本頁面說明如何為機構中的使用者設定身分,讓他們可以存取 Google Cloud。而是討論客戶用來向應用程式驗證身分的 ID。如要瞭解如何驗證應用程式的客戶身分,請參閱 Identity Platform 說明文件,其中討論了客戶身分與存取權管理 (CIAM)。
使用者必須具備 Google Cloud可辨識的身分,才能存取 Google Cloud。您可以透過下列幾種方式設定身分識別,讓Google Cloud 能夠辨識:
- 建立 Cloud Identity 或 Google Workspace 帳戶
- 設定下列其中一種同盟身分識別策略:
Cloud Identity 或 Google Workspace 帳戶
您可以使用 Cloud Identity 或 Google Workspace 建立代管的使用者帳戶。這些帳戶稱為「受管理帳戶」,因為您可以控管帳戶的生命週期和設定。這些帳戶的使用者可以驗證身分 Google Cloud ,並獲得授權 Google Cloud 使用資源。
Cloud Identity 和 Google Workspace 共用技術平台。這兩項產品都提供類似的功能,可管理使用者、群組和驗證。
只有 Cloud Identity 或 Google Workspace 受管理超級管理員帳戶,才能邀請擁有非受管消費者帳戶的使用者,將消費者帳戶轉移至受管理帳戶。
如要開始使用 Cloud Identity 或 Google Workspace,請按照下列步驟操作:
- 如要進一步瞭解如何使用 Cloud Identity 和 Google Workspace 為使用者建立身分,請參閱「Google for organizations」。
- 瞭解如何設定 Cloud Identity。
- 瞭解如何設定 Google Workspace。
聯合使用者身分
您可以聯合身分,讓使用者使用現有身分和憑證登入 Google 服務。在 Google Cloud中,您可以透過多種方法同盟身分。
使用 Cloud Identity 或 Google Workspace 進行同盟
使用 Cloud Identity 或 Google Workspace 聯盟身分識別時,使用者嘗試存取 Google 服務時,系統不會提示輸入密碼。您可以改為將他們重新導向外部識別資訊提供者 (IdP) 進行驗證。
如要使用這類身分聯盟,使用者必須在外部 IdP 中擁有外部身分,並在 Cloud Identity 或 Google Workspace 中擁有對應的 Google 帳戶 (通常使用相同的電子郵件地址)。如要讓這些帳戶保持同步,可以使用 Google Cloud Directory Sync (GCDS) 等工具,或使用外部授權來源佈建帳戶。舉例來說,您可以透過 Microsoft Entra ID 或 Active Directory 設定帳戶佈建。
如要進一步瞭解如何使用 Cloud Identity 或 Google Workspace 進行聯盟,請參閱「單一登入」。
員工身分聯盟
員工身分聯盟可讓您使用外部識別資訊提供者 (IdP),透過 IAM 驗證工作團隊 (例如員工、合作夥伴和約聘人員等使用者群組) 並授權,讓使用者存取 Google Cloud 服務。使用員工身分聯盟時,您不需要像使用 Cloud Identity 的 Google Cloud Directory Sync (GCDS) 一樣,將現有 IdP 的使用者身分同步至 Google Cloud身分。員工身分聯盟擴充了 Google Cloud身分功能,支援無須同步處理的屬性型單一登入。
如要進一步瞭解員工身分聯盟,請參閱員工身分聯盟總覽。
後續步驟
- 瞭解如何使用使用者憑證向 Google API 進行驗證。
- 瞭解如何授予使用者資源存取權。