问题标签 [google-cloud-identity]

我在经过验证的域名 ( company.tech) 下设置了 GCP 组织，并启用了云身份以使用谷歌云项目。我正在通过谷歌群组（通过管理面板）管理对用户的访问。我创建了一个包含来自 ( company.tech, service account, Gmail & company.co.xx) 的用户的组，即允许组织外部的成员，让我们调用该组 >>gcpusers@company.tech

以下是为该组添加的 IAM 策略：

此外，ACL 访问被添加到数据集BigQuery Data Viewer

问题是，我可以从gmail, service account & company.tech域帐户中查询，但 company.co.xx 下的用户（这不是云身份帐户，而是使用 Office 365 订阅的现有电子邮件注册的谷歌映射帐户）既不能选择项目也不能选择查询并最终收到以下错误并且无法预览/查询 bigquery 数据集表。

Access Denied: Project <<>>: User does not have bigquery.jobs.create permission in project <<>>

我尝试了以下操作，但对于 company.co.xx 帐户，我仍然遇到相同的错误：

1. 添加了自定义规则以在域受限联系人组织策略下允许 company.co.xx
2. 在 google 管理面板中添加了域Allowlisted domains（但不幸的是，如前所述，域未与云身份/gws 链接，而是使用现有电子邮件注册帐户）

有没有办法通过云身份强制用户创建和登录，并且不允许营销人员随意将用户添加到分析中？

谢谢

我无法使用 Firebase 存储，但我使用的是 Identity Platform (firebase auth)。一旦用户登录到我的 Web 应用程序，我希望他们能够上传到 Cloud Storage 存储桶。我正在考虑这样做的当前方式是拥有一个 Cloud Function，它首先使用 firebase 管理库来验证用户的令牌，然后为上传生成一个签名 URL。这是这样做的正确方法吗？

我有一个无服务器 Web 应用程序，我想在其中验证我的 Identity Platform 用户，然后允许他们直接从浏览器上传到 Cloud Storage。我已经使用以下示例 python 代码创建了一个云函数：https ://cloud.google.com/storage/docs/access-control/signing-urls-with-helpers#code-samples以及验证令牌部分使用 firebase 管理库。

但是，由于我的应用程序出现 403 错误，我无法调用此 Cloud Functions。我最初以为我可以通过添加负载均衡器来解决这个问题，但似乎我仍然得到 403。

我的组织有域限制策略，阻止我允许 allUsers（在这种情况下是我的 Web 应用程序）调用该函数，我想知道是否有其他方式或者这是否是首选方式。

我正在尝试使用 golang通过https://cloud.google.com/identity/docs/reference/rest/v1/devices/list获取公司拥有的设备。我尝试过使用服务帐户并进行域范围的委派，甚至添加范围。似乎下面的代码总是给出空值（没有设备列表）。

我使用的示例 golang 代码：

请给个建议。我使用的参考代码是https://github.com/googleapis/google-api-go-client/blob/master/cloudidentity/v1beta1/cloudidentity-gen.go 如果有人可以通过邮递员提供建议，那也很棒。

我正在努力为服务帐户提供通过 Firebase SDK 充分使用身份平台所需的权限，包括以编程方式管理租户。

根据文档，它需要以下权限：

• google.cloud.identitytoolkit.v1.AccountManagementService
• google.cloud.identitytoolkit.v1.AuthenticationService
• google.cloud.identitytoolkit.admin.v2.ProjectConfigService
• google.cloud.identitytoolkit.admin.v2.TenantManagementService

不幸的是，我在 IAM 中找不到它们中的任何一个。我已经尝试过所有 Identity Platform / Firebase / Firebase Authentication / Identity Toolkit 权限，但每次我得到“权限被拒绝”。

角色/权限的实际名称是什么？

更新 正如@xBurnsed 给出的提示，这似乎是“身份平台管理员”的角色。

如果我直接将所需的角色“身份平台管理员”分配给服务帐户，它就可以工作。但是，如果我创建一个自己的角色，据我的理解，请看截图 - 接管角色“身份平台管理员”的所有权限，并将其分配给服务帐户，它不起作用 - 反馈是：

谁能解释一下？

我正在考虑在使用 Firebase 身份验证的现有应用程序上启用多租户，阅读此https://cloud.google.com/identity-platform/docs/multi-tenancy-authentication

我不清楚并因此担心的是，一旦我添加了新租户，我现有的应用程序用户会发生什么？除非我将他们迁移到某个“默认”租户，否则他们会无法登录吗？

我在文档中没有找到任何保证或解释，所以也许没问题，但除非我确定，否则我不想点击那个按钮。如果发生灾难，是否有任何方法可以取消启用多租户？

我被列为我通过https://console.cloud.google.com/iam-admin/groupsMANAGER上的 IAM 组界面在 Google Cloud Platform 组织上管理的组。

但是他们删除图标是灰色的，并显示一条消息：

您需要组管理员为此操作授予以下权限： 所需权限：cloudidentity.memberships.remoMemberRole

该消息链接到一个文档，该文档没有有用的信息，也没有提及消息中描述的问题。

AFAIK，作为组的经理，应该能够添加和删除成员。

你能帮我解决或解释这个问题吗？

测试以下场景时：

• group-a@company.com

  • 会员：user@company.com

• 角色组-b@company.com

  • 成员：group-a@company.com

• 项目：foo-bar-af09

  • IAM会员

    • 角色：roles/browser

    • 成员：role-group-b@company.com

组到组成员资格的文档：https: //support.google.com/a/answer/167100?hl=en

子组成员从父组继承一些权限

foo-bar-af09现在，当检查用户 user@company.com 时，由于他缺少roles/browserIAM 角色，因此他无权查看该项目。

虽然： user@company.com 是 group-a@company.com 的成员，而 group-a@company.com 又是 role-group-b@company.com 的成员。

这里到底出了什么问题，以及如何解决这个问题？

您能否在您的 Google Cloud 帐户中重现相同的问题？

在检查文档时，这种继承应该是可能的，我怀疑可能是一个错误？非常感谢有关此问题的任何帮助或提示。

在我的 webapp 中，我想实现以下流程

1. 用户单击使用 Google 登录按钮
2. 用户在重定向屏幕中选择帐户
3. 我收到带有帐户 ID 和电子邮件地址的 JWT
4. 我将帐户 ID 设置为登录提示，并将提示设置为仅“同意”
5. 我创建了 Auth URL 并再次重定向到 Google 以获得同意
6. 在下一个同意屏幕中，用户应该只需要批准同意，而不是第二次选择他的帐户
7. 我处理来自同意的回调

根据文档，我实现了“使用 Google 按钮登录”的回调，如下所示；

https://developers.google.com/identity/protocols/oauth2/web-server#creatingclient

观察到的行为：

1. 用户点击使用 Google 登录按钮
2. 用户点击账号&提供JWT
3. 用户被重定向到同意屏幕
4. 用户必须再次选择帐户 <-- 不需要的行为
5. 用户同意同意
6. 用户被重定向到回调

如何正确实施此 OAuth2 同意，以便我不必要求用户选择他的帐户 2 次？