Identités pour les utilisateurs

Cette page décrit les différentes façons de configurer les identités pour les utilisateurs dans votre organisation afin qu'ils puissent accéder à Google Cloud. Cette page ne traite pas des identités que vos clients utilisent pour s'authentifier auprès de votre application. Pour en savoir plus sur l'authentification des clients auprès de votre application, consultez la documentation d'Identity Platform, qui traite de la gestion de l'authentification et des accès client (CIAM).

Pour accéder à Google Cloud, les utilisateurs doivent disposer d'une identité que Google Cloud peut reconnaître. Il existe plusieurs façons de configurer les identités afin que Google Cloud puisse les reconnaître :

Comptes Cloud Identity ou Google Workspace

Vous pouvez utiliser Cloud Identity ou Google Workspace pour créer des comptes utilisateur gérés. Ces comptes sont appelés comptes gérés, car vous contrôlez leur cycle de vie et leur configuration. Les utilisateurs disposant de ces comptes peuvent s'authentifier auprès de Google Cloud et être autorisés à utiliser les ressources Google Cloud.

Cloud Identity et Google Workspace partagent une plate-forme technique commune. Les deux produits offrent des fonctionnalités similaires pour la gestion des utilisateurs, des groupes et de l'authentification.

Seuls les comptes super-administrateur gérés Cloud Identity ou Google Workspace peuvent inviter des utilisateurs disposant de comptes personnels non gérés à transférer leurs comptes personnels vers des comptes gérés.

Pour faire vos premiers pas avec Cloud Identity ou Google Workspace, procédez comme suit :

Identités des utilisateurs fédérées

Vous pouvez fédérer des identités pour permettre aux utilisateurs de se connecter aux services Google à l'aide de leur identité et de leurs identifiants existants. Il existe plusieurs méthodes pour fédérer des identités dans Google Cloud.

Fédération à l'aide de Cloud Identity ou de Google Workspace

Lorsque vous fédérez des identités avec Cloud Identity ou Google Workspace, les utilisateurs ne sont pas invités à saisir un mot de passe lorsqu'ils tentent d'accéder aux services Google. À la place, vous pouvez les rediriger vers un fournisseur d'identité externe (IdP) pour s'authentifier.

Pour utiliser ce type de fédération d'identité, un utilisateur doit disposer d'une identité externe dans le fournisseur d'identité externe et d'un compte Google correspondant dans Cloud Identity ou Google Workspace, généralement avec la même adresse e-mail. Vous pouvez maintenir ces comptes synchronisés à l'aide d'un outil tel que Google Cloud Directory Sync (GCDS), ou en provisionnant des comptes à l'aide d'une source externe faisant autorité. Par exemple, vous pouvez configurer le provisionnement des comptes avec Azure AD ou Active Directory.

Pour en savoir plus sur la fédération avec Cloud Identity ou Google Workspace, consultez la section Authentification unique.

Fédération d'identité de personnel

La fédération d'identité du personnel vous permet d'utiliser un fournisseur d'identité externe (IdP) pour authentifier et autoriser du personnel (un groupe d'utilisateurs tels que des employés, des partenaires et des sous-traitants) à l'aide d'IAM, afin que les utilisateurs puissent accéder aux services Google Cloud. Avec la fédération d'identité de personnel, vous n'avez pas besoin de synchroniser les identités des utilisateurs de votre fournisseur d'identité existant avec les identités Google Cloud, comme vous le feriez avec Google Cloud Directory Sync (GCDS). La fédération d'identité du personnel étend les fonctionnalités d'identité de Google Cloud pour permettre l'authentification unique sans synchronisation et basée sur des attributs.

Pour en savoir plus sur la fédération d'identité de personnel, consultez la Présentation de la fédération d'identité de personnel.

Étapes suivantes