Questa pagina fornisce una panoramica generale della funzionalità di autorizzazione tra organizzazioni e i passaggi per configurarla.
Puoi utilizzare Chrome Enterprise Premium per consentire l'accesso sicuro ai dati dai dispositivi all'interno di un' organizzazione. Ciò garantisce che i dispositivi vengano valutati rispetto criterio di accesso dell'organizzazione nei punti di applicazione durante la determinazione dell'accesso. Ad esempio, se vuoi consentire o negare l'accesso da un'altra organizzazione è un'informazione il criterio di accesso che viene valutato. Se hai bisogno dei dispositivi nel tuo per accedere alle risorse di un'altra organizzazione, della tua organizzazione nell'altra organizzazione deve essere configurata l'autorizzazione tra organizzazioni.
L'autorizzazione tra organizzazioni consente di configurare un criterio di accesso per considerare attendibile Utilizzare dati, ad esempio gli attributi dei dispositivi, di proprietà di altre organizzazioni. Ad esempio: puoi configurare il criterio di accesso della tua organizzazione per consentire l'accesso a le sue risorse da dispositivi di altre organizzazioni.
Prima di iniziare
Per configurare e gestire l'autorizzazione tra organizzazioni, devi disporre degli ID organizzazione di della tua organizzazione e gli ID delle organizzazioni che vuoi autorizzare. Devi anche avere il numero del criterio a livello di organizzazione. Se non disponi di ID organizzazione o il numero di criterio a livello di organizzazione, consulta quanto segue informazioni:
- Recupero dell'ID risorsa dell'organizzazione
- Recuperare il numero del criterio di accesso a livello di organizzazione
Quando configuri e gestisci l'autorizzazione tra organizzazioni, utilizzi la risorsaAuthorizedOrgsDesc. La risorsa AuthorizedOrgsDesc contiene l'elenco delle organizzazioni da autorizzare e specifica il tipo di autorizzazione, il tipo di asset e la direzione di autorizzazione per le organizzazioni.
Puoi utilizzare Google Cloud CLI per creare una risorsa AuthorizedOrgsDesc e
modificarne le impostazioni. Quando utilizzi la risorsa AuthorizedOrgsDesc, si applica quanto segue:
ASSET_TYPE_DEVICEè l'unica opzione disponibile per il tipo di asset.AUTHORIZATION_TYPE_TRUSTè l'unica opzione disponibile per il tipo di autorizzazione.
Configurare l'autorizzazione dei dispositivi tra organizzazioni tra due organizzazioni
Questa sezione illustra la procedura per configurare l'autorizzazione tra organizzazioni utilizzando un esempio per ogni passaggio.
Questo esempio crea una relazione di autorizzazione bidirezionale tra due organizzazioni e consente ai dispositivi di un'organizzazione di accedere alla risorsa di un'altra organizzazione. L'organizzazione della risorsa (organizations/RESOURCE_ORG_ID) contiene
ad esempio bucket Cloud Storage e VM. L'organizzazione della risorsa
ha livelli di accesso che consentono a dispositivi specifici dell'organizzazione di accedere alle sue
risorse. L'organizzazione partner (organizations/PARTNER_ORG_ID) è un'organizzazione
che deve accedere alle risorse nell'organizzazione di risorse.
Di seguito sono riportati i criteri per le organizzazioni di risorse e partner precedenti l'autorizzazione tra organizzazioni è configurata:
Organizzazione risorsa (organizations/RESOURCE_ORG_ID):
access policy:
access level: SP1
--"requireScreenlock": true
Organizzazione partner (organizzazioni/PARTNER_ORG_ID):
no access policy
Nell'immagine seguente, gli attributi del dispositivo del partner organizzazione non sono visibili all'organizzazione della risorsa perché tra organizzazioni autorizzazione non configurata.
I passaggi seguenti mostrano come configurare sia l'organizzazione della risorsa sia per abilitare l'autorizzazione tra organizzazioni tramite Google Cloud CLI.
Preparazione
Completa i passaggi di questa sezione sia per la risorsa sia per l'organizzazione partner.
Assicurati che entrambe le organizzazioni abbiano un criterio a livello di organizzazione. Per creare un criterio a livello di organizzazione, consulta Creare un accesso a livello di organizzazione. .
Esegui questo comando per ottenere il numero del criterio di accesso a livello di organizzazione:
gcloud access-context-manager policies list --organization=ORG_ID
Sostituisci ORG_ID con l'ID della tua organizzazione.
Dovresti ricevere le informazioni nel seguente formato:
NAME ORGANIZATION SCOPES TITLE ETAG <ACCESS_POLICY_NUMBER> <ORGANIZATION_NUMBER> A title 002cb3fbfde471e7
Configura l'organizzazione delle risorse
Per completare questo passaggio, devi essere un amministratore dell'organizzazione di risorse (
organizations/RESOURCE_ORG_ID). Crea una risorsaAuthorizedOrgsDescper l'organizzazione di risorse eseguendo il seguente comando:gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \ --authorization_type=AUTHORIZATION_TYPE_TRUST \ --asset_type=ASSET_TYPE_DEVICE \ --authorization_direction=AUTHORIZATION_DIRECTION_FROM \ --orgs=organizations/PARTNER_ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
PARTNER_ORG_ID: il numero dell'organizzazione partner.
Visualizza la risorsa
AuthorizedOrgsDescappena creata per verificare che sia correggi il problema eseguendo questo comando:gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Configurare l'organizzazione partner
Per completare questo passaggio, devi essere un amministratore dell'organizzazione partner (
organizations/PARTNER_ORG_ID). Crea una risorsaAuthorizedOrgsDescper il partner dell'organizzazione eseguendo questo comando:gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \ --authorization_type=AUTHORIZATION_TYPE_TRUST \ --asset_type=ASSET_TYPE_DEVICE \ --authorization_direction=AUTHORIZATION_DIRECTION_TO \ --orgs=organizations/RESOURCE_ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
RESOURCE_ORG_ID: il numero dell'organizzazione della risorsa.
Visualizza la risorsa
AuthorizedOrgsDescappena creata per verificare che sia corretta eseguendo il seguente comando:gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Criteri post-configurazione previsti
Di seguito sono riportati i criteri per le organizzazioni partner e le risorse dopo la configurazione dell'autorizzazione tra organizzazioni:
Organizzazione risorsa (organizations/RESOURCE_ORG_ID):
access policy:
access level: SP1
--"requireScreenlock": true
AuthorizedorgsDesc: AOD1
--authorizationtype: trust
--asset type: device
--authorization direction: from
--orgs: [organizations/PARTNER_ORG_ID]
Organizzazione partner (organizations/PARTNER_ORG_ID):
access policy:
AuthorizedOrgsDesc: AOD2
--authorizationtype: trust
--asset type: device
--authorization direction: to
--orgs: [organizations/RESOURCE_ORG_ID]
L'immagine seguente mostra la visibilità degli attributi del dispositivo dell'organizzazione partner dopo la configurazione dell'autorizzazione tra organizzazioni.
Test della configurazione
Dopo aver configurato le due organizzazioni, puoi chiedere a un utente dell'organizzazione partner di tentare di accedere alle risorse nell'organizzazione di risorse utilizzando un dispositivo conforme. Se viene concesso l'accesso, l'autorizzazione tra organizzazioni funziona come previsto. Gli utenti dell'organizzazione partner ora possono accedere al bucket A in Cloud Storage dell'organizzazione di risorse solo se il dispositivo dell'utente ha un criterio di blocco schermo.
Se al dispositivo non viene concesso l'accesso, ripeti i passaggi di configurazione per correggere la configurazione.
Gestire una configurazione di autorizzazione tra organizzazioni
Dopo aver configurato l'autorizzazione tra organizzazioni, potresti dover rimuovere l'accesso un'organizzazione, aggiungere l'accesso a un'altra organizzazione o altre attività. Questo contiene informazioni su come completare attività comuni durante la gestione tra organizzazioni.
Crea una risorsa AuthorizedOrgsDesc e autorizza le organizzazioni esterne
Per creare una risorsa AuthorizedOrgsDesc e includere le organizzazioni esterne:
a cui vuoi concedere l'accesso, esegui questo comando:
gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME --authorization_type=AUTHORIZATION_TYPE_TRUST --asset_type=ASSET_TYPE_DEVICE --authorization_direction=AUTHORIZATION_DIRECTION_FROM --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ORG_ID: l'ID dell'organizzazione a cui vuoi destinare per concedere l'accesso. Quando specifichi più organizzazioni, utilizza una virgola per separare gli ID organizzazione.
ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Aggiungi un'organizzazione
Per aggiungere un'organizzazione a una risorsa AuthorizedOrgsDesc esistente, esegui il
seguente comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --add-orgs=ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ORG_ID: l'ID dell'organizzazione a cui vuoi destinare per concedere l'accesso. Quando specifichi più organizzazioni, utilizza una virgola per separare gli ID organizzazione.
ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Rimuovere un'organizzazione
Per rimuovere un'organizzazione da una risorsa AuthorizedOrgsDesc esistente, esegui questo comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --remove-orgs=ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per
AuthorizedOrgsDescrisorsa. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ORG_ID L'ID organizzazione dell'organizzazione che vuoi rimuovere.
ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Specifica un nuovo elenco di organizzazioni
Per specificare un nuovo elenco di organizzazioni in una risorsa AuthorizedOrgsDesc
esistente, esegui il seguente comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --set-orgs=ORG_IDS \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ORG_ID: l'ID dell'organizzazione a cui vuoi destinare per concedere l'accesso. Quando specifichi più organizzazioni, utilizza una virgola per separare gli ID organizzazione.
ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Rimuovi tutte le organizzazioni
Per rimuovere tutte le organizzazioni da una risorsa AuthorizedOrgsDesc esistente, esegui
il seguente comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --clear-orgs --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per
AuthorizedOrgsDescrisorsa. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri caratteri.ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.
Visualizzare una risorsa AuthorizedOrgsDesc
Per visualizzare una risorsa AuthorizedOrgsDesc esistente, esegui il seguente comando:
gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per
AuthorizedOrgsDescrisorsa. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri caratteri.ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.
Elenca le AuthorizedOrgsDesc risorse
Per elencare le risorse AuthorizedOrgsDesc nel criterio di accesso, esegui il
comando seguente:
gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER
Sostituisci ACCESS_POLICY_NUMBER con il numero del criterio di accesso a livello di organizzazione.
Rimuovi una risorsa AuthorizedOrgsDesc
Per rimuovere una risorsa AuthorizedOrgsDesc, esegui il seguente comando:
gcloud access-context-manager authorized-orgs delete AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per
AuthorizedOrgsDescrisorsa. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri caratteri.ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.