本页面介绍如何为组织中的用户配置身份,以使他们能够访问 Google Cloud,并非讨论客户用于向您的应用进行身份验证的身份。如需了解如何向您的应用验证客户的身份,请参阅 Identity Platform 文档,其中介绍了客户身份和访问权限管理 (CIAM)。
用户需要拥有 Google Cloud 可以识别的身份才能访问 Google Cloud。您可以通过多种方式配置身份,以便 Google Cloud 能够识别这些身份:
- 创建 Cloud Identity 或 Google Workspace 账号
- 设置以下联合身份策略之一:
Cloud Identity 或 Google Workspace 账号
您可以使用 Cloud Identity 或 Google Workspace 创建受管理的用户账号。这些账号称为受管账号,因为您可以控制其生命周期和配置。拥有这些账号的用户可以向 Google Cloud 进行身份验证,并获得使用 Google Cloud 资源的授权。
Cloud Identity 和 Google Workspace 共用一个技术平台。这两种产品都提供类似的功能来管理用户、群组和身份验证。
只有 Cloud Identity 或 Google Workspace 管理的超级用户账号可以邀请使用非受管消费者账号的用户将其消费者账号转换为受管理的账号。
如需开始使用 Cloud Identity 或 Google Workspace,您可以执行以下操作:
- 如需详细了解如何使用 Cloud Identity 和 Google Workspace 为用户创建身份,请参阅面向组织的 Google。
- 了解如何设置 Cloud Identity。
- 了解如何设置 Google Workspace。
联合用户身份
您可以联合身份,让用户使用现有的身份和凭据登录 Google 服务。您可以通过多种方法在 Google Cloud 中进行身份联合。
使用 Cloud Identity 或 Google Workspace 进行联合
将身份与 Cloud Identity 或 Google Workspace 联合后,当用户尝试访问 Google 服务时,系统将不会提示他们输入密码。您可以将他们重定向到外部身份提供方 (IdP) 进行身份验证。
如需使用此类身份联合,用户必须拥有外部 IdP 的外部身份以及 Cloud Identity 或 Google Workspace 的相应 Google 账号(通常具有相同的电子邮件地址)。您可以使用 Google Cloud Directory Sync (GCDS) 等工具或使用外部权威来源预配账号,以保持这些账号的同步。例如,您可以使用 Microsoft Entra ID 或 Active Directory 设置账号预配。
如需详细了解如何使用 Cloud Identity 或 Google Workspace 进行联合,请参阅单点登录。
员工身份联合
通过员工身份联合,您可以使用外部身份提供方 (IdP) 对员工(用户群组,例如员工、合作伙伴和承包商)通过 IAM 进行身份验证和授权,以便用户能够访问 Google Cloud 服务。借助员工身份联合,您无需像使用 Cloud Identity 的 Google Cloud Directory Sync (GCDS) 一样将用户身份从现有 IdP 同步到 Google Cloud 身份。员工身份联合扩展了 Google Cloud 的身份功能,可支持基于属性的非同步单点登录。
如需详细了解员工身份联合,请参阅员工身份联合概览。
后续步骤
- 了解如何使用用户凭据向 Google API 进行身份验证。
- 了解如何向用户授予资源访问权限。