Configura l'autorizzazione per le organizzazioni

Questa pagina offre una panoramica generale della funzionalità di autorizzazione tra organizzazioni e dei passaggi per configurarla.

Puoi utilizzare BeyondCorp Enterprise per consentire l'accesso sicuro ai dati da un dispositivo di un'organizzazione. In questo modo i dispositivi vengono valutati in base ai criteri di accesso dell'organizzazione al momento dell'applicazione in sede di determinazione dell'accesso. Ad esempio, se consentire o negare l'accesso da un'altra organizzazione è un'informazione del criterio di accesso valutato. Se hai bisogno che i dispositivi della tua organizzazione accedano alle risorse di un'altra organizzazione, l'organizzazione e l'altra organizzazione devono aver configurato l'autorizzazione tra organizzazioni.

L'autorizzazione per più organizzazioni ti consente di configurare un criterio di accesso per considerare attendibili e utilizzare i dati, ad esempio gli attributi dei dispositivi, di proprietà di altre organizzazioni. Ad esempio, puoi configurare il criterio di accesso della tua organizzazione per consentire l'accesso alle sue risorse dai dispositivi di altre organizzazioni.

Prima di iniziare

Per configurare e gestire l'autorizzazione per più organizzazioni, devi disporre degli ID organizzazione della tua organizzazione e degli ID delle organizzazioni che vuoi autorizzare. Ti serve anche il numero di criterio a livello di organizzazione. Se non disponi degli ID organizzazione o del numero di criterio a livello di organizzazione, consulta le seguenti informazioni:

Quando configuri e gestisci l'autorizzazione tra organizzazioni, utilizzi la risorsa AuthorizedOrgsDesc. La risorsa AuthorizedOrgsDesc contiene l'elenco delle organizzazioni che vuoi autorizzare e specifica il tipo di autorizzazione, il tipo di risorsa e la direzione dell'autorizzazione per le organizzazioni.

Puoi utilizzare Google Cloud CLI per creare una risorsa AuthorizedOrgsDesc e modificarne le impostazioni. Quando si utilizza la risorsa AuthorizedOrgsDesc, si applica quanto segue:

  • ASSET_TYPE_DEVICE è l'unica opzione disponibile per il tipo di asset.
  • AUTHORIZATION_TYPE_TRUST è l'unica opzione disponibile per il tipo di autorizzazione.

Configura l'autorizzazione dei dispositivi cross-org tra due organizzazioni

Questa sezione fornisce i passaggi per configurare l'autorizzazione cross-org utilizzando un esempio durante tutti i passaggi.

Questo esempio crea una relazione di autorizzazione bidirezionale tra due organizzazioni e consente ai dispositivi di un'organizzazione di accedere alle risorse di un'altra. L'organizzazione delle risorse (organizations/RESOURCE_ORG_ID) contiene risorse come bucket Cloud Storage e VM. L'organizzazione delle risorse ha livelli di accesso che consentono a dispositivi specifici dell'organizzazione di accedere alle sue risorse. L'organizzazione partner (organizations/PARTNER_ORG_ID) è un'organizzazione che deve accedere alle risorse nell'organizzazione delle risorse.

Di seguito sono riportati i criteri per le organizzazioni di risorse e partner prima di configurare l'autorizzazione tra organizzazioni:

Organizzazione di risorse (organizations/RESOURCE_ORG_ID):

access policy:
access level: SP1
  --"requireScreenlock": true

Organizzazione partner (organizzazioni/PARTNER_ORG_ID):

no access policy

Nell'immagine seguente, gli attributi del dispositivo dell'organizzazione partner non sono visibili all'organizzazione di risorse perché l'autorizzazione cross-org non è configurata.

Prima di configurare l'organizzazione tra più organizzazioni, gli attributi dei dispositivi dell'organizzazione partner non sono visibili all'organizzazione delle risorse.

I passaggi seguenti mostrano come configurare sia l'organizzazione delle risorse sia l'organizzazione partner per abilitare l'autorizzazione cross-org utilizzando Google Cloud CLI.

Preparazione

Completa i passaggi in questa sezione, sia per la risorsa sia per le organizzazioni partner.

  1. Assicurati che entrambe le organizzazioni dispongano di un criterio a livello di organizzazione. Per creare un criterio a livello di organizzazione, vedi Creare un criterio di accesso a livello di organizzazione.

  2. Esegui questo comando per ottenere il numero del criterio di accesso a livello di organizzazione:

    gcloud access-context-manager policies list --organization=ORG_ID
    

    Sostituisci ORG_ID con l'ID organizzazione.

    Dovresti ricevere le informazioni nel seguente formato:

    NAME                    ORGANIZATION SCOPES     TITLE     ETAG
    <ACCESS_POLICY_NUMBER>  <ORGANIZATION_NUMBER>   A title   002cb3fbfde471e7
    

Configura l'organizzazione delle risorse

  1. Per completare questo passaggio, devi essere l'amministratore dell'organizzazione delle risorse (organizations/RESOURCE_ORG_ID). Crea una risorsa AuthorizedOrgsDesc per l'organizzazione delle risorse eseguendo questo comando:

    gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
     --authorization_type=AUTHORIZATION_TYPE_TRUST \
     --asset_type=ASSET_TYPE_DEVICE \
     --authorization_direction=AUTHORIZATION_DIRECTION_FROM \
     --orgs=organizations/PARTNER_ORG_ID \
     --policy=ACCESS_POLICY_NUMBER
    

    Sostituisci quanto segue:

    • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

    • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

    • PARTNER_ORG_ID: il numero dell'organizzazione del partner.

  2. Visualizza la risorsa AuthorizedOrgsDesc appena creata per verificare che sia corretta eseguendo il comando seguente:

    gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
     --policy=ACCESS_POLICY_NUMBER
    

    Sostituisci quanto segue:

    • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

    • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Configurare l'organizzazione partner

  1. Per completare questo passaggio, devi essere l'amministratore dell'organizzazione partner (organizations/PARTNER_ORG_ID). Crea una risorsa AuthorizedOrgsDesc per l'organizzazione partner eseguendo questo comando:

    gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
      --authorization_type=AUTHORIZATION_TYPE_TRUST \
      --asset_type=ASSET_TYPE_DEVICE \
      --authorization_direction=AUTHORIZATION_DIRECTION_TO \
      --orgs=organizations/RESOURCE_ORG_ID \
      --policy=ACCESS_POLICY_NUMBER
    

    Sostituisci quanto segue:

    • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

    • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

    • RESOURCE_ORG_ID: il numero dell'organizzazione della risorsa.

  2. Visualizza la risorsa AuthorizedOrgsDesc appena creata per verificare che sia corretta eseguendo il comando seguente:

    gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
      --policy=ACCESS_POLICY_NUMBER
    

    Sostituisci quanto segue:

    • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

    • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Criteri di post-configurazione previsti

Di seguito sono riportati i criteri per le organizzazioni di risorse e partner dopo la configurazione dell'autorizzazione tra organizzazioni:

Organizzazione di risorse (organizations/RESOURCE_ORG_ID):

access policy:
access level: SP1
  --"requireScreenlock": true
AuthorizedorgsDesc: AOD1
  --authorizationtype: trust
  --asset type: device
  --authorization direction: from
  --orgs: [organizations/PARTNER_ORG_ID]

Organizzazione partner (organizzazioni/PARTNER_ORG_ID):

access policy:
AuthorizedOrgsDesc: AOD2
  --authorizationtype: trust
  --asset type: device
  --authorization direction: to
  --orgs: [organizations/RESOURCE_ORG_ID]

L'immagine seguente mostra la visibilità degli attributi dei dispositivi dell'organizzazione partner dopo la configurazione dell'autorizzazione cross-org.

Gli attributi del dispositivo dell'organizzazione partner sono visibili all'organizzazione delle risorse dopo la configurazione dell'autorizzazione di accesso tra più organizzazioni

Test della configurazione

Dopo aver configurato le due organizzazioni, un utente dell'organizzazione partner può tentare di accedere alle risorse nell'organizzazione di risorse utilizzando un dispositivo conforme. Se l'accesso viene concesso, l'autorizzazione per più organizzazioni funziona come previsto. Ora gli utenti dell'organizzazione partner possono accedere al bucket A in Cloud Storage dell'organizzazione delle risorse solo se il dispositivo dell'utente ha configurato un criterio di blocco schermo.

Se al dispositivo non viene concesso l'accesso, segui di nuovo i passaggi per risolvere il problema.

Gestire una configurazione di autorizzazione tra organizzazioni

Dopo aver configurato l'autorizzazione per più organizzazioni, potrebbe essere necessario rimuovere l'accesso a un'organizzazione, aggiungere l'accesso a un'altra organizzazione o altre attività. Questa sezione contiene informazioni su come completare le attività comuni nella gestione delle autorizzazioni tra organizzazioni.

Crea una risorsa AuthorizedOrgsDesc e autorizza le organizzazioni esterne

Per creare una risorsa AuthorizedOrgsDesc e includere le organizzazioni esterne a cui vuoi concedere l'accesso, esegui il comando seguente:

gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME
 --authorization_type=AUTHORIZATION_TYPE_TRUST
 --asset_type=ASSET_TYPE_DEVICE
 --authorization_direction=AUTHORIZATION_DIRECTION_FROM
 --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

  • ORG_ID: l'ID organizzazione dell'organizzazione a cui vuoi concedere l'accesso. Quando specifichi più organizzazioni, utilizza una virgola per separare gli ID organizzazione.

  • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Aggiungere un'organizzazione

Per aggiungere un'organizzazione a una risorsa AuthorizedOrgsDesc esistente, esegui il comando seguente:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --add-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

  • ORG_ID: l'ID organizzazione dell'organizzazione a cui vuoi concedere l'accesso. Quando specifichi più organizzazioni, utilizza una virgola per separare gli ID organizzazione.

  • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Rimuovere un'organizzazione

Per rimuovere un'organizzazione da una risorsa AuthorizedOrgsDesc esistente, esegui il comando seguente:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --remove-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

  • ORG_ID L'ID organizzazione dell'organizzazione che vuoi rimuovere.

  • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Specifica un nuovo elenco di organizzazioni

Per specificare un nuovo elenco di organizzazioni in una risorsa AuthorizedOrgsDesc esistente, esegui il comando seguente:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --set-orgs=ORG_IDS \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

  • ORG_ID: l'ID organizzazione dell'organizzazione a cui vuoi concedere l'accesso. Quando specifichi più organizzazioni, utilizza una virgola per separare gli ID organizzazione.

  • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Rimuovi tutte le organizzazioni

Per rimuovere tutte le organizzazioni da una risorsa AuthorizedOrgsDesc esistente, esegui il comando seguente:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --clear-orgs --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

  • ACCESS_POLICY_NUMBER Il numero di criteri di accesso a livello di organizzazione.

Visualizza una risorsa AuthorizedOrgsDesc

Per visualizzare una risorsa AuthorizedOrgsDesc esistente, esegui il comando seguente:

gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

  • ACCESS_POLICY_NUMBER Il numero di criteri di accesso a livello di organizzazione.

Elenca le risorse AuthorizedOrgsDesc

Per elencare le risorse AuthorizedOrgsDesc nel criterio di accesso, esegui questo comando:

gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER

Sostituisci ACCESS_POLICY_NUMBER con il numero del criterio di accesso a livello di organizzazione.

Rimuovi una risorsa AuthorizedOrgsDesc

Per rimuovere una risorsa AuthorizedOrgsDesc, esegui il comando seguente:

gcloud access-context-manager authorized-orgs delete  AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.

  • ACCESS_POLICY_NUMBER Il numero di criteri di accesso a livello di organizzazione.