我的组织几乎完全基于 Linux 和 Mac。我们将所有内部服务配置为使用 GSuite 登录进行身份识别和授权。
现在我们需要使用 Windows 应用程序,我想使用 Windows Server 2019 将其托管在 GCP 中,而不是维护本地 Windows 桌面硬件(我们是一个分布式团队)。我已经设置了一个 AD 实例,但我真的很想允许用户使用 GSuite 登录名进行登录,以保持我们现有的基于 Google Identity 的 SSO 设置的连续性。
我已阅读过:https://cloud.google.com/solutions/federating-gcp-with-active-directory-introduction,但这似乎是使用 Active Directory 作为主服务器并同步到 Google Identity 的解决方案。我想要相反的做法,我希望 Google Identity 成为主服务器,而 Active Directory 使用它作为身份提供者(理想情况下无需同步 :-P)。
我该如何设置 Active Directory 以便它使用 Google Identity 作为身份提供者?
答案1
不幸的是,根据文档将 Google Cloud 与 Active Directory 联合您只能配置单向同步:
本文介绍如何配置 Cloud Identity 或 Google Workspace 以使用 Active Directory 作为 IdP 和权威来源。
单点登录:每当用户需要进行身份验证时,Google Cloud 都会使用安全断言标记语言 (SAML) 协议将身份验证委托给 Active Directory。此委托可确保只有 Active Directory 管理用户凭据,并且所有适用的政策或多重身份验证 (MFA) 机制都得到执行。但是,要成功登录,必须事先配置相应的用户。
Active Directory 联合身份验证服务 (AD FS) 由 Microsoft 作为 Windows Server 的一部分提供。
此外,看看将 Google Cloud 与 Active Directory 联合:配置单点登录和规划账户和组织的最佳实践了解更多详细信息。
当前集成级别由 Microsoft 作为 Windows Server 的一部分提供,您可以尝试请求微软待办 UserVoice或微软技术社区加强这种整合。