Panduan ini menunjukkan cara menyiapkan akses ke konsol Google Cloud Workforce Identity Federation, yang juga dikenal sebagai konsol (gabungan), dari Penyedia Identitas (IdP) dan menunjukkan cara memberikan petunjuk akses kepada pengguna.
Sebelum memulai
Konfigurasikan workforce identity federation di organisasi Google Cloud Anda, termasuk kumpulan identitas tenaga kerja dan penyedia kumpulan identitas tenaga kerja. Atau, jika Anda menggunakan salah satu IdP berikut, lihat panduan khusus IdP untuk informasi selengkapnya:
Catat nama penyedia kumpulan identitas tenaga kerja Anda, yang nanti akan Anda gunakan dalam panduan ini.
Menyiapkan URL alihan di IdP Anda
Anda dapat mengonfigurasi IdP untuk memposting respons IdP dan mengalihkan pengguna ke konsol (gabungan) setelah pengguna melakukan autentikasi. Untuk melakukannya, Anda harus mengonfigurasi URL alihan dan menyetelnya di konfigurasi IdP Anda.
Untuk membuat URL alihan, lakukan hal berikut:
Bagikan nama penyedia kumpulan identitas tenaga kerja dengan pengguna Anda. Formatnya seperti berikut:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_IDGanti kode berikut:
WORKFORCE_POOL_ID: ID kumpulan identitas tenaga kerja.WORKFORCE_PROVIDER_ID: ID penyedia identitas tenaga kerja.
Buat URL pengalihan. Formatnya seperti berikut:
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAMEGanti
WORKFORCE_POOL_PROVIDER_NAMEdengan nama penyedia kumpulan identitas tenaga kerja dari langkah sebelumnya.Konfigurasikan IdP Anda dengan URL alihan.
Di IdP, masukkan URL alihan. Kolom tempat Anda memasukkan URL dapat bervariasi.
OIDC
Di IdP Anda, kolom ini mungkin disebut
Redirect URLatauCallback URL.IdP Anda mengirimkan token respons dan nama ke URL ini.
SAML
Di IdP Anda, kolom ini mungkin disebut
Single sign-on URLatauSAML assertion consumer service (ACS) URL.IdP Anda memposting pernyataan SAML ke URL ini.
Jika Anda ingin mengaktifkan login yang dimulai IdP dengan penyedia SAML, masukkan URL berikut di setelan
Default RelayState, atau yang setara. IdP mengalihkan pengguna ke URL ini setelah pengguna berhasil melakukan autentikasi:https://console.cloud.google/
Memberi tahu pengguna Anda cara login
Bagian ini menjelaskan berbagai cara yang dapat dilakukan pengguna Anda untuk login ke konsol (gabungan).
Memulai proses login menggunakan link SSO
Untuk memulai proses login dengan IdP, Anda dapat membagikan link kepada pengguna yang akan mengalihkan mereka ke IdP Anda tanpa meminta nama penyedia. Setelah berhasil login, pengguna akan otomatis dialihkan ke konsol (gabungan).
Untuk menggunakan metode ini, kirim link login berikut ke pengguna Anda:
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
Memulai proses login menggunakan konsol (gabungan)
Untuk memulai proses login di konsol (gabungan), lakukan langkah berikut:
Berikan nama penyedia kumpulan identitas tenaga kerja Anda kepada pengguna yang dijelaskan sebelumnya dalam dokumen ini.
Berikan link berikut ke konsol (gabungan) kepada pengguna Anda:
https://console.cloud.google/
Saat pengguna Anda pertama kali mengakses konsol (gabungan), mereka akan diminta untuk memasukkan nama penyedia kumpulan identitas tenaga kerja. Kemudian, pengguna akan dialihkan ke IdP Anda untuk melakukan autentikasi. Setelah melakukan autentikasi, mereka akan dialihkan kembali ke konsol (gabungan).
Menggunakan login yang dimulai dengan IdP SAML
Spesifikasi SAML menentukan alur yang disebut login yang dimulai IdP, tempat pengguna memulai proses login di IdP. Jika IdP Anda mendukung alur ini, Anda dapat membagikan detailnya kepada pengguna.
Menggunakan konsol (gabungan) vs Konsol Google Cloud
Konsol (gabungan) menyediakan akses terbatas hanya ke produk Google Cloud yang mendukung workforce identity federation. Oleh karena itu, saat menggunakan konsol (gabungan), Anda akan melihat produk Google Cloud dalam jumlah terbatas, dan UI produk itu sendiri mungkin memiliki batasan lebih lanjut saat dilihat di konsol (gabungan).
Untuk mempelajari lebih lanjut produk yang mendukung workforce identity federation dan batasan terkait, lihat Workforce identity federation: produk dan batasan yang didukung.
Sebagai perbandingan, Konsol Google Cloud dapat memberikan akses penuh ke semua produk dan fitur, bergantung pada peran yang diberikan kepada pengguna.