作者:MeshCloud脉时云架构师 陈满
一、引言
1.1 Cloud Identity 概览
Cloud Identity是⼀种⾝份即服务 (IDaaS)解决⽅案,可集中管理⽤户和群组。您可以配置 Cloud Identity以便在Google和其他⾝份提供商(如Active Directory和Azure Active Directory)之间联合⾝份。
此外,Cloud Identity 还可以让您更好地控制贵组织中使⽤的帐号。例如,如果贵组织的开发者使⽤个⼈帐号(如 Gmail 帐号),那么这些帐号不受您的控制。采⽤Cloud Identity 时,您可以管理⽹域中所有⽤户的访问权限和合规性。
采⽤ Cloud Identity 时,您可以为每个⽤户和群组创建⼀个 Cloud Identity 帐户。然后,可以 使⽤ Identity and Access Management(IAM)管理每个 Cloud Identity 帐户对 Google Cloud 资源的访问权限。
二、技术简介
通过使用 Cloud Identify 创建免费的GCP 身份账号,可以免费使用50个用户,可以根据需求单独购买用户;如有协同合作需求或使用Google Meet等其他协作工具,可以升级购买Workspace 服务。
三、准备工作
1、.com 结尾的域名,用于基于该域名创建身份管理账号,如 example.com 。
2、域名管理控制权限,用于创建 cloud Identify 后验证网域归属。
3、管理着联系邮箱、联系方式等基础信息。
4、组织层级权限管理划分规划。
四、实施步骤
4.1 注册 Cloud Identity 免费版
1. 前往以下注册页面:
2. 填写公司名称以及团队规模:
3. 选择所在地,设置后不可修改;
4. 联系⼈邮箱 ,填写一个常用的联系邮箱非注册 .com 的邮箱:
5. 填写用于创建组织的 com 域名:
6. 注册超级管理员账号,该账号同时是Cloud Identify 的超管用户,同时是cloud ORG 的超管:
7.创建管理账号与密码:
8. 登录管理console :admin.google.com;登录验证, 首次登录需要设备验证:
接受GCP Cloud Identify 相关服务许可:
9. 验证域名网域管理,不验证域名归属,无法正常使用 Google Cloud:
10. 添加域名 TXT 记录验证域名归属:
11. 验证⽹域成功后,账号可以正常登录Google cloud 进行权限认证与资源访问管理。
4.2、 Google Cloud Organization 初始化配置:
4.2.1 登录 https://console.cloud.google.com 进行⾝份与组织初始化配置
4.2.2 验证组织概览:
4.2.3 通过Cloud Identify 验证组织账号管理:
4.2.4 配置管理权限:
4.2.5 查看配置后的组织:
参考:
[1] TXT 记录方式验证网域归属 https://cloud.google.com/identity/docs/verify-domain-txt
[2] Cloud Identify 概览 https://cloud.google.com/identity/docs/overview