員工身分聯盟
利用現有的身分識別管理解決方案,為員工和延伸工作團隊提供安全的 Google Cloud 服務和資源存取權。
使用外部識別資訊提供者驗證及授權員工
提供彈性的新手上路流程,方便員工、合作夥伴和承包商使用 Google Cloud
使用身分聯盟方法,而非目錄同步處理
優點
輕鬆培訓來自外部識別資訊提供者的使用者
輕鬆地讓使用者透過識別資訊提供者系統存取 Google Cloud,無須同步處理身分或執行網域驗證。
雲端資源的屬性型授權
支援外部識別資訊提供者定義的屬性,並使用屬性資訊來判斷 Google Cloud 資源的使用者存取權範圍。
協助處理法規遵循需求
運用客戶可用來處理法規遵循要求的現有身分投資項目,並盡量減少處理身分法規要求的負擔。
主要功能與特色
為使用者提供流暢的體驗,方便管理員進行存取管理
非同步驗證
員工身分聯盟採用身分聯盟方法,而非同步目錄處理。
員工身分集區
員工身分聯盟集區可讓您管理員工身分,並控管其 Google Cloud 資源的存取權。
支援多種身分識別通訊協定和提供者
支援多個身分識別通訊協定,例如 OpenID Connect (OIDC) 或 SAML 2.0,以及每個身分集區中的多個識別資訊提供者 (IdP),包括 Okta、Ping Identity、Active Directory 同盟服務和 Azure Active Directory
VMware 會執行自己的 IdP,因此我們需要一項解決方案,讓開發人員存取 Google Cloud 專案。我們的 InfoSec 政策禁止同步處理所用 IdP 以外的使用者身分,因此我們部署員工身分聯盟來滿足身分識別要求。員工身分聯盟提供易於設定的穩固解決方案,可以滿足我們的需求。
VMware 總監 Thiru Bhat
說明文件
資源與說明文件
找不到所需資訊嗎?
使用案例
使用案例
員工登入與授權
員工身分聯盟可讓貴機構的使用者以現有的登入身分存取 Google Cloud,並使用與現有的 IdP 登入體驗相同的單一登入。讓您能透過屬性對應和屬性條件啟用精細的存取權。管理員可設定屬性條件來進行條件式驗證,以便依據屬性向 Google Cloud 專案驗證部分外部身分。
安全存取合作夥伴與供應商
員工身分聯盟可讓企業從合作夥伴或供應商 IdP 中選擇連結使用者,而且完全不必讓 IT 團隊同步處理或建立個別的識別資訊存放區來使用 Google Cloud 資源。企業可以為合作夥伴或供應商管理員建立獨立的員工集區,方便他們使用自己的 IdP 授予員工存取權。
所有功能與特色
所有功能與特色
| 員工身分集區 | 協助管理一組員工身分,並定義需要類似存取權限的一群使用者 (例如員工或合作夥伴) 的政策。 |
| 以屬性為準的存取權 | 透過屬性對應和屬性條件進行精細的存取動作。 屬性對應可讓您將 IdP 中定義的身分屬性對應至 Google Cloud 可使用的屬性。管理員可以透過屬性條件設定 Google Cloud 進行條件式驗證,以便讓只有部分外部身分可根據屬性向 Google Cloud 專案進行驗證。 |
| 程式輔助存取機制 | 允許透過 API/CLI (gcloud、bq、gsutil) 和用戶端 SDK 支援的五種語言 (Node.js、Java、Python、Go 和 C++) 以程式輔助的方式存取 Google Cloud 服務和資源。 |
| 聯盟控制台登入 | 透過 Cloud 控制台,允許員工使用者驗證存取 Google Cloud 服務。系統支援 SAML 和 OpenID Connect 標準單一登入 (SSO) 流程。 |
| SAML 加密機制 | SAML 權杖加密可讓您使用已加密的 SAML 宣告。設定完成後,員工身分聯盟會使用 IdP 中儲存的憑證使用公開金鑰加密 SAML 宣告。 |
| 可插入的驗證機制 | 用於整合及導入替代驗證機制,以使用員工身分聯盟的機制。允許客戶自行開發外掛程式以視需求擷取 IdP 權杖,而且不需要持續執行本機程序。 |
| Cloud 稽核記錄 | 記錄 Cloud 存取記錄檔中的活動,便於瞭解在您的 Google Cloud 資源中的活動相關「人員、地點和時間」。 |
| 基礎架構即程式碼支援 | 允許以宣告方式定義員工身分聯盟設定,並儲存在來源控制系統中。 |
