本页面介绍如何为组织中的用户配置身份,以使他们能够访问 Google Cloud,不会讨论客户用于向您的应用进行身份验证的身份。如需了解如何向您的应用验证客户的身份,请参阅 Identity Platform 文档,其中讨论了客户身份和访问权限管理 (CIAM)。
为了让用户能够访问 Google Cloud,他们需要 Google Cloud 能够识别的身份。您可以通过多种方式配置身份,以便 Google Cloud 能够识别这些身份:
- 创建 Cloud Identity 或 Google Workspace 帐号
- 设置以下联合身份策略之一:
Cloud Identity 或 Google Workspace 帐号
您可以使用 Cloud Identity 或 Google Workspace 创建受管用户帐号。这些帐号称为“受管帐号”,因为您可以控制其生命周期和配置。拥有这些帐号的用户可以向 Google Cloud 进行身份验证并有权使用 Google Cloud 资源。
Cloud Identity 和 Google Workspace 共用一个技术平台。这两种产品都提供类似的功能,用于管理用户、群组和身份验证。
如需开始使用 Cloud Identity 或 Google Workspace,您可以执行以下操作:
- 如需详细了解如何使用 Cloud Identity 和 Google Workspace 为您的用户创建身份,请参阅面向组织的 Google。
- 了解如何设置 Cloud Identity。
- 了解如何设置 Google Workspace。
联合用户身份
您可以联合身份来允许用户使用其现有身份和凭据登录 Google 服务。您可以通过多种方法在 Google Cloud 中联合身份。
使用 Cloud Identity 或 Google Workspace 进行联合
将身份与 Cloud Identity 或 Google Workspace 联合后,当用户尝试访问 Google 服务时,系统将不会提示他们输入密码。您可以将他们重定向到外部身份提供方 (IdP) 进行身份验证。
如需使用此类身份联合,用户必须拥有外部 IdP 的外部身份以及 Cloud Identity 或 Google Workspace 的相应 Google 帐号(通常具有相同的电子邮件地址)。您可以使用 Google Cloud Directory Sync (GCDS) 等工具或使用外部权威来源预配帐号,使这些帐号保持同步。例如,您可以使用 Azure AD 或 Active Directory 设置帐号预配。
如需详细了解使用 Cloud Identity 或 Google Workspace 的联合,请参阅单点登录。
员工身份联合
通过员工身份联合,您可以使用外部身份提供方 (IdP) 对员工(用户群组,例如员工、合作伙伴和承包商)通过 IAM 进行身份验证和授权,以便用户能够访问 Google Cloud 服务。借助员工身份联合,您无需像使用 Cloud Identity 的 Google Cloud Directory Sync (GCDS) 一样将用户身份从现有 IdP 同步到 Google Cloud 身份。员工身份联合扩展了 Google Cloud 的身份功能,可支持基于属性的非同步单点登录。
如需详细了解员工身份联合,请参阅员工身份联合概览。
后续步骤
- 了解使用用户凭据向 Google API 进行身份验证的方法。
- 了解如何授予用户访问资源的权限。