设置用户对控制台(联合)的访问权限

本指南介绍了如何通过身份提供方 (IdP) 设置对 Google Cloud 员工身份联合控制台(也称为控制台 [联合])的访问权限,并说明如何为用户提供访问权限说明。

准备工作

  1. 在您的 Google Cloud 组织中配置员工身份联合,包括员工身份池员工身份池提供方。或者,如果您使用以下 IdP 之一,请参阅 IdP 特定指南了解详情:

  2. 记下员工身份池提供方名称,您将在本指南的后面部分用到该名称。

在 IdP 中设置重定向网址

您可以配置 IdP,以发布 IdP 响应,并在用户进行身份验证后将用户重定向到控制台(联合)。为此,您必须配置重定向网址并在 IdP 配置中对其进行设置。

如需创建重定向网址,请执行以下操作:

  1. 与用户共享员工身份池提供商的名称。其格式如下所示:

    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
    

    替换以下内容:

    • WORKFORCE_POOL_ID:员工身份池 ID。
    • WORKFORCE_PROVIDER_ID:员工身份提供方 ID。
  2. 创建重定向网址。其格式如下所示:

    https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
    

    WORKFORCE_POOL_PROVIDER_NAME 替换为上一步中的员工身份池提供方名称。

  3. 使用重定向网址配置 IdP。

    在 IdP 中,输入重定向网址。需要在其中输入网址的字段可能会有所不同。

    OIDC

    在 IdP 中,该字段可能称为 Redirect URLCallback URL

    IdP 会将响应和名称令牌发送到此网址。

    SAML

    在 IdP 中,该字段可能称为 Single sign-on URLSAML assertion consumer service (ACS) URL

    IdP 会将 SAML 断言发布到此网址。

    如果要通过 SAML 提供商启用 IdP 发起的登录,请在 Default RelayState 设置或其等效字段中输入以下网址。用户成功进行身份验证后,IdP 会将用户重定向到此网址:

    https://console.cloud.google/
    

告知用户如何登录

本部分介绍了用户登录控制台(联合)的不同方式。

如需通过 IdP 启动登录过程,您可以与用户共享一个链接,该链接会将用户重定向到 IdP,而不会提示用户输入提供商名称。用户成功登录后,系统会自动将他们重定向到控制台(联合)。

如需使用此方法,请将以下登录链接发送给用户:

https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/

使用控制台(联合)启动登录过程

如需在控制台(联合)中启动登录过程,请执行以下操作:

  1. 为用户提供本文档前面所述的员工身份池提供方名称。

  2. 为用户提供指向控制台(联合)的以下链接:

    https://console.cloud.google/
    

当用户首次访问控制台(联合)时,系统会提示他们输入员工身份池提供方名称。然后,用户会重定向到 IdP 进行身份验证。进行身份验证后,用户会重定向回控制台(联合)。

使用 SAML IdP 发起的登录

SAML 规范定义了一个名为 IdP 发起的登录的流程,通过该流程,用户会在 IdP 处发起登录过程。如果 IdP 支持此流程,您可以与用户共享详细信息。

使用控制台(联合)与使用 Google Cloud 控制台的比较

控制台(联合)仅提供对支持员工身份联合的 Google Cloud 产品的有限访问权限。因此,在使用控制台(联合)时,您会看到有限数量的 Google Cloud 产品,并且产品界面本身在控制台(联合)中查看时可能存在进一步限制。

如需详细了解支持员工身份联合的产品及相关限制,请参阅员工身份联合:支持的产品和限制

相比之下,Google Cloud 控制台可以提供对所有产品和功能的完整访问权限,具体取决于为用户授予的角色。

后续步骤