Cloud Composer 1 处于维护后模式。Google 无法发布 Cloud Composer 1 的进一步更新，包括新版 Airflow、问题修复和安全更新。我们建议您规划迁移到 Cloud Composer 2。

此页面由 Cloud Translation API 翻译。

使用员工身份联合访问环境

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

本页介绍了如何使用员工身份联合配置对 Cloud Composer 环境的用户访问权限。

Cloud Composer 中的员工身份联合简介

借助员工身份联合，您可以使用外部身份提供方 (IdP) 对员工进行身份验证和授权，这是一组用户，例如员工、合作伙伴和承包商 - 使用 IAM，确保用户可以访问 Google Cloud 服务。关于员工的更多信息身份联合，请参阅员工身份联合。

如果您的项目中配置了员工身份联合，您可以通过以下方式访问您的环境：

Google Cloud 控制台中的 Cloud Composer 页面
Airflow 界面
Google Cloud CLI，包括运行 Airflow CLI 命令
Cloud Composer API
Airflow REST API

准备工作

从版本 2.1.11 开始创建的所有新 Cloud Composer 环境以及 Airflow 2.4.3 版都支持员工身份联合。您无需以任何特定方式配置环境即可支持员工身份联合。

重要提示 ：在 Cloud Composer 不会自动提供新访问权限外部身份的路径。只要您不通过外部身份提供方配置访问权限并授予访问权限外部身份的权限，则外部身份无法访问。您的环境。
版本之前创建的环境 2.1.11 和 Airflow 版本 2.4.3 及更高版本升级到更高版本不支持员工身份联合。您可以检查您的环境是否支持员工身份联合。
员工身份联合的 Cloud Storage 限制应用于环境的存储桶具体而言，您必须在环境的存储桶上启用统一存储桶级访问权限，才能允许外部身份将其 DAG 和文件上传到此存储桶。
从 Airflow 发送的电子邮件仅包含适用于 Google 账号的 Airflow 界面网址。因为外部身份只能通过 Airflow 界面访问 Airflow 界面外部身份的网址，必须调整链接（更改为网址））。

使用员工身份联合设置对环境的访问权限

本部分介绍了为外部身份配置对 Cloud Composer 环境的访问权限的步骤。

配置身份提供商

按照配置员工身份联合指南为您的身份提供方配置员工身份联合。

向外部身份授予 IAM 角色

在 Identity and Access Management 中，向多组外部人员授予 IAM 角色，这样，他们就可以访问您的环境并与之互动：

如需查看 Cloud Composer 专用角色的列表，请参阅向用户授予角色。例如，Environment User and Storage Object Viewer (composer.environmentAndStorageObjectViewer) 角色允许用户查看环境、访问 Airflow 界面、从 DAG 界面查看和触发 DAG，以及查看环境存储桶中的对象。
如需了解如何向外部用户分配这些角色，请参阅向主体授予 IAM 角色。
如需了解在 IAM 政策中表示外部身份的格式，请参阅在 IAM 政策中表示员工池用户。

检查新用户是否在 Airflow 界面访问权限控制中获得了正确的 Airflow 角色

Cloud Composer 会处理 Cloud Composer 中外部身份的 Airflow 用户，这与对 Google 账号用户执行的操作相同。使用主要标识符，而不是电子邮件地址。当外部身份首次访问 Airflow 界面时， Airflow 用户会自动注册为基于 Airflow 角色的访问权限具有默认角色的控制系统。

检查新用户是否在以下集群中收到正确的 Airflow 角色： Airflow 界面访问权限控制。您可以采用以下两种方法：

允许外部身份在访问 Airflow 后获得默认角色非常熟悉然后，Airflow 管理员用户可以根据需要将此角色更改为其他角色。
使用集合预注册外部身份通过添加带有用户名和 email 字段设为其主账号标识符。这样，外部身份会获得您为其分配的角色，而不是默认角色。

重要提示 ：Airflow 界面访问权限控制仅支持单个身份的标识符格式。不支持具有特定属性的群组和身份。

检查环境是否支持员工身份联合

如需检查您的环境是否支持员工身份联合，请运行以下 Google Cloud CLI 命令。如果输出显示的是 URI，那么您的环境支持员工身份联合。

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

您需要将其中的：

ENVIRONMENT_NAME 替换为环境的名称。
LOCATION 替换为环境所在的区域。

示例：

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

访问 Google Cloud 控制台中的 Cloud Composer 页面

Google Cloud 员工身份联合控制台提供 Cloud Composer 页面的访问权限。

在 Google Cloud 员工身份联合控制台的 Composer 页面中，您可以访问用于管理环境、Cloud Composer 日志、监控和 DAG 界面的界面。

联合控制台中指向 Airflow 界面的所有链接均指向 Airflow 界面是外部身份的接入点

版本低于 2.1.11 或 Airflow 版本低于 2.4.3 的环境的 Airflow 界面链接可能会被标记为“不可用”。这表示此环境不支持 Airflow 界面中的员工身份联合用户。此环境的 Airflow 界面只能通过 Google 账号访问。

访问 Airflow 界面

Cloud Composer 环境有两个 Airflow 界面网址：一个用于 Google 账号，另一个用于外部身份。外部身份必须通过外部身份的网址访问 Airflow 界面。

外部身份的网址是 https://<UNIQUE_ID>.composer.byoid.googleusercontent.com。
Google 账号的网址为 https://<UNIQUE_ID>.composer.googleusercontent.com。

注意：服务账号（您可以通过以 .iam.gserviceaccount.com 结尾的标识符来识别它们）被视为 Google 账号。使用 .composer.googleusercontent.com （如果您想使用 Google 服务账号使用 Airflow）。请参阅使用服务账号访问 Airflow API。

只有使用外部身份进行了身份验证的用户才能访问该网址对外部身份进行身份验证如果用户访问外部身份的网址在未登录的情况下，系统会先将他们重定向到身份验证门户在哪里指定员工池提供方名称重定向到其身份提供方以登录重定向到环境的 Airflow 界面。

在 Google Cloud 控制台中访问 DAG 界面

DAG 界面可供外部身份用户通过联合控制台使用。您可以使用 IAM 政策来控制访问权限。

Airflow 在具有完整员工身份的环境中基于角色的访问权限联盟支持也会被考虑在内，并且可用于限制通过设置角色，各个用户可以查看 DAG，如使用 Airflow 界面访问权限控制。

访问 Google Cloud CLI

如需通过 Google Cloud CLI 访问您的环境，外部身份必须执行以下操作：

使用外部身份通过 Google Cloud CLI 登录。
运行 gcloud composer environments 命令。

访问 Cloud Composer API

Cloud Composer API 可与外部身份搭配使用，通过 OAuth 令牌等受支持的身份验证方法管理所有 Composer 环境。

Airflow REST API

Airflow REST API 可在外部身份的端点，这些对象具有受支持的 OAuth 令牌等身份验证方法。

如需获取环境的外部身份端点的网址，请使用 gcloud composer environments describe 命令，如检查环境是否支持员工身份联合部分所示。