Configura l'autorizzazione tra organizzazioni

Questa pagina fornisce una panoramica generale della funzionalità di autorizzazione tra organizzazioni e dei passaggi per configurarla.

Puoi utilizzare BeyondCorp Enterprise per consentire l'accesso sicuro ai dati dai dispositivi all'interno di un'organizzazione. In questo modo, i dispositivi vengono valutati in base al criterio di accesso dell'organizzazione nei punti di applicazione durante la determinazione dell'accesso. Ad esempio, se consentire o negare l'accesso da parte di un'altra organizzazione è un'informazione del criterio di accesso che viene valutata. Se devi consentire ai dispositivi della tua organizzazione di accedere alle risorse di un'altra organizzazione, sia la tua organizzazione sia l'altra organizzazione devono aver configurato l'autorizzazione tra organizzazioni.

L'autorizzazione tra organizzazioni consente di configurare un criterio di accesso per considerare attendibili e utilizzare dati, ad esempio gli attributi dei dispositivi, di proprietà di altre organizzazioni. Ad esempio, puoi configurare il criterio di accesso della tua organizzazione per consentire l'accesso alle sue risorse da dispositivi di altre organizzazioni.

Prima di iniziare

Per configurare e gestire l'autorizzazione tra organizzazioni, sono necessari gli ID organizzazione della tua organizzazione e gli ID delle organizzazioni che vuoi autorizzare. È necessario anche il numero di criterio a livello di organizzazione. Se non hai gli ID organizzazione o il numero di criterio a livello di organizzazione, consulta le seguenti informazioni:

Quando configuri e gestisci l'autorizzazione tra organizzazioni, devi lavorare con la risorsa AuthorizedOrgsDesc. La risorsa AuthorizedOrgsDesc contiene l'elenco di organizzazioni che vuoi autorizzare e specifica il tipo di autorizzazione, il tipo di asset e la direzione di autorizzazione per le organizzazioni.

Puoi utilizzare Google Cloud CLI per creare una risorsa AuthorizedOrgsDesc e modificarne le impostazioni. Quando lavori con la risorsa AuthorizedOrgsDesc, si applica quanto segue:

  • ASSET_TYPE_DEVICE è l'unica opzione disponibile per il tipo di asset.
  • AUTHORIZATION_TYPE_TRUST è l'unica opzione disponibile per il tipo di autorizzazione.

Configurare l'autorizzazione dei dispositivi tra organizzazioni tra due organizzazioni

Questa sezione illustra i passaggi per configurare l'autorizzazione tra organizzazioni utilizzando un esempio nell'intera procedura.

Questo esempio crea una relazione di autorizzazione bidirezionale tra due organizzazioni e consente ai dispositivi di un'organizzazione di accedere alle risorse di un'altra organizzazione. L'organizzazione delle risorse (organizations/RESOURCE_ORG_ID) contiene risorse come bucket e VM di Cloud Storage. L'organizzazione delle risorse ha livelli di accesso che consentono a dispositivi specifici dell'organizzazione di accedere alle sue risorse. L'organizzazione partner (organizations/PARTNER_ORG_ID) è un'organizzazione che deve accedere alle risorse nell'organizzazione.

Di seguito sono riportati i criteri per le risorse e le organizzazioni partner prima della configurazione dell'autorizzazione tra organizzazioni:

Organizzazione delle risorse (organizzazioni/RESOURCE_ORG_ID):

access policy:
access level: SP1
  --"requireScreenlock": true

Organizzazione partner (organizzazioni/PARTNER_ORG_ID):

no access policy

Nell'immagine seguente, gli attributi del dispositivo nell'organizzazione partner non sono visibili all'organizzazione delle risorse perché l'autorizzazione tra organizzazioni non è configurata.

Prima della configurazione tra più organizzazioni, gli attributi del dispositivo dell'organizzazione partner non sono visibili all'organizzazione delle risorse.

I passaggi seguenti mostrano come configurare sia l'organizzazione delle risorse sia l'organizzazione dei partner per abilitare l'autorizzazione tra organizzazioni utilizzando Google Cloud CLI.

Preparazione

Completa i passaggi in questa sezione sia per la risorsa sia per le organizzazioni partner.

  1. Assicurati che entrambe le organizzazioni dispongano di criteri a livello di organizzazione. Per creare un criterio a livello di organizzazione, vedi Creare un criterio di accesso a livello di organizzazione.

  2. Esegui questo comando per ottenere il numero del criterio di accesso a livello di organizzazione:

    gcloud access-context-manager policies list --organization=ORG_ID
    

    Sostituisci ORG_ID con l'ID della tua organizzazione.

    Dovresti ricevere le informazioni nel seguente formato:

    NAME                    ORGANIZATION SCOPES     TITLE     ETAG
    <ACCESS_POLICY_NUMBER>  <ORGANIZATION_NUMBER>   A title   002cb3fbfde471e7
    

Configura l'organizzazione delle risorse

  1. Devi essere l'amministratore dell'organizzazione delle risorse (organizations/RESOURCE_ORG_ID) per completare questo passaggio. Crea una risorsa AuthorizedOrgsDesc per l'organizzazione della risorsa eseguendo questo comando:

    gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
     --authorization_type=AUTHORIZATION_TYPE_TRUST \
     --asset_type=ASSET_TYPE_DEVICE \
     --authorization_direction=AUTHORIZATION_DIRECTION_FROM \
     --orgs=organizations/PARTNER_ORG_ID \
     --policy=ACCESS_POLICY_NUMBER
    

    Sostituisci quanto segue:

    • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

    • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

    • PARTNER_ORG_ID: il numero dell'organizzazione partner.

  2. Visualizza la risorsa AuthorizedOrgsDesc appena creata per verificare che sia corretta eseguendo questo comando:

    gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
     --policy=ACCESS_POLICY_NUMBER
    

    Sostituisci quanto segue:

    • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

    • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Configura l'organizzazione partner

  1. Devi essere l'amministratore dell'organizzazione partner (organizations/PARTNER_ORG_ID) per completare questo passaggio. Crea una risorsa AuthorizedOrgsDesc per l'organizzazione partner eseguendo questo comando:

    gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
      --authorization_type=AUTHORIZATION_TYPE_TRUST \
      --asset_type=ASSET_TYPE_DEVICE \
      --authorization_direction=AUTHORIZATION_DIRECTION_TO \
      --orgs=organizations/RESOURCE_ORG_ID \
      --policy=ACCESS_POLICY_NUMBER
    

    Sostituisci quanto segue:

    • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

    • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

    • RESOURCE_ORG_ID: il numero dell'organizzazione della risorsa.

  2. Visualizza la risorsa AuthorizedOrgsDesc appena creata per verificare che sia corretta eseguendo questo comando:

    gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
      --policy=ACCESS_POLICY_NUMBER
    

    Sostituisci quanto segue:

    • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

    • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Criteri di post-configurazione previsti

Di seguito sono riportati i criteri per le risorse e le organizzazioni partner dopo la configurazione dell'autorizzazione tra organizzazioni:

Organizzazione delle risorse (organizzazioni/RESOURCE_ORG_ID):

access policy:
access level: SP1
  --"requireScreenlock": true
AuthorizedorgsDesc: AOD1
  --authorizationtype: trust
  --asset type: device
  --authorization direction: from
  --orgs: [organizations/PARTNER_ORG_ID]

Organizzazione partner (organizzazioni/PARTNER_ORG_ID):

access policy:
AuthorizedOrgsDesc: AOD2
  --authorizationtype: trust
  --asset type: device
  --authorization direction: to
  --orgs: [organizations/RESOURCE_ORG_ID]

L'immagine seguente mostra la visibilità degli attributi dei dispositivi dell'organizzazione partner dopo la configurazione dell'autorizzazione tra organizzazioni.

Gli attributi del dispositivo dell'organizzazione partner sono visibili all'organizzazione delle risorse dopo aver configurato l'autorizzazione tra organizzazioni

Test della configurazione

Dopo aver configurato le due organizzazioni, puoi fare in modo che un utente dell'organizzazione partner tenti di accedere alle risorse nell'organizzazione delle risorse utilizzando un dispositivo conforme. Se l'accesso viene concesso, l'autorizzazione tra organizzazioni funziona come previsto. Gli utenti dell'organizzazione partner ora possono accedere al bucket A in Cloud Storage dell'organizzazione delle risorse solo se il dispositivo dell'utente ha un criterio di blocco schermo.

Se al dispositivo non viene concesso l'accesso, ripeti i passaggi della configurazione per correggerla.

Gestisci una configurazione dell'autorizzazione tra organizzazioni

Dopo aver configurato l'autorizzazione tra organizzazioni, potresti dover rimuovere l'accesso a un'organizzazione, aggiungere l'accesso a un'altra organizzazione o eseguire altre attività. Questa sezione contiene informazioni su come completare le attività comuni durante la gestione delle autorizzazioni tra organizzazioni.

Crea una risorsa AuthorizedOrgsDesc e autorizza le organizzazioni esterne

Per creare una risorsa AuthorizedOrgsDesc e includere le organizzazioni esterne a cui vuoi concedere l'accesso, esegui questo comando:

gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME
 --authorization_type=AUTHORIZATION_TYPE_TRUST
 --asset_type=ASSET_TYPE_DEVICE
 --authorization_direction=AUTHORIZATION_DIRECTION_FROM
 --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • ORG_ID: l'ID dell'organizzazione a cui vuoi concedere l'accesso. Quando specifichi più di un'organizzazione, utilizza una virgola per separare gli ID organizzazione.

  • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Aggiungere un'organizzazione

Per aggiungere un'organizzazione a una risorsa AuthorizedOrgsDesc esistente, esegui questo comando:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --add-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • ORG_ID: l'ID dell'organizzazione a cui vuoi concedere l'accesso. Quando specifichi più di un'organizzazione, utilizza una virgola per separare gli ID organizzazione.

  • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Rimuovere un'organizzazione

Per rimuovere un'organizzazione da una risorsa AuthorizedOrgsDesc esistente, esegui questo comando:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --remove-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • ORG_ID L'ID dell'organizzazione da rimuovere.

  • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Specifica un nuovo elenco di organizzazioni

Per specificare un nuovo elenco di organizzazioni in una risorsa AuthorizedOrgsDesc esistente, esegui questo comando:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --set-orgs=ORG_IDS \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • ORG_ID: l'ID dell'organizzazione a cui vuoi concedere l'accesso. Quando specifichi più di un'organizzazione, utilizza una virgola per separare gli ID organizzazione.

  • ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.

Rimuovi tutte le organizzazioni

Per rimuovere tutte le organizzazioni da una risorsa AuthorizedOrgsDesc esistente, esegui questo comando:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --clear-orgs --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.

Visualizza una risorsa AuthorizedOrgsDesc

Per visualizzare una risorsa AuthorizedOrgsDesc esistente, esegui questo comando:

gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.

Elenca le risorse AuthorizedOrgsDesc

Per elencare le risorse AuthorizedOrgsDesc nel criterio di accesso, esegui questo comando:

gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER

Sostituisci ACCESS_POLICY_NUMBER con il numero del criterio di accesso a livello di organizzazione.

Rimuovi una risorsa AuthorizedOrgsDesc

Per rimuovere una risorsa AuthorizedOrgsDesc, esegui questo comando:

gcloud access-context-manager authorized-orgs delete  AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

Sostituisci quanto segue:

  • AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa AuthorizedOrgsDesc. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.