Cloud Identity における SSO について、概要を把握するための情報を記載します。
Cloud Identity
Cloud Identity は GCP を含む Google のサービスを利用するための Identity as a Service (IDaaS) または Identity Provider (IdP) です。Cloud Identity で管理する Group には、一般の Google アカウント username@gmail.com
をメンバーとして追加することもできます。
Overview of Google identity management
Cloud Identity の Single sign-on (SSO) を有効化することで、最大で一つの外部 IdP を参照できます。その場合、認証時において、ユーザは外部 IdP にリダイレクトされます。Cloud Identity は SAML Service Provider (SAML SP) となり、外部 IdP は SAML IdP となります。
SSO をサポートするためのツールとして、Google Cloud Directory Sync (GCDS) が存在します。Active Directory (AD) または LDAP から Cloud Identity に対して、ユーザ情報などを同期するためのツールです。
Active Directory as IdP and authoritative source
参考資料:
- Google Cloud Directory Sync
- Active Directory single sign-on
- Best practices for federating Google Cloud with an external identity provider
- Set up your own custom SAML application
- Create Cloud Identity user accounts
Google Workspace
Cloud Identity Free edition で管理できるユーザ数の最大値は、既定では 50 です。申請することで、無料で増枠することが可能です。
Cloud Identity の user はライセンスを持ちます。Free edition のライセンスに加えて、以下のライセンスを持たせることも可能です。
- 有償の Cloud Identity premium edition のライセンス
- 同じ
admin.google.com
で提供される Google Workspace のライセンス
参考資料: Upgrade or downgrade Cloud Identity
Cloud Identity を IdP として利用する SSO
Cloud Identity を IdP として利用する SaaS を構築することも可能です。
参考資料:
Password Sync
Password Sync は、Google Workspace の旧称である G Suite においては G Suite Password Sync (GSPS) とよばれていました。Microsoft Active Directory (AD) のパスワードと Cloud Identity または Google Workspace のパスワードを同期させるためのツールです。
関連記事
- GKE における Node および Pod の autoscalingGoogle Kubernetes Engine (GKE) における autoscaling について、用語の意味を整理します。 GKE の機能による Node の autoscaling GKE のクラスタには Standard と Autopilot の二種類が存在します。 Autopilot の場合は Node は Google によって管理されるため、自動で autoscaling され...
- Snowflake におけるネットワーク関連の設定本ページではネットワーク関連の設定について記載します。 Network Policy によるアクセス元 IP 制限 IPv4 で指定します。IPv6 は 2021/9/21 時点では利用できません。 allowed list で許可されていない IP は block されます。 allowed list が /24 等で指定されており、その一部を
- VPC Service Controls に関する雑多な事項の整理VPC Service Controls (VPC-SC) に関する雑多な事項を記載します。 Private Google Access の基本形 Private Google Access は外部 IP を持たない VM のための機能です。VPC の機能ですが、VPC-SC と関連するため基本事項を記載します。 [Private Google Access](ht
- AWS IAM Role を GCP から STS 認証で利用する設定例GCP から AWS IAM Role を利用するための設定例を記載します。 GCP Service Account の作成 Service Account を作成して Unique ID を確認します。 AWS IAM Role の作成 Trust relationship の設定は Web Identity を選択します。Identity Provider
- Amazon Comprehend を GCP VPC 内から実行する設定の例 (Public Internet 接続なし)GCP DLP に相当する AWS サービスに Amazon Comprehend が存在します。GCP VPC 内から Public Internet を経由せずに利用する設定の例を記載します。 AWS VPC と GCP VPC の作成 クラウド 項目 値 AWS VPC region ap-northeast-1 AWS VPC CIDR 10.2.0.0/16 AWS ap-north