Arrière-plan
La fédération d'identité du personnel vous permet d'utiliser un fournisseur d'identité (IdP) externe pour authentifier et autoriser les employés, partenaires et sous-traitants à accéder aux services Google Cloud .
Si la fédération d'identité de personnel est configurée dans votre projet, les utilisateurs d'identité externe peuvent utiliser la console Google Cloud , la Google Cloud CLI et l'API Dataproc pour accéder à la plupart des ressources et fonctionnalités Dataproc, à l'exception des suivantes :
- Passerelle des composants Dataproc
- Dataproc sur GKE
- Authentification personnelle Dataproc
- Architecture mutualisée sécurisée basée sur un compte de service Dataproc
- La section Sortie des pages "Informations sur les lots et les jobs", et la section Alertes recommandées des pages "Liste des clusters et des jobs" de la console Google Cloud .
Utiliser la fédération d'identité de personnel avec la passerelle des composants Dataproc
Configurez la fédération d'identité de personnel en suivant le guide Configurer la fédération d'identité de personnel.
Attribuez le rôle
dataproc.clusters.use
aux utilisateurs d'identité externe pour leur permettre d'accéder à la passerelle de composants Dataproc (consultez Attribuer des rôles IAM aux comptes principaux).- Pour savoir comment représenter des identités externes dans les stratégies IAM, consultez Représenter les utilisateurs de pools de personnel dans les stratégies IAM.
Créez un cluster Dataproc avec la passerelle des composants activée.
Accéder aux interfaces Web des clusters
Consultez Afficher les URL de la passerelle des composants et y accéder et notez les différences suivantes pour les utilisateurs d'identité externe :
Seuls les utilisateurs authentifiés avec des identités externes peuvent accéder à l'URL des identités externes. Si un utilisateur accède à l'URL des identités externes sans être connecté, il est redirigé vers le portail d'authentification où il indique le nom de son fournisseur de pool d'employés. Ils sont ensuite redirigés vers leur fournisseur d'identité pour se connecter. Ils sont ensuite redirigés vers l'interface Web du composant.
Les URL des identités externes se présentent au format suivant :
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
Étapes suivantes
- Créez un cluster avec des composants Dataproc.