En esta página, se proporciona una descripción general de alto nivel de la función de autorización entre organizaciones y los pasos para configurarla.
Puedes usar Chrome Enterprise Premium para permitir el acceso seguro a los datos desde dispositivos dentro de una organización. Esto garantiza que los dispositivos se evalúen según la política de acceso de la organización en los puntos de aplicación cuando se determina el acceso. Por ejemplo, si se permite o se deniega el acceso de otra organización es una información de la política de acceso que se evalúa. Si necesitas que los dispositivos de tu organización accedan a recursos de otra organización, tu organización y la otra deben tener configurada la autorización entre organizaciones.
La autorización entre organizaciones te permite configurar una política de acceso para confiar en datos, como los atributos del dispositivo, que pertenecen a otras organizaciones y usarlos. Por ejemplo, puedes configurar la política de acceso de tu organización para permitir el acceso a sus recursos desde dispositivos de otras organizaciones.
Antes de comenzar
Para configurar y administrar la autorización entre organizaciones, necesitas los IDs de tu organización y los IDs de las organizaciones que deseas autorizar. También necesitas el número de política a nivel de la organización. Si no tienes los IDs de la organización ni el número de política a nivel de la organización, consulta la siguiente información:
- Obtén el ID de tu recurso de organización
- Obtén el número de la política de acceso a nivel de la organización
Cuando configuras y administras la autorización entre organizaciones, trabajas con el
recurso AuthorizedOrgsDesc. El recurso AuthorizedOrgsDesc contiene la lista de organizaciones que deseas autorizar y especifica el tipo de autorización, el tipo de activo y la dirección de autorización para las organizaciones.
Puedes usar Google Cloud CLI para crear un recurso AuthorizedOrgsDesc y
modificar su configuración. Cuando trabajes con el recurso AuthorizedOrgsDesc, se aplica lo siguiente:
ASSET_TYPE_DEVICEes la única opción disponible para el tipo de activo.AUTHORIZATION_TYPE_TRUSTes la única opción disponible para el tipo de autorización.
Configura la autorización de dispositivos entre organizaciones
En esta sección, se proporcionan los pasos para configurar la autorización entre organizaciones con un ejemplo a lo largo de los pasos.
En este ejemplo, se crea una relación de autorización bidireccional entre dos organizaciones y se permite que los dispositivos de una organización accedan a los recursos de otra. La organización de recursos (organizations/RESOURCE_ORG_ID) contiene
recursos, como buckets de Cloud Storage y VMs. La organización de recursos
tiene niveles de acceso que permiten que dispositivos específicos de la organización accedan a sus
recursos. La organización asociada (organizations/PARTNER_ORG_ID) es una organización
que necesita acceder a los recursos de la organización de recursos.
A continuación, se muestran las políticas de las organizaciones de recursos y socios antes de que se configure la autorización entre organizaciones:
Organización de recursos (organizations/RESOURCE_ORG_ID):
access policy:
access level: SP1
--"requireScreenlock": true
Organización asociada (organizations/PARTNER_ORG_ID):
no access policy
En la siguiente imagen, la organización de recursos no puede ver los atributos del dispositivo de la organización asociada porque no se configuró la autorización entre organizaciones.
En los siguientes pasos, se muestra cómo configurar la organización de recursos y la organización de socios para habilitar la autorización entre organizaciones con la CLI de Google Cloud.
Prepárate
Completa los pasos de esta sección para el recurso y las organizaciones de socios.
Asegúrate de que ambas organizaciones tengan una política a nivel de la organización. Para crear una política a nivel de la organización, consulta Crea una política de acceso a nivel de la organización.
Ejecuta el siguiente comando para obtener el número de la política de acceso a nivel de la organización:
gcloud access-context-manager policies list --organization=ORG_ID
Reemplaza ORG_ID por el ID de tu organización.
Deberías recibir la información en el siguiente formato:
NAME ORGANIZATION SCOPES TITLE ETAG <ACCESS_POLICY_NUMBER> <ORGANIZATION_NUMBER> A title 002cb3fbfde471e7
Configura la organización de recursos
Debes ser el administrador de la organización de recursos (
organizations/RESOURCE_ORG_ID) para completar este paso. Ejecuta el siguiente comando para crear un recursoAuthorizedOrgsDescpara la organización de recursos:gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \ --authorization_type=AUTHORIZATION_TYPE_TRUST \ --asset_type=ASSET_TYPE_DEVICE \ --authorization_direction=AUTHORIZATION_DIRECTION_FROM \ --orgs=organizations/PARTNER_ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ACCESS_POLICY_NUMBER: Es el número de la política de acceso a nivel de la organización.
PARTNER_ORG_ID: Es el número de la organización asociada.
Ejecuta el siguiente comando para mostrar el recurso
AuthorizedOrgsDescrecién creado y verificar que sea correcto:gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ACCESS_POLICY_NUMBER: Es el número de la política de acceso a nivel de la organización.
Configura la organización asociada
Debes ser el administrador de la organización asociada (
organizations/PARTNER_ORG_ID) para completar este paso. Ejecuta el siguiente comando para crear un recursoAuthorizedOrgsDescpara la organización asociada:gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \ --authorization_type=AUTHORIZATION_TYPE_TRUST \ --asset_type=ASSET_TYPE_DEVICE \ --authorization_direction=AUTHORIZATION_DIRECTION_TO \ --orgs=organizations/RESOURCE_ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ACCESS_POLICY_NUMBER: Es el número de la política de acceso a nivel de la organización.
RESOURCE_ORG_ID: Es el número de organización del recurso.
Ejecuta el siguiente comando para mostrar el recurso
AuthorizedOrgsDescrecién creado y verificar que sea correcto:gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ACCESS_POLICY_NUMBER: Es el número de la política de acceso a nivel de la organización.
Políticas esperadas después de la configuración
A continuación, se muestran las políticas de las organizaciones de recursos y socios después de que se configura la autorización entre organizaciones:
Organización de recursos (organizations/RESOURCE_ORG_ID):
access policy:
access level: SP1
--"requireScreenlock": true
AuthorizedorgsDesc: AOD1
--authorizationtype: trust
--asset type: device
--authorization direction: from
--orgs: [organizations/PARTNER_ORG_ID]
Organización asociada (organizations/PARTNER_ORG_ID):
access policy:
AuthorizedOrgsDesc: AOD2
--authorizationtype: trust
--asset type: device
--authorization direction: to
--orgs: [organizations/RESOURCE_ORG_ID]
En la siguiente imagen, se muestra la visibilidad de los atributos del dispositivo de la organización asociada después de que se configura la autorización entre organizaciones.
Prueba la configuración
Después de configurar las dos organizaciones, puedes hacer que un usuario de la organización asociada intente acceder a los recursos de la organización de recursos con un dispositivo compatible. Si se otorga el acceso, la autorización entre organizaciones funcionará como se espera. Los usuarios de la organización asociada ahora pueden acceder al bucket A en Cloud Storage de la organización de recursos solo si el dispositivo del usuario tiene una política de bloqueo de pantalla implementada.
Si no se le otorga acceso al dispositivo, vuelve a realizar los pasos de configuración para corregir la configuración.
Administra una configuración de autorización entre organizaciones
Después de configurar la autorización entre organizaciones, es posible que debas quitar el acceso a una organización, agregar acceso a otra organización o realizar otras tareas. En esta sección, se proporciona información para completar tareas comunes cuando se administra la autorización entre organizaciones.
Crea un recurso AuthorizedOrgsDesc y autoriza organizaciones externas
Para crear un recurso AuthorizedOrgsDesc e incluir las organizaciones externas a las que deseas otorgar acceso, ejecuta el siguiente comando:
gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME --authorization_type=AUTHORIZATION_TYPE_TRUST --asset_type=ASSET_TYPE_DEVICE --authorization_direction=AUTHORIZATION_DIRECTION_FROM --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ORG_ID: Es el ID de la organización a la que deseas otorgar acceso. Cuando especifiques más de una organización, usa una coma para separar los IDs de la organización.
ACCESS_POLICY_NUMBER: Es el número de la política de acceso a nivel de la organización.
Cómo agregar una organización
Para agregar una organización a un recurso AuthorizedOrgsDesc existente, ejecuta el siguiente comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --add-orgs=ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ORG_ID: Es el ID de la organización a la que deseas otorgar acceso. Cuando especifiques más de una organización, usa una coma para separar los IDs de la organización.
ACCESS_POLICY_NUMBER: Es el número de la política de acceso a nivel de la organización.
Cómo quitar una organización
Para quitar una organización de un recurso AuthorizedOrgsDesc existente, ejecuta el siguiente comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --remove-orgs=ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ORG_ID Es el ID de la organización que quieres quitar.
ACCESS_POLICY_NUMBER: Es el número de la política de acceso a nivel de la organización.
Especifica una nueva lista de organizaciones
Para especificar una lista nueva de organizaciones en un recurso AuthorizedOrgsDesc existente, ejecuta el siguiente comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --set-orgs=ORG_IDS \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ORG_ID: Es el ID de la organización a la que deseas otorgar acceso. Cuando especifiques más de una organización, usa una coma para separar los IDs de la organización.
ACCESS_POLICY_NUMBER: Es el número de la política de acceso a nivel de la organización.
Quita todas las organizaciones
Para quitar todas las organizaciones de un recurso AuthorizedOrgsDesc existente, ejecuta el siguiente comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --clear-orgs --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ACCESS_POLICY_NUMBER Es el número de la política de acceso a nivel de la organización.
Cómo mostrar un recurso AuthorizedOrgsDesc
Para mostrar un recurso AuthorizedOrgsDesc existente, ejecuta el siguiente comando:
gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ACCESS_POLICY_NUMBER Es el número de la política de acceso a nivel de la organización.
Cómo enumerar los recursos AuthorizedOrgsDesc
Para enumerar los recursos AuthorizedOrgsDesc en la política de acceso, ejecuta el siguiente comando:
gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER
Reemplaza ACCESS_POLICY_NUMBER por el número de la política de acceso a nivel de la organización.
Cómo quitar un recurso AuthorizedOrgsDesc
Para quitar un recurso AuthorizedOrgsDesc, ejecuta el siguiente comando:
gcloud access-context-manager authorized-orgs delete AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Reemplaza lo siguiente:
AUTHORIZED_ORGS_DESC_NAME: Es un nombre único para el recurso
AuthorizedOrgsDesc. El nombre debe comenzar con una letra y solo puede contener letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.ACCESS_POLICY_NUMBER Es el número de la política de acceso a nivel de la organización.