Crea y asigna niveles de acceso personalizados con los datos de Tanium

En este documento, se muestra cómo crear niveles de acceso personalizados basados en dispositivos con los datos de Tanium y asignarlos a los recursos de tu organización.

Antes de comenzar

  1. Configura la integración de BeyondCorp Enterprise y Tanium.
  2. Asegúrate de tener una de las siguientes funciones de administración de identidades y accesos:
    • Administrador de Access Context Manager (roles/accesscontextmanager.policyAdmin)
    • Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
  3. Comprende los objetos y atributos que se usan en las expresiones Common Expression Language (CEL) de los niveles de acceso personalizados. Para obtener detalles, consulta Especificación de nivel de acceso personalizado.

Crea niveles de acceso personalizados

Puedes crear niveles de acceso con una o más condiciones. Si quieres que los dispositivos de los usuarios cumplan con varias condiciones (operaciones lógicas y condiciones), crea un nivel de acceso que contenga todas las condiciones requeridas.

Para crear un nivel de acceso personalizado nuevo con los datos que proporciona Tanium, sigue estos pasos:

  1. Ve a la página de Access Context Manager en Cloud Console.

    Ir a Access Context Manager
  2. Si se te solicita, selecciona tu organización.
  3. En la página Access Context Manager, haz clic en Nuevo.
  4. En el panel Nivel de acceso nuevo, ingresa lo siguiente:
    1. En el campo Título del nivel de acceso, ingresa un título para el nivel de acceso. El título debe tener un máximo de 50 caracteres y comenzar con una letra, y solo puede contener números, letras, guiones bajos y espacios.
    2. En la sección Crear condiciones en, selecciona Modo avanzado.
    3. En la sección Condiciones, ingresa las expresiones para tu nivel de acceso personalizado. La condición debe resolverse en un solo valor booleano.

      Si deseas encontrar los campos de Tanium disponibles para tu expresión CEL, puedes revisar los datos de Tanium recopilados para tus dispositivos.

      La siguiente expresión CEL crea una regla que permite el acceso solo desde dispositivos administrados por Tanium sin vulnerabilidades graves en los análisis más recientes de Comply:

      device.vendors["Tanium"].is_managed_device == true && device.vendors["Tanium"].data["vulnerabilities.countHigh"] == 0.0
      Para obtener ejemplos y más información sobre la compatibilidad con Common Expression Language (CEL) y los niveles de acceso personalizados, consulta la especificación del nivel de acceso personalizado.
    4. Haz clic en Guardar.

Asigna niveles de acceso personalizados

Puedes asignar niveles de acceso personalizados para controlar el acceso a las aplicaciones. Estas incluyen aplicaciones de Google Workspace y las aplicaciones protegidas por Identity-Aware Proxy en Google Cloud (también conocido como recurso protegido con IAP). Puedes asignar uno o más niveles de acceso para las aplicaciones. Si seleccionas varios niveles de acceso, los dispositivos de los usuarios solo deben cumplir con las condiciones de uno de los niveles de acceso para tener acceso a la aplicación.

Asigna niveles de acceso personalizados para aplicaciones de Google Workspace.

Asigna niveles de acceso personalizados para las aplicaciones de Google Workspace desde la Consola del administrador de Google Workspace:

  1. En la página principal de la Consola del administrador, ve a Seguridad > Acceso adaptado al contexto.

    Ir a Acceso adaptado al contexto
  2. Haz clic en Asigna niveles de acceso.

    Verás una lista de aplicaciones.

  3. En la sección Unidades organizativas, selecciona tu unidad o grupo organizacional.
  4. Selecciona la aplicación a la que deseas asignar un nivel de acceso y haz clic en Asignar.

    asignar nivel de acceso

    Verás una lista de todos los niveles de acceso. Los niveles de acceso son un recurso compartido entre Google Workspace, Cloud Identity y Google Cloud, por lo que puedes ver los niveles de acceso que no creaste en la lista.

  5. Selecciona uno o más niveles de acceso para la app.
  6. Para aplicar los niveles de acceso a los usuarios en las aplicaciones para computadoras de escritorio y aplicaciones para dispositivos móviles (y en el navegador), selecciona Aplicar a las aplicaciones de escritorio y para dispositivos móviles de Google. Esta casilla de verificación se aplica solo a las aplicaciones integradas.
  7. Haz clic en Guardar y, luego, en Asignar. El nombre del nivel de acceso aparece en la lista de niveles de acceso asignados junto a la aplicación.

Asigna niveles de acceso personalizados para los recursos protegidos con IAP

A fin de asignar niveles de acceso personalizados para los recursos protegidos con IAP desde Google Cloud Console, sigue las instrucciones en Aplica un nivel de acceso para recursos protegidos con IAP.