背景
員工身分聯盟可讓您使用外部識別資訊提供者 (IdP) 驗證工作團隊員工、合作夥伴和承包商,並授權他們存取 Google Cloud 服務。
如果專案中已設定員工身分聯盟,外部身分使用者可以透過 Google Cloud 控制台、Google Cloud CLI 和 Dataproc API 存取大部分的 Dataproc 資源和功能,但下列項目除外:
- Dataproc 元件閘道
- Dataproc on GKE
- Dataproc 個人驗證
- 以 Dataproc 服務帳戶為基礎的多用戶群安全架構
- 批次和工作詳細資料頁面的「輸出」部分,以及 Google Cloud 控制台叢集和工作清單頁面的「建議的快訊」部分。
搭配 Dataproc Component Gateway 使用員工身分聯盟
請按照「設定員工身分聯盟」指南設定員工身分聯盟。
將
dataproc.clusters.use角色授予外部身分使用者,允許存取 Dataproc 元件閘道 (請參閱「將 IAM 角色授予主體」)。- 如要瞭解如何在 IAM 政策中表示外部身分,請參閱「在 IAM 政策中表示員工集區使用者」。
存取叢集網路介面
請參閱「查看及存取元件閘道網址」,並注意外部身分使用者有下列差異:
只有通過外部身分驗證的使用者,才能存取外部身分網址。如果使用者在未登入的情況下造訪外部身分網址,系統會將他們重新導向至驗證入口,並要求指定工作團隊集區提供者名稱。接著,系統會將他們重新導向至身分識別供應商登入。然後重新導向至元件網頁介面。
外部身分網址的格式如下:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
後續步驟
- 使用 Dataproc 元件建立叢集。