本指南說明如何從身分識別提供者 (IdP) 設定「員工身分聯盟」控制台 (又稱「控制台 (聯合)」) 的存取權,以及如何為使用者提供存取說明。Google Cloud
事前準備
在 Google Cloud 機構中設定員工身分聯盟,包括員工身分集區和員工身分集區提供者。或者,如果您使用下列其中一個 IdP,請參閱 IdP 專屬指南瞭解詳情:
請記下工作團隊身分集區提供者名稱,以便在後續的指南中使用。
在 IdP 中設定重新導向網址
您可以設定 IdP,在使用者通過驗證後發布 IdP 回應,並將使用者重新導向至控制台 (聯合)。如要這麼做,請設定重新導向網址,並在 IdP 設定中設定該網址。
如要建立重新導向網址,請按照下列步驟操作:
將工作團隊身分集區提供者的名稱告知使用者。 格式如下:
locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID更改下列內容:
WORKFORCE_POOL_ID:工作團隊身分集區 ID。WORKFORCE_PROVIDER_ID:員工身分供應商 ID。
建立重新導向網址。格式如下:
https://auth.cloud.google/signin-callback/WORKFORCE_POOL_PROVIDER_NAME將
WORKFORCE_POOL_PROVIDER_NAME替換為上一步中的工作團隊身分集區提供者名稱。使用重新導向網址設定 IdP。
在 IdP 中輸入重新導向網址。輸入網址的欄位可能有所不同。
OIDC
在 IdP 中,這個欄位可能稱為
Redirect URL或Callback URL。您的 IdP 會將回應和名稱權杖傳送至這個網址。
SAML
在 IdP 中,這個欄位可能稱為
Single sign-on URL或SAML assertion consumer service (ACS) URL。您的 IdP 會將 SAML 聲明發布至這個網址。
如要透過 SAML 提供者啟用 IdP 啟動的登入程序,請在
Default RelayState設定或對等設定中輸入下列網址。使用者順利通過驗證之後,IdP 服務會將使用者帶往這個網址:https://console.cloud.google/
通知使用者如何登入
本節說明使用者登入控制台 (已同盟) 的不同方式。
使用單一登入連結啟動登入程序
如要透過 IdP 啟動登入程序,您可以將連結提供給使用者,將他們重新導向至您的 IdP,而不必提示他們輸入提供者名稱。使用者成功登入後,系統會自動將他們重新導向至控制台 (聯合)。
如要使用這種方法,請將下列登入連結傳送給使用者:
https://auth.cloud.google/signin/WORKFORCE_POOL_PROVIDER_NAME?continueUrl=https://console.cloud.google/
使用控制台 (聯合) 啟動登入程序
如要在控制台 (已聯合) 啟動登入程序,請按照下列步驟操作:
向使用者提供工作團隊身分集區提供者名稱,如本文稍早所述。
請提供下列連結給使用者,讓他們前往控制台 (聯合):
https://console.cloud.google/
使用者首次存取控制台 (已啟用聯盟) 時,系統會提示他們輸入工作團隊身分集區提供者名稱。接著,系統會將他們重新導向至 IdP 進行驗證。驗證完成後,系統會將他們重新導向控制台 (聯合)。
使用 SAML IdP 啟動的登入程序
SAML 規格定義的流程稱為「IdP 啟動的登入」,使用者會在 IdP 啟動登入程序。如果 IdP 支援這項流程,您可以與使用者分享詳細資料。
使用控制台 (已同盟) 與 Google Cloud 控制台
主控台 (已啟用聯盟) 僅提供對 Google Cloud 支援員工身分聯盟的產品的有限存取權。因此,使用控制台 (聯盟) 時,您會看到數量有限的 Google Cloud產品,且在控制台 (聯盟) 中查看產品 UI 時,可能還會遇到其他限制。
如要進一步瞭解支援員工身分聯盟的產品和相關限制,請參閱「身分聯盟:支援的產品和限制」。
相較之下, Google Cloud 管理中心可根據授予使用者的角色,提供所有產品和功能的完整存取權。