本指南介绍了如何通过身份提供方 (IdP) 设置对 Google Cloud 员工身份联合控制台(也称为控制台 [联合])的访问权限,并说明如何为用户提供访问权限说明。
准备工作
在您的 Google Cloud 组织中配置员工身份联合,包括员工身份池和员工身份池提供方。或者,如果您使用以下 IdP 之一,请参阅 IdP 特定指南了解详情:
记下员工身份池提供方名称,您将在本指南的后面部分用到该名称。
在 IdP 中设置重定向网址
您可以配置 IdP,以发布 IdP 响应,并在用户进行身份验证后将用户重定向到控制台(联合)。为此,您必须配置重定向网址并在 IdP 配置中对其进行设置。
如需创建重定向网址,请执行以下操作:
与用户共享员工身份池提供商的名称。其格式如下所示:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
替换以下内容:
WORKFORCE_POOL_ID
:员工身份池 ID。WORKFORCE_PROVIDER_ID
:员工身份提供方 ID。
创建重定向网址。其格式如下所示:
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
将
WORKFORCE_POOL_PROVIDER_NAME
替换为上一步中的员工身份池提供方名称。使用重定向网址配置 IdP。
在 IdP 中,输入重定向网址。需要在其中输入网址的字段可能会有所不同。
OIDC
在 IdP 中,该字段可能称为
Redirect URL
或Callback URL
。IdP 会将响应和名称令牌发送到此网址。
SAML
在 IdP 中,该字段可能称为
Single sign-on URL
或SAML assertion consumer service (ACS) URL
。IdP 会将 SAML 断言发布到此网址。
如果要通过 SAML 提供商启用 IdP 发起的登录,请在
Default RelayState
设置或其等效字段中输入以下网址。用户成功进行身份验证后,IdP 会将用户重定向到此网址:https://console.cloud.google/
告知用户如何登录
本部分介绍了用户登录控制台(联合)的不同方式。
使用 SSO 链接启动登录过程
如需通过 IdP 启动登录过程,您可以与用户共享一个链接,该链接会将用户重定向到 IdP,而不会提示用户输入提供商名称。用户成功登录后,系统会自动将他们重定向到控制台(联合)。
如需使用此方法,请将以下登录链接发送给用户:
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
使用控制台(联合)启动登录过程
如需在控制台(联合)中启动登录过程,请执行以下操作:
为用户提供本文档前面所述的员工身份池提供方名称。
为用户提供指向控制台(联合)的以下链接:
https://console.cloud.google/
当用户首次访问控制台(联合)时,系统会提示他们输入员工身份池提供方名称。然后,用户会重定向到 IdP 进行身份验证。进行身份验证后,用户会重定向回控制台(联合)。
使用 SAML IdP 发起的登录
SAML 规范定义了一个名为 IdP 发起的登录的流程,通过该流程,用户会在 IdP 处发起登录过程。如果 IdP 支持此流程,您可以与用户共享详细信息。
使用控制台(联合)与使用 Google Cloud 控制台的比较
控制台(联合)仅提供对支持员工身份联合的 Google Cloud 产品的有限访问权限。因此,在使用控制台(联合)时,您会看到有限数量的 Google Cloud 产品,并且产品界面本身在控制台(联合)中查看时可能存在进一步限制。
如需详细了解支持员工身份联合的产品及相关限制,请参阅员工身份联合:支持的产品和限制。
相比之下,Google Cloud 控制台可以提供对所有产品和功能的完整访问权限,具体取决于为用户授予的角色。