设置身份提供方

设置 Trusted Cloud by S3NS 的重要第一步是设置身份提供方 (IdP)，以便组织的成员可以登录 Trusted Cloud，并通过 IAM 获得使用服务和资源的授权。在Trusted Cloud中，您可以使用员工身份联合自带身份提供方，这可让您根据需要继续使用现有的用户 ID 和群组。您可以将员工身份联合与任何支持 OpenID Connect (OIDC) 或 SAML 2.0 的 IdP（包括 Microsoft Entra ID、Active Directory Federation Services [AD FS] 和 Okta）搭配使用。

本页面适用于需要在 Trusted Cloud中为新组织设置身份提供方（包括配置组织管理员角色）的管理员。

如果您的组织已设置身份提供方（您作为组织管理员），并且您只需为用户设置新的项目、网络和其他资源，则可以跳过本指南，直接前往设置组织。对于需要开始使用的其他用户（包括开发者和其他技术从业者），请参阅开始使用 Trusted Cloud。

在阅读本指南之前，您应该：

• 了解Trusted Cloud概览中介绍的基本 Trusted Cloud概念，包括 Trusted Cloud组织和项目。

• 在开始使用 Trusted Cloud中了解整个组织设置流程。

准备工作

在首次配置新的 Trusted Cloud by S3NS组织之前，您会从特殊的 Trusted CloudIdP 获得一个临时 ID（称为“引导 ID”），以及登录说明。您需要此 ID 才能完成本指南中的设置步骤。

过程概览

设置 IdP 涉及以下主要步骤：

1. 使用引导 ID 登录，以获得对 Trusted Cloud by S3NS和 Trusted Cloud 控制台的初始管理员访问权限。您将使用 Trusted Cloud 控制台完成本指南中的所有设置步骤。
2. 授予引导 ID 权限，以便您可以配置员工身份联合。
3. 配置员工身份联合，以从您选择的 IdP 获得身份信息。
4. 使用来自 IdP（您自己的 IdP 或您所属的群组）的 ID 创建新的组织管理员，以便您无需使用引导 ID 即可登录和管理 Trusted Cloud by S3NS。
5. 使用新配置的管理员 ID 退出账号，然后重新登录。

使用引导 ID 登录

使用引导 ID 登录 Trusted Cloud ：

• 按照引导 ID 提供的说明登录 Trusted Cloud。现在，您应该可以访问 Trusted Cloud 控制台，以完成本指南中的其余步骤。

向引导 ID 授予权限

默认情况下，引导 ID 是组织的管理员，但没有其他权限。如需向此 ID 授予必要的权限以配置员工身份联合，请执行以下操作：

1. 在 Trusted Cloud 控制台中，前往 IAM 和管理页面：

   前往“IAM 和管理”

   IAM 和管理页面会显示组织的所有权限，以及已授予这些权限的身份（主账号）。您应该只会看到一个具有“Organization Administrator”角色的主账号（引导 ID）。
2. 点击 ID 旁边的修改主账号 edit。
3. 在修改权限窗格中，选择添加其他角色。
4. 在选择角色下拉列表中，搜索并选择 IAM Workforce Pool Admin。
5. 点击保存。

您可能需要等待几分钟，系统才会将该角色分配给您的 ID。

配置员工身份联合

现在，您的引导 ID 已获得配置员工身份联合的授权，接下来您可以向组织添加身份提供方。为此，您首先需要创建一个可在整个组织中使用的员工身份池，然后将该池配置为使用您的提供方。如需详细了解员工身份联合的工作原理，请参阅员工身份联合文档。

1. 在 Trusted Cloud 控制台中，前往 IAM > 员工身份联合：

   前往员工身份联合

   系统应会提示您创建新的员工身份池。
2. 按照配置员工身份联合页面中的控制台说明添加您的员工身份池和 IdP。根据您选择的 IdP，您可能需要查看我们针对常见 IdP（例如 Microsoft Entra ID 和 Okta）提供的提供方特有指南。

您必须在设置提供程序时设置可选的 google.posix_username 属性映射，如以下示例所示。这是因为 SSH 需要此属性映射才能正常运行。

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

设置组织管理员

接下来，您需要使用已配置的 IdP 中的 ID（例如，您现有的用户 ID）指定新的组织管理员。您还应向此 ID 授予管理员工身份联合的权限。完成此操作后，您不再需要使用引导 ID 登录和管理 Trusted Cloud。

如需设置新的组织管理员，请执行以下操作：

1. 在 Trusted Cloud 控制台中，返回到 IAM 和管理主页面：

   前往“IAM 和管理”

2. 点击 person_add 授予访问权限以添加新的主账号。

3. 在新建主账号字段中，按以下格式指定您的用户 ID：

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   替换以下内容：

   • POOL_ID：工作负载身份池的唯一标识符。
   • USERNAME：您的用户 ID。

   或者，如果您想指定群组（而不是单个用户），请使用以下格式：

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. 在角色下拉列表中，搜索并选择 Organization Administrator。

5. 点击添加其他角色。

6. 在角色下拉列表中，搜索并选择 IAM Workforce Pool Admin。

7. 点击保存。

如需详细了解 IdP 中可表示为 IAM 主账号的不同类型的实体和群组，请参阅主账号标识符。

使用管理员 ID 登录

最后，退出 Trusted Cloud，然后使用 IdP 中新配置的管理员 ID 重新登录。

后续步骤

1. 使用管理员 ID 设置 Google Cloud CLI：您将使用该 ID 验证设置组织中的其他设置步骤，以及通过命令行执行许多其他常见任务。如需查看相关说明，请参阅为 Trusted Cloud设置 Google Cloud CLI。

2. 继续设置您的组织。