Panduan ini memberikan informasi tentang cara mendapatkan dan mengelola organisasi mandiri dalam Cloud de Confiance by S3NS.
Resource organisasi berfungsi sebagai node root hierarki resource Anda. Cloud de ConfianceDalam sebagian besar situasi, pembuatan organisasi mengharuskan Anda menjadi administrator super Cloud Identity dan menghubungkan Cloud de Confiance organisasi ke domain DNS.
Dengan organisasi mandiri, Anda tidak memerlukan Cloud Identity. Saat Anda mendaftar dan memberikan alamat email Google, organisasi mandiri akan otomatis dibuat untuk Anda. Cloud de Confiance Sebagai pemilik akun, Anda juga mendapatkan peran Pemilik Organisasi. Kemudian, Anda dapat menggunakan halaman Detail organisasi untuk mengelola akses kepemilikan bagi pengguna lain.
Organisasi mandiri menawarkan manfaat berikut:
- Kemampuan untuk menambahkan pengguna dengan identitas gabungan sebagai pemilik organisasi.
- Kemampuan untuk mendukung beberapa organisasi dalam menguji berbagai fitur.
- Kemampuan untuk mendukung beberapa pemilik organisasi guna menghindari titik tunggal kegagalan jika karyawan keluar.
Tabel berikut menguraikan perbedaan antara organisasi Cloud Identity dan organisasi mandiri.
| Kemampuan | Organisasi Cloud Identity | Organisasi Mandiri |
|---|---|---|
| Fundamental | ||
| Memerlukan Cloud Identity | Ya | Tidak |
| Daftar | ||
| Identitas yang diperlukan untuk mendaftar | 2 | 1 |
| Memerlukan verifikasi Domain/DNS | Ya | Tidak |
| Kepemilikan | ||
| Kepemilikan admin super yang tidak dapat dibatalkan | Ya | Tidak |
| Cloud Identity sebagai Pemilik Organisasi | Ya | Ya |
| Identitas gabungan sebagai Pemilik Organisasi | Tidak mungkin | Ya |
| Akun Google sebagai Pemilik Organisasi | Tidak Mungkin | Ya |
| Lifecycle | ||
| Mengubah pemilik organisasi | Tidak mungkin | Ya |
| Hapus organisasi | Tidak dalam isolasi | Ya |
| Memulihkan organisasi yang dihapus | Tidak mungkin | Ya |
| Mengubah nama tampilan | Tidak mungkin | Ya |
| Tata kelola | ||
| Tentukan kebijakan batas akses utama (PAB) untuk membatasi pengguna | Ya | Ya |
Sebelum memulai
Sebelum memulai, tinjau hal berikut:
- Pahami resource organisasi.
- Pelajari cara menentukan hierarki resource untuk Cloud de Confiance by S3NS zona landing Anda.
Mengidentifikasi organisasi Anda
Organisasi mandiri Anda diidentifikasi berdasarkan nama organisasi dan ID organisasi.
Nama organisasi
Nama organisasi default dibuat dengan menggabungkan nama pengguna dengan -org.
Karakter khusus dalam nama pengguna akan diganti dengan tanda hubung. Misalnya,
jika nama pengguna adalah lara_brown, nama organisasi akan menjadi lara-brown-org.
Nama ini tidak digunakan oleh Google API mana pun. Anda dapat mengedit nama organisasi kapan saja setelah organisasi dibuat.
Pastikan nama memenuhi kriteria berikut:
- Hanya berisi huruf, angka, atau tanda hubung.
- Jangan menggunakan nama domain. Nama domain hanya dicadangkan untuk organisasi Cloud Identity dan Google Workspace.
- Tidak berisi kata-kata umum seperti 'Cloud de Confiance'.
ID Organisasi
ID organisasi adalah ID unik secara global untuk organisasi Anda. Konsol Cloud de Confiance membuat nomor ini untuk membedakan organisasi Anda dari semua organisasi lain di Cloud de Confiance. ID organisasi diformat sebagai bilangan bulat dan tidak boleh memiliki angka nol di depannya.
Jangan menyertakan informasi sensitif seperti informasi identitas pribadi (PII) atau data keamanan dalam nama organisasi atau nama resource lainnya. ID organisasi digunakan dalam nama banyak resource Cloud de Confiance lainnya. Setiap referensi ke organisasi atau resource terkait akan mengekspos ID organisasi dan nama resource.
Mendapatkan resource organisasi mandiri
Organisasi mandiri tersedia untuk semua pelanggan baru Cloud de Confiance . Setelah Anda membuat akun Cloud de Confiance , resource organisasi Anda akan dibuat secara otomatis. Hal ini terjadi saat Anda login ke konsol Cloud de Confiance dan menyetujui persyaratan. Organisasi mandiri tidak tersedia untuk akun yang sudah ada.Cloud de Confiance
Hanya satu organisasi yang dibuat per akun pengguna. Namun, Anda dapat mengundang satu pengguna untuk memiliki dan mengelola beberapa organisasi.
Saat resource organisasi dibuat, sistem akan menetapkan peran berikut kepada pemilik akun:
roles/cloudowner.admin(Pemilik Organisasi)roles/resourcemanager.organizationAdmin(Administrator Organisasi)
Untuk mengetahui informasi tentang cara menambahkan pemilik dan administrator lainnya ke organisasi Anda, lihat Menyiapkan organisasi mandiri Anda.
Mendapatkan ID organisasi Anda
Untuk mendapatkan ID organisasi organisasi mandiri Anda, Anda dapat menggunakan Cloud de Confiance konsol, Google Cloud CLI, atau Resource Manager API.
Konsol
Di konsol Cloud de Confiance , buka halaman My organizations.
Tabel ini mencantumkan organisasi Anda dan ID organisasi tersebut.
gcloud
Untuk menemukan ID resource organisasi Anda, jalankan perintah berikut:
gcloud organizations list
Perintah ini mencantumkan semua resource organisasi yang Anda miliki, dan ID resource organisasi yang sesuai.
API
Untuk menemukan ID resource organisasi Anda menggunakan Cloud Resource Manager API, gunakan metode
organizations.search(), termasuk kueri untuk domain Anda. Contoh:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
Respons berisi metadata resource organisasi yang
dimiliki oleh altostrat.com, yang mencakup ID resource organisasi.
Menyiapkan organisasi mandiri Anda
Saat membuat akun Cloud de Confiance , Anda akan otomatis mendapatkan resource organisasi mandiri. Di bagian ini, Anda akan mempelajari penyiapan awal, peran penting, dan cara mengelola izin ini dalam organisasi Anda.
Pembuat akun adalah pengguna pertama yang memiliki akses ke resource organisasi. Pengguna lain di organisasi dapat melihat resource, tetapi hanya dapat mengubahnya setelah izin yang sesuai ditetapkan.
Pemilik Organisasi dan Administrator Organisasi adalah peran utama untuk menyiapkan dan mengontrol siklus proses resource organisasi. Kedua peran ini biasanya ditetapkan kepada pengguna atau grup yang berbeda, bergantung pada struktur dan kebutuhan organisasi Anda.
Tanggung jawab Pemilik Organisasi
Peran Pemilik Organisasi memungkinkan Anda melakukan tindakan berikut:
- Menetapkan peran Administrator Organisasi kepada pengguna lain.
- Berfungsi sebagai kontak (POC) yang dituju jika terjadi masalah terkait pemulihan.
- Mengontrol siklus proses resource organisasi mandiri, seperti yang dijelaskan dalam Menghapus, memulihkan, dan mengganti nama organisasi mandiri.
Pemilik organisasi dapat berupa individu atau akun utama dalam pool tenaga kerja. Setiap organisasi mandiri harus selalu memiliki minimal satu Akun Google aktif sebagai pemilik organisasi. Akun layanan tidak dapat diundang untuk menjadi pemilik organisasi.
Tanggung jawab Administrator Organisasi
Peran Administrator Organisasi memungkinkan Anda melakukan tindakan berikut:
- Tentukan kebijakan izinkan dan tolak.
- Memberikan peran Identity and Access Management kepada pengguna lain di Cloud de Confiance.
- Lihat hierarki resource.
Mengikuti prinsip hak istimewa terendah, peran ini mencegah Anda melakukan tindakan lain, seperti membuat folder atau project. Untuk mendapatkan izin ini, Administrator Organisasi harus menetapkan peran tambahan ke akun Anda.
Memberikan peran Pemilik Organisasi kepada individu
- Login ke konsol Cloud de Confiance sebagai pemilik organisasi.
Di konsol Cloud de Confiance , buka halaman Organization details.
Di bagian Pemilik Organisasi, klik Tambahkan Pemilik Organisasi.
Masukkan alamat email kepala sekolah yang ingin Anda tambahkan sebagai pemilik. Sistem akan mengirimkan email kepada akun utama yang mengundangnya untuk menjadi pemilik organisasi. Kepala sekolah harus menerima undangan dalam waktu 30 hari untuk menjadi pemilik organisasi.
Memberi peran Pemilik Organisasi kepada pengguna di workforce identity pool
Langkah ini mengasumsikan bahwa Anda telah mengonfigurasi Workforce Identity Federation untuk organisasi Anda. Selain itu, pastikan Kontak Penting dikonfigurasi di akun Anda.
- Login ke konsol Cloud de Confiance sebagai pemilik organisasi.
Di konsol Cloud de Confiance , buka halaman Organization details.
Di bagian Pemilik Organisasi, klik Tambahkan Pemilik Organisasi.
Masukkan ID utama pengguna dalam format
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Klik Berikutnya.
Masukkan alamat email yang akan dikirimi link undangan pemilik. Cloud de Confiance mengirim email ke pengguna yang mengundangnya untuk menjadi pemilik organisasi. Untuk menjadi pemilik organisasi, pengguna harus menerima undangan dalam waktu 30 hari. Saat pengguna menerima undangan, ia akan otomatis diberi peran Administrator Organisasi.
Menghapus pemilik organisasi
Untuk menghapus pengguna dengan peran Pemilik Organisasi, ikuti langkah-langkah berikut:
- Login ke konsol Cloud de Confiance sebagai pemilik organisasi.
Di konsol Cloud de Confiance , buka halaman Organization details.
Di bagian Pemilik Organisasi, pilih prinsipal yang ingin Anda hapus.
Di kolom terakhir tabel, di bagian Tindakan, klik Tindakan lainnya di samping penerima.
Pada dialog yang muncul, klik Hapus.
Menghapus administrator organisasi
Untuk menghapus pengguna dengan peran Administrator Organisasi, ikuti langkah-langkah berikut:
Di konsol Cloud de Confiance , buka halaman IAM.
Di bagian IAM Allow, buka View by principals.
Temukan baris yang berisi akun utama yang diberi peran, lalu klik Mengedit utama di baris tersebut.
Di panel Edit izin, klik ikon hapus di samping peran Administrator Organisasi.
Klik Simpan.