Auf dieser Seite wird beschrieben, wie Sie Identitäten für Nutzer in Ihrer Organisation konfigurieren können, damit sie auf Google Cloud zugreifen können. Die Identitäten, mit denen Ihre Kunden sich bei Ihrer Anwendung authentifizieren, werden nicht behandelt. Weitere Informationen zur Authentifizierung von Kunden bei Ihrer Anwendung finden Sie in der Identity Platform-Dokumentation. Darin wird die Identitäts- und Zugriffsverwaltung von Kunden (CIAM) erläutert.
Damit Nutzer auf Google Cloud zugreifen können, benötigen sie eine Identität, die Google Cloud erkennen kann. Es gibt mehrere Möglichkeiten, Identitäten zu konfigurieren, damit Google Cloud sie erkennen kann:
- Cloud Identity- oder Google Workspace-Konten erstellen
- Richten Sie eine der folgenden Strategien für föderierte Identitäten ein:
Cloud Identity- oder Google Workspace-Konten
Sie können Cloud Identity oder Google Workspace verwenden, um verwaltete Nutzerkonten zu erstellen. Diese Konten werden als verwaltete Konten bezeichnet, da Sie deren Lebenszyklus und Konfiguration steuern. Nutzer mit diesen Konten können sich bei Google Cloud authentifizieren und zur Verwendung von Google Cloud-Ressourcen berechtigt sein.
Cloud Identity und Google Workspace haben eine gemeinsame technische Grundlage. Beide Produkte bieten ähnliche Features zum Verwalten von Nutzern, Gruppen und Authentifizierung.
Nur von Cloud Identity oder von Google Workspace verwaltete Super Admin-Konten können Nutzer mit nicht verwalteten Privatnutzerkonten einladen, ihre Privatnutzerkonten an verwaltete Konten zu übertragen.
Für den Einstieg in Cloud Identity oder Google Workspace haben Sie folgende Möglichkeiten:
- Weitere Informationen zur Erstellung von Identitäten für Ihre Nutzer mit Cloud Identity und Google Workspace finden Sie unter Google für Organisationen.
- Informationen zum Einrichten von Cloud Identity
- Informationen zum Einrichten von Google Workspace
Identitäten föderierter Nutzer
Sie können Identitäten föderieren, damit sich Nutzer mit ihrer vorhandenen Identität und ihren Anmeldedaten in Google-Diensten anmelden können. Es gibt mehrere Methoden zum Verbund von Identitäten in Google Cloud.
Föderation mit Cloud Identity oder Google Workspace
Wenn Sie Identitäten mit Cloud Identity oder Google Workspace verbinden, werden Nutzer nicht aufgefordert, ein Passwort einzugeben, wenn sie versuchen, auf Google-Dienste zuzugreifen. Stattdessen können Sie sie zur Authentifizierung an einen externen Identitätsanbieter (Identity Provider, IdP) weiterleiten.
Um diese Art von Identitätsföderation zu verwenden, muss ein Nutzer eine Externe Identität beim externen IdP und in einem entsprechenden Google-Konto in Cloud Identity oder Google Workspace, normalerweise mit derselben E-Mail-Adresse haben. Sie können diese Konten mit einem Tool wie Google Cloud Directory Sync (GCDS) synchronisieren. Alternativ können Sie Konten auch mithilfe einer externen autoritativen Quelle bereitstellen. Sie können beispielsweise die Kontobereitstellung mit Azure AD oder Active Directory einrichten.
Weitere Informationen zur Föderation mit Cloud Identity oder Google Workspace finden Sie unter Einmalanmeldung (SSO).
Workforce Identity-Föderation
Mit der Workforce Identity-Föderation können Sie einen externen Identitätsanbieter (IdP) verwenden, um eine Gruppe von Nutzern, z. B. Mitarbeiter, Partner und Auftragnehmer, mithilfe von IAM zu authentifizieren und zu autorisieren, damit die Nutzer auf Google Cloud-Dienste zugreifen können. Mit der Workforce Identity-Föderation müssen Sie keine Nutzeridentitäten Ihres vorhandenen IdP mit Google Cloud-Identitäten synchronisieren, wie es bei Google Cloud Directory Sync (GCDS) von Cloud Identity der Fall ist. Workforce Identity-Föderation erweitert die Identitätsfunktionen von Google Cloud um die synchronisationsfreie, attributbasierte Einmalanmeldung.
Weitere Informationen zur Workforce Identity-Föderation finden Sie unter Workforce Identity-Föderation – Übersicht.