3. No painel Editar autorizações, selecione Adicionar outra função.
4. No menu pendente Selecionar uma função, pesquise e selecione Administrador do pool de força de trabalho do IAM.
5. Clique em Guardar.

Pode ter de aguardar alguns minutos antes de a função ser atribuída ao seu ID.

Configure a federação de identidade da força de trabalho

Agora que o ID de arranque está autorizado a configurar a federação de identidade da força de trabalho, pode adicionar um fornecedor de identidade (ou fornecedores) à sua organização. Para o fazer, primeiro, tem de criar um Workforce Identity Pool que possa ser usado em toda a sua organização e, em seguida, configurar o pool para usar os seus fornecedores. Pode saber mais sobre como funciona a federação de identidade da força de trabalho na documentação da federação de identidade da força de trabalho.

1. Na Cloud de Confiance consola, navegue para IAM > Federação de identidade da força de trabalho:

   Aceda à federação de identidade da força de trabalho

   Deve ser-lhe pedido que crie um novo Workload Identity Pool.
2. Siga as instruções da consola em Configure Workforce Identity Federation para adicionar o seu conjunto de identidades da força de trabalho e IdP. Consoante o IdP escolhido, pode consultar os nossos guias específicos do fornecedor para IdPs comuns, por exemplo, o Microsoft Entra ID e o Okta.

Tem de definir o atributo google.posix_username opcional de mapeamento ao configurar o seu fornecedor, como no exemplo seguinte. Isto deve-se ao facto de este mapeamento de atributos ser necessário para o SSH funcionar.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Defina um administrador organizacional

Em seguida, tem de especificar um novo administrador da organização através de um ID do IdP configurado (por exemplo, o seu ID de utilizador existente). Também deve conceder a este ID autorização para gerir a federação de identidade da força de trabalho. Depois de o fazer, já não precisa de usar o ID de arranque para iniciar sessão e gerir o Cloud de Confiance.

Para definir um novo administrador da organização:

1. Na Cloud de Confiance consola, navegue novamente para a página principal IAM e administração:

   Aceda a IAM e administração

2. Clique em person_add Conceder acesso para adicionar um novo principal.

3. No campo Novo principal, especifique o seu ID de utilizador no seguinte formato:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   Substitua o seguinte:

   • POOL_ID: o identificador exclusivo do seu conjunto de identidades de trabalhadores.
   • USERNAME: o seu ID do utilizador.

   Em alternativa, se quiser especificar um grupo em vez de um único utilizador, use o seguinte formato:

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. No menu pendente Função, pesquise e selecione Administrador da organização.

5. Clique em Adicionar outra função.

6. No menu pendente Função, pesquise e selecione Administrador do grupo de trabalhadores do IAM.

7. Clique em Guardar.

Pode saber mais acerca dos diferentes tipos de entidades e grupos no seu IdP que podem ser representados como principais do IAM em Identificadores principais.

Inicie sessão com o seu ID de administrador

Por último, termine sessão Cloud de Confiancee, em seguida, volte a iniciar sessão com o ID de administrador recém-configurado do seu IdP.

O que se segue?

1. Configure a CLI Google Cloud com o seu ID de administrador: vai usá-la para validar os outros passos de configuração em Configure a sua organização, bem como para realizar muitas outras tarefas comuns a partir da linha de comandos. Para ver instruções, consulte o artigo Configure a CLI Google Cloud para Cloud de Confiance.

2. Continue para configurar a sua organização.