איך להגדיר גישה של משתמש למסוף (המאוחד)

במדריך הזה מוסבר איך להגדיר את הגישה לGoogle Cloud מסוף איחוד שירותי אימות הזהות של כוח העבודה, שנקרא גם המסוף (המאוחד), מתוך ספק הזהויות (IdP), ואיך לתת הוראות גישה למשתמשים.

לפני שמתחילים

1. מגדירים את איחוד שירותי אימות הזהות של כוח עבודה בארגון Google Cloud , כולל מאגר זהויות של כוח עבודה וספק של מאגר זהויות של כוח עבודה. לחלופין, אם משתמשים באחד מה-IdP הבאים, אפשר למצוא מידע נוסף במדריכים שספציפיים ל-IdP:

   • הגדרה של איחוד שירותי אימות הזהות של כוח עבודה שמבוסס על Microsoft Entra ID
   • הגדרה של איחוד שירותי אימות הזהות של כוח עבודה שמבוסס על Okta

2. ציינו את שם הספק של מאגר הזהויות של כוח העבודה, שבו תשתמשו בהמשך המדריך.

הגדרת כתובות URL להפניה אוטומטית ב-IdP

אפשר להגדיר את ה-IdP כך שישלח תגובת IdP ויפנה את המשתמשים למסוף (המאוחד) אחרי שעברו אימות. לשם כך, חייבים להגדיר כתובת URL להפניה אוטומטית ולהזין אותה בתצורה של ה-IdP.

כדי ליצור את כתובת ה-URL להפניה אוטומטית, צריך לבצע את השלבים הבאים:

1. משתפים את השם של ספק מאגר הזהויות של כוח העבודה עם המשתמשים שלכם. זה צריך להיות בפורמט הזה:

   locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה.
   • WORKFORCE_PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה.

2. יוצרים את כתובת ה-URL להפניה אוטומטית. זה צריך להיות בפורמט הזה:

   https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

3. מגדירים את ה-IdP עם כתובת ה-URL להפניה אוטומטית.

   מזינים ב-IdP את כתובת ה-URL להפניה אוטומטית. השדה שבו מזינים את כתובת ה-URL יכול להשתנות.

   OIDC

   יכול להיות ששם השדה ב-IdP יהיה Redirect URL או Callback URL.

   ה-IdP שולח את התגובה ואת אסימון השם לכתובת ה-URL הזו.

   SAML

   יכול להיות ששם השדה ב-IdP יהיה Single sign-on URL או SAML assertion consumer service (ACS) URL.

   ה-IdP שולח את טענת הנכוֹנוּת (assertion) של SAML לכתובת ה-URL הזו.

   אם רוצים להפעיל התחברות יזומה של IdP באמצעות ספק ה-SAML שלכם, מזינים את כתובת ה-URL הבאה בהגדרה Default RelayState, או במקבילה שלה. ה-IdP מפנה את המשתמשים לכתובת ה-URL הזו אחרי שעברו אימות:

   https://console.cloud.google/
   

הדרכת המשתמשים על דרכי הכניסה

בקטע הזה מתוארות הדרכים השונות שבהן המשתמשים יכולים להיכנס למסוף (המאוחד).

התחלת תהליך הכניסה באמצעות קישור ל-SSO

כדי להתחיל את תהליך הכניסה עם ה-IdP, אפשר לשתף עם המשתמשים קישור שמפנה אותם אוטומטית ל-IdP בלי לבקש מהם את שם הספק. אחרי שהמשתמשים יתחברו, הם יופנו אוטומטית למסוף (המאוחד).

כדי להשתמש בשיטה זו, צריך לשלוח למשתמשים את קישור ההתחברות הבא:

https://auth.cloud.google/signin/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID?continueUrl=https://console.cloud.google/

התחלת תהליך הכניסה באמצעות המסוף (המאוחד)

כדי להתחיל את תהליך הכניסה במסוף (המאוחד):

1. מעבירים למשתמשים את השם של הספק של מאגר הזהויות של כוח העבודה, כפי שמתואר למעלה במסמך.

2. מעבירים למשתמשים את הקישור הבא למסוף (המאוחד):

   https://console.cloud.google/
   

כשהמשתמשים ייכנסו בפעם הראשונה למסוף (המאוחד) הם יתבקשו להזין את שם הספק של מאגר הזהויות של כוח העבודה. לאחר מכן, הם יופנו ל-IdP לצורך אימות. אחרי האימות, הם יופנו בחזרה למסוף (המאוחד).

כניסה ביוזמת IdP באמצעות SAML

במפרט ה-SAML מוגדר תהליך שנקרא כניסה ביוזמת IdP, שבו המשתמשים יוזמים את תהליך הכניסה ב-IdP. אם ה-IdP שלך תומך בתהליך הזה, אפשר לשתף את הפרטים עם המשתמשים.

שימוש במסוף (המאוחד) לעומת Google Cloud המסוף

המסוף (המאוחד) מספק גישה מוגבלת רק למוצרי Google Cloud שתומכים באיחוד שירותי אימות הזהות של כוח העבודה. לכן, כשמשתמשים במסוף (המאוחד), רואים מספר מוגבל של מוצרים, ויכול להיות שקיימות מגבלות נוספות בממשק המשתמש של המוצר בזמן הצפייה במסוף (המאוחד). Google Cloud

מידע נוסף על מוצרים שתומכים באיחוד שירותי אימות הזהויות של כוח העבודה ועל מגבלות קשורות אפשר לקרוא במאמר איחוד שירותי אימות הזהויות: מוצרים נתמכים ומגבלות.

לעומת זאת, במסוף Google Cloud אפשר לקבל גישה מלאה לכל המוצרים והתכונות, בהתאם לתפקידים שהוקצו למשתמשים.

המאמרים הבאים

• איחוד שירותי אימות הזהויות: מוצרים נתמכים ומגבלות