上下文希望使用 Google IAP 来保护一组企业和个人客户的访问。谷歌云中运行着一个单一的中央服务,它支持多个客户,因此支持多个不重叠的安全区域。为每个安全区域专门提供一项服务是不经济的。
根据 //cloud.google.com/iap/docs/signed-headers-howto 可用的用户信息是他们的电子邮件和长期谷歌用户 ID。但是,给定的业务安全区域可能有多个授权用户(员工)。是否有一种简单、安全的方法可以将个人身份映射到某种群体身份。在理想情况下,在初始授予对帐户的访问权限期间,将分配一个安全组身份 - 企业名称 - 并将其作为安全标头的一部分传入。
鉴于这种多租户应用程序部署模型非常普遍,我希望 Google 已经提供了它,但我在他们的文档中找不到参考。任何帮助将不胜感激。理查德