Nutzerzugriff auf die Console (föderiert) einrichten

In diesem Leitfaden erfahren Sie, wie Sie den Zugriff auf die Google Cloud-Mitarbeiteridentitätsföderationskonsole (auch als Console bezeichnet) von Ihrem Identitätsanbieter (IdP) einrichten und wie Sie Zugriffsanweisungen für Ihre Nutzer bereitstellen.

Hinweise

1. Konfigurieren Sie die Mitarbeiteridentitätsföderation in Ihrer Google Cloud-Organisation, einschließlich eines Mitarbeiteridentitätspools und eines Anbieters eines Mitarbeiteridentitätspools. Wenn Sie alternativ einen der folgenden IdPs verwenden, finden Sie in den IdP-spezifischen Anleitungen weitere Informationen:

   • Azure AD-basierte Workforce Identity-Föderation konfigurieren
   • Okta-basierte Workforce Identity-Föderation konfigurieren

2. Notieren Sie sich den Namen des Anbieters des Mitarbeiteridentitätspools, den Sie später in dieser Anleitung verwenden.

Weiterleitungs-URLs bei Ihrem IdP einrichten

Sie können Ihren IdP so konfigurieren, dass eine IdP-Antwort gesendet und der Nutzer nach der Authentifizierung zur Console (föderiert) weitergeleitet wird. Dazu müssen Sie eine Weiterleitungs-URL konfigurieren und in Ihrer IdP-Konfiguration festlegen.

So erstellen Sie die Weiterleitungs-URL:

1. Geben Sie den Namen des Anbieters des Mitarbeiteridentitätspools für Ihre Nutzer frei. Er hat das folgende Format:

   locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   Dabei gilt:

   • WORKFORCE_POOL_ID: die ID des Mitarbeiteridentitätspools.
   • WORKFORCE_PROVIDER_ID: die ID des Anbieters des Mitarbeiteridentitätspools.

2. Erstellen Sie die Weiterleitungs-URL. Er hat das folgende Format:

   https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
   

   Ersetzen Sie WORKFORCE_POOL_PROVIDER_NAME durch den Namen des Anbieters des Mitarbeiteridentitätspools aus dem vorherigen Schritt.

3. Konfigurieren Sie Ihren IdP mit der Weiterleitungs-URL.

   Geben Sie in Ihrem IdP die Weiterleitungs-URL ein. Das Feld, in das Sie die URL eingeben, kann variieren.

   OIDC

   Bei Ihrem IdP kann das Feld Redirect URL oder Callback URL heißen.

   Ihr IdP sendet das Antwort- und Namenstoken an diese URL.

   SAML

   Bei Ihrem IdP kann das Feld Single sign-on URL oder SAML assertion consumer service (ACS) URL heißen.

   Ihr IdP sendet die SAML-Assertion an diese URL.

   Wenn Sie die IdP-initiierte Anmeldung bei Ihrem SAML-Anbieter aktivieren möchten, geben Sie die folgende URL in die Einstellung Default RelayState oder die entsprechende URL ein. Der IdP leitet Ihren Nutzer nach dieser erfolgreichen Authentifizierung an diese URL weiter:

   https://console.cloud.google/
   

Ihre Nutzer über die Vorgehensweise bei der Anmeldung informieren

In diesem Abschnitt werden die verschiedenen Möglichkeiten beschrieben, wie sich Nutzer in der Console (föderiert) anmelden können.

Anmeldevorgang mit einem SSO-Link starten

Um den Anmeldevorgang mit Ihrem IdP zu starten, können Sie einen Link für Ihre Nutzer freigeben, der sie zu Ihrem IdP weiterleitet, ohne sie zur Eingabe des Anbieternamens aufzufordern. Nachdem Nutzer sich erfolgreich angemeldet haben, werden sie automatisch zur Console (föderiert) weitergeleitet.

Senden Sie Ihren Nutzern den folgenden Anmeldelink, um diese Methode zu verwenden:

https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/

Anmeldevorgang mit der Console (föderiert) starten

So starten Sie den Anmeldevorgang in der Console (föderiert):

1. Geben Sie Ihren Nutzern den Namen des Anbieters des Mitarbeiteridentitätspools an, der weiter oben in diesem Dokument beschrieben wird.

2. Geben Sie Ihren Nutzern den folgenden Link zur Console (föderiert):

   https://console.cloud.google/
   

Wenn Ihre Nutzer zum ersten Mal auf die Console (föderiert) zugreifen, werden sie aufgefordert, den Namen des Workload Identity-Poolanbieters einzugeben. Anschließend werden sie zur Authentifizierung an Ihren IdP weitergeleitet. Nach der Authentifizierung werden sie zurück zur Console (föderiert) geleitet.

Vom SAML-IdP initiierte Anmeldung verwenden

Die SAML-Spezifikation definiert einen Ablauf namens Vom IdP initiierte Anmeldung, bei der Nutzer den Anmeldevorgang beim IdP initiieren. Wenn Ihr IdP diesen Ablauf unterstützt, können Sie die Details für Ihre Nutzer freigeben.

Verwendung von Console (föderiert) und Google Cloud Console im Vergleich

Die Console (föderiert) bietet eingeschränkten Zugriff allein auf Google Cloud-Produkte, die die Mitarbeiteridentitätsföderation unterstützen. Aus diesem Grund sehen Sie bei Verwendung der Console (föderiert) eine begrenzte Anzahl von Google Cloud-Produkten. Für die Produkt-UIs selbst gelten möglicherweise weitere Einschränkungen, wenn sie in der Console (föderiert) angezeigt werden.

Weitere Informationen zu Produkten, die die Mitarbeiteridentitätsföderation unterstützen, und zu den zugehörigen Einschränkungen finden Sie unter Mitarbeiteridentitätsföderation: Unterstützte Produkte und Einschränkungen.

In der Google Cloud Console ist dagegen ein vollständiger Zugriff auf alle Produkte und Features möglich, je nachdem, welche Rollen den Nutzern zugewiesen wurden.

Nächste Schritte

• Mitarbeiteridentitätsföderation: Unterstützte Produkte und Einschränkungen