背景
借助员工身份联合,您可以使用外部身份提供方 (IdP) 对员工、合作伙伴和承包商进行身份验证和授权,以便他们访问 Google Cloud 服务。
如果在项目中配置了员工身份联合,外部身份用户可以使用 Google Cloud 控制台、Google Cloud CLI 和 Dataproc API 访问大多数 Dataproc 资源和功能,但以下功能除外:
- Dataproc 组件网关
- Dataproc on GKE
- Dataproc 个人身份验证
- 基于 Dataproc 服务账号的安全多租户
- Google Cloud 控制台中的“批处理”和“作业详细信息”页面的输出部分,以及“集群”和“作业列表”页面的建议的提醒部分。
将员工身份联合与 Dataproc 组件网关搭配使用
按照配置员工身份联合指南进行配置。
向外部身份用户授予
dataproc.clusters.use角色,以允许其访问 Dataproc 组件网关(请参阅向主账号授予 IAM 角色)。- 如需了解如何在 IAM 政策中表示外部身份,请参阅在 IAM 政策中表示员工身份池用户。
访问集群的网页界面
请参阅查看和访问组件网关网址,并注意外部身份用户的以下差异:
只有经过外部身份验证的用户才能访问外部身份的网址。如果用户在未登录的情况下访问外部身份网址,系统会将其重定向到身份验证门户,用户可以在其中指定其员工池提供方名称。接下来,系统会将用户重定向到其身份提供方进行登录。然后,系统会将其重定向到组件网页界面。
外部身份网址的格式如下:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
后续步骤
- 创建一个使用 Dataproc 组件的集群。