本文阐述了Google Cloud Platform(GCP)通过Workforce Identity Federation机制实现企业级单点登录(SSO)的技术方案,涵盖基于 OIDC 协议的身份池配置、外部IdP集成、临时凭据生成及IAM权限管理全流程,重点解决企业用户无需维护独立Google账号即可安全访问云资源的场景需求。
配置流程
一、在IDaaS配置Google应用
-
创建OIDC应用。
-
登录IDaaS控制台,选择对应的IDaaS实例,单击操作列的访问控制台。
-
单击,添加 OIDC 应用 。
-
-
获取配置参数。
-
client_id 和 client_secret,在OIDC 应用详情页的通用配置页签处获取。
-
Issuer 地址,在页签的应用配置信息处获取。
-
-
填写GCP参数,完成GCP配置后填写以下参数。
-
登录 Redirect URI。设置用户对控制台的访问权限,请将以下重定向网址添加至此。
https://auth.cloud.google/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID说明需要替换以下内容:
-
WORKFORCE_POOL_ID:员工身份池 ID
-
WORKFORCE_PROVIDER_ID:创建员工身份池提供方的 ID。
-
-
登录发起地址。GCP添加身份提供方后会生成登录访问地址,为方便用户访问,可将登录地址配置到IDaaS应用中,实现用户使用企业身份一键登录 GCP 控制台。
-
IDaaS应用中展开显示高级配置,SSO 发起方选择支持门户和应用发起,将下面的登录网址复制到登录发起地址。
-
GCP添加身份提供方后,可在创建的员工身份池,登录网址处获取登录地址。
-
-
二、创建员工身份池
-
登录 Google Cloud控制台,在左侧导航栏单击。
-
在员工身份池页面,单击创建池按钮。进入添加新的员工池和提供方配置页面。
-
配置身份池基本信息。
-
填写身份池名称,在名称字段中输入身份池名称。
-
填写描述信息(可选),在描述字段中输入身份池的用途说明(如用于XX业务的联合身份认证)。
-
填写完成后,单击下一步。系统将创建身份池,最长耗时约为2分钟。
-
-
在选择身份验证协议中,从下拉列表选择身份验证协议类型:
-
OpenID Connect (OIDC)
-
SAML
说明本文以 OpenID Connect (OIDC) 协议为例进行配置说明,请根据实际业务需求选择对应协议。
-
三、配置身份提供方
-
创建池提供方。
字段
说明
名称
身份提供方的全称,用于标识认证服务提供方。
提供方ID
身份池ID。
说明
授权场景下的描述信息,当向第三方身份授予访问权限时展示。
颁发者
IDaaS添加的OIDC应用,单点登录配置中的 Issuer 地址。
客户端ID
OIDC应用的唯一标识符client_id,用于与身份提供方建立信任关系。
-
流类型。
字段
说明
流类型
在流类型中,选择code。
断言声明行为
在断言声明行为中,选择以下任一选项:
-
用户信息和 ID 令牌
-
仅 ID 令牌
客户端密钥
OIDC应用的client_secret。
-
-
配置提供方。
-
在配置属性映射时,需在OIDC配置项中指定IdP的主题字段(如
assertion.sub)或使用返回字符串的CEL表达式进行映射。 -
配置完成后,单击提交。等待身份提供方创建完成。
-
四、为身份提供方授予IAM权限
-
进入创建的员工身份池详情页面,获取IAM 主账号地址。
-
在左侧导航栏进入IAM页面,单击授予访问权限。
-
添加主账号。填写IAM 主账号地址。
-
分配角色。根据实际需求,分配相应角色。配置完成后,单击保存。
-
五、验证SSO
-
IDaaS侧验证。
完成 SSO 登录配置后,您可以从 IDaaS 用户门户侧发起 SSO 登录。
-
登录IDaaS用户门户。
-
单击访问创建的 OIDC 应用。
-
系统将自动跳转至Google Cloud控制台。
-
-
GCP侧验证。
-
左侧导航栏单击。
-
打开已创建的员工身份池详情页,在提供方处单击登录网址。
-
系统将自动跳转至 IDaaS 门户登录页,登录后即可访问 Google Cloud 控制台。
-
