Cette page explique comment configurer l'accès des utilisateurs au service Backup and DR avec la fédération des identités des employés.
La fédération d'identité du personnel vous permet d'utiliser un fournisseur d'identité (IdP) externe pour authentifier et autoriser du personnel (un groupe d'utilisateurs tels que des employés, des partenaires et des sous-traitants) à l'aide d'IAM, afin que les utilisateurs puissent accéder aux services Google Cloud .
Si la fédération d'identité de personnel est configurée dans votre projet, les utilisateurs de votre personnel peuvent accéder aux éléments suivants :
- Service Backup and DR dans la consoleGoogle Cloud
- Console de gestion
Configurer l'accès au service Backup and DR avec la fédération d'identité de personnel
Cette section explique comment configurer l'accès au service Backup and DR pour les utilisateurs de la fédération d'identité des employés.
Configurer votre fournisseur d'identité
Utilisez le guide Configurer la fédération des identités des employés pour configurer la fédération des identités des employés pour votre fournisseur d'identité.
Attribuer des rôles IAM aux utilisateurs de la fédération d'identité des employés
Dans Identity and Access Management (IAM), accordez des rôles IAM à des ensembles d'utilisateurs de la fédération d'identité des employés afin qu'ils puissent accéder au service Backup and DR et à la console de gestion pour protéger les charges de travail :
- Pour obtenir la liste des rôles spécifiques au service Backup and DR, consultez Attribuer des rôles aux utilisateurs.
- Pour savoir comment attribuer ces rôles à des utilisateurs externes, consultez Attribuer des rôles IAM à des comptes principaux.
- Pour connaître les formats utilisés pour représenter les utilisateurs de la fédération des identités des employés dans les stratégies IAM, consultez Représenter les utilisateurs de pools de personnel dans les stratégies IAM.
Le service de sauvegarde et de reprise après sinistre traite les utilisateurs de la fédération des identités des employés de la même manière que les utilisateurs de comptes Google. Au lieu d'une adresse e-mail, un identifiant principal est utilisé.
Accéder à la page du service Backup and DR dans la console Google Cloud
La console de fédération d'identité de personnel Google Cloud permet d'accéder à la page du service de sauvegarde et de reprise après sinistre.
Sur la page Service Backup and DR de la console de fédération d'identité de personnel Google Cloud, vous pouvez déployer la console de gestion et les appliances de sauvegarde/récupération, et afficher les journaux du service Backup and DR. Vous pouvez également accéder à la console de gestion pour sauvegarder des ressources.
Accéder à la console de gestion
Les utilisateurs de la fédération des identités des employés accèdent à la console de gestion via une URL différente de celle des utilisateurs gérés par Google :
L'URL pour les utilisateurs de la fédération d'identité de personnel est la suivante :
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.byoid.googleusercontent.com/
L'URL des comptes utilisateur gérés Google est
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com/
Seuls les utilisateurs authentifiés avec des identités externes peuvent accéder à l'URL des identités externes. Si un utilisateur accède à l'URL des identités externes sans être connecté, il est d'abord redirigé vers le portail d'authentification où il spécifie le nom de son fournisseur de pool d'employés. Ils sont ensuite redirigés vers leur fournisseur d'identité pour se connecter, puis vers la console de gestion.
Les utilisateurs de la fédération des identités des employés ne peuvent pas accéder directement à la console de gestion à l'aide de l'URL partagée par les utilisateurs gérés par Google. Pour accéder à la console de gestion en tant qu'utilisateur de la fédération des identités des employés, mettez à jour manuellement le lien vers l'URL des utilisateurs de la fédération des identités des employés.