設定識別資訊提供者

設定 Cloud de Confiance by S3NS 的重要第一步是設定識別資訊提供者 (IdP),讓貴機構成員可以登入 Cloud de Confiance,並透過 IAM 授權使用服務和資源。在 Cloud de Confiance中,您可以使用員工身分聯盟自備身分提供者,這樣一來,您就能視需要繼續使用現有的使用者 ID 和群組。您可以搭配支援 OpenID Connect (OIDC)SAML 2.0 的任何 IdP 使用員工身分聯盟,包括 Google Workspace、Microsoft Entra ID、Active Directory Federation Services (AD FS) 和 Okta。

本文適用於需要在 Cloud de Confiance中為新機構設定識別資訊提供者的管理員,包括設定管理員角色。

如果貴機構已設定識別資訊提供者 (您是機構管理員),而且您只需要為使用者設定新專案、網路和其他資源,則可以略過本指南,直接前往「設定機構」。如需其他入門資源,包括開發人員和其他技術人員適用的資源,請參閱「開始使用 Cloud de Confiance」。

閱讀本指南前,請先完成下列工作:

事前準備

首次設定新機構前,系統會提供特殊 IdP 的臨時 ID (稱為 Cloud de Confiance by S3NSCloud de Confiance啟動 ID),以及登入操作說明。您需要這組 ID,才能完成本指南中的設定步驟。

程序總覽

設定 IdP 的主要步驟如下:

  1. 使用啟動 ID 登入,取得 Cloud de Confiance by S3NS和 Cloud de Confiance 控制台的初始管理員存取權。您將使用 Cloud de Confiance 控制台,完成本指南中的所有設定步驟。
  2. 授予啟動 ID 權限,以便設定員工身分聯盟。
  3. 設定員工身分聯盟,從所選 IdP 取得身分資訊。
  4. 使用 IdP 中的 ID (您自己的 ID 或所屬群組的 ID) 建立新的機構管理員,這樣您就能登入並管理 Cloud de Confiance by S3NS,而不必使用啟動 ID。
  5. 使用新設定的管理員 ID 登出並重新登入

使用啟動 ID 登入

使用啟動程序 ID 登入 Cloud de Confiance :

  • 按照啟動 ID 隨附的操作說明登入 Cloud de Confiance。 您現在應該可以存取 Cloud de Confiance 控制台,完成本指南的其餘步驟。

授予啟動 ID 權限

根據預設,啟動程序 ID 是機構的系統管理員,但沒有其他權限。如要授予這個 ID 必要權限來設定員工身分聯盟,請按照下列步驟操作:

  1. 在 Cloud de Confiance 控制台中,前往「IAM & Admin」(IAM 與管理) 頁面:

    前往「IAM 與管理」

    「IAM & Admin」(IAM 和管理) 頁面會顯示機構的所有權限,以及已授予權限的身分 (主體)。您應該只會看到一個主體 (您的啟動程序 ID) 具有機構管理員角色。
  2. 按一下 ID 旁的「編輯主體」圖示
  3. 在「編輯權限」窗格中,選取「新增其他角色」
  4. 在「Select a role」(選取角色) 下拉式選單中,搜尋並選取「IAM Workforce Pool Admin」(IAM Workforce Pool 管理員)
  5. 按一下 [儲存]

系統可能需要幾分鐘,才能將角色指派給您的 ID。

設定員工身分聯盟

現在,啟動程序 ID 已獲授權可設定員工身分聯盟,您可以為貴機構新增一或多個識別資訊提供者。如要這麼做,您必須先建立可在整個機構中使用的工作團隊身分集區,然後設定集區以使用您的提供者。如要進一步瞭解員工身分聯盟的運作方式,請參閱員工身分聯盟說明文件

  1. 在 Cloud de Confiance 控制台中,依序前往「IAM」 >「Workforce Identity Federation」(員工身分聯盟)

    前往員工身分聯盟

    系統應會提示您建立新的工作團隊身分集區。
  2. 請按照「設定員工身分聯盟」中的「控制台」操作說明,新增員工身分集區和 IdP。視您選擇的 IdP 而定,您可能需要參閱常見 IdP 的供應商專屬指南,例如 Microsoft Entra IDOkta

設定供應器時,必須設定選用的 google.posix_username 屬性對應,如下例所示。這是因為 SSH 必須有這項屬性對應才能運作。

google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']

設定機構管理員

接著,您需要使用已設定 IdP 中的 ID (例如現有使用者 ID),指定新的機構管理員。您也應授予這個 ID 管理員工身分聯盟的權限。完成後,您就不再需要使用啟動 ID 登入及管理 Cloud de Confiance。

如要設定新的機構管理員,請按照下列步驟操作:

  1. 在 Cloud de Confiance 控制台中,返回主要的「IAM & Admin」(IAM 與管理) 頁面:

    前往「IAM 與管理」

  2. 按一下 授予存取權,即可新增主體。
  3. 在「New principal」(新增主體) 欄位中,以以下格式指定使用者 ID:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
    

    更改下列內容:

    • POOL_ID:員工身分集區的專屬 ID。
    • USERNAME:您的使用者 ID。

    或者,如要指定群組而非單一使用者,請使用下列格式:

    principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
    
  4. 在「角色」下拉式選單中,搜尋並選取「機構管理員」

  5. 按一下 [Add another role] (新增其他角色)

  6. 在「角色」下拉式選單中,搜尋並選取「IAM Workforce Pool Admin」(IAM 工作團隊集區管理員)

  7. 按一下 [儲存]

您可以進一步瞭解 IdP 中可做為 IAM 主體代表的各種實體和群組,請參閱「主體 ID」。

使用管理員 ID 登入

最後,請登出 Cloud de Confiance,然後使用 IdP 中新設定的管理員 ID 重新登入。

後續步驟

  1. 使用管理員 ID 設定 Google Cloud CLI:您將使用這個 ID 驗證「設定機構」中的其他設定步驟,以及從指令列執行許多其他常見工作。如需操作說明,請參閱「設定 Google Cloud CLI for Cloud de Confiance」。

  2. 如要在完成正式版設定前探索服務和教學課程,可以透過單一專案設定最少設定

  3. 準備好為使用者和團隊設定時,請參閱「設定機構」一文。