Configurar um provedor de identidade

Uma primeira etapa importante na configuração do Cloud de Confiance by S3NS é configurar um provedor de identidade (IdP) para que os membros da sua organização possam fazer login no Cloud de Confiancee sejam autorizados a usar serviços e recursos com o IAM. No Cloud de Confiance, você traz seu próprio provedor de identidade usando a Federação de identidade de colaboradores, que permite continuar usando IDs de usuário e grupos existentes, se necessário. É possível usar a federação de identidade da força de trabalho com qualquer IdP compatível com o OpenID Connect (OIDC) ou o SAML 2.0, incluindo o ID do Microsoft Entra, os Serviços de Federação do Active Directory (AD FS) e o Okta.

Esta página é destinada a administradores que precisam configurar um provedor de identidade para uma nova organização no Cloud de Confiance, incluindo a configuração de uma função de administrador da organização.

Se a sua organização já tiver o provedor de identidade configurado (com você como administrador da organização) e você só precisar configurar novos projetos, redes e outros recursos para os usuários, pule este guia e acesse Configurar sua organização. Para outros usuários que precisam começar, incluindo desenvolvedores e outros profissionais técnicos, consulte Começar a usar o Cloud de Confiance.

Antes de ler este guia, faça o seguinte:

  • Entenda os conceitos básicos descritos na visão geral doCloud de Confiance, incluindo organizações e projetos. Cloud de ConfianceCloud de Confiance

  • Entenda o fluxo geral de configuração da organização em Começar a usar o Cloud de Confiance.

Antes de começar

Antes de configurar uma nova organização Cloud de Confiance by S3NS pela primeira vez, você recebe um ID temporário de um IdP Cloud de Confiance especial, conhecido como ID de bootstrap, além de instruções para fazer login. Você precisa desse ID para concluir as etapas de configuração neste guia.

Visão geral do procedimento

Estas são as principais etapas envolvidas na configuração do IdP:

  1. Faça login com seu ID de bootstrap para ter acesso inicial de administrador ao Cloud de Confiance by S3NS e ao console Cloud de Confiance . Você vai realizar todas as etapas de configuração neste guia usando o console Cloud de Confiance .
  2. Conceda permissões ao seu ID de bootstrap para configurar a federação de identidade de colaboradores.
  3. Configure a federação de identidade de colaboradores para receber informações de identidade dos IdPs escolhidos.
  4. Crie um administrador da organização com um ID do seu IdP (seu ou de um grupo a que você pertence) para fazer login e gerenciar Cloud de Confiance by S3NS sem usar seu ID de bootstrap.
  5. Saia e faça login de novo com o ID de administrador recém-configurado.

Faça login com seu ID de bootstrap

Faça login em Cloud de Confiance com seu ID de bootstrap:

  • Siga as instruções fornecidas com seu ID de bootstrap para fazer login no Cloud de Confiance. Agora você tem acesso ao console Cloud de Confiance para concluir as etapas restantes neste guia.

Conceder permissões ao seu ID de bootstrap

Por padrão, seu ID de bootstrap é o administrador da organização, mas não tem outras permissões. Para conceder as permissões necessárias a esse ID para configurar a federação de identidade da força de trabalho, faça o seguinte:

  1. No console do Cloud de Confiance , navegue até a página IAM e administrador:

    Acessar IAM e administrador

    A página IAM e administrador mostra todas as permissões da sua organização e as identidades (principais) a que elas foram concedidas. Você vai ver apenas um principal (seu ID de bootstrap) com a função de administrador da organização.
  2. Clique em Editar principal ao lado do seu ID.
  3. No painel Editar permissões, selecione Adicionar outro papel.
  4. No menu suspenso Selecionar um papel, pesquise e selecione Administrador do pool de força de trabalho do IAM.
  5. Clique em Salvar.

Talvez seja necessário aguardar alguns minutos até que a função seja atribuída ao seu ID.

Configurar a federação de identidade de colaboradores

Agora que seu ID de bootstrap está autorizado a configurar a federação de identidade de colaboradores, você pode adicionar um ou mais provedores de identidade à sua organização. Para isso, primeiro crie um pool de identidade da força de trabalho que possa ser usado em toda a organização e configure o pool para usar seus provedores. Saiba mais sobre como a federação de identidade de colaboradores funciona na documentação da federação de identidade de colaboradores.

  1. No console do Cloud de Confiance , acesse IAM > Federação de identidade da força de trabalho:

    Acessar a federação de identidade de colaboradores

    Você vai receber uma solicitação para criar um pool de identidades de colaboradores.
  2. Siga as instruções do console em Configurar a federação de identidade da força de trabalho para adicionar seu pool de identidade da força de trabalho e o IdP. Dependendo do IdP escolhido, consulte nossos guias específicos do provedor para IdPs comuns, como Microsoft Entra ID e Okta.

Você precisa definir o mapeamento de atributosgoogle.posix_username opcional ao configurar seu provedor, como no exemplo a seguir. Isso porque esse mapeamento de atributos é necessário para que o SSH funcione.

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

Definir um administrador da organização

Em seguida, especifique um novo administrador da organização usando um ID do IdP configurado (por exemplo, seu ID de usuário atual). Você também precisa conceder a esse ID permissão para gerenciar a federação de identidade de colaboradores. Depois disso, não será mais necessário usar o ID de bootstrap para fazer login e gerenciar o Cloud de Confiance.

Para definir um novo administrador da organização:

  1. No console do Cloud de Confiance , volte para a página principal IAM e administrador:

    Acessar IAM e administrador

  2. Clique em Conceder acesso para adicionar um novo principal.

  3. No campo Novo principal, especifique seu ID de usuário no seguinte formato:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME

    Substitua:

    • POOL_ID: o identificador exclusivo do pool de identidades da força de trabalho.
    • USERNAME: seu ID de usuário.

    Como alternativa, se você quiser especificar um grupo em vez de um único usuário, use o seguinte formato:

    principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL

  4. No menu suspenso Papel, pesquise e selecione Administrador da organização.

  5. Clique em Adicionar outro papel.

  6. No menu suspenso Papel, pesquise e selecione Administrador do pool da força de trabalho do IAM.

  7. Clique em Salvar.

Saiba mais sobre os diferentes tipos de entidades e grupos no seu IdP que podem ser representados como principais do IAM em Identificadores principais.

Faça login com seu ID de administrador

Por fim, saia do Cloud de Confiancee faça login de novo usando o ID de administrador recém-configurado do IdP.

A seguir

  1. Configure a Google Cloud CLI com seu ID de administrador. Você vai usá-la para verificar as outras etapas de configuração em Configurar sua organização, além de realizar muitas outras tarefas comuns na linha de comando. Para instruções, consulte Configurar a Google Cloud CLI para Cloud de Confiance.

  2. Continue para Configurar sua organização.