使用员工身份联合访问备份和灾难恢复服务

本页介绍了如何使用员工身份联合为备份和灾难恢复服务配置用户访问权限。请与 Cloud Customer Care 团队联系，以使用员工身份联合启用备份和灾难恢复服务。

借助员工身份联合，您可以使用外部身份提供方 (IdP) 通过 IAM 对员工（一组用户，例如员工、合作伙伴和承包商）进行身份验证和授权，以便用户能够访问 Google Cloud 服务。

如果在项目中配置了员工身份联合，员工中的用户可以访问以下内容：

• Google Cloud 控制台中的备份和灾难恢复服务
• 管理控制台

使用员工身份联合设置对 Backup and DR Service 的访问权限

本部分介绍了如何为员工身份联合用户配置对备份和灾难恢复服务的访问权限。

配置身份提供商

使用配置员工身份联合指南为您的身份提供方配置员工身份联合。

向员工身份联合用户授予 IAM 角色

在 Identity and Access Management (IAM) 中，向一组员工身份联合用户授予 IAM 角色，以便他们可以访问备份和灾难恢复服务以及管理控制台来保护工作负载：

• 如需查看专门针对备份和灾难恢复服务的角色列表，请参阅向用户授予角色。
• 如需了解如何向外部用户分配这些角色，请参阅向主账号授予 IAM 角色。
• 在 IAM 政策中表示员工身份联合用户所用的格式，请参阅在 IAM 政策中表示员工池用户。

备份和灾难恢复服务对待员工身份联合用户的方式与对待 Google 账号用户的方式相同，使用主账号标识符（而非电子邮件地址）。

在 Google Cloud 控制台中访问“Backup and DR Service”页面

Google Cloud 员工身份联合控制台可让您访问“备份和灾难恢复服务”页面。

在 Google Cloud 员工身份联合控制台的备份和灾难恢复服务页面中，您可以部署管理控制台、备份/恢复设备，以及查看备份和灾难恢复服务日志。您还可以访问管理控制台来备份资源。

访问管理控制台

员工身份联合用户通过与 Google 管理的用户不同的网址访问管理控制台，如下所示：

• 员工身份联合用户的网址为

  https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.byoid.googleusercontent.com/
  

• Google 管理的用户账号的网址为

  https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com/
  

只有经过外部身份验证的用户才能访问外部身份的网址。如果用户在未登录的情况下访问外部身份网址，系统会先将其重定向到身份验证门户，用户可以在其中指定其员工池提供方名称。然后，系统会将用户重定向到其身份提供方进行登录，最后将用户重定向到管理控制台。

员工身份联合用户无法使用 Google 管理的用户共享的网址直接访问管理控制台。如需以员工身份联合用户的身份访问管理控制台，请手动将链接更新为员工身份联合用户的网址。