設定 Trusted Cloud by S3NS 的第一個重要步驟,就是設定身分識別資訊提供者 (IdP),讓貴機構成員可以登入 Trusted Cloud,並授權使用 IAM 的服務和資源。在Trusted Cloud中,您可以使用Workforce Identity Federation 自訂身分識別資訊提供者,這樣一來,您就可以視需要繼續使用現有的使用者 ID 和群組。您可以將 Workforce Identity Federation 與任何支援 OpenID Connect (OIDC) 或 SAML 2.0 的 IdP 搭配使用,包括 Microsoft Entra ID、Active Directory 同盟服務 (AD FS) 和 Okta。
本文適用於需要為 Trusted Cloud中的新機構設定身分識別提供者 (包括設定機構管理員角色) 的管理員。
如果貴機構已設定身分識別提供者 (並將您設為機構管理員),且只需要為使用者設定新專案、網路和其他資源,您可以略過本指南,直接前往「設定貴機構」。如果您是需要開始使用 Trusted Cloud的其他使用者 (包括開發人員和其他技術人員),請參閱「開始使用 Trusted Cloud」一文。
閱讀本指南前,請先完成下列事項:
瞭解Trusted Cloud總覽中所述的基礎 Trusted Cloud概念,包括 Trusted Cloud機構和專案。
請參閱「開始使用 Trusted Cloud」一文,瞭解整體機構設定流程。
事前準備
首次設定 Trusted Cloud by S3NS機構時,您會從特殊的 Trusted CloudIdP 取得臨時 ID (稱為「啟動 ID」),並收到登入的操作說明。您需要這組 ID 才能完成本指南中的設定步驟。
程序總覽
設定 IdP 時,請按照下列主要步驟操作:
- 使用 Bootstrap ID 登入,即可取得 Trusted Cloud by S3NS和 Trusted Cloud 控制台的初始管理員存取權。您將使用 Trusted Cloud 控制台完成本指南中的所有設定步驟。
- 授予 Bootstrap ID 權限,以便設定 Workforce Identity 聯盟。
- 設定員工身分聯盟,從所選 IdP 取得身分資訊。
- 使用 IdP 的 ID (您自己的或您所屬群組的 ID) 建立新的機構管理員,這樣您就能登入並管理 Trusted Cloud by S3NS,而無須使用啟動輔助 ID。
- 使用新設定的管理員 ID 登出再重新登入。
使用 Bootstrap ID 登入
使用啟動輔助 ID 登入 Trusted Cloud :
- 請按照啟動程序 ID 提供的操作說明登入 Trusted Cloud。您現在應該可以存取 Trusted Cloud 控制台,並完成本指南的其餘步驟。
授予引導程序 ID 權限
根據預設,您的 bootstrap ID 是機構的管理員,但沒有其他權限。如要將必要權限授予此 ID,以便設定 Workforce Identity Federation,請執行下列操作:
- 在 Trusted Cloud 控制台中,前往「IAM & Admin」頁面: 「IAM 與管理員」頁面會顯示貴機構的所有權限,以及已授予權限的身份 (主體)。您應該只會看到一個具備「機構管理員」角色的實體 (您的 Bootstrap ID)。
- 按一下身分證件旁的「編輯主體」圖示 。
- 在「Edit permissions」(編輯權限) 窗格中,選取「Add another role」(新增其他角色)。
- 在「Select a role」(請選擇角色) 下拉式選單中,搜尋並選取「IAM Workforce Pool Admin」(IAM 人力資源池管理員)。
- 按一下 [儲存]。
您可能需要等待幾分鐘,系統才會將角色指派給您的 ID。
設定員工身分聯盟
由於 Bootstrap ID 已獲授權設定 Workforce Identity Federation,您可以為貴機構新增身分資訊提供者 (或多個提供者)。如要這樣做,您必須先建立可在貴機構中使用的工作團隊身分集區,然後設定集區以使用您的提供者。如要進一步瞭解員工身分聯盟的運作方式,請參閱 員工身分聯盟說明文件。
- 在 Trusted Cloud 控制台中,依序前往「IAM」 >「Workforce Identity Federation」: 系統會提示您建立新的員工身分集區。
- 請按照「設定員工身分聯盟」中的控制台操作說明,新增工作團隊身分集區和 IdP。視您選擇的 IdP 而定,建議您參閱常見 IdP 的特定提供者指南,例如 Microsoft Entra ID 和 Okta。
設定供應器時,您必須設定選用的 google.posix_username
屬性對應,如以下範例所示。這是因為 SSH 需要這項屬性對應才能運作。
google.subject = assertion.subject
google.posix_username = assertion.attributes['username']
google.groups = assertion.attributes['groups']
設定機構管理員
接下來,您需要使用已設定的 IdP 中的 ID (例如現有的使用者 ID),指定新的機構管理員。您也應授予此 ID 管理 Workforce Identity Federation 的權限。完成後,您就不需要再使用 Bootstrap ID 登入及管理 Trusted Cloud。
如要設定新的機構管理員,請按照下列步驟操作:
- 在 Trusted Cloud 控制台中,返回「IAM & Admin」頁面:
- 按一下 「授予存取權」,即可新增主體。
在「New principal」欄位中,使用以下格式指定使用者 ID:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USERNAME
更改下列內容:
POOL_ID
:工作負載身分池的專屬 ID。USERNAME
:您的使用者 ID。
或者,如果您想指定群組而非單一使用者,請使用下列格式:
principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_EMAIL
在「角色」下拉式選單中,搜尋並選取「機構管理員」。
按一下 [Add another role] (新增其他角色)。
在「角色」下拉式選單中,搜尋並選取「IAM 工作團隊集區管理員」。
按一下 [儲存]。
如要進一步瞭解 IdP 中可做為 IAM 主體的不同類型實體和群組,請參閱「主體 ID」一文。
使用管理員 ID 登入
最後,請登出 Trusted Cloud,然後使用 IdP 中新設定的管理員 ID 登入。
後續步驟
使用管理員 ID 設定 Google Cloud CLI:您將使用這個 ID 驗證「設定貴機構」中的其他設定步驟,以及透過指令列執行許多其他常見工作。如需操作說明,請參閱「為 Trusted Cloud設定 Google Cloud CLI」。
繼續設定機構。