本页面介绍了如何使用员工身份联合为 Backup and DR 服务配置用户访问权限。
借助员工身份联合,您可以使用外部身份提供方 (IdP) 通过 IAM 对员工(一组用户,例如员工、合作伙伴和承包商)进行身份验证和授权,以便用户能够访问 Google Cloud 服务。
如果您的项目中配置了员工身份联合,您工作场所中的用户可以访问以下内容:
- Google Cloud 控制台中的 Backup and DR 服务
- 管理控制台
通过员工身份联合设置对 Backup and DR Service 的访问权限
本部分介绍了如何为员工身份联合用户配置对 Backup and DR 服务的访问权限。
配置身份提供商
按照配置员工身份联合指南为您的身份提供方配置员工身份联合。
向员工身份联合用户授予 IAM 角色
在 Identity and Access Management (IAM) 中,向一组员工身份联合用户授予 IAM 角色,以便他们可以访问 Backup and DR 服务和管理控制台来保护工作负载:
- 如需查看 Backup and DR 服务特有的角色列表,请参阅向用户授予角色。
- 如需了解如何向外部用户分配这些角色,请参阅向主账号授予 IAM 角色。
- 如需了解用于在 IAM 政策中表示员工身份联合用户的格式,请参阅在 IAM 政策中表示员工池用户。
Backup and DR Service 处理员工身份联合用户的方式与处理 Google 账号用户的方式相同,即使用主账号标识符(而非电子邮件地址)。
在 Google Cloud 控制台中访问“Backup and DR Service”页面
Google Cloud 员工身份联合控制台可提供对“备份和灾难恢复服务”页面的访问权限。
在 Google Cloud Workforce Identity Federation 控制台的 Backup and DR Service 页面中,您可以部署管理控制台、备份/恢复设备,并查看 Backup and DR Service 日志。您还可以访问管理控制台来备份资源。
访问管理控制台
员工身份联合用户通过与 Google 管理的用户不同的网址访问管理控制台,如下所示:
员工身份联合用户的网址为
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.byoid.googleusercontent.com/
Google 托管用户账号的网址为
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com/
只有经过外部身份验证的用户才能访问外部身份的网址。如果用户在未登录的情况下访问外部身份网址,系统会先将其重定向到身份验证门户,用户可以在其中指定其员工池提供方名称。然后,系统会将用户重定向到其身份提供方进行登录,最后再将用户重定向到管理控制台。
员工身份联合用户无法直接使用 Google 管理的用户分享的网址访问管理控制台。如需以员工身份联合用户的身份访问管理控制台,请手动将链接更新为员工身份联合用户的网址。