Hintergrund
Mit der Mitarbeiteridentitätsföderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Mitarbeiter, Partner und Auftragnehmer für Google Cloud-Dienste zu authentifizieren und zu autorisieren.
Wenn die Mitarbeiteridentitätsföderation in Ihrem Projekt konfiguriert ist, können externe Identitätsnutzer die Google Cloud Console, die Google Cloud CLI und die Dataproc API verwenden, um auf die meisten Dataproc-Ressourcen und -Funktionen mit Ausnahme der folgenden zuzugreifen:
- Dataproc-Komponentengateway
- Dataproc in GKE
- Dataproc Persönliche Authentifizierung
- Dataproc-Dienstkonto – sichere Mehrmandantenfähigkeit
- Der Abschnitt Ausgabe auf den Batch- und Jobdetailseiten und der Abschnitt Empfohlene Benachrichtigungen auf den Cluster- und Joblistenseiten in der Google Cloud Console.
So verwenden Sie Mitarbeiter, die eine Föderation mit dem Dataproc-Komponenten-Gateway identifizieren:
Konfigurieren Sie die Mitarbeiteridentitätsföderation gemäß der Anleitung Mitarbeiteridentitätsföderation konfigurieren.
Weisen Sie externen Identitätsnutzern die Rolle
dataproc.clusters.use
zu, um den Zugriff auf Dataproc Component Gateway zu ermöglichen (siehe Hauptkonten IAM-Rollen zuweisen).- Eine Anleitung zum Darstellen externer Identitäten in IAM-Richtlinien finden Sie unter Mitarbeiterpoolnutzer in IAM-Richtlinien darstellen.
Erstellen Sie einen Dataproc-Cluster mit aktiviertem Component Gateway.
Auf Cluster-Weboberflächen zugreifen
Weitere Informationen finden Sie unter Component Gateway-URLs ansehen und auf sie zugreifen. Beachten Sie die folgenden Unterschiede für externe Identitätsnutzer:
Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL für externe Identitäten zugreifen. Wenn ein Nutzer die URL für externe Identitäten aufruft, während er nicht angemeldet ist, wird er zum Authentifizierungsportal weitergeleitet, wo er den Namen des Personalpool-Anbieters angibt. Als Nächstes werden sie zur Anmeldung an ihren Identitätsanbieter weitergeleitet. Anschließend werden sie zur Weboberfläche der Komponente weitergeleitet.
Externe Identitäts-URLs haben das folgende Format:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
Weitere Informationen
- Erstellen Sie einen Cluster mit Dataproc-Komponenten.