背景
员工身份联合让 您可以使用外部身份提供方 (IdP) 对 员工、合作伙伴和承包商进行身份验证和授权,以便他们访问 Google Cloud 服务。
如果在项目中 配置了员工身份联合, 外部身份用户可以使用 Google Cloud 控制台、Google Cloud CLI 和 Managed Service for Apache Spark API 访问大多数 Managed Service for Apache Spark 资源和功能,但以下功能除外:
- GKE 上的 Managed Service for Apache Spark
- Managed Service for Apache Spark 个人身份验证
- Managed Service for Apache Spark 基于服务账号的安全多租户
- 控制台中的“批处理”和“作业详细信息”页面的输出 部分,以及“集群”和“作业列表”页面的建议的提醒 部分 。 Google Cloud
将员工身份联合与 Managed Service for Apache Spark 组件网关搭配使用
按照 配置员工身份联合 指南进行配置。
向外部身份用户授予
dataproc.clusters.use角色,以允许其访问 Managed Service for Apache Spark 组件网关(请参阅 向主账号授予 IAM 角色)。- 如需了解如何在 IAM 政策中表示外部身份,请参阅在 IAM 政策中表示员工身份池用户。
访问集群的网页界面
请参阅查看和访问组件网关网址,并注意外部身份用户的以下差异:
只有经过外部身份验证的用户才能访问外部身份的网址。如果用户在未登录的情况下访问外部身份网址,系统会将其重定向到身份验证门户,用户可以在其中指定其员工池提供方名称。接下来,系统会将用户重定向到其身份提供方进行登录。然后,系统会将其重定向到组件网页界面。
外部身份网址的格式如下:
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
后续步骤
- 创建包含 Managed Service for Apache Spark 组件的集群。