Contexto
A federação de identidade da força de trabalho permite usar um provedor de identidade externo (IdP) para autenticar e autorizar colaboradores, parceiros e prestadores de serviços da força de trabalho a acessar os serviços do Google Cloud.
Se a federação de identidade de colaboradores for configuradas no seu projeto, os usuários com identidade externa podem usar o console do Google Cloud, a Google Cloud CLI e a API Dataproc para acessar a maioria dos dados recursos e funcionalidades, exceto:
- Gateway de componentes do Dataproc
- Dataproc no GKE
- Autenticação pessoal do Dataproc
- Multilocação segura com base na conta de serviço do Dataproc
- A seção Saída nas páginas "Lote" e "Detalhes do job" e a seção Alertas recomendados nas páginas "Cluster" e "Lista de jobs" no console do Google Cloud.
Como usar a federação de identidade de colaboradores com o Gateway de componentes do Dataproc
Configure a federação de identidade de colaboradores seguindo o guia Configurar a federação de identidade de colaboradores.
Conceda aos usuários de identidade externa o papel
dataproc.clusters.use
para permitir o acesso ao gateway de componentes do Dataproc. Consulte Conceder papéis do IAM a principais.- Para instruções sobre como representar identidades externas em políticas do IAM, consulte Representar usuários do pool de força de trabalho nas políticas do IAM.
Crie um cluster do Dataproc com o Gateway de componentes ativado.
Acessar as interfaces da Web do cluster
Consulte Como visualizar e acessar URLs do Gateway de componentes e observe as seguintes diferenças para usuários com identidade externa:
Somente usuários autenticados com identidades externas podem acessar o URL para identidades externas. Se um usuário acessar o URL de identidades externas sem fazer login, ele será redirecionado para o portal de autenticação, em que especifica o nome do provedor do pool de funcionários. Em seguida, eles são redirecionados para o provedor de identidade para fazer login. Em seguida, eles são redirecionados para a interface da Web do componente.
Os URLs de identidades externas têm o seguinte formato:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
A seguir
- Crie um cluster com componentes Dataproc.