コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。
ジャンプ先

Workforce Identity 連携

既存の ID 管理ソリューションを使用して、従業員と外部人材に Google Cloud のサービスとリソースへの安全なアクセスを提供します。

  • 外部 ID プロバイダを使用して Workforce を認証および承認する

  • 従業員、パートナー、請負業者の柔軟なオンボーディングによる Google Cloud へのアクセス

  • ディレクトリ同期の代わりに ID 連携のアプローチを使用する

利点

外部の ID プロバイダからユーザーを簡単にオンボーディング

ID 同期やドメインの所有権の証明を行うことなく、ID プロバイダ システムから Google Cloud にアクセスできるようにユーザーを簡単にオンボーディングできます。

クラウド リソースの属性ベースの認証

外部 ID プロバイダで定義された属性をサポートし、属性情報を使用して Google Cloud リソースへのユーザー アクセスのスコープを決定します。

規制要件とコンプライアンス要件への対応を支援する

コンプライアンス要件に対応するお客様の既存の ID 投資を活用し、ID の規制要件に対処するオーバーヘッドを最小限に抑えます。

主な機能

ユーザーにはシームレスなエクスペリエンスを、管理者には容易なアクセス管理を提供

同期なしの認証

Workforce Identity 連携は、ディレクトリ同期ではなく ID 連携のアプローチを使用します。

Workforce Identity 連携のワークフロー

Workload Identity プール

Workforce Identity 連携プールを使用すると、Workforce ID のグループと、Google Cloud リソースへのアクセスを管理できます。

複数の ID プロトコルとプロバイダを支援する

OpenID Connect(OIDC)や SAML 2.0 などの複数の ID プロトコルと、Okta、Ping Identity、Active Directory フェデレーション サービス、Azure Active Directory などの ID プールごとに複数の ID プロバイダ(IdP)をサポートします。

Vmware ロゴ

「VMware は独自の IdP を運用しているため、開発者が Google Cloud プロジェクトにアクセスできるようにするためのソリューションを必要としていました。当社の IdP の枠外でユーザー ID を同期することは、情報セキュリティのポリシー上許可されていないため、Workforce Identity 連携をデプロイすることで ID 要件を満たしました。Workforce Identity 連携は、堅牢で構成が簡単なソリューションによって当社のニーズに応えています」

VMware のディレクターである Thiru Bhat 氏

ドキュメント

リソースとドキュメント

チュートリアル
Workforce Identity 連携の概要

Workforce Identity 連携の概要と、Google Cloud 環境での使用の開始方法を確認します。

チュートリアル
Workload Identity 連携の構成

OIDC または SAML 2.0 をサポートする外部 ID プロバイダで Workforce Identity 連携を構成する方法について説明します。

チュートリアル
Workforce Identity プールとプロバイダを管理する

Workforce Identity プール プロバイダは、Google Cloud 組織と ID プロバイダとの関係を記述するエンティティです。

チュートリアル
Workload Identity 連携を支援するプロダクト

Workforce Identity 連携をサポートする Google Cloud プロダクトのリストをご覧ください。

チュートリアル
Workforce Identity 連携プールの例

Workforce プールの作成例と、Google Cloud リソースにアクセスするための Workforce プールと ID プロバイダの設定方法について説明します。

ユースケース

ユースケース

ユースケース
従業員のログインと承認

Workforce Identity 連携によって、組織のユーザーは、シングル サインオン用の既存の IdP と変わらないログイン操作で、Google Cloud にアクセスできます。属性マッピングと属性条件を使用して、きめ細かいアクセスが可能です。管理者は、条件付きで認証するように属性条件を構成できます。これにより、外部 ID のサブセットのみが、属性に基づいて Google Cloud プロジェクトに対して認証されます。

ユースケース
パートナーとベンダーのための安全なアクセス

Workforce Identity 連携を使用すると、IT チームが Google Cloud リソースを使用するために別の ID ストアを同期または作成しなくても、パートナーやベンダーの IdP からユーザーを選択して連携させることができます。企業は、パートナーまたはベンダーの管理者が個別の従業員プールを作成し、独自の IdP を使用して従業員にアクセス権を付与できます。

すべての機能

すべての機能

Workforce Identity プール Workforce Identity グループの管理と、同様のアクセス権限が必要なユーザー グループ(従業員やパートナーなど)に対するポリシーの定義に役立ちます。
属性ベースのアクセス権 属性マッピングと属性条件によるきめ細かなアクセス制御。 属性マッピングにより、IdP で定義された ID 属性を Google Cloud が使用できる属性にマッピングすることができます。管理者は Google Cloud に対して属性条件を構成し、条件付きで認証することができます。つまり、属性に基づいた外部 ID のサブセットだけが Google Cloud プロジェクトに認証されます。
プログラムからのアクセス 5 つの言語(Node.js、Java、Python、Go、C++ )でサポートされている API / CLI(gcloud、bq、gsutil)およびクライアント SDK を介して、Google Cloud のサービスとリソースにプログラムでアクセスできます。
連携コンソールのログイン Cloud コンソールを介して、従業員のユーザー認証用の Google Cloud サービスにアクセスできます。SAML と OpenID Connect の標準ベースの SSO フローの両方がサポートされています。
SAML 暗号化 SAML トークン暗号化を使用すると、暗号化された SAML アサーションを使用できます。構成すると、Workforce Identity 連携は IdP に保存された証明書の公開鍵を使用して SAML アサーションを暗号化します。
プラグイン対応認証 Workforce Identity 連携で使用する代替認証スキームを統合して導入するメカニズムです。 お客様は、独自のプラグインを開発して、継続的なローカル プロセスを実行する必要なしに、オンデマンドで IdP トークンを取得できます。
Cloud Audit Logging Google Cloud リソース内で「誰がいつどこで何をしたか」という質問に答えるに役立つアクティビティを Cloud Access Logs に記録します。
Infrastructure as Code のサポート Workforce Identity 連携の構成を宣言的に定義し、ソース管理システムに保存できます。 

料金

料金

Workforce Identity 連携は無料です。

パートナー

ID プロバイダ

Workforce Identity 連携により、サードパーティの ID プロバイダのユーザー ID を使用して、Google Cloud サービスとリソースに直接アクセスできます。