Cloud Composer 1 处于维护后模式。Google 无法发布 Cloud Composer 1 的进一步更新，包括新版 Airflow、问题修复和安全更新。我们建议您规划迁移到 Cloud Composer 2。

此页面由 Cloud Translation API 翻译。

访问具有员工身份联合的环境

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

本页介绍了如何配置用户对 Google Cloud 具有员工身份联合的 Cloud Composer 环境。

Cloud Composer 中的员工身份联合简介

借助员工身份联合，您可以使用外部身份提供方 (IdP) 对员工进行身份验证和授权，这是一组用户，例如员工、合作伙伴和承包商 - 使用 IAM，确保用户可以访问 Google Cloud 服务。关于员工的更多信息身份联合，请参阅员工身份联合。

如果您的项目中配置了员工身份联合，则您可以访问环境：

Google Cloud 控制台中的 Cloud Composer 页面
Airflow 界面
Google Cloud CLI，包括运行 Airflow CLI 命令
Cloud Composer API
Airflow REST API

准备工作

从以下版本开始创建的所有新 Cloud Composer 环境 2.1.11 和 Airflow 版本 2.4.3 支持员工身份联合。您无需将自己的来支持员工身份联合。

重要提示：Cloud Composer 中的员工身份联合支持不会自动为您的环境中的外部身份提供新的访问路径。只要您未通过外部身份提供方配置访问权限，并且未向外部身份授予访问权限，外部身份便无法访问您的环境。
在 Composer 2.1.11 版和 Airflow 2.4.3 版之前创建且升级到更高版本的环境不支持员工身份联合。您可以检查您的环境是否支持员工身份联合。
员工身份联合的 Cloud Storage 限制应用于环境的存储桶具体而言，您必须启用统一存储桶级访问权限。以允许外部身份上传其 DAG 复制到此存储桶中
从 Airflow 发送的电子邮件仅包含适用于 Google 账号的 Airflow 界面网址。由于外部身份只能通过外部身份的 Airflow 界面网址访问 Airflow 界面，因此必须调整链接（将其更改为外部身份的网址）。

通过员工身份联合设置对环境的访问权限

本部分介绍了为外部身份配置对 Cloud Composer 环境的访问权限的步骤。

配置身份提供商

通过以下方法为身份提供方配置员工身份联合按照配置员工身份联合指南操作。

向外部身份授予 IAM 角色

在身份和访问权限管理中，向一组外部身份授予 IAM 角色，以便它们可以访问您的环境并与之互动：

如需查看 Cloud Composer 专属角色列表，请参阅向用户授予角色。例如，Environment User and Storage Object Viewer (composer.environmentAndStorageObjectViewer) 角色允许用户查看环境、访问 Airflow 界面、从 DAG 界面查看和触发 DAG，以及查看环境存储桶中的对象。
有关向外部用户分配这些角色的说明，请参阅向主账号授予 IAM 角色。
有关在 IAM 中表示外部身份的格式政策，请参阅在 IAM 政策中代表员工池用户。

检查新用户是否在 Airflow 界面访问权限控制中收到正确的 Airflow 角色

Cloud Composer 处理外部身份的 Airflow 用户的方式与处理 Google 账号用户的方式相同。使用主要标识符，而不是电子邮件地址。当外部身份首次访问 Airflow 界面时， Airflow 用户会自动注册为基于 Airflow 角色的访问权限具有默认角色的控制系统。

检查新用户是否在以下集群中收到正确的 Airflow 角色： Airflow 界面访问权限控制。您可以采用以下两种方法：

让外部身份在首次访问 Airflow 界面后获得默认角色。如有需要，Airflow 管理员用户可以分配给另一个角色
通过添加 Airflow 用户记录并将用户名和电子邮件字段设置为其主账号标识符，预注册具有一组必需角色的外部身份。这样，外部身份会获得您分配给他们的角色，而不是默认角色。

重要提示：Airflow 界面访问权限控制仅支持单个身份的标识符格式。不支持具有特定属性的群组和身份。

检查环境是否支持员工身份联合

如需检查您的环境是否支持员工身份联合，请运行以下 Google Cloud CLI 命令。如果输出显示的是 URI，那么您的环境支持员工身份联合。

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

您需要将其中的：

ENVIRONMENT_NAME 替换为环境的名称。
LOCATION 替换为环境所在的区域。

示例：

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

访问 Google Cloud 控制台中的 Cloud Composer 页面

Google Cloud 员工身份联合控制台提供 Cloud Composer 页面的访问权限。

在 Google Cloud 员工身份联合控制台的 Composer 页面中，您可以访问用于管理环境、Cloud Composer 日志、监控和 DAG 界面的界面。

联合控制台中指向 Airflow 界面的所有链接均指向 Airflow 界面是外部身份的接入点

版本低于 2.1.11 或 Airflow 版本低于 2.4.3 的环境的 Airflow 界面链接可能会被标记为“不可用”。这表明该环境在 Airflow 界面中支持员工身份联合用户。此环境的 Airflow 界面只能使用 Google 账号访问。

访问 Airflow 界面

Cloud Composer 环境有两个 Airflow 界面网址：一个用于 Google 账号，另一个用于外部身份。外部身份必须通过外部身份的网址访问 Airflow 界面。

外部身份的网址为 https://<UNIQUE_ID>.composer.byoid.googleusercontent.com。
Google 账号的网址是 https://<UNIQUE_ID>.composer.googleusercontent.com。

注意：服务账号（您可以通过以 .iam.gserviceaccount.com 结尾的标识符来识别）也属于 Google 账号。使用 .composer.googleusercontent.com （如果您想使用 Google 服务账号使用 Airflow）。请参阅使用服务账号访问 Airflow API。

只有使用外部身份进行身份验证的用户才能访问外部身份的网址。如果用户访问外部身份的网址在未登录的情况下，系统会先将他们重定向到身份验证门户在哪里指定员工池提供方名称重定向到其身份提供方以登录重定向到环境的 Airflow 界面。

在 Google Cloud 控制台中访问 DAG 界面

DAG 界面作为联合控制台的一部分，可供外部身份用户使用。您可以使用 IAM 政策来控制访问权限。

Airflow 在具有完整员工身份的环境中基于角色的访问权限联盟支持也会被考虑在内，并且可用于限制通过设置角色，各个用户可以查看 DAG，如使用 Airflow 界面访问权限控制。

访问 Google Cloud CLI

如需通过 Google Cloud CLI 访问您的环境，外部身份必须执行以下操作：

使用外部身份通过 Google Cloud CLI 登录。
运行 gcloud composer environments 命令。

访问 Cloud Composer API

Cloud Composer API 可与外部身份搭配使用，以便通过支持的身份验证方法（如 OAuth 令牌）管理所有 Composer 环境。

Airflow REST API

Airflow REST API 可在外部身份的端点使用，并支持 OAuth 令牌等身份验证方法。

如需获取环境的外部身份端点的网址，请使用 gcloud composer environments describe 命令，如检查环境是否支持员工身份联合部分所示。