Workforce Identity 連携
既存の ID 管理ソリューションを使用して、従業員と外部人材に Google Cloud のサービスとリソースへの安全なアクセスを提供します。
外部 ID プロバイダを使用して Workforce を認証および承認する
従業員、パートナー、請負業者の柔軟なオンボーディングによる Google Cloud へのアクセス
ディレクトリ同期の代わりに ID 連携のアプローチを使用する
利点
外部の ID プロバイダからユーザーを簡単にオンボーディング
ID 同期やドメインの所有権の証明を行うことなく、ID プロバイダ システムから Google Cloud にアクセスできるようにユーザーを簡単にオンボーディングできます。
クラウド リソースの属性ベースの認証
外部 ID プロバイダで定義された属性をサポートし、属性情報を使用して Google Cloud リソースへのユーザー アクセスのスコープを決定します。
規制要件とコンプライアンス要件への対応を支援する
コンプライアンス要件に対応するお客様の既存の ID 投資を活用し、ID の規制要件に対処するオーバーヘッドを最小限に抑えます。
主な機能
ユーザーにはシームレスなエクスペリエンスを、管理者には容易なアクセス管理を提供
同期なしの認証
Workforce Identity 連携は、ディレクトリ同期ではなく ID 連携のアプローチを使用します。
Workload Identity プール
Workforce Identity 連携プールを使用すると、Workforce ID のグループと、Google Cloud リソースへのアクセスを管理できます。
複数の ID プロトコルとプロバイダを支援する
OpenID Connect(OIDC)や SAML 2.0 などの複数の ID プロトコルと、Okta、Ping Identity、Active Directory フェデレーション サービス、Azure Active Directory などの ID プールごとに複数の ID プロバイダ(IdP)をサポートします。
VMware は独自の IdP を運用しているため、開発者が Google Cloud プロジェクトにアクセスできるようにするためのソリューションを必要としていました。当社の IdP の枠外でユーザー ID を同期することは、情報セキュリティのポリシー上許可されていないため、Workforce Identity 連携をデプロイすることで ID 要件を満たしました。Workforce Identity 連携は、堅牢で構成が簡単なソリューションによって当社のニーズに応えています。
VMware のディレクターである Thiru Bhat 氏
ドキュメント
リソースとドキュメント
Workload Identity 連携の構成
Workforce Identity プールとプロバイダを管理する
Workforce Identity 連携プールの例
お探しのものが見つからない場合
ユースケース
ユースケース
従業員のログインと承認
Workforce Identity 連携によって、組織のユーザーは、シングル サインオン用の既存の IdP と変わらないログイン操作で、Google Cloud にアクセスできます。属性マッピングと属性条件を使用して、きめ細かいアクセスが可能です。管理者は、条件付きで認証するように属性条件を構成できます。これにより、外部 ID のサブセットのみが、属性に基づいて Google Cloud プロジェクトに対して認証されます。
パートナーとベンダーのための安全なアクセス
Workforce Identity 連携を使用すると、IT チームが Google Cloud リソースを使用するために別の ID ストアを同期または作成しなくても、パートナーやベンダーの IdP からユーザーを選択して連携させることができます。企業は、パートナーまたはベンダーの管理者が個別の従業員プールを作成し、独自の IdP を使用して従業員にアクセス権を付与できます。
すべての機能
すべての機能
| Workforce Identity プール | Workforce Identity グループの管理と、同様のアクセス権限が必要なユーザー グループ(従業員やパートナーなど)に対するポリシーの定義に役立ちます。 |
| 属性ベースのアクセス権 | 属性マッピングと属性条件によるきめ細かなアクセス制御。 属性マッピングにより、IdP で定義された ID 属性を Google Cloud が使用できる属性にマッピングすることができます。管理者は Google Cloud に対して属性条件を構成し、条件付きで認証することができます。つまり、属性に基づいた外部 ID のサブセットだけが Google Cloud プロジェクトに認証されます。 |
| プログラムからのアクセス | 5 つの言語(Node.js、Java、Python、Go、C++ )でサポートされている API / CLI(gcloud、bq、gsutil)およびクライアント SDK を介して、Google Cloud のサービスとリソースにプログラムでアクセスできます。 |
| 連携コンソールのログイン | Cloud コンソールを介して、従業員のユーザー認証用の Google Cloud サービスにアクセスできます。SAML と OpenID Connect の標準ベースの SSO フローの両方がサポートされています。 |
| SAML 暗号化 | SAML トークン暗号化を使用すると、暗号化された SAML アサーションを使用できます。構成すると、Workforce Identity 連携は IdP に保存された証明書の公開鍵を使用して SAML アサーションを暗号化します。 |
| プラグイン対応認証 | Workforce Identity 連携で使用する代替認証スキームを統合して導入するメカニズムです。 お客様は、独自のプラグインを開発して、継続的なローカル プロセスを実行する必要なしに、オンデマンドで IdP トークンを取得できます。 |
| Cloud Audit Logging | Google Cloud リソース内で「誰がいつどこで何をしたか」という質問に答えるに役立つアクティビティを Cloud Access Logs に記録します。 |
| Infrastructure as Code のサポート | Workforce Identity 連携の構成を宣言的に定義し、ソース管理システムに保存できます。 |
パートナー
ID プロバイダ
Workforce Identity 連携により、サードパーティの ID プロバイダのユーザー ID を使用して、Google Cloud サービスとリソースに直接アクセスできます。
開始にあたりサポートが必要な場合
お問い合わせ信頼できるパートナーと連携する
パートナーを探すもっと見る
すべてのプロダクトを見る
