员工身份联合
使用您现有的身份管理解决方案,让员工和外聘人员安全地访问 Google Cloud 服务和资源。
使用外部身份提供方对员工进行身份验证和授权
员工、合作伙伴和承包商可以灵活登录访问 Google Cloud
使用身份联合方法,而非名录同步
优势
轻松让用户通过外部身份提供方登录
让用户无需同步身份或执行域名验证,即可轻松让用户通过身份提供方系统登录访问 Google Cloud。
基于特性的云资源授权
支持外部身份提供方中定义的特性,并使用特性信息确定用户对 Google Cloud 资源的访问权限范围。
协助遵守监管和合规要求
利用客户现有的满足合规要求的身份投资,并最大限度地减少用于满足身份监管要求的开销。
主要特性
为用户提供无缝体验,让管理员轻松进行访问管理
Syncless 身份验证
员工身份联合使用身份联合方法,而不是名录同步。
员工身份池
借助员工身份联合池,您可以管理员工身份群组并控制其对 Google Cloud 资源的访问权限。
支持多种身份协议和提供方
支持多种身份协议(例如 OpenID Connect (OIDC) 或 SAML 2.0)以及每个身份池的多个身份提供方 (IdP),包括 Okta、Ping Identity、Active Directory Federation Services 和 Azure Active Directory。
VMware 运行自己的 IdP,我们需要一种解决方案来允许开发者访问其 Google Cloud 项目。我们的 InfoSec 政策不允许同步 IdP 以外的用户身份,我们部署了员工身份联合来满足我们的身份要求。员工身份联合提供了一种强大且易于配置的解决方案,满足了我们的需求。
Thiru Bhat,VMware 总监
文档
资源和文档
没有看到您需要的内容?
使用场景
使用场景
员工登录和授权
员工身份联合使贵组织的用户可通过他们现有的单点登录 IdP 访问 Google Cloud。它可以通过特性映射和特性条件实现精细访问。管理员可以配置特性条件以有条件地进行身份验证,以便仅允许一部分外部身份根据特性向您的 Google Cloud 项目进行身份验证。
合作伙伴和供应商安全访问
使用员工身份联合,企业可以选择性地联合合作伙伴或供应商 IdP 的用户,IT 团队无需同步或创建单独的身份存储区以使用 Google Cloud 资源。企业可以为合作伙伴或供应商的管理员创建单独的员工池,然后管理员可以使用自己的 IdP 向其员工授予访问权限。
所有特性
所有特性
| 员工身份池 | 帮助管理员工身份组并为需要类似访问权限的一组用户(例如员工或合作伙伴)定义政策。 |
| 基于属性的访问权限 | 通过特性映射和特性条件进行精细访问。特性映射可让您将 IdP 中定义的身份特性映射到 Google Cloud 可以使用的特性。您的管理员可以使用特性条件配置 Google Cloud 以有条件地进行身份验证,以便仅允许部分外部身份根据特性向您的 Google Cloud 项目进行身份验证。 |
| 以编程方式使用 | 允许通过 API/CLI(gcloud、bq、gsutil)和五种语言(Node.js、Java、Python、Go 和 C++)支持的客户端 SDK 以编程方式访问 Google Cloud 服务和资源。 |
| 联合控制台登录 | 允许通过云控制台访问 Google Cloud 服务以进行员工用户身份验证。基于 SAML 和 OpenID Connect 标准的单点登录流程均受支持。 |
| SAML 加密 | SAML 令牌加密支持使用加密的 SAML 断言。配置后,员工身份联合将使用 IdP 中存储的证书中的公钥对 SAML 断言进行加密。 |
| 可插入式身份验证 | 集成和引入与员工身份联合搭配使用的其他身份验证方案的机制。允许客户开发自己的插件以按需检索 IdP 令牌,而无需运行连续的本地进程。 |
| Cloud Audit Logging | 在 Cloud Access Logs 中记录活动,以帮助您了解谁在何时何地对您的 Google Cloud 资源执行了什么操作。 |
| 基础架构即代码支持 | 允许以声明方式定义员工身份联合配置并将其存储在源代码控制系统中。 |
