本页面介绍如何为组织中的用户配置身份,以使他们能够访问 Google Cloud,不会讨论客户用于向您的应用进行身份验证的身份。如需了解如何向您的应用验证客户的身份,请参阅 Identity Platform 文档,其中讨论了客户身份和访问权限管理 (CIAM)。
为了让用户能够访问 Google Cloud,他们需要 Google Cloud 能够识别的身份。您可以通过多种方式配置身份,以便 Google Cloud 能够识别这些身份:
- 创建 Cloud Identity 或 Google Workspace 账号
- 设置以下联合身份策略之一:
Cloud Identity 或 Google Workspace 账号
您可以使用 Cloud Identity 或 Google Workspace 创建受管用户账号。这些账号称为“受管账号”,因为您可以控制其生命周期和配置。拥有这些账号的用户可以向 Google Cloud 进行身份验证并有权使用 Google Cloud 资源。
Cloud Identity 和 Google Workspace 共用一个技术平台。这两种产品都提供类似的功能来管理用户、群组和身份验证。
只有 Cloud Identity 或 Google Workspace 管理的超级用户账号可以邀请使用非受管消费者账号的用户将其消费者账号转换为受管理的账号。
如需开始使用 Cloud Identity 或 Google Workspace,您可以执行以下操作:
- 如需详细了解如何使用 Cloud Identity 和 Google Workspace 为您的用户创建身份,请参阅面向组织的 Google。
- 了解如何设置 Cloud Identity。
- 了解如何设置 Google Workspace。
联合用户身份
您可以联合身份来允许用户使用其现有身份和凭据登录 Google 服务。您可以通过多种方法在 Google Cloud 中联合身份。
使用 Cloud Identity 或 Google Workspace 进行联合
将身份与 Cloud Identity 或 Google Workspace 联合后,当用户尝试访问 Google 服务时,系统将不会提示他们输入密码。您可以将他们重定向到外部身份提供方 (IdP) 进行身份验证。
如需使用此类身份联合,用户必须拥有外部 IdP 的外部身份以及 Cloud Identity 或 Google Workspace 的相应 Google 账号(通常具有相同的电子邮件地址)。您可以使用 Google Cloud Directory Sync (GCDS) 等工具或使用外部权威来源预配账号,使这些账号保持同步。例如,您可以使用 Azure AD 或 Active Directory 设置账号预配。
如需详细了解使用 Cloud Identity 或 Google Workspace 的联合,请参阅单点登录。
员工身份联合
通过员工身份联合,您可以使用外部身份提供方 (IdP) 对员工(用户群组,例如员工、合作伙伴和承包商)通过 IAM 进行身份验证和授权,以便用户能够访问 Google Cloud 服务。借助员工身份联合,您无需像使用 Cloud Identity 的 Google Cloud Directory Sync (GCDS) 一样将用户身份从现有 IdP 同步到 Google Cloud 身份。员工身份联合扩展了 Google Cloud 的身份功能,可支持基于属性的非同步单点登录。
如需详细了解员工身份联合,请参阅员工身份联合概览。
后续步骤
- 了解使用用户凭据向 Google API 进行身份验证的方法。
- 了解如何授予用户访问资源的权限。