設定識別資訊提供者

設定 Cloud de Confiance by S3NS 的重要第一步是設定識別資訊提供者 (IdP)，讓貴機構成員可以登入 Cloud de Confiance，並獲得授權，透過 IAM 使用服務和資源。在 Cloud de Confiance中，您可以使用員工身分聯盟自備身分識別提供者，並視需要繼續使用現有的使用者 ID 和群組。您可以使用員工身分聯盟，搭配支援 OpenID Connect (OIDC) 或 SAML 2.0 的任何 IdP，包括 Microsoft Entra ID、Active Directory Federation Services (AD FS) 和 Okta。

本文適用於需要在 Cloud de Confiance中為新機構設定身分識別提供者的管理員，包括設定機構管理員角色。

如果貴機構已設定身分提供者 (您是機構管理員)，而且您只需要為使用者設定新專案、網路和其他資源，則可以略過本指南，直接前往「設定機構」。如需其他入門資源，包括開發人員和其他技術人員適用的資源，請參閱「開始使用 Cloud de Confiance」。

閱讀本指南前，請先完成下列工作：

• 瞭解 Cloud de Confiance Cloud de Confiance 總覽中說明的基本概念，包括 Cloud de Confiance 機構和專案。

• 瞭解「開始使用 Cloud de Confiance」中的整體機構設定流程。

事前準備

首次設定新機構前，系統會提供特殊 IdP 的臨時 ID (稱為 Cloud de Confiance by S3NSCloud de Confiance啟動 ID)，以及登入操作說明。您需要這組 ID，才能完成本指南中的設定步驟。

程序總覽

設定 IdP 的主要步驟如下：

1. 使用啟動 ID 登入，取得 Cloud de Confiance by S3NS和 Cloud de Confiance 控制台的初始管理員存取權。您將使用 Cloud de Confiance 控制台，完成本指南中的所有設定步驟。
2. 授予啟動 ID 權限，以便設定員工身分聯盟。
3. 設定員工身分聯盟，從所選 IdP 取得身分資訊。
4. 使用 IdP 中的 ID (您自己的 ID 或所屬群組的 ID) 建立新的機構管理員，這樣您就能登入並管理 Cloud de Confiance by S3NS，而不必使用啟動 ID。
5. 使用新設定的管理員 ID 登出並重新登入。

使用啟動 ID 登入

使用啟動程序 ID 登入 Cloud de Confiance ：

• 按照啟動 ID 隨附的操作說明登入 Cloud de Confiance。 您現在應該可以存取 Cloud de Confiance 控制台，完成本指南的其餘步驟。

授予啟動 ID 權限

根據預設，啟動程序 ID 是機構管理員，但沒有其他權限。如要授予這個 ID 必要權限來設定員工身分聯盟，請按照下列步驟操作：

1. 在 Cloud de Confiance 控制台中，前往「IAM & Admin」(IAM 與管理) 頁面：

   前往「IAM 與管理」

   「IAM & Admin」(IAM 和管理) 頁面會顯示機構的所有權限，以及已授予權限的身分 (主體)。您應該只會看到一個主體 (您的啟動程序 ID) 具有機構管理員角色。
2. 按一下 ID 旁的「編輯主體」圖示 edit。
3. 在「編輯權限」窗格中，選取「新增其他角色」。
4. 在「Select a role」(選取角色) 下拉式選單中，搜尋並選取「IAM Workforce Pool Admin」(IAM Workforce Pool 管理員)。
5. 按一下 [儲存]。

系統可能需要幾分鐘，才能將角色指派給您的 ID。

設定員工身分聯盟

現在，您的啟動程序 ID 已獲得授權，可設定員工身分聯盟，因此您可以為機構新增一或多個身分識別提供者。如要這麼做，您必須先建立可在貴機構中使用的工作團隊身分集區，然後將集區設定為使用您的提供者。如要進一步瞭解員工身分聯盟的運作方式，請參閱員工身分聯盟說明文件。

1. 在 Cloud de Confiance 控制台中，依序前往「IAM」 >「Workforce Identity Federation」(員工身分聯合)：

   前往員工身分聯盟

   系統應會提示您建立新的員工身分集區。
2. 請按照「設定員工身分聯盟」中的「控制台」操作說明，新增員工身分集區和 IdP。視您選擇的 IdP 而定，您可能需要參閱常見 IdP 的供應商專屬指南，例如 Microsoft Entra ID 和 Okta。

設定供應器時，必須設定選用的 google.posix_username 屬性對應，如下例所示。這是因為 SSH 必須有這個屬性對應才能運作。

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

設定機構管理員

接著，您需要使用已設定 IdP 中的 ID (例如現有使用者 ID)，指定新的機構管理員。您也應授予這個 ID 管理員工身分聯盟的權限。完成這項操作後，您就不再需要使用啟動 ID 登入及管理 Cloud de Confiance。

如要設定新的機構管理員，請按照下列步驟操作：

1. 在 Cloud de Confiance 控制台中，返回主要的「IAM & Admin」(IAM 與管理) 頁面：

   前往「IAM 與管理」

2. 按一下「授予存取權」person_add，新增主體。

3. 在「New principal」(新增主體) 欄位中，以以下格式指定使用者 ID：

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
   

   更改下列內容：

   • POOL_ID：員工身分集區的專屬 ID。
   • USERNAME：您的使用者 ID。

   或者，如要指定群組而非單一使用者，請使用下列格式：

   principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
   

4. 在「角色」下拉式選單中，搜尋並選取「機構管理員」。

5. 按一下 [Add another role] (新增其他角色)。

6. 在「Role」(角色) 下拉式選單中，搜尋並選取「IAM Workforce Pool Admin」(IAM 工作團隊集區管理員)。

7. 按一下 [儲存]。

您可以進一步瞭解 IdP 中不同類型的實體和群組，這些實體和群組可在主體 ID 中表示為 IAM 主體。

使用管理員 ID 登入

最後，請登出 Cloud de Confiance，然後使用 IdP 中新設定的管理員 ID 重新登入。

後續步驟

1. 使用管理員 ID 設定 Google Cloud CLI：您將使用這個 ID 驗證「設定機構」中的其他設定步驟，以及從指令列執行許多其他常見工作。如需操作說明，請參閱「設定 Google Cloud CLI for Cloud de Confiance」。

2. 繼續設定機構。