Hintergrund
Die Mitarbeiteridentitätsföderation ermöglicht Sie verwenden einen externen Identitätsanbieter (Identity Provider, IdP) zur Authentifizierung und Autorisierung Mitarbeitern, Partnern und Auftragnehmern zu Google Cloud-Diensten zur Verfügung stehen.
Wenn die Mitarbeiteridentitätsföderation ist in Ihrem Projekt konfiguriert, externe Identitätsnutzer können die Google Cloud Console, die Google Cloud CLI, und die Dataproc API, um auf die meisten Dataproc- Ressourcen und Funktionen mit Ausnahme der folgenden:
- Dataproc-Komponentengateway
- Dataproc in GKE
- Persönliche Dataproc-Authentifizierung
- Dataproc-Dienstkonto – sichere Mehrmandantenfähigkeit
- Im Bereich Ausgabe auf den Seiten "Batch" und "Jobdetails" sowie im Bereich Empfohlene Benachrichtigungen auf den Cluster- und Joblistenseiten in der Google Cloud Console.
So verwenden Sie Mitarbeiter, um die Föderation mit dem Dataproc Component Gateway zu identifizieren
Konfigurieren Sie die Identifizierung der Mitarbeiterföderation folgendermaßen: Mitarbeiteridentitätsföderation konfigurieren .
Externen Identitätsnutzern die folgenden Berechtigungen gewähren:
dataproc.clusters.use
Rolle, um den Zugriff auf Dataproc Component Gateway zu gewähren (siehe Hauptkonten IAM-Rollen gewähren)- Anleitungen zum Darstellen externer Identitäten in IAM Richtlinien finden Sie unter Personalpoolnutzer in IAM repräsentieren Richtlinien.
Dataproc-Cluster mit aktiviertem Component Gateway erstellen
Auf Weboberflächen von Clustern zugreifen
Weitere Informationen finden Sie unter Component Gateway-URLs ansehen und auf diese zugreifen. Beachten Sie die folgenden Unterschiede für externe Identitätsnutzer:
Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL zugreifen für externe Identitäten. Wenn ein Nutzer die URL für externe Identitäten aufruft, während nicht angemeldet sind, werden sie zum Authentifizierungsportal weitergeleitet, und geben den Namen des Personalpools an. Als Nächstes werden sie Identitätsanbieter, um sich anzumelden. Dann werden sie zur Komponente .
URLs externer Identitäten haben folgendes Format:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
Weitere Informationen
- Erstellen Sie einen Cluster mit Dataproc-Komponenten.