设置用户对控制台（联合）的访问权限

本指南介绍了如何通过身份提供方 (IdP) 设置对Google Cloud 员工身份联合控制台（也称为控制台 [联合]）的访问权限，并说明如何为用户提供访问权限说明。

准备工作

在您的 Google Cloud 组织中配置员工身份联合，包括员工身份池和员工身份池提供方。或者，如果您使用以下 IdP 之一，请参阅 IdP 特定指南了解详情：
- 配置基于 Microsoft Entra ID 的员工身份联合
- 配置基于 Okta 的员工身份联合
记下员工身份池提供方名称，您将在本指南的后面部分用到该名称。

您可以配置 IdP，以发布 IdP 响应，并在用户进行身份验证后将用户重定向到控制台（联合）。为此，您必须配置重定向网址并在 IdP 配置中对其进行设置。

如需创建重定向网址，请执行以下操作：

与用户共享员工身份池提供商的名称。其格式如下所示：
```
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
替换以下内容：
- WORKFORCE_POOL_ID：员工身份池 ID。
- WORKFORCE_PROVIDER_ID：员工身份提供方 ID。
创建重定向网址。其格式如下所示：
```
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME
```
将 WORKFORCE_POOL_PROVIDER_NAME 替换为上一步中的员工身份池提供方名称。
使用重定向网址配置 IdP。

在 IdP 中，输入重定向网址。需要在其中输入网址的字段可能会有所不同。
OIDC
在 IdP 中，该字段可能称为 Redirect URL 或 Callback URL。

IdP 会将响应和名称令牌发送到此网址。
SAML
在 IdP 中，该字段可能称为 Single sign-on URL 或 SAML assertion consumer service (ACS) URL。

IdP 会将 SAML 断言发布到此网址。

如果要通过 SAML 提供商启用 IdP 发起的登录，请在 Default RelayState 设置或其等效字段中输入以下网址。用户成功进行身份验证后，IdP 会将用户重定向到此网址：
```
https://console.cloud.google/
```

本部分介绍了用户登录控制台（联合）的不同方式。

如需通过 IdP 启动登录过程，您可以与用户共享一个链接，该链接会将用户重定向到 IdP，而不会提示用户输入提供商名称。用户成功登录后，系统会自动将他们重定向到控制台（联合）。

如需使用此方法，请将以下登录链接发送给用户：

https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/

如需在控制台（联合）中启动登录过程，请执行以下操作：

当用户首次访问控制台（联合）时，系统会提示他们输入员工身份池提供方名称。然后，用户会重定向到 IdP 进行身份验证。进行身份验证后，用户会重定向回控制台（联合）。

SAML 规范定义了一个名为 IdP 发起的登录的流程，通过该流程，用户会在 IdP 处发起登录过程。如果 IdP 支持此流程，您可以与用户共享详细信息。

控制台（联合）仅提供对支持员工身份联合的 Google Cloud 产品的有限访问权限。因此，在使用控制台（联合）时，您会看到有限数量的 Google Cloud产品，并且产品界面本身在控制台（联合）中查看时可能存在进一步限制。

如需详细了解支持员工身份联合的产品及相关限制，请参阅身份联合：支持的产品和限制。

相比之下，Google Cloud 控制台可以提供对所有产品和功能的完整访问权限，具体取决于为用户授予的角色。