Crea y asigna niveles de acceso personalizados con los datos de Tanium

En este documento, se muestra cómo crear niveles de acceso personalizados basados en dispositivos con los datos de Tanium y asignarlos a tus recursos organizativos.

Antes de comenzar

  1. Configura la integración de BeyondCorp Enterprise y Tanium.
  2. Asegúrate de tener una de los siguientes roles de administración de identidades y accesos:
    • Administrador de Access Context Manager (roles/accesscontextmanager.policyAdmin)
    • Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
  3. Comprende los objetos y atributos que se usan en la compilación de expresiones de Common Expression Language (CEL) para niveles de acceso personalizados. Para obtener más información, consulta Especificación de nivel de acceso personalizado.

Crea niveles de acceso personalizados

Puedes crear niveles de acceso con una o más condiciones. Si deseas que los dispositivos cumplan con varias condiciones (una condición lógica Y), crea un nivel de acceso que contenga todas las condiciones necesarias.

Para crear un nuevo nivel de acceso personalizado con los datos proporcionados por Tanium, haz lo siguiente:

  1. Ve a la página Access Context Manager en Cloud Console.

    Ir a Access Context Manager
  2. Si se te solicita, selecciona tu organización.
  3. En la página Access Context Manager, haga clic en New.
  4. En el panel Nuevo nivel de acceso, ingresa lo siguiente:
    1. En el campo Título del nivel de acceso, ingrese un título para el nivel de acceso. El título debe tener un máximo de 50 caracteres, comenzar con una letra y solo puede contener números, letras, guiones bajos y espacios.
    2. En la sección Crear condiciones en, selecciona Modo avanzado.
    3. En la sección Condiciones, ingresa las expresiones para el nivel de acceso personalizado. La condición debe resolverse en un solo valor booleano.

      Si deseas encontrar los campos de Tanium disponibles para tu expresión CEL, puedes revisar los datos de Tanium recopilados para tus dispositivos.

      La siguiente expresión de CEL crea una regla que permite el acceso solo desde dispositivos administrados por Tanium sin vulnerabilidades de alta gravedad en los análisis más recientes de Comply:

      device.vendors["Tanium"].is_managed_device == true && device.vendors["Tanium"].data["vulnerabilities.countHigh"] == 0.0
      Para obtener ejemplos y más información sobre la compatibilidad con Common Expression Language (CEL) y los niveles de acceso personalizados, consulta la especificación del nivel de acceso personalizado.
    4. Haz clic en Guardar.

Asigna niveles de acceso personalizados

Puedes asignar niveles de acceso personalizados para controlar el acceso a las aplicaciones. Estas aplicaciones incluyen apps de Google Workspace y las que están protegidas por Identity-Aware Proxy en Google Cloud (también conocido como recurso protegido con IAP). Puedes asignar uno o más niveles de acceso para las apps. Si seleccionas varios niveles de acceso, los usuarios solo deben cumplir con las condiciones de uno de los niveles de acceso para que se les otorgue acceso a la app.

Asigna niveles de acceso personalizados para aplicaciones de Google Workspace.

Asigna niveles de acceso personalizados para las aplicaciones de Google Workspace desde la Consola del administrador de Google Workspace:

  1. En la página principal de la Consola del administrador, ve a Seguridad > Acceso adaptado al contexto.

    Ir a Acceso adaptado al contexto
  2. Haga clic en Asignar niveles de acceso.

    Verás una lista de aplicaciones.

  3. En la sección Unidades organizativas, selecciona tu grupo o unidad organizativa.
  4. Selecciona la aplicación a la que deseas asignar un nivel de acceso y haz clic en Asignar.

    asignar nivel de acceso

    Verá una lista de todos los niveles de acceso. Los niveles de acceso son un recurso compartido entre Google Workspace, Cloud Identity y Google Cloud, por lo que es posible que veas en la lista los niveles de acceso que no creaste.

  5. Selecciona uno o más niveles de acceso para la app.
  6. Para aplicar los niveles de acceso a los usuarios de computadoras de escritorio y apps para dispositivos móviles (y en el navegador), selecciona Apply to Google desktop and mobile apps. Esta casilla de verificación solo se aplica a las apps integradas.
  7. Haz clic en Guardar y, luego, en Asignar. El nombre del nivel de acceso se muestra en la lista de niveles de acceso asignados junto a la app.

Asigna niveles de acceso personalizados para recursos protegidos con IAP

Si deseas asignar niveles de acceso personalizados para los recursos protegidos con IAP desde Google Cloud Console, sigue las instrucciones que se indican en Aplica un nivel de acceso para los recursos protegidos con IAP.