Questa pagina fornisce una panoramica generale della funzionalità di autorizzazione tra organizzazioni e dei passaggi per configurarla.
Puoi utilizzare Chrome Enterprise Premium per consentire l'accesso sicuro ai dati dai dispositivi all'interno di un'organizzazione. In questo modo, i dispositivi vengono valutati in base al criterio di accesso dell'organizzazione nei punti di applicazione durante la determinazione dell'accesso. Ad esempio, se consentire o negare l'accesso da un'altra organizzazione è un'informazione nel criterio di accesso che viene valutata. Se hai bisogno che i dispositivi della tua organizzazione accedano alle risorse di un'altra organizzazione, sia l'organizzazione che l'altra devono avere configurato l'autorizzazione tra organizzazioni.
L'autorizzazione tra organizzazioni consente di configurare un criterio di accesso per considerare attendibili e utilizzare i dati, come gli attributi dei dispositivi, di proprietà di altre organizzazioni. Ad esempio, puoi configurare il criterio di accesso della tua organizzazione per consentire l'accesso alle sue risorse da dispositivi di altre organizzazioni.
Prima di iniziare
Per configurare e gestire l'autorizzazione tra organizzazioni, devi disporre degli ID della tua organizzazione e di quelli delle organizzazioni che vuoi autorizzare. È necessario anche il numero di polizza a livello di organizzazione. Se non disponi degli ID organizzazione o del numero di criteri a livello di organizzazione, consulta le seguenti informazioni:
- Recupero dell'ID risorsa dell'organizzazione
- Recuperare il numero del criterio di accesso a livello di organizzazione
Quando configuri e gestisci l'autorizzazione tra organizzazioni, devi utilizzare la risorsa AuthorizedOrgsDesc
. La risorsa AuthorizedOrgsDesc
contiene l'elenco delle organizzazioni che vuoi autorizzare e specifica il tipo di autorizzazione, il tipo di asset e la direzione di autorizzazione per le organizzazioni.
Puoi utilizzare Google Cloud CLI per creare una risorsa AuthorizedOrgsDesc
e modificarne le impostazioni. Quando lavori con la risorsa AuthorizedOrgsDesc
, si applica quanto segue:
ASSET_TYPE_DEVICE
è l'unica opzione disponibile per il tipo di asset.AUTHORIZATION_TYPE_TRUST
è l'unica opzione disponibile per il tipo di autorizzazione.
Configurare l'autorizzazione dei dispositivi tra organizzazioni tra due organizzazioni
Questa sezione illustra i passaggi per configurare l'autorizzazione tra organizzazioni utilizzando un esempio.
Questo esempio crea una relazione di autorizzazione bidirezionale tra due organizzazioni e consente ai dispositivi di un'organizzazione di accedere alle risorse di un'altra. L'organizzazione di risorse (organizations/RESOURCE_ORG_ID
) contiene risorse come bucket e VM di Cloud Storage. L'organizzazione delle risorse dispone di livelli di accesso che consentono a dispositivi specifici dell'organizzazione di accedere alle relative risorse. L'organizzazione partner (organizations/PARTNER_ORG_ID
) è un'organizzazione
che deve accedere alle risorse nell'organizzazione.
Di seguito sono riportati i criteri per le organizzazioni di risorse e partner prima della configurazione dell'autorizzazione tra organizzazioni:
Organizzazione risorsa (organizations/RESOURCE_ORG_ID):
access policy:
access level: SP1
--"requireScreenlock": true
Organizzazione partner (organizzazioni/PARTNER_ORG_ID):
no access policy
Nell'immagine seguente, gli attributi dei dispositivi dell'organizzazione partner non sono visibili all'organizzazione della risorsa perché l'autorizzazione tra organizzazioni non è configurata.
I passaggi seguenti mostrano come configurare sia l'organizzazione delle risorse che l'organizzazione partner per abilitare l'autorizzazione tra organizzazioni utilizzando Google Cloud CLI.
Preparazione
Completa i passaggi di questa sezione sia per la risorsa sia per l'organizzazione partner.
Assicurati che entrambe le organizzazioni dispongano di un criterio a livello di organizzazione. Per creare un criterio a livello di organizzazione, vedi Creare un criterio di accesso a livello di organizzazione.
Esegui questo comando per ottenere il numero del criterio di accesso a livello di organizzazione:
gcloud access-context-manager policies list --organization=ORG_ID
Sostituisci ORG_ID con l'ID della tua organizzazione.
Dovresti ricevere le informazioni nel seguente formato:
NAME ORGANIZATION SCOPES TITLE ETAG <ACCESS_POLICY_NUMBER> <ORGANIZATION_NUMBER> A title 002cb3fbfde471e7
Configura l'organizzazione della risorsa
Per completare questo passaggio, devi essere l'amministratore dell'organizzazione della risorsa (
organizations/RESOURCE_ORG_ID
). Crea una risorsaAuthorizedOrgsDesc
per l'organizzazione delle risorse eseguendo questo comando:gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \ --authorization_type=AUTHORIZATION_TYPE_TRUST \ --asset_type=ASSET_TYPE_DEVICE \ --authorization_direction=AUTHORIZATION_DIRECTION_FROM \ --orgs=organizations/PARTNER_ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
PARTNER_ORG_ID: il numero dell'organizzazione partner.
Visualizza la risorsa
AuthorizedOrgsDesc
appena creata per verificare che sia corretta eseguendo questo comando:gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Configura l'organizzazione partner
Per completare questo passaggio, devi essere l'amministratore dell'organizzazione partner (
organizations/PARTNER_ORG_ID
). Crea una risorsaAuthorizedOrgsDesc
per l'organizzazione partner eseguendo questo comando:gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \ --authorization_type=AUTHORIZATION_TYPE_TRUST \ --asset_type=ASSET_TYPE_DEVICE \ --authorization_direction=AUTHORIZATION_DIRECTION_TO \ --orgs=organizations/RESOURCE_ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
RESOURCE_ORG_ID: il numero dell'organizzazione della risorsa.
Visualizza la risorsa
AuthorizedOrgsDesc
appena creata per verificare che sia corretta eseguendo questo comando:gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere al massimo 50 caratteri.ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Criteri post-configurazione previsti
Di seguito sono riportati i criteri per le organizzazioni di risorse e partner dopo la configurazione dell'autorizzazione tra organizzazioni:
Organizzazione risorsa (organizations/RESOURCE_ORG_ID):
access policy:
access level: SP1
--"requireScreenlock": true
AuthorizedorgsDesc: AOD1
--authorizationtype: trust
--asset type: device
--authorization direction: from
--orgs: [organizations/PARTNER_ORG_ID]
Organizzazione partner (organizzazioni/PARTNER_ORG_ID):
access policy:
AuthorizedOrgsDesc: AOD2
--authorizationtype: trust
--asset type: device
--authorization direction: to
--orgs: [organizations/RESOURCE_ORG_ID]
L'immagine seguente mostra la visibilità degli attributi dei dispositivi dell'organizzazione partner dopo la configurazione dell'autorizzazione tra organizzazioni.
Test della configurazione
Dopo aver configurato le due organizzazioni, puoi fare in modo che un utente dell'organizzazione partner tenti di accedere alle risorse dell'organizzazione di risorse utilizzando un dispositivo conforme. Se viene concesso l'accesso, l'autorizzazione tra organizzazioni funziona come previsto. Gli utenti dell'organizzazione partner possono ora accedere al bucket A in Cloud Storage dell'organizzazione della risorsa solo se sul dispositivo dell'utente è stato attivato un criterio di blocco schermo.
Se al dispositivo non viene concesso l'accesso, ripeti i passaggi di configurazione per correggerla.
Gestire una configurazione di autorizzazione tra organizzazioni
Dopo aver configurato l'autorizzazione tra organizzazioni, potresti dover rimuovere l'accesso a un'organizzazione, aggiungerlo a un'altra organizzazione o aggiungere altre attività. Questa sezione contiene informazioni su come completare le attività comuni quando si gestisce l'autorizzazione tra organizzazioni.
Crea una risorsa AuthorizedOrgsDesc
e autorizza le organizzazioni esterne
Per creare una risorsa AuthorizedOrgsDesc
e includere le organizzazioni esterne
a cui vuoi concedere l'accesso, esegui questo comando:
gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME --authorization_type=AUTHORIZATION_TYPE_TRUST --asset_type=ASSET_TYPE_DEVICE --authorization_direction=AUTHORIZATION_DIRECTION_FROM --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.ORG_ID: l'ID dell'organizzazione a cui vuoi concedere l'accesso. Se specifichi più di un'organizzazione, utilizza una virgola per separare gli ID organizzazione.
ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Aggiungere un'organizzazione
Per aggiungere un'organizzazione a una risorsa AuthorizedOrgsDesc
esistente, esegui questo comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --add-orgs=ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.ORG_ID: l'ID dell'organizzazione a cui vuoi concedere l'accesso. Se specifichi più di un'organizzazione, utilizza una virgola per separare gli ID organizzazione.
ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Rimuovere un'organizzazione
Per rimuovere un'organizzazione da una risorsa AuthorizedOrgsDesc
esistente, esegui questo comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --remove-orgs=ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.ORG_ID L'ID dell'organizzazione da rimuovere.
ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Specifica un nuovo elenco di organizzazioni
Per specificare un nuovo elenco di organizzazioni in una risorsa AuthorizedOrgsDesc
esistente, esegui questo comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --set-orgs=ORG_IDS \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.ORG_ID: l'ID dell'organizzazione a cui vuoi concedere l'accesso. Se specifichi più di un'organizzazione, utilizza una virgola per separare gli ID organizzazione.
ACCESS_POLICY_NUMBER: il numero del criterio di accesso a livello di organizzazione.
Rimuovi tutte le organizzazioni
Per rimuovere tutte le organizzazioni da una risorsa AuthorizedOrgsDesc
esistente, esegui questo comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --clear-orgs --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.
Visualizza una risorsa AuthorizedOrgsDesc
Per visualizzare una risorsa AuthorizedOrgsDesc
esistente, esegui questo comando:
gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.
Elenca le AuthorizedOrgsDesc
risorse
Per elencare le risorse AuthorizedOrgsDesc
nel criterio di accesso, esegui questo comando:
gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER
Sostituisci ACCESS_POLICY_NUMBER con il numero del criterio di accesso a livello di organizzazione.
Rimuovi una risorsa AuthorizedOrgsDesc
Per rimuovere una risorsa AuthorizedOrgsDesc
, esegui questo comando:
gcloud access-context-manager authorized-orgs delete AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Sostituisci quanto segue:
AUTHORIZED_ORGS_DESC_NAME: un nome univoco per la risorsa
AuthorizedOrgsDesc
. Il nome deve iniziare con una lettera e contenere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.ACCESS_POLICY_NUMBER Il numero del criterio di accesso a livello di organizzazione.