一、引言

1.1 Cloud Identity 概览

Cloud Identity是⼀种⾝份即服务 (IDaaS)解决⽅案，可集中管理⽤户和群组。您可以配置 Cloud Identity以便在Google和其他⾝份提供商（如Active Directory和Azure Active Directory）之间联合⾝份。

此外，Cloud Identity 还可以让您更好地控制贵组织中使⽤的帐号。例如，如果贵组织的开发者使⽤个⼈帐号（如 Gmail 帐号），那么这些帐号不受您的控制。采⽤Cloud Identity 时，您可以管理⽹域中所有⽤户的访问权限和合规性。

采⽤ Cloud Identity 时，您可以为每个⽤户和群组创建⼀个 Cloud Identity 帐户。然后，可以 使⽤ Identity and Access Management(IAM)管理每个 Cloud Identity 帐户对 Google Cloud 资源的访问权限。

二、技术简介

通过使用 Cloud Identify 创建免费的GCP 身份账号，可以免费使用50个用户，可以根据需求单独购买用户；如有协同合作需求或使用Google Meet等其他协作工具，可以升级购买Workspace 服务。

三、准备工作

1、.com 结尾的域名，用于基于该域名创建身份管理账号，如 example.com 。

2、域名管理控制权限，用于创建 cloud Identify 后验证网域归属。

3、管理着联系邮箱、联系方式等基础信息。

4、组织层级权限管理划分规划。

四、实施步骤

4.1 注册 Cloud Identity 免费版

1. 前往以下注册页面：

2. 填写公司名称以及团队规模：

3. 选择所在地，设置后不可修改；

4. 联系⼈邮箱 ，填写一个常用的联系邮箱非注册 .com 的邮箱：

5. 填写用于创建组织的 com 域名：

6. 注册超级管理员账号，该账号同时是Cloud Identify 的超管用户，同时是cloud ORG 的超管：

7.创建管理账号与密码：

8. 登录管理console ：admin.google.com;登录验证， 首次登录需要设备验证：

接受GCP Cloud Identify 相关服务许可：

9. 验证域名网域管理，不验证域名归属，无法正常使用 Google Cloud：

10. 添加域名 TXT 记录验证域名归属：

11. 验证⽹域成功后，账号可以正常登录Google cloud 进行权限认证与资源访问管理。

4.2、 Google Cloud Organization 初始化配置：

4.2.1 登录 https://console.cloud.google.com 进行⾝份与组织初始化配置

4.2.2 验证组织概览：

4.2.3 通过Cloud Identify 验证组织账号管理：

4.2.4 配置管理权限：

4.2.5 查看配置后的组织：

参考：

[1] TXT 记录方式验证网域归属 https://cloud.google.com/identity/docs/verify-domain-txt

[2] Cloud Identify 概览 https://cloud.google.com/identity/docs/overview