此页面由 Cloud Translation API 翻译。

关联现有身份提供方

本页面介绍了如何将 Google Distributed Cloud (GDC) 空气隔离设备连接到组织的现有身份提供方 (IdP)。IdP 是一种可集中管理和保护用户身份并提供身份验证服务的系统。连接到现有 IdP 后，用户可以使用其组织凭据访问 GDC，而无需在 GDC 中创建或管理单独的账号。此流程可确保顺畅安全的登录体验。由于 IdP 是全球性资源，因此无论用户在哪个地区工作，都可以通过同一 IdP 访问 GDC。

在设置初始身份提供方并将其连接到身份提供方后，您可以使用 GDC 控制台连接其他现有身份提供方。

您可以使用以下方法之一连接到现有身份提供商：

OpenID Connect (OIDC)
安全断言标记语言 (SAML)

准备工作

如需获得连接现有身份提供方所需的权限，请让您的组织 IAM 管理员为您授予组织 IAM 管理员角色。您在连接身份提供方时指定的初始管理员还必须具有组织 IAM 管理员角色。

连接到现有身份提供方

如需连接身份提供方，您必须拥有身份提供方提供的单一客户端 ID 和密钥。您可以使用控制台连接到现有的 OIDC 或 SAML 提供方。

连接到现有 OIDC 提供方

登录 GDC 控制台。以下示例展示了登录名为 org-1 的组织后的控制台：
在导航菜单中，依次点击身份和访问权限 > 身份。
点击设置新的身份提供方。
在配置身份提供方部分中，完成以下步骤，然后点击下一步：
1. 在身份提供方列表中，选择 OpenID Connect (OIDC)。
2. 输入身份提供商名称。
3. 在 Google Distributed Cloud 网址字段中，输入您用于访问 GDC 的网址。
4. 在颁发者 URI 字段中，输入用于向您的身份提供方发送授权请求的网址。Kubernetes API 服务器使用此网址来发现用于验证令牌的公钥。该网址必须使用 HTTPS。
5. 在客户端 ID 字段中，输入向身份提供方发出身份验证请求的客户端应用的 ID。
  1. 在客户端密钥部分中，选择配置客户端密钥（推荐）。
  2. 在客户端密钥字段中，输入客户端密钥，该密钥是身份提供商与 GDC 隔离设备之间的共享密钥。
6. 可选：在前缀字段中，输入前缀。前缀是身份提供方前缀字段，请输入前缀。前缀会添加到用户声明和群组声明的开头。前缀用于区分不同的身份提供商配置。例如，如果您设置的前缀为 myidp，则用户声明可能是 myidpusername@example.com，群组声明可能是 myidpgroup@example.com。将基于角色的访问权限控制 (RBAC) 权限分配给群组时，还必须包含前缀。
  
  注意： GDC 空气隔离设备不会在前缀和组名称之间插入分隔符。在前缀末尾插入短划线 (-) 或冒号 (:) 等分隔符，以提高可读性。否则，prefix 和 kiran@example.com 会被识别为 prefixkiran@example.com。
7. 可选：在加密部分中，选择启用加密令牌。
  
  如需启用加密令牌，您必须具有 IdP 联合身份验证管理员角色。请让您的组织 IAM 管理员向您授予 IdP Federation Admin (idp-federation-admin) 角色。
  1. 在密钥 ID 字段中，输入您的密钥 ID。密钥 ID 是 JSON Web 加密令牌 (JWT) 的公钥。您的 OIDC 提供商会设置并预配密钥 ID。
  2. 在解密密钥字段中，输入 PEM 格式的解密密钥。解密密钥是一种非对称密钥，用于解密加密内容。您的 OIDC 提供商设置并预配解密密钥。
在配置属性部分，完成以下步骤，然后点击下一步：
1. 在 OIDC 提供方的证书授权机构字段中，输入身份提供方的 base64 编码的 PEM 编码证书。如需了解详情，请参阅 https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail。
  1. 如需创建字符串，请将证书（包括标头）进行 base64 编码。
  2. 将生成的字符串作为单独的一行添加到中。示例：LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
2. 在群组声明字段中，输入身份提供方令牌中包含用户群组信息的声明的名称。
3. 在用户声明字段中，输入用于标识每个用户的声明。许多提供商的默认声明是 sub。您可以选择其他声明，例如 email 或 name，具体取决于身份提供方。email 以外的声明会以颁发者网址作为前缀，以防止命名冲突。
4. 可选：如果您的身份提供方使用 GKE Identity Service，请在“自定义属性”部分中点击添加，然后输入有关用户的其他声明的键值对，例如用户的部门或个人资料照片网址。
5. 如果您的身份提供方需要其他范围，请在范围字段中输入以英文逗号分隔的范围，以发送给身份提供方。例如，Microsoft Azure 和 Okta 需要 offline_access 范围。
6. 在额外参数部分中，输入身份提供商所需的任何其他键值对（以英文逗号分隔）。如果您要向群组授权，请传入 resource=token-groups-claim。如果您的授权服务器提示是否同意使用 Microsoft Azure 和 Okta 进行身份验证，请设置 prompt=consent。对于 Cloud Identity，请设置 prompt=consent,access_type=offline。
在指定初始管理员部分，完成以下步骤，然后点击下一步：
1. 选择是将单个用户还是群组添加为初始管理员。
2. 在用户名或群组别名字段中，输入用户或群组电子邮件地址以访问组织。如果您是管理员，请输入您的电子邮件地址，例如 sally@example.com。前缀会添加到用户名前面，例如 myidp-sally@example.com。
检查您的选择，然后点击设置。

新的身份提供方配置文件会显示在“身份配置文件”列表中。

连接到现有 SAML 提供商

登录 GDC 控制台。
在导航菜单中，依次点击身份和访问权限 > 身份。
在配置身份提供方部分中，完成以下步骤，然后点击下一步：
1. 在身份提供方下拉菜单中，选择安全断言标记语言 (SAML)。
2. 输入身份提供商名称。
3. 在身份 ID 字段中，输入向身份提供方发出身份验证请求的客户端应用的 ID。
4. 在 SSO URI 字段中，输入提供方的单点登录端点的网址。例如：https://www.idp.com/saml/sso。
5. 在身份提供方前缀字段中，输入一个前缀。前缀会添加到用户和群组声明的开头。前缀用于区分不同的身份提供商配置。例如：如果您设置的前缀为 myidp，则用户声明可能会显示为 myidpusername@example.com，群组声明可能会显示为 myidpgroup@example.com。为群组分配 RBAC 权限时，还必须包含前缀。
  
  注意： GDC 空气隔离设备不会在前缀和组名称之间插入分隔符。在前缀末尾插入分隔符（例如 - 或 :）以提高可读性。否则，prefix 和 kiran@example.com 会被识别为 prefixkiran@example.com。
6. 可选：在 SAML Assertions（SAML 断言）部分，选择 Enable encrypted SAML assertions（启用加密的 SAML 断言）。
  
  如需启用加密的 SAML 断言，您必须拥有 IdP 联合管理员角色。请让您的组织 IAM 管理员向您授予 IdP Federation Admin (idp-federation-admin) 角色。
  1. 在加密证书字段中，输入 PEM 格式的加密证书。生成 SAML 提供商后，您会收到加密证书。
  2. 在解密密钥字段中，输入您的解密密钥。生成 SAML 提供商后，您会收到解密密钥。
7. 可选：在 SAML Signed requests（SAML 签名请求）部分，勾选 Enable signed SAML requests（启用已签名的 SAML 请求）。
  1. 在签名证书字段中，以 PEM 文件格式输入您的签名证书。您的 SAML 提供商会设置并为您生成签名证书。
  2. 在签名密钥字段中，输入 PEM 文件格式的签名密钥。您的 SAML 提供商会设置并为您生成签名密钥。
在配置属性页面中，完成以下步骤，然后点击下一步：
1. 在 IDP certificate（IDP 证书）字段中，输入身份提供方的 base64 编码的 PEM 编码证书。如需了解详情，请参阅 https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail。
  1. 如需创建字符串，请将证书（包括标头）进行 base64 编码。
  2. 将生成的字符串作为单独的一行添加到中。例如：LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==。
2. 在其他 IDP 证书字段中输入任何其他证书。
3. 在用户属性字段中，输入用于标识每个用户的属性。许多提供商的默认属性是 sub。您可以选择其他属性，例如 email 或 name，具体取决于身份提供方。email 以外的属性会以颁发者网址作为前缀，以防止命名冲突。
4. 在群组属性字段中，输入身份提供方令牌中包含用户群组信息的属性的名称。
5. 可选：如果您的身份提供方使用 GKE Identity Service，请在属性映射区域中点击添加，然后输入有关用户的其他属性的键值对，例如用户所在的部门或个人资料照片网址。
在指定初始管理员部分，完成以下步骤，然后点击下一步：
1. 选择是将单个用户还是群组添加为初始管理员。
2. 在用户名字段中，输入用户或群组电子邮件地址以访问组织。如果您是管理员，请输入您的电子邮件地址，例如 kiran@example.com。前缀会添加到用户名前面，例如 myidp-kiran@example.com。
在查看页面中，检查每个身份配置的所有值，然后再继续。点击返回返回到之前的页面，并进行必要的更正。根据您的规范配置完所有值后，点击设置。