Hintergrund
Mit der Workforce Identity-Föderation können Sie einen externen Identitätsanbieter (IdP) verwenden, um Mitarbeiter, Partner und Auftragnehmer zu authentifizieren und zu autorisieren, damit sie auf Google Cloud -Dienste zugreifen können.
Wenn die Workforce Identity-Föderation in Ihrem Projekt konfiguriert ist, können Nutzer mit externen Identitäten über die Google Cloud -Konsole, die Google Cloud CLI und die Dataproc API auf die meisten Dataproc-Ressourcen und -Funktionen zugreifen. Die folgenden Ausnahmen gelten:
- Dataproc Component Gateway
- Dataproc auf GKE
- Persönliche Dataproc-Authentifizierung
- Dataproc-Dienstkonto – sichere Mehrmandantenfähigkeit
- Der Abschnitt Ausgabe auf den Seiten „Batch- und Jobdetails“ und der Abschnitt Empfohlene Benachrichtigungen auf den Seiten „Cluster- und Jobliste“ in der Google Cloud -Konsole.
Workforce Identity-Föderation mit dem Dataproc Component Gateway verwenden
Konfigurieren Sie die Workforce Identity-Föderation anhand der Anleitung Workforce Identity-Föderation konfigurieren.
Weisen Sie Nutzern mit externen Identitäten die Rolle
dataproc.clusters.use
zu, um den Zugriff auf das Dataproc Component Gateway zu ermöglichen (siehe Hauptkonten IAM-Rollen zuweisen).- Eine Anleitung dazu, wie Sie externe Identitäten in IAM-Richtlinien darstellen, finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen.
Dataproc-Cluster mit aktiviertem Component Gateway erstellen.
Auf Cluster-Weboberflächen zugreifen
Weitere Informationen finden Sie unter Component Gateway-URLs ansehen und auf diese zugreifen. Beachten Sie die folgenden Unterschiede für Nutzer mit externen Identitäten:
Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL für externe Identitäten zugreifen. Wenn ein Nutzer die URL für externe Identitäten aufruft, ohne angemeldet zu sein, wird er zum Authentifizierungsportal weitergeleitet, wo er den Namen seines Workforce-Pool-Anbieters angibt. Anschließend werden sie zur Anmeldung an ihren Identitätsanbieter weitergeleitet. Anschließend werden sie zur Weboberfläche der Komponente weitergeleitet.
URLs für externe Identitäten haben das folgende Format:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
Nächste Schritte
- Erstellen Sie einen Cluster mit Dataproc-Komponenten.