設定識別資訊提供者

設定 Trusted Cloud by S3NS 的第一個重要步驟，就是設定身分識別資訊提供者 (IdP)，讓貴機構成員可以登入 Trusted Cloud，並授權使用 IAM 的服務和資源。在Trusted Cloud中，您可以使用Workforce Identity Federation 自訂身分識別資訊提供者，這樣一來，您就可以視需要繼續使用現有的使用者 ID 和群組。您可以將 Workforce Identity Federation 與任何支援 OpenID Connect (OIDC) 或 SAML 2.0 的 IdP 搭配使用，包括 Microsoft Entra ID、Active Directory 同盟服務 (AD FS) 和 Okta。

本文適用於需要為 Trusted Cloud中的新機構設定身分識別提供者 (包括設定機構管理員角色) 的管理員。

如果貴機構已設定身分識別提供者 (並將您設為機構管理員)，且只需要為使用者設定新專案、網路和其他資源，您可以略過本指南，直接前往「設定貴機構」。如果您是需要開始使用 Trusted Cloud的其他使用者 (包括開發人員和其他技術人員)，請參閱「開始使用 Trusted Cloud」一文。

閱讀本指南前，請先完成下列事項：

• 瞭解Trusted Cloud總覽中所述的基礎 Trusted Cloud概念，包括 Trusted Cloud機構和專案。

• 請參閱「開始使用 Trusted Cloud」一文，瞭解整體機構設定流程。

事前準備

首次設定 Trusted Cloud by S3NS機構時，您會從特殊的 Trusted CloudIdP 取得臨時 ID (稱為「啟動 ID」)，並收到登入的操作說明。您需要這組 ID 才能完成本指南中的設定步驟。

程序總覽

設定 IdP 時，請按照下列主要步驟操作：

1. 使用 Bootstrap ID 登入，即可取得 Trusted Cloud by S3NS和 Trusted Cloud 控制台的初始管理員存取權。您將使用 Trusted Cloud 控制台完成本指南中的所有設定步驟。
2. 授予 Bootstrap ID 權限，以便設定 Workforce Identity 聯盟。
3. 設定員工身分聯盟，從所選 IdP 取得身分資訊。
4. 使用 IdP 的 ID (您自己的或您所屬群組的 ID) 建立新的機構管理員，這樣您就能登入並管理 Trusted Cloud by S3NS，而無須使用啟動輔助 ID。
5. 使用新設定的管理員 ID 登出再重新登入。

使用 Bootstrap ID 登入

使用啟動輔助 ID 登入 Trusted Cloud ：

• 請按照啟動程序 ID 提供的操作說明登入 Trusted Cloud。您現在應該可以存取 Trusted Cloud 控制台，並完成本指南的其餘步驟。

授予引導程序 ID 權限

根據預設，您的 bootstrap ID 是機構的管理員，但沒有其他權限。如要將必要權限授予此 ID，以便設定 Workforce Identity Federation，請執行下列操作：

1. 在 Trusted Cloud 控制台中，前往「IAM & Admin」頁面：

   前往「IAM 與管理」

   「IAM 與管理員」頁面會顯示貴機構的所有權限，以及已授予權限的身份 (主體)。您應該只會看到一個具備「機構管理員」角色的實體 (您的 Bootstrap ID)。
2. 按一下身分證件旁的「編輯主體」圖示 edit。
3. 在「Edit permissions」(編輯權限) 窗格中，選取「Add another role」(新增其他角色)。
4. 在「Select a role」(請選擇角色) 下拉式選單中，搜尋並選取「IAM Workforce Pool Admin」(IAM 人力資源池管理員)。
5. 按一下 [儲存]。

您可能需要等待幾分鐘，系統才會將角色指派給您的 ID。

設定員工身分聯盟

由於 Bootstrap ID 已獲授權設定 Workforce Identity Federation，您可以為貴機構新增身分資訊提供者 (或多個提供者)。如要這樣做，您必須先建立可在貴機構中使用的工作團隊身分集區，然後設定集區以使用您的提供者。如要進一步瞭解員工身分聯盟的運作方式，請參閱 員工身分聯盟說明文件。

1. 在 Trusted Cloud 控制台中，依序前往「IAM」 >「Workforce Identity Federation」：

   前往「Workforce Identity Federation」

   系統會提示您建立新的員工身分集區。
2. 請按照「設定員工身分聯盟」中的控制台操作說明，新增工作團隊身分集區和 IdP。視您選擇的 IdP 而定，建議您參閱常見 IdP 的特定提供者指南，例如 Microsoft Entra ID 和 Okta。

設定供應器時，您必須設定選用的 google.posix_username 屬性對應，如以下範例所示。這是因為 SSH 需要這項屬性對應才能運作。

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

設定機構管理員

接下來，您需要使用已設定的 IdP 中的 ID (例如現有的使用者 ID)，指定新的機構管理員。您也應授予此 ID 管理 Workforce Identity Federation 的權限。完成後，您就不需要再使用 Bootstrap ID 登入及管理 Trusted Cloud。

如要設定新的機構管理員，請按照下列步驟操作：

1. 在 Trusted Cloud 控制台中，返回「IAM & Admin」頁面：

   前往「IAM 與管理」

2. 按一下 person_add「授予存取權」，即可新增主體。

3. 在「New principal」欄位中，使用以下格式指定使用者 ID：

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   更改下列內容：

   • POOL_ID：工作負載身分池的專屬 ID。
   • USERNAME：您的使用者 ID。

   或者，如果您想指定群組而非單一使用者，請使用下列格式：

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. 在「角色」下拉式選單中，搜尋並選取「機構管理員」。

5. 按一下 [Add another role] (新增其他角色)。

6. 在「角色」下拉式選單中，搜尋並選取「IAM 工作團隊集區管理員」。

7. 按一下 [儲存]。

如要進一步瞭解 IdP 中可做為 IAM 主體的不同類型實體和群組，請參閱「主體 ID」一文。

使用管理員 ID 登入

最後，請登出 Trusted Cloud，然後使用 IdP 中新設定的管理員 ID 登入。

後續步驟

1. 使用管理員 ID 設定 Google Cloud CLI：您將使用這個 ID 驗證「設定貴機構」中的其他設定步驟，以及透過指令列執行許多其他常見工作。如需操作說明，請參閱「為 Trusted Cloud設定 Google Cloud CLI」。

2. 繼續設定機構。