背景
透過員工身分聯盟功能,您可以使用外部識別資訊提供者 (IdP) 的服務驗證及授權員工、合作夥伴與承包商存取 Google Cloud 服務。
如果在專案中設定員工身分聯盟功能,外部身分使用者即可以透過 Google Cloud 控制台、Google Cloud CLI 和 Dataproc API 存取大部分的 Dataproc 資源和功能,但下列項目除外:
- Dataproc 元件閘道
- Dataproc on GKE
- Dataproc 個人驗證
- 以 Dataproc 服務帳戶為基礎的多租戶架構
- 批次和工作詳細資料頁面的「Output」(輸出) 區段,以及 Google Cloud 控制台叢集和工作清單頁面的「Recommended Alerts」(建議的快訊) 區段。
搭配 Dataproc 元件閘道使用員工身分聯盟
請按照「設定員工身分聯盟」指南設定員工身分聯盟。
將
dataproc.clusters.use角色授予外部身分使用者,允許存取 Dataproc 元件閘道 (請參閱「將 IAM 角色授予主體」)。- 如需瞭解如何在 IAM 政策中代表外部身分,請參閱「在 IAM 政策中代表員工集區使用者」。
存取叢集網路介面
請參閱「查看及存取元件閘道網址」,並注意外部身分使用者有以下差異:
使用者必須通過外部身分驗證,才能存取外部身分網址。如果使用者未登入即造訪外部身分網址,系統會重新導向至驗證入口網站,並要求他們指定員工集區提供者名稱。接著,系統會將他們重新導向至識別資訊提供者系統進行登入,然後重新導向至元件網頁介面。
外部身分網址的格式如下:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
後續步驟
- 使用 Dataproc 元件建立叢集。