背景
借助员工身份联合, 您使用外部身份提供方 (IdP) 进行身份验证和授权 员工、合作伙伴和承包商迁移到 Google Cloud 服务。
如果您已在项目中配置员工身份联合,外部身份用户可以使用 Google Cloud 控制台、Google Cloud CLI 和 Dataproc API 访问大多数 Dataproc 资源和功能,但以下资源和功能除外:
- Dataproc 组件网关
- GKE 上的 Dataproc
- Dataproc 个人身份验证
- 基于 Dataproc 服务账号的安全多租户
- 批处理和作业详情页面中的输出部分以及建议的提醒部分 。
如何将员工身份联合与 Dataproc 组件网关结合使用
按照配置员工身份联合指南配置员工身份联合。
向外部身份用户授予
dataproc.clusters.use角色以允许访问 Dataproc 组件网关(请参阅 向主账号授予 IAM 角色)。- 如需了解如何在 IAM 政策中表示外部身份,请参阅在 IAM 政策中表示员工池用户。
访问集群 Web 界面
请参阅查看和访问组件网关网址。 并注意外部身份用户的以下差异:
只有使用外部身份进行身份验证的用户才能访问外部身份的网址。如果用户在未登录的情况下访问外部身份的网址,则会被重定向到身份验证门户,在该门户中,用户可以指定其员工池提供方名称。接下来,系统会将用户重定向到其身份提供程序进行登录。然后,用户会被重定向到该组件 网页界面
外部身份网址采用以下格式:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
后续步骤
- 创建一个使用 Dataproc 组件的集群。