使用者身分

本頁面說明如何為機構中的使用者設定身分，讓他們可以存取 Google Cloud。而是討論客戶用來向應用程式驗證身分的 ID。如要瞭解如何驗證應用程式的客戶身分，請參閱 Identity Platform 說明文件，其中討論了客戶身分與存取權管理 (CIAM)。

使用者必須具備 Google Cloud可辨識的身分，才能存取 Google Cloud。您可以透過下列幾種方式設定身分識別，讓Google Cloud 能夠辨識：

• 建立 Cloud Identity 或 Google Workspace 帳戶
• 設定下列其中一種同盟身分識別策略：
  • 使用 Cloud Identity 或 Google Workspace 進行同盟
  • 員工身分聯盟

Cloud Identity 或 Google Workspace 帳戶

您可以使用 Cloud Identity 或 Google Workspace 建立代管的使用者帳戶。這些帳戶稱為「受管理帳戶」，因為您可以控管帳戶的生命週期和設定。這些帳戶的使用者可以驗證身分 Google Cloud ，並獲得授權 Google Cloud 使用資源。

Cloud Identity 和 Google Workspace 共用技術平台。這兩項產品都提供類似的功能，可管理使用者、群組和驗證。

只有 Cloud Identity 或 Google Workspace 受管理超級管理員帳戶，才能邀請擁有非受管消費者帳戶的使用者，將消費者帳戶轉移至受管理帳戶。

如要開始使用 Cloud Identity 或 Google Workspace，請按照下列步驟操作：

• 如要進一步瞭解如何使用 Cloud Identity 和 Google Workspace 為使用者建立身分，請參閱「Google for organizations」。
• 瞭解如何設定 Cloud Identity。
• 瞭解如何設定 Google Workspace。

聯合使用者身分

您可以聯合身分，讓使用者使用現有身分和憑證登入 Google 服務。在 Google Cloud中，您可以透過多種方法同盟身分。

使用 Cloud Identity 或 Google Workspace 進行同盟

使用 Cloud Identity 或 Google Workspace 聯盟身分識別時，使用者嘗試存取 Google 服務時，系統不會提示輸入密碼。您可以改為將他們重新導向外部識別資訊提供者 (IdP) 進行驗證。

如要使用這類身分聯盟，使用者必須在外部 IdP 中擁有外部身分，並在 Cloud Identity 或 Google Workspace 中擁有對應的 Google 帳戶 (通常使用相同的電子郵件地址)。如要讓這些帳戶保持同步，可以使用 Google Cloud Directory Sync (GCDS) 等工具，或使用外部授權來源佈建帳戶。舉例來說，您可以透過 Microsoft Entra ID 或 Active Directory 設定帳戶佈建。

如要進一步瞭解如何使用 Cloud Identity 或 Google Workspace 進行聯盟，請參閱「單一登入」。

員工身分聯盟

員工身分聯盟可讓您使用外部識別資訊提供者 (IdP)，透過 IAM 驗證工作團隊 (例如員工、合作夥伴和約聘人員等使用者群組) 並授權，讓使用者存取 Google Cloud 服務。使用員工身分聯盟時，您不需要像使用 Cloud Identity 的 Google Cloud Directory Sync (GCDS) 一樣，將現有 IdP 的使用者身分同步至 Google Cloud身分。員工身分聯盟擴充了 Google Cloud身分功能，支援無須同步處理的屬性型單一登入。

如要進一步瞭解員工身分聯盟，請參閱員工身分聯盟總覽。

後續步驟

• 瞭解如何使用使用者憑證向 Google API 進行驗證。
• 瞭解如何授予使用者資源存取權。