Cloud Identity 與聯合驗證簡介
在 GCP 專業雲端安全工程師 (PSE) 的領域中,身分不僅僅是使用者名稱和密碼;它是主要的安全性周邊。隨著組織從傳統的基於網路的安全性轉向零信任 (Zero Trust) 模型,Cloud Identity 和 SSO 聯合驗證 成為強大安全性架構的基石。
管理數千名使用者、透過單一登入 (SSO) 確保無縫存取,以及將地端身分與雲端同步,這些都是複雜的任務,需要對 SAML 2.0 和 OIDC 等協定有深入的瞭解。本主題將探討如何建立一個統一的身分管理系統,橋接現有基礎設施與 Google Cloud 之間的鴻溝。
白話文解釋
為了理解聯合身分驗證的複雜性,我們使用三個比喻。
1. 全球護照系統 (聯合身分驗證)
想像你在不同國家 (服務) 之間旅行。你不需要每到一個國家就辦理一個當地的身分證,而是使用你的國家護照 (外部 IdP)。你訪問的國家信任你母國的驗證程序。這就是 SAML/OIDC 聯合驗證。Google Cloud (目的地) 信任你的 Azure AD 或 Okta (母國) 來驗證你的身分。
2. 主鑰匙與子鑰匙 (超級管理員與管理員角色)
想像一家大型飯店。超級管理員 (Super Admin) 持有「總主要鑰匙」,可以打開每一扇門並更換鎖。大多數員工只持有「樓層主要鑰匙」或「房間鑰匙」(管理員角色)。如果總主要鑰匙丟失,整個飯店都會面臨風險。這凸顯了使用 MFA 保護超級管理員帳戶並限制其日常使用的重要性。
3. 同步的手錶 (目錄同步)
想像一隊間諜需要在不同時區協調行動。他們都將手錶與中央原子鐘同步。Google Cloud Directory Sync (GCDS) 就扮演了那個中央時鐘的角色,確保你的地端 Active Directory 和你的 Cloud Identity 網域在使用者狀態、群組成員身份和憑證方面始終保持同步。
在 Cloud Identity 中管理使用者和群組
Cloud Identity 是一種身分即服務 (IDaaS) 解決方案,提供了一個集中式主控台來管理使用者、群組和安全性設定。
使用者生命週期管理
對於 PSE 來說,瞭解生命週期至關重要:
- 配置 (Provisioning): 建立使用者帳戶並分配初始角色。
- 維護 (Maintenance): 隨著角色變化更新群組成員身份。
- 取消配置 (De-provisioning): 在員工離職時立即禁用存取權限。
Cloud Identity 是一種獨立的 IDaaS 解決方案,允許你獨立於 Google Workspace 管理使用者和群組。它為 Google Cloud 提供了身分基礎。
基於群組的存取控制
將角色分配給個人是大規模管理中的安全性反模式。相反,PSE 應始終使用 Google 群組。
- 安全性群組: 在群組上使用
security標籤,以將其與郵件清單區分開來。 - 動態群組: 根據使用者屬性 (例如,所有
department=security的使用者) 自動管理成員身份。
設定 Google Cloud Directory Sync (GCDS)
GCDS 是一個單向同步工具,可將使用者、群組和非敏感資料從 LDAP/Active Directory 複製到 Cloud Identity。
架構考量
GCDS 不會「推送」資料;它從 LDAP 讀取並透過 API 「推送」到 Google。
- 同步方向: 始終是 LDAP → Google Cloud。
- 排除規則: 對於防止 GCDS 刪除僅限雲端的使用者 (如超級管理員) 至關重要。
- 基於規則的對應: 將 LDAP 屬性 (如
mail) 對應到 Google 使用者名稱。
GCDS 不會同步密碼。若要使用本地密碼實現無縫登入,你必須實施 SAML SSO 或使用 密碼雜湊同步 (Password Hash Sync) (如果使用 Azure AD)。
SAML 2.0 與 OIDC 聯合驗證
聯合驗證允許使用者使用外部身分提供商 (IdP) (如 Okta、Azure AD 或 Ping Identity) 進行驗證。
SAML 流程
- 使用者嘗試存取 Google Cloud。
- Google 將使用者導向至外部 IdP。
- IdP 驗證使用者 (MFA、密碼)。
- IdP 將簽署的 SAML 斷言 (Assertion) 傳回給 Google。
- Google 驗證簽章並授予存取權限。
OIDC (OpenID Connect)
OIDC 是建構在 OAuth 2.0 之上的現代身分層。它越來越多地用於現代應用程式,並為聯合驗證提供了一種對開發人員更友好的方法。
超級管理員管理與 MFA 最佳實務
超級管理員 對 Cloud Identity/Workspace 租戶擁有不受限制的存取權限。
強化超級管理員帳戶
- 至少兩個: 始終擁有至少兩個超級管理員以供備援。
- 最多三個: 不要超過三到五個超級管理員,以將風險降至最低。
- 專用帳戶: 超級管理員不應擁有日常使用的電子郵件或在專案中擔任「編輯者」角色。
- 實體安全金鑰: FIDO2/U2F 金鑰是超級管理員 MFA 的「黃金標準」。
如果超級管理員帳戶遭到入侵,攻擊者可以繞過所有 IAM 角色和專案級別的安全性。切勿將 "[email protected]" 用作一般使用者帳戶。
Workforce Identity Federation (2025/2026 趨勢)
傳統的聯合驗證需要「身分對應」(為每個外部使用者在 Cloud Identity 中建立一個使用者物件)。Workforce Identity Federation 消除了這一要求。
主要優勢
- 無需同步: 使用者直接針對你的 IdP 進行驗證。
- 屬性對應: 將外部屬性 (例如
groups: admin) 直接對應到 Google IAM 角色。 - 短期憑證: 透過使用 STS (安全性權杖服務) 將外部權杖交換為 Google 存取權杖,提高了安全性。
當你在外部 IdP 中有數千名使用者,且不想承擔在 Cloud Identity 中管理使用者物件的開銷時,請使用 Workforce Identity Federation。
管理行政角色與權限
除了超級管理員之外,Google Cloud 在管理控制台中還提供了精細的行政角色。
- 使用者管理管理員: 可以重設密碼並建立使用者。
- 群組管理員: 可以管理群組成員身份。
- 安全性管理員: 可以管理 MFA 設定和安全金鑰。
使用者配置與取消配置工作流程
自動化是安全性的關鍵。
- SCIM (跨網域身分管理系統): 使用 SCIM 從 Okta 或 Azure AD 等 IdP 進行即時配置。
- 自動停權: 確保當使用者在 Active Directory 中被禁用時,他們在 Cloud Identity 中也會立即被停權。
混合環境的 SSO
在混合環境中,使用者可能需要同時存取地端資源和雲端服務。
- 共用身分: 在兩個環境中使用相同的電子郵件地址作為主要識別碼。
- 無縫過渡: 實施 Kerberos 或整合 Windows 驗證 (IWA),以便使用者在聯網時無需重新輸入密碼。
全網域委派 (Domain-Wide Delegation)
全網域委派允許服務帳戶「冒充」網域中的任何使用者來存取其資料 (例如讀取電子郵件或日曆活動)。
全網域委派功能極其強大,應僅限於特定的 OAuth 範圍。它是權限提升的常見目標。
排除身分同步故障
- GCDS 記錄: 檢查「規則失敗」或「達到 API 限制」錯誤。
- SAML Tracer: 使用瀏覽器擴充功能檢查 SAML 斷言,查看是否有遺漏的屬性或不正確的簽章。
- 稽核記錄: 監控
admin.google.com稽核記錄,查看是否有未經授權的角色變更。
身分管理的 CLI 指令
雖然 Cloud Identity 的大部分管理是透過 UI 完成的,但 gcloud 和 gam (第三方) 工具對 PSE 來說至關重要。
透過 gcloud 列出使用者
gcloud identity users list --customer-id="C12345"
檢查群組成員身份
gcloud identity groups memberships list --group-email="[email protected]"
Google 群組上的 security 標籤用於表示該群組旨在用於安全性/存取控制目的,從而允許更嚴格的稽核。
PSE 安全性最佳實務
- 強制執行 MFA: 對高權限帳戶使用「僅限安全金鑰」。
- 稽核 GCDS: 在每次正式同步之前,在「模擬模式」下執行 GCDS。
- 盡量減少超級管理員: 盡可能使用精細的管理角色。
- 定期存取審查: 使用 Cloud Identity Premium 中的「存取審查」功能來驗證使用者是否仍需要其權限。
故障排除場景
場景:SAML 登入失敗,顯示「簽章無效」
診斷: 上傳到 Google Cloud 的公開憑證與 IdP 用於簽署斷言的私鑰不匹配。 修正: 從 IdP 重新匯出憑證,並更新 Google 管理控制台中的 SSO 設定。
場景:GCDS 正在刪除有效的使用者
診斷: 排除規則未正確設定以保護僅限雲端的使用者。 修正: 根據組織單位 (OU) 或特定的電子郵件前綴新增「Google 使用者排除規則」。
PSE 考試場景
場景 1:多 IdP 策略
「一家公司收購了另一家使用 Okta 的公司,而母公司使用 Azure AD。你應該如何設定 Google Cloud?」 答案: 將兩者都設定為外部 IdP,或使用 Workforce Identity Federation 來橋接多個提供商。
場景 2:超級管理員安全性
「組織的超級管理員帳戶遭到入侵。第一步是什麼?」 答案: 使用次要超級管理員重設密碼、撤銷所有工作階段並更換 MFA 金鑰。
常見問題 (FAQ)
Q1:我可以使用 Cloud Identity Free 版來滿足 PSE 考試要求嗎? A1:可以,對於許多功能來說是可以的,但某些進階安全性報告和「存取審查」需要 Cloud Identity Premium 版。
Q2:Google Cloud Directory Sync (GCDS) 和密碼雜湊同步有什麼區別? A2: GCDS 同步使用者物件;密碼雜湊同步 (可透過 Azure AD Connect 使用) 會同步密碼本身,以便 Google 無需重新導向即可驗證使用者。
Q3:Workforce Identity Federation 與 Workload Identity 是一樣的嗎? A3:不是。Workforce Identity 是給「人類」員工使用的;Workload Identity 是給「應用程式」和「機器」使用的。
總結檢查清單
- 瞭解 SAML 2.0 流程以及如何排除故障。
- 瞭解超級管理員帳戶的限制與最佳實務。
- 能夠設定 GCDS 排除規則。
- 能夠解釋 Workforce Identity Federation 相對於傳統同步的優點。
- 區分不同的管理控制台角色。