員工身分聯盟
利用現有的身分識別管理解決方案,為員工和延伸工作團隊提供安全的 Google Cloud 服務和資源存取權。
-
使用外部識別資訊提供者驗證及授權員工
-
提供彈性的新手上路流程,方便員工、合作夥伴和承包商使用 Google Cloud
-
使用身分聯盟方法,而非目錄同步處理
優點
輕鬆培訓來自外部識別資訊提供者的使用者
輕鬆地讓使用者透過識別資訊提供者系統存取 Google Cloud,無須同步處理身分或執行網域驗證。
雲端資源的屬性型授權
支援外部識別資訊提供者定義的屬性,並使用屬性資訊來判斷 Google Cloud 資源的使用者存取權範圍。
協助處理法規遵循需求
運用客戶可用來處理法規遵循要求的現有身分投資項目,並盡量減少處理身分法規要求的負擔。
主要功能與特色
為使用者提供流暢的體驗,方便管理員進行存取管理
非同步驗證
員工身分聯盟採用身分聯盟方法,而非同步目錄處理。
員工身分集區
員工身分聯盟集區可讓您管理員工身分,並控管其 Google Cloud 資源的存取權。
支援多種身分識別通訊協定和提供者
支援多個身分識別通訊協定,例如 OpenID Connect (OIDC) 或 SAML 2.0,以及每個身分集區中的多個識別資訊提供者 (IdP),包括 Okta、Ping Identity、Active Directory 同盟服務和 Azure Active Directory
「VMware 執行自己的 IdP,因此我們需要一種解決方案,讓開發人員能存取 Google Cloud 專案。根據我們的 InfoSec 政策,禁止將我們 IdP 以外的使用者身分同步處理,因此我們部署了員工身分聯盟,以滿足我們的身分識別需求。員工身分聯盟能夠滿足我們的需求,提供功能完善而且簡單易用的解決方案。」
VMware 總監 Thiru Bhat
說明文件
資源與說明文件
員工身分聯盟總覽
概略瞭解員工身分聯盟,以及如何開始在 Google Cloud 環境中使用。
設定員工身分聯盟
瞭解如何使用支援 OIDC 或 SAML 2.0 的外部識別資訊提供者設定員工身分聯盟。
管理員工身分集區和提供者
員工身分集區提供者是描述 Google Cloud 機構和識別資訊提供者之間關係的實體。
支援員工身分聯盟的產品
查看支援員工身分聯盟的 Google Cloud 產品清單。
員工身分聯盟集區範例
查看建立員工集區的範例,以及如何設定員工集區和識別資訊提供者,以存取 Google Cloud 資源。
用途
用途
員工身分聯盟可讓貴機構的使用者以現有的登入身分存取 Google Cloud,並使用與現有的 IdP 登入體驗相同的單一登入。讓您能透過屬性對應和屬性條件啟用精細的存取權。管理員可設定屬性條件來進行條件式驗證,以便依據屬性向 Google Cloud 專案驗證部分外部身分。
員工身分聯盟可讓企業從合作夥伴或供應商 IdP 中選擇連結使用者,而且完全不必讓 IT 團隊同步處理或建立個別的識別資訊存放區來使用 Google Cloud 資源。企業可以為合作夥伴或供應商管理員建立獨立的員工集區,方便他們使用自己的 IdP 授予員工存取權。
所有功能與特色
所有功能與特色
員工身分集區 | 協助管理一組員工身分,並定義需要類似存取權限的一群使用者 (例如員工或合作夥伴) 的政策。 |
以屬性為準的存取權 | 透過屬性對應和屬性條件進行精細的存取動作。 屬性對應可讓您將 IdP 中定義的身分屬性對應至 Google Cloud 可使用的屬性。管理員可以透過屬性條件設定 Google Cloud 進行條件式驗證,以便讓只有部分外部身分可根據屬性向 Google Cloud 專案進行驗證。 |
程式輔助存取機制 | 允許透過 API/CLI (gcloud、bq、gsutil) 和用戶端 SDK 支援的五種語言 (Node.js、Java、Python、Go 和 C++) 以程式輔助的方式存取 Google Cloud 服務和資源。 |
聯盟控制台登入 | 透過 Cloud 控制台,允許員工使用者驗證存取 Google Cloud 服務。系統支援 SAML 和 OpenID Connect 標準單一登入 (SSO) 流程。 |
SAML 加密機制 | SAML 權杖加密可讓您使用已加密的 SAML 宣告。設定完成後,員工身分聯盟會使用 IdP 中儲存的憑證使用公開金鑰加密 SAML 宣告。 |
可插入的驗證機制 | 用於整合及導入替代驗證機制,以使用員工身分聯盟的機制。允許客戶自行開發外掛程式以視需求擷取 IdP 權杖,而且不需要持續執行本機程序。 |
Cloud 稽核記錄 | 記錄 Cloud 存取記錄檔中的活動,便於瞭解在您的 Google Cloud 資源中的活動相關「人員、地點和時間」。 |
基礎架構即程式碼支援 | 允許以宣告方式定義員工身分聯盟設定,並儲存在來源控制系統中。 |
定價
定價
使用員工身分聯盟時無須支付費用。