Workforce Identity Federation

Dengan Workforce Identity Federation, pengguna di penyedia identitas (IdP) eksternal Anda dapat menggunakan single sign-on (SSO) untuk mengakses resource Google Cloud .

Apa yang dimaksud dengan Workforce Identity Federation?

Workforce Identity Federation memungkinkan Anda menggunakan penyedia identitas (IdP) eksternal untuk mengautentikasi tenaga kerja Anda—pengguna dan grup pengguna, seperti karyawan, partner, dan kontraktor. Kemudian, pengguna Anda dapat mengakses Google Cloud menggunakan single sign-on (SSO), melalui IdP Anda. Anda dapat menggunakan kebijakan Identity and Access Management (IAM) untuk memberi otorisasi pengguna tenaga kerja Anda untuk mengakses Google Cloud layanan.

Federasi versus sinkronisasi

Workforce Identity Federation menggabungkan identitas dari IdP Anda, sehingga tidak menyimpan akun pengguna di Google Cloud. Oleh karena itu, Workforce Identity Federation tidak memerlukan sinkronisasi, yang berarti Anda tidak perlu menggunakan alat untuk menyinkronkan identitas pengguna dari IdP Anda ke identitas yang dikelola Google yang memerlukan Akun Google. Misalnya, dengan menggunakan Workforce Identity Federation, Anda tidak perlu menggunakan Google Cloud Directory Sync (GCDS) di Cloud Identity.

Workforce Identity Federation versus Workload Identity Federation

Workforce Identity Federation menggabungkan identitas pengguna, sedangkan Workload Identity Federation menggabungkan identitas beban kerja.

Untuk mengetahui informasi selengkapnya, lihat Workload Identity Federation.

Akses berbasis atribut

Workforce Identity Federation memperluas kemampuan identitas Google Clouduntuk mendukung akses berbasis atribut. Di beberapa IdP, atribut juga dikenal sebagai klaim atau pernyataan.

Setelah autentikasi pengguna, atribut yang diterima dari IdP akan digunakan untuk menentukan cakupan akses ke resource Google Cloud .

Protokol yang didukung

Anda dapat menggunakan Workforce Identity Federation dengan IdP apa pun yang mendukung OpenID Connect (OIDC) atau SAML 2.0, seperti Microsoft Entra ID, Active Directory Federation Services (AD FS), Okta, dan lainnya.

Konsep utama

Bagian ini menjelaskan konsep utama Workforce Identity Federation.

Kumpulan identitas tenaga kerja

Kumpulan identitas tenaga kerja dapat digunakan untuk mengelola kelompok identitas tenaga kerja dan akses mereka ke Google Cloud resource.

Kumpulan memungkinkan Anda melakukan hal berikut:

  • Mengelompokkan identitas pengguna; misalnya, employees atau partners
  • Memberikan akses IAM ke seluruh kumpulan atau subset-nya.
  • Menggabungkan identitas dari satu atau beberapa IdP.
  • Menentukan kebijakan pada grup pengguna yang memerlukan izin akses serupa.
  • Menentukan informasi konfigurasi khusus IdP, termasuk pemetaan atribut dan kondisi atribut.
  • Mengaktifkan akses API dan Google Cloud CLI untuk identitas pihak ketiga.
  • Akses log oleh pengguna dalam kumpulan ke Cloud Audit Logs, bersama dengan ID kumpulan.

Anda dapat membuat beberapa kumpulan. Untuk contoh yang menjelaskan satu pendekatan tersebut, lihat Contoh: Beberapa kumpulan identitas tenaga kerja.

Kumpulan dikonfigurasi di Google Cloud tingkat organisasi, yang mendorong pertimbangan berikut:

  • Saat pertama kali menyiapkan Workforce Identity Federation untuk organisasi, berikan nama unik untuk kumpulan tersebut. Nama harus unik di semua kumpulan dalam organisasi, dan harus menjelaskan identitas yang dikandungnya dengan jelas.
  • Jika Anda memiliki izin IAM yang sesuai untuk melihat kumpulan, kumpulan tersebut dapat dirujuk berdasarkan namanya di semua project dan folder dalam organisasi.

Penyedia kumpulan identitas tenaga kerja

Penyedia kumpulan identitas tenaga kerja adalah entitas yang menjelaskan hubungan antara Google Cloud organisasi dan IdP Anda.

Workforce Identity Federation mengikuti spesifikasi OAuth 2.0 Token Exchange (RFC 8693). Anda memberikan kredensial dari penyedia identitas eksternal ke Layanan Token Keamanan, yang memverifikasi identitas dalam kredensial, lalu menampilkan token akses Google Cloud yang memiliki masa aktif singkat sebagai gantinya.

Jenis alur OIDC

Untuk penyedia OIDC, Workforce Identity Federation mendukung alur kode otorisasi dan alur implisit. Alur kode otorisasi dianggap yang paling aman, karena token ditampilkan dari IdP dalam transaksi backend yang terpisah dan aman, langsung dari IdP ke Google Cloud, setelah pengguna melakukan autentikasi. Oleh karena itu, transaksi alur kode dapat mengambil token dari berbagai ukuran, sehingga Anda dapat memiliki lebih banyak klaim untuk digunakan untuk pemetaan atribut dan kondisi atribut. Dalam alur implisit, sebagai perbandingan, Token ID ditampilkan dari IdP ke browser. Token tunduk pada batas ukuran URL browser individual.

Google Cloud Konsol Workforce Identity Federation

Pengguna dalam kumpulan identitas tenaga kerja dapat mengakses konsol Workforce Identity Federation, yang juga dikenal sebagai konsol (gabungan). Google Cloud Konsol ini memberi pengguna akses UI ke Google Cloud produk yang mendukung Workforce Identity Federation.

Dukungan SCIM

Jika IdP Anda mendukung System for Cross-domain Identity Management (SCIM), Anda dapat mengonfigurasi IdP untuk menyediakan dan mengelola grup di Google Cloud.

Tenant SCIM Workforce Identity Federation mendukung berbagi di Gemini Enterprise. Setelah Anda mengonfigurasi tenant SCIM di aplikasi IdP dan di Workforce Identity Federation, pengguna Gemini Enterprise dapat membagikan notebook NotebookLM kepada grup menggunakan nama grup, bukan ID objek (UUID). Untuk mempelajari lebih lanjut cara berbagi notebook dengan grup, lihat Membagikan notebook dengan grup.

Saat Anda menggunakan dukungan SCIM Workforce Identity Federation, pertimbangan berikut berlaku:

  • Anda harus menyiapkan workforce identity pool dan penyedia sebelum mengonfigurasi tenant SCIM.
  • Setiap workforce identity pool hanya mendukung satu tenant SCIM. Untuk mengonfigurasi tenant SCIM baru di workforce identity pool yang sama, Anda harus menghapus tenant yang ada terlebih dahulu. Saat menghapus tenant SCIM, Anda memiliki dua opsi:
    • Penghapusan Sementara (Default): Menghapus tenant SCIM akan memulai periode penghapusan sementara selama 30 hari. Selama waktu ini, tenant disembunyikan dan tidak dapat digunakan, dan Anda tidak dapat membuat tenant SCIM baru di workforce identity pool yang sama.
    • Penghapusan Permanen: Untuk menghapus tenant SCIM secara permanen dan langsung, gunakan flag --hard-delete dengan perintah penghapusan. Tindakan ini tidak dapat diurungkan dan memungkinkan Anda membuat tenant SCIM baru di workforce identity pool yang sama segera setelah penghapusan selesai.
    Atau, Anda dapat membuat kumpulan identitas tenaga kerja baru dan tenant SCIM baru atau menggunakan kumpulan identitas tenaga kerja yang sebelumnya belum dikonfigurasi dengan tenant SCIM.
  • Saat menggunakan SCIM, Anda memetakan atribut di penyedia workforce identity pool dan tenant SCIM. Atribut `google.subject` harus merujuk secara unik ke identitas yang sama. Anda menentukan `google.subject` di penyedia kumpulan identitas tenaga kerja menggunakan flag --attribute-mapping dan di tenant SCIM menggunakan flag --claim-mapping. Nilai identitas yang tidak unik yang dipetakan dengan cara ini dapat menyebabkan identitas yang berbeda di IdP Anda diperlakukan sebagai identitas yang sama di Google Cloud. Akibatnya, akses yang diberikan ke satu identitas pengguna atau grup juga dapat diterapkan ke identitas lain, dan mencabut akses untuk satu identitas mungkin tidak mencabutnya untuk semua identitas, sehingga beberapa identitas masih memiliki akses.
  • Untuk menggunakan SCIM guna memetakan grup, tetapkan `--scim-usage=enabled-for-groups`. Saat Anda memetakan grup menggunakan SCIM, pemetaan grup apa pun yang ditentukan di penyedia workforce identity pool akan diabaikan. Saat merujuk ke grup yang dikelola SCIM, atribut yang dipetakan adalah `google.group`, bukan `google.groups`. `google.groups` hanya merujuk ke grup yang dipetakan token.
  • Saat menggunakan SCIM, atribut berbasis token yang dipetakan dengan `--attribute-mapping` masih dapat digunakan untuk autentikasi dan di ID principal.
  • Untuk konfigurasi Microsoft Entra ID, Anda tidak boleh menggunakan tanda --extended-attributes saat membuat penyedia workforce identity pool.

Kemampuan SCIM

Google Cloud Implementasi SCIM Workforce Identity Federation mendukung fitur dan operasi berikut:

  • /Users: Operasi yang didukung adalah Create, Get, Update, Delete, Patch, dan Put.
  • /Groups: Operasi yang didukung adalah Create, Get, Update, Delete, dan Patch. Operasi Patch mendukung pembaruan properti atau keanggotaan Grup.
  • /Schemas
  • /ServiceProviderConfig

Batasan

Fitur berikut tidak didukung:

  • /Me
  • /Bulk
  • /Search
  • /ResourceTypes
  • /Groups: Operasi Put.

Atribut

IdP Anda menyediakan atribut, yang disebut oleh beberapa IdP sebagai klaim. Atribut berisi informasi tentang pengguna Anda. Anda dapat menggunakan atribut ini dalam pemetaan atribut dan kondisi atribut.

Pemetaan atribut

Anda dapat memetakan atribut ini untuk digunakan oleh Google Cloud menggunakan Common Expression Language (CEL).

Bagian ini menjelaskan kumpulan atribut wajib dan opsional yang disediakan olehGoogle Cloud .

Anda juga dapat menentukan atribut khusus di IdP yang kemudian dapat digunakan oleh produk Google Cloud tertentu; misalnya dalam kebijakan izin IAM.

Ukuran maksimum untuk pemetaan atribut adalah 16 KB. Jika ukuran pemetaan atribut melebihi batas 16 KB, upaya login akan gagal.

Atribut tersebut adalah sebagai berikut:

  • google.subject (Wajib): ID unik untuk pengguna yang melakukan autentikasi. Hal ini sering kali menjadi pernyataan subjek JWT, karena log Cloud Audit Logs mencatat konten kolom ini sebagai akun utama. Anda dapat menggunakan kolom ini untuk mengonfigurasi IAM untuk keputusan otorisasi. Sebaiknya Anda tidak menggunakan nilai yang dapat diubah karena jika Anda mengubah nilai di direktori pengguna IdP, pengguna akan kehilangan akses.

    Panjang maksimum adalah 127 byte.

  • google.groups (Opsional): kumpulan grup tempat pengguna yang melakukan autentikasi menjadi anggota. Anda dapat mengonfigurasi ekspresi logika menggunakan subset CEL yang menghasilkan array string. Anda juga dapat menggunakan kolom ini untuk mengonfigurasi IAM untuk keputusan otorisasi. Batasan untuk google.groups adalah sebagai berikut:

    • Sebaiknya batasi nama grup hingga 40 karakter.

    • Jika satu pengguna tergabung dalam lebih dari 400 grup, upaya login pengguna tersebut akan gagal. Untuk mengatasi hal ini, Anda harus menentukan kumpulan grup yang lebih kecil dalam pernyataan, dan memetakan hanya grup yang digunakan untuk menggabungkan pengguna ke Google Cloud.

    • Jika Anda menggunakan atribut ini untuk memberikan akses di IAM, setiap anggota dalam grup yang dipetakan akan diberi akses. Oleh karena itu, sebaiknya Anda memastikan bahwa hanya pengguna yang diizinkan di organisasi Anda yang dapat mengubah keanggotaan grup yang dipetakan.

  • google.display_name (Opsional): atribut yang digunakan untuk menetapkan nama pengguna yang login di konsol Google Cloud . Atribut ini tidak dapat digunakan dalam kebijakan izin IAM atau dalam kondisi atribut.

    Panjang maksimum adalah 100 byte.

  • google.profile_photo (Opsional): URL foto thumbnail pengguna. Sebaiknya foto berukuran 400x400 piksel. Jika atribut ini ditetapkan, gambar akan terlihat sebagai foto profil pengguna di konsol Google Cloud . Jika nilai ini tidak ditetapkan, atau tidak dapat diambil, ikon pengguna umum akan ditampilkan. Atribut ini tidak dapat digunakan dalam kebijakan izin IAM atau dalam kondisi atribut.

  • google.posix_username (Opsional): string nama pengguna unik yang mematuhi POSIX yang digunakan untuk hal berikut:

    Atribut ini tidak dapat digunakan dalam kebijakan izin IAM atau dalam kondisi atribut. Panjang maksimum adalah 32 karakter.

  • google.email (Opsional): atribut yang digunakan untuk memetakan alamat email pengguna gabungan yang login dari IdP ke produk yang Anda integrasikan menggunakan Integrasi klien OAuth Federasi Identitas Tenaga Kerja. Atribut ini tidak dapat digunakan dalam kebijakan izin IAM atau dalam kondisi atribut.

    Misalnya, untuk memetakan alamat email dari Okta menggunakan protokol OIDC, sertakan google.email=assertion.email dalam pemetaan atribut Anda.

    Contoh produk yang mendukung integrasi klien OAuth mencakup produk berikut: Google Cloud

  • attribute.KEY (Opsional): atribut yang ditentukan IdP eksternal yang ada di token IdP pengguna. Anda dapat menggunakan atribut kustom untuk menentukan strategi otorisasi dalam kebijakan izin IAM.

    Misalnya, di IdP, Anda dapat memilih untuk menentukan atribut seperti pusat biaya pengguna sebagai costcenter = "1234", lalu merujuk ke principal dengan cara berikut:

    principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workforcePools/WORKFORCE_POOL_ID/attribute.costcenter/1234

    Setelah Anda memberikan akses ke resource Google Cloud pada ID utama ini, semua identitas yang dikonfigurasi di IdP agar atribut costcenter-nya ditetapkan ke 1234 akan memiliki akses ke resource.

    Anda dapat mengonfigurasi maksimal 50 aturan pemetaan atribut khusus. Ukuran maksimum setiap aturan tersebut adalah 2048 karakter.

    Meskipun kami tidak memiliki batasan untuk atribut yang dapat Anda petakan di sini, kami sangat menyarankan agar Anda memilih atribut yang nilainya stabil. Misalnya, atribut seperti attribute.job_description dapat berubah karena berbagai alasan (seperti meningkatkan keterbacaannya). Sebagai alternatif, pertimbangkan untuk menggunakan attribute.role. Perubahan pada yang terakhir menunjukkan perubahan tanggung jawab yang ditetapkan dan selaras dengan perubahan dalam akses yang diberikan kepada pengguna.

Anda dapat mengubah nilai atribut menggunakan fungsi CEL standar. Anda juga dapat menggunakan fungsi kustom berikut:

  • Fungsi split membagi string pada nilai pemisah yang disediakan. Misalnya, untuk mengekstrak atribut username dari atribut alamat email dengan memisahkan nilainya pada @ dan menggunakan string pertama, gunakan pemetaan atribut berikut: 

    attribute.username=assertion.email.split("@")[0]

  • Fungsi join menggabungkan daftar string pada nilai pemisah yang disediakan. Misalnya, untuk mengisi atribut khusus department dengan menyambungkan daftar string dengan . sebagai pemisah, gunakan pemetaan atribut berikut: 

    attribute.department=assertion.department.join(".")

Kondisi atribut

Kondisi atribut adalah ekspresi CEL opsional yang memungkinkan Anda menetapkan batasan pada atribut identitas yang diterima Google Cloud .

Manfaat menggunakan kondisi atribut meliputi hal berikut:

  • Anda dapat menggunakan kondisi atribut agar hanya mengizinkan subset identitas eksternal untuk melakukan autentikasi ke project Google Cloud Anda. Misalnya, Anda mungkin hanya ingin mengizinkan identitas yang berada di tim tertentu untuk login, terutama jika Anda menggunakan IdP publik. Misalnya, Anda mungkin ingin mengizinkan tim akuntansi untuk login, tetapi tidak mengizinkan tim teknik Anda.
  • Dengan kondisi atribut, Anda dapat mencegah penggunaan kredensial yang dimaksudkan untuk digunakan dengan platform lain dengan Google Cloud, dan sebaliknya. Hal ini membantu menghindari masalah deputi yang membingungkan. #### Kondisi atribut untuk IdP multi-tenant

Workforce Identity Federation tidak mengelola direktori akun pengguna; melainkan menerapkan identitas berbasis klaim. Akibatnya, jika dua token dikeluarkan oleh penyedia identitas (IdP) yang sama dan klaimnya dipetakan ke nilai google.subject yang sama, kedua token tersebut dianggap mengidentifikasi pengguna yang sama. Untuk mengetahui IdP mana yang menerbitkan token, Workforce Identity Federation memeriksa dan memverifikasi URL penerbit token.

IdP multi-tenant, seperti GitHub dan Terraform Cloud, menggunakan satu URL penerbit di semua tenantnya. Untuk penyedia ini, URL penerbit mengidentifikasi semua organisasi GitHub atau Terraform Cloud, bukan organisasi GitHub atau Terraform Cloud tertentu.

Saat Anda menggunakan penyedia identitas ini, tidak cukup membiarkan Workforce Identity Federation memeriksa URL penerbit token untuk memastikan bahwa token tersebut berasal dari sumber tepercaya dan klaimnya dapat dipercaya. Jika IdP multi-tenant Anda memiliki satu URL penerbit, Anda harus menggunakan kondisi atribut untuk memastikan bahwa akses dibatasi ke tenant yang benar.

Logging audit mendetail

Logging audit mendetail adalah fitur Workforce Identity Federation yang mencatat atribut yang diterima dari IdP Anda ke Cloud Audit Logs.

Anda dapat mengaktifkan logging audit mendetail saat membuat penyedia kumpulan identitas tenaga kerja.

Untuk mempelajari cara memecahkan masalah error pemetaan atribut dengan audit mendetail pencatatan aktivitas, lihat Error pemetaan atribut umum.

Kunci web JSON

Penyedia kumpulan tenaga kerja dapat mengakses kunci web JSON (JWK) yang disediakan oleh IdP Anda di kolom jwks_uri dalam dokumen /.well-known/openid-configuration. Jika penyedia OIDC Anda tidak memberikan informasi ini, atau penerbit Anda tidak dapat diakses secara publik, Anda dapat mengupload JWK secara manual saat membuat atau memperbarui penyedia OIDC.

ID utama tenaga kerja untuk kebijakan IAM

Tabel berikut menunjukkan ID utama yang dapat Anda gunakan untuk memberikan peran kepada pengguna individu dan grup pengguna.

Identitas Format ID
Identitas tunggal dalam workforce identity pool principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
Semua workforce identity dalam sebuah grup principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
Semua workforce identity dengan nilai atribut tertentu principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Semua identitas dalam workforce identity pool principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*

Untuk mengetahui daftar lengkap ID utama, lihat ID utama.

Pertimbangan lainnya

Bagian ini menjelaskan pertimbangan lain saat menggunakan Workforce Identity Federation.

Membatasi akses lintas organisasi

Akun utama kumpulan identitas tenaga kerja tidak dapat langsung mengakses resource di luar organisasi tempatnya berada. Namun, jika akun utama diberi izin untuk meniru identitas akun layanan dalam organisasi, batasan ini dapat diabaikan karena akun layanan tidak dibatasi secara sama.

Project pengguna kumpulan tenaga kerja

Sebagian besar Google Cloud API menagih biaya penagihan dan penggunaan kuota ke project yang berisi resource yang diakses oleh permintaan API Anda. API ini disebut API berbasis resource. Beberapa API mengenakan biaya ke project yang terkait dengan klien; API ini disebut API berbasis klien. Google Cloud Project yang digunakan untuk tujuan penagihan dan kuota disebut project kuota.

Saat membuat file konfigurasi Workforce Identity Federation, Anda menentukan project pengguna kumpulan tenaga kerja. Project ini digunakan untuk mengidentifikasi aplikasi Anda ke Google API yang dipanggilnya. Project pengguna kumpulan tenaga kerja juga digunakan sebagai project kuota default untuk API berbasis klien, kecuali jika Anda menggunakan gcloud CLI untuk memulai permintaan API. Anda harus memiliki izin serviceusage.services.use, yang disertakan dalam peran Service Usage Consumer (roles/serviceusage.serviceUsageConsumer), untuk project yang Anda tentukan.

Untuk mengetahui informasi selengkapnya tentang project kuota, API berbasis resource, dan API berbasis klien, lihat Ringkasan project kuota.

Contoh: beberapa kumpulan identitas tenaga kerja

Bagian ini berisi contoh yang menggambarkan penggunaan umum beberapa kumpulan.

Anda dapat membuat satu kumpulan untuk karyawan dan satu kumpulan untuk partner. Organisasi multinasional dapat membuat kumpulan terpisah untuk divisi yang berbeda dalam organisasi mereka. Kumpulan memungkinkan pengelolaan terdistribusi, di mana berbagai grup dapat mengelola kumpulan spesifik mereka secara mandiri, di mana peran hanya diberikan ke identitas dalam kumpulan tersebut.

Misalnya, sebuah perusahaan bernama Enterprise Example Organization mengontrak perusahaan lain bernama Partner Example Organization Inc untuk menyediakan layanan DevOps Google Kubernetes Engine (GKE). Agar tenaga kerja Partner Example Organization dapat menyediakan layanan, tenaga kerja mereka harus diizinkan untuk mengakses Google Kubernetes Engine (GKE) dan resource Google Cloud lainnya dalam organisasi Enterprise Example Organization. Enterprise Example Organization sudah memiliki kumpulan identitas tenaga kerja yang disebut enterprise-example-organization-employees.

Agar Partner Example Organization dapat mengelola akses ke resource Enterprise Example Organization, kumpulan tenaga kerja terpisah dibuat oleh Enterprise Example Organization untuk pengguna tenaga kerja Partner Example Organization sehingga Partner Example Organization dapat mengelolanya. Enterprise Example Organization menyediakan kumpulan tenaga kerja ke administrator Partner Example Organization. Administrator Partner Example Organization menggunakan IdP mereka sendiri untuk memberikan akses ke tenaga kerja mereka.

Untuk melakukannya, Admin Enterprise Example Organization melakukan tugas berikut:

  1. Buat identitas seperti partner-organization-admin@example.com untuk administrator Partner Example Organization di IdP Enterprise Example Organization, yang sudah dikonfigurasi di kumpulan bernama enterprise-example-organization-employees.

  2. Buat kumpulan tenaga kerja baru bernama example-organization-partner.

  3. Buat kebijakan izin berikut untuk kumpulan example-organization-partner:

    {
  "bindings": [
    {
      "role": "roles/iam.workforcePoolEditor",
      "members": [
        "principalSet://iam.googleapis.com/locations/global/workforcePools/enterprise-example-organization-employees/subject/partner-organization-admin@example.com"
      ]
    }
  ]
}

  4. Berikan peran untuk kumpulan example-organization-partner pada resource yang perlu diakses di Enterprise Example Organization.

Administrator Partner Example Organization kini dapat mengonfigurasi kumpulan example-organization-partner untuk terhubung dengan IdP mereka. Kemudian, mereka dapat mengizinkan tenaga kerja Partner Example Organization untuk login dengan kredensial IdP Partner Example Organization. Setelah login, pengguna tenaga kerja Partner Example Organization dapat mengakses Google Cloud resource, yang dibatasi oleh kebijakan yang ditetapkan oleh Enterprise Example Organization.

Praktik terbaik grup keamanan

Di perusahaan besar, administrator IT sering membuat grup keamanan sebagai bagian dari model kontrol akses praktik terbaik. Grup keamanan mengatur akses ke resource internal. Selain itu, perusahaan sering kali membuat grup tambahan untuk karyawan dan grup lainnya agar partner dapat memperluas model kontrol akses ini ke resource cloud. Hal ini dapat menyebabkan proliferasi grup bertingkat banyak yang dapat menjadi sangat sulit untuk dikelola.

Organisasi Anda mungkin juga memiliki kebijakan yang membatasi jumlah grup yang dapat dibuat untuk menjaga hierarki direktori pengguna tetap datar. Solusi yang lebih baik untuk mencegah kesalahan konfigurasi kebijakan IAM dan membatasi pertumbuhan grup adalah dengan menggunakan beberapa kumpulan untuk membuat pemisahan pengguna yang lebih luas dari unit organisasi dan unit bisnis yang berbeda, serta organisasi partner. Selanjutnya, Anda dapat mereferensikan kumpulan dan grup ini yang termuat dalam kumpulan ini untuk menentukan kebijakan IAM (lihat contoh di langkah Mengonfigurasi IAM).

Batasan Kontrol Layanan VPC

Fitur administratif Workforce Identity Federation, termasuk API konfigurasi pool workforce, dan API Security Token Service tidak mendukung Kontrol Layanan VPC. Namun, produk Google Cloud yang mendukung Workforce Identity Federation dan Kontrol Layanan VPC beroperasi seperti yang didokumentasikan dan tunduk kepada pemeriksaan kebijakan Kontrol Layanan VPC. Selain itu, Anda dapat menggunakan identitas pihak ketiga seperti pengguna pool workforce dan identitas workload dalam aturan ingress atau egress Kontrol Layanan VPC.

Workforce Identity Federation dan Kontak Penting

Untuk menerima informasi penting tentang perubahan pada organisasi atau produk Anda, Anda harus memberikan Kontak Penting saat menggunakan Workforce Identity Federation.Google Cloud Pengguna Cloud Identity dapat dihubungi melalui alamat email Cloud Identity mereka, tetapi pengguna Workforce Identity Federation dihubungi menggunakan Kontak Penting.

Saat menggunakan konsol Google Cloud untuk membuat atau mengelola kumpulan identitas tenaga kerja, Anda akan melihat banner yang meminta Anda mengonfigurasi kontak penting dengan kategori Hukum dan Penangguhan. Atau, Anda dapat menentukan kontak dalam kategori Semua jika Anda tidak memiliki kontak terpisah. Menyediakan kontak akan menghapus banner.

Langkah berikutnya