设置用户对控制台（联合）的访问权限

本指南介绍了如何通过身份提供方 (IdP) 设置对 Google Cloud 员工身份联合控制台（也称为控制台 [联合]）的访问权限，并说明如何为用户提供访问权限说明。

准备工作

1. 在您的 Google Cloud 组织中配置员工身份联合，包括员工身份池和员工身份池提供方。或者，如果您使用以下 IdP 之一，请参阅 IdP 特定指南了解详情：

   • 配置基于 Microsoft Entra ID 的员工身份联合
   • 配置基于 Okta 的员工身份联合

2. 记下员工身份池提供方名称，您将在本指南的后面部分用到该名称。

在 IdP 中设置重定向网址

您可以配置 IdP，以发布 IdP 响应，并在用户进行身份验证后将用户重定向到控制台（联合）。为此，您必须配置重定向网址并在 IdP 配置中对其进行设置。

如需创建重定向网址，请执行以下操作：

1. 与用户共享员工身份池提供商的名称。其格式如下所示：

   locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   替换以下内容：

   • WORKFORCE_POOL_ID：员工身份池 ID。
   • WORKFORCE_PROVIDER_ID：员工身份提供方 ID。

2. 创建重定向网址。其格式如下所示：

   https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
   

   将 WORKFORCE_POOL_PROVIDER_NAME 替换为上一步中的员工身份池提供方名称。

3. 使用重定向网址配置 IdP。

   在 IdP 中，输入重定向网址。需要在其中输入网址的字段可能会有所不同。

   OIDC

   在 IdP 中，该字段可能称为 Redirect URL 或 Callback URL。

   IdP 会将响应和名称令牌发送到此网址。

   SAML

   在 IdP 中，该字段可能称为 Single sign-on URL 或 SAML assertion consumer service (ACS) URL。

   IdP 会将 SAML 断言发布到此网址。

   如果要通过 SAML 提供商启用 IdP 发起的登录，请在 Default RelayState 设置或其等效字段中输入以下网址。用户成功进行身份验证后，IdP 会将用户重定向到此网址：

   https://console.cloud.google/
   

告知用户如何登录

本部分介绍了用户登录控制台（联合）的不同方式。

使用 SSO 链接启动登录过程

如需通过 IdP 启动登录过程，您可以与用户共享一个链接，该链接会将用户重定向到 IdP，而不会提示用户输入提供商名称。用户成功登录后，系统会自动将他们重定向到控制台（联合）。

如需使用此方法，请将以下登录链接发送给用户：

https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/

使用控制台（联合）启动登录过程

如需在控制台（联合）中启动登录过程，请执行以下操作：

1. 为用户提供本文档前面所述的员工身份池提供方名称。

2. 为用户提供指向控制台（联合）的以下链接：

   https://console.cloud.google/
   

当用户首次访问控制台（联合）时，系统会提示他们输入员工身份池提供方名称。然后，用户会重定向到 IdP 进行身份验证。进行身份验证后，用户会重定向回控制台（联合）。

使用 SAML IdP 发起的登录

SAML 规范定义了一个名为 IdP 发起的登录的流程，通过该流程，用户会在 IdP 处发起登录过程。如果 IdP 支持此流程，您可以与用户共享详细信息。

使用控制台（联合）与使用 Google Cloud 控制台的比较

控制台（联合）仅提供对支持员工身份联合的 Google Cloud 产品的有限访问权限。因此，在使用控制台（联合）时，您会看到有限数量的 Google Cloud 产品，并且产品界面本身在控制台（联合）中查看时可能存在进一步限制。

如需详细了解支持员工身份联合的产品及相关限制，请参阅身份联合：支持的产品和限制。

相比之下，Google Cloud 控制台可以提供对所有产品和功能的完整访问权限，具体取决于为用户授予的角色。

后续步骤

• 身份联合：支持的产品和限制