跨组织配置授权

本页面简要介绍了跨组织授权功能。 以及配置步骤

借助 Chrome Enterprise Premium，您可以允许同一区域内的设备安全地访问数据， 组织。这样可以确保根据 确定访问权限时，强制执行点的组织访问权限政策。例如，是否 “允许或拒绝其他组织访问”是 评估的访问权限政策。如果您需要您 可以访问另一个组织内的资源， 另一个组织必须配置跨组织授权。

借助跨组织授权，您可以配置访问权限政策，以信任和使用其他组织拥有的数据（例如设备属性）。例如： 您可以配置组织的访问权限政策 其他资源。

准备工作

要设置和管理跨组织授权，您需要 您的组织以及您要授权的组织的 ID。 您还需要组织级政策编号。如果您没有 组织 ID 或组织级政策编号，请参阅以下内容 信息：

• 获取组织资源 ID
• 获取组织级访问权限政策编号

在设置和管理跨组织授权时，您需要与 AuthorizedOrgsDesc 资源。AuthorizedOrgsDesc 资源包含 您要授权的组织列表并指定授权 组织类型、资产类型以及授权方向。

您可以使用 Google Cloud CLI 创建 AuthorizedOrgsDesc 资源，并 修改其设置。使用 AuthorizedOrgsDesc 资源时， 以下规则：

• ASSET_TYPE_DEVICE 是资产类型的唯一可用选项。
• AUTHORIZATION_TYPE_TRUST 是该授权类型的唯一可用选项。

在两个组织之间设置跨组织设备授权

本部分将通过一个示例，介绍设置跨组织授权的步骤。

该示例在两个产品之间建立了双向授权关系， 一个组织中的设备，并且允许同一组织中的设备访问 另一个组织。资源组织 (organizations/RESOURCE_ORG_ID) 包含 例如 Cloud Storage 存储分区和虚拟机资源组织 拥有允许组织中的特定设备访问 资源。合作伙伴组织 (organizations/PARTNER_ORG_ID) 是一个组织 需要访问资源组织中的资源。

以下是资源和合作伙伴组织的政策， 跨组织授权已配置：

资源组织 (organizations/RESOURCE_ORG_ID)：

access policy:
access level: SP1
  --"requireScreenlock": true

合作伙伴组织 (organizations/PARTNER_ORG_ID)：

no access policy

在下图中，合作伙伴名下的设备属性 组织对资源组织不可见，因为跨组织 未配置授权。

以下步骤显示了如何配置资源组织和 合作伙伴组织使用 Google Cloud CLI 启用跨组织授权。

准备

请同时为资源组织和合作伙伴组织完成本部分中的步骤。

1. 确保两个组织都有组织级政策。要创建 组织级政策，请参阅创建组织级访问权限 政策。

2. 运行以下命令以获取组织级访问权限政策编号：

   gcloud access-context-manager policies list --organization=ORG_ID
   

   将 ORG_ID 替换为您的组织 ID。

   您应该会收到以下格式的信息：

   NAME                    ORGANIZATION SCOPES     TITLE     ETAG
   <ACCESS_POLICY_NUMBER>  <ORGANIZATION_NUMBER>   A title   002cb3fbfde471e7
   

配置资源组织

1. 您必须是资源组织 (organizations/RESOURCE_ORG_ID) 管理员才能执行以下操作： 完成此步骤。为资源创建 AuthorizedOrgsDesc 资源 创建组织

   gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
    --authorization_type=AUTHORIZATION_TYPE_TRUST \
    --asset_type=ASSET_TYPE_DEVICE \
    --authorization_direction=AUTHORIZATION_DIRECTION_FROM \
    --orgs=organizations/PARTNER_ORG_ID \
    --policy=ACCESS_POLICY_NUMBER
   

   替换以下内容：

   • AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 的唯一名称 资源。名称必须以字母开头，且只能包含字母、数字和下划线。名称最多可以包含 50 个字符。

   • ACCESS_POLICY_NUMBER：您的组织级访问权限政策编号。

   • PARTNER_ORG_ID：合作伙伴组织编号。

2. 显示新创建的 AuthorizedOrgsDesc 资源以验证其是否 来更正错误：

   gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
    --policy=ACCESS_POLICY_NUMBER
   

   替换以下内容：

   • AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 的唯一名称 资源。名称必须以字母开头，且只能包含字母、数字和下划线。名称最多可以包含 50 个字符。

   • ACCESS_POLICY_NUMBER：您的组织级访问权限政策编号。

配置合作伙伴组织

1. 您必须是合作伙伴组织 (organizations/PARTNER_ORG_ID) 的管理员才能 完成此步骤。运行以下命令，为合作伙伴组织创建 AuthorizedOrgsDesc 资源：

   gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
     --authorization_type=AUTHORIZATION_TYPE_TRUST \
     --asset_type=ASSET_TYPE_DEVICE \
     --authorization_direction=AUTHORIZATION_DIRECTION_TO \
     --orgs=organizations/RESOURCE_ORG_ID \
     --policy=ACCESS_POLICY_NUMBER
   

   替换以下内容：

   • AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 的唯一名称 资源。名称必须以字母开头，且只能包含字母、数字和下划线。名称最多可以包含 50 个字符。

   • ACCESS_POLICY_NUMBER：您的组织级访问权限政策编号。

   • RESOURCE_ORG_ID：资源组织编号。

2. 显示新创建的 AuthorizedOrgsDesc 资源以验证其是否 来更正错误：

   gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
     --policy=ACCESS_POLICY_NUMBER
   

   替换以下内容：

   • AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 的唯一名称 资源。名称必须以字母开头，且只能包含字母、数字和下划线。名称最多可以包含 50 个字符。

   • ACCESS_POLICY_NUMBER：您的组织级访问权限政策编号。

预期的配置后政策

以下是资源和合作伙伴组织适用的政策， 跨组织授权已配置：

资源组织 (organizations/RESOURCE_ORG_ID)：

access policy:
access level: SP1
  --"requireScreenlock": true
AuthorizedorgsDesc: AOD1
  --authorizationtype: trust
  --asset type: device
  --authorization direction: from
  --orgs: [organizations/PARTNER_ORG_ID]

合作伙伴组织（organizations/PARTNER_ORG_ID）：

access policy:
AuthorizedOrgsDesc: AOD2
  --authorizationtype: trust
  --asset type: device
  --authorization direction: to
  --orgs: [organizations/RESOURCE_ORG_ID]

下图显示了合作伙伴的设备属性的可见性

测试配置

配置两个组织后，您便可以在合作伙伴中分配用户 组织尝试使用 兼容设备如果授予访问权限，您的跨组织授权将按如下方式运作： 符合预期。合作伙伴组织中的用户现在可以在以下位置访问存储桶 A： 资源组织的 Cloud Storage 仅在用户设备 屏幕锁定政策。

如果设备未被授予访问权限，请重新逐步完成配置步骤 来修复您的配置。

管理跨组织授权配置

配置跨组织授权后，您可能需要移除对 组织、添加对其他组织的访问权限或执行其他任务。本部分介绍了如何在管理跨组织授权时完成常见任务。

创建 AuthorizedOrgsDesc 资源并向外部组织授权

创建 AuthorizedOrgsDesc 资源并包含外部组织 请运行以下命令：

gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME
 --authorization_type=AUTHORIZATION_TYPE_TRUST
 --asset_type=ASSET_TYPE_DEVICE
 --authorization_direction=AUTHORIZATION_DIRECTION_FROM
 --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER

替换以下内容：

• AUTHORIZED_ORGS_DESC_NAME： AuthorizedOrgsDesc 资源。名称必须以字母开头，并且包含 只能包含字母、数字和下划线。名称最多只能包含 50 个 字符。

• ORG_ID：您要访问的组织的组织 ID 以授予访问权限。指定多个组织时，请使用英文逗号分隔组织 ID。

• ACCESS_POLICY_NUMBER：您的组织级访问权限政策编号。

添加单位

如需将组织添加到现有 AuthorizedOrgsDesc 资源，请运行 以下命令：

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --add-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

替换以下内容：

• AUTHORIZED_ORGS_DESC_NAME： AuthorizedOrgsDesc 资源。名称必须以字母开头，并且包含 只能包含字母、数字和下划线。名称最多只能包含 50 个 字符。

• ORG_ID：您要访问的组织的组织 ID 以授予访问权限。指定多个组织时，请使用英文逗号分隔组织 ID。

• ACCESS_POLICY_NUMBER：您的组织级访问权限政策编号。

移除组织

如需从现有的 AuthorizedOrgsDesc 资源中移除组织，请运行以下命令： 以下命令：

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --remove-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

替换以下内容：

• AUTHORIZED_ORGS_DESC_NAME： AuthorizedOrgsDesc 资源。名称必须以字母开头，并且包含 只能包含字母、数字和下划线。名称最多只能包含 50 个 字符。

• ORG_ID 您要移除的组织的组织 ID。

• ACCESS_POLICY_NUMBER：您的组织级访问权限政策编号。

指定新的组织列表

要在现有 AuthorizedOrgsDesc 中指定新的组织列表，请执行以下操作： 请运行以下命令：

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --set-orgs=ORG_IDS \
  --policy=ACCESS_POLICY_NUMBER

替换以下内容：

• AUTHORIZED_ORGS_DESC_NAME： AuthorizedOrgsDesc 资源。名称必须以字母开头，并且包含 只能包含字母、数字和下划线。名称最多只能包含 50 个 字符。

• ORG_ID：您要访问的组织的组织 ID 以授予访问权限。指定多个组织时，请使用英文逗号分隔组织 ID。

• ACCESS_POLICY_NUMBER：您的组织级访问权限政策编号。

移除所有组织

如需从现有 AuthorizedOrgsDesc 资源中移除所有组织，请运行以下命令： 以下命令：

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --clear-orgs --policy=ACCESS_POLICY_NUMBER

替换以下内容：

• AUTHORIZED_ORGS_DESC_NAME： AuthorizedOrgsDesc 资源。名称必须以字母开头，并且包含 只能包含字母、数字和下划线。名称最多只能包含 50 个 字符。

• ACCESS_POLICY_NUMBER 组织级访问权限政策编号。

显示 AuthorizedOrgsDesc 资源

如需显示现有的 AuthorizedOrgsDesc 资源，请运行以下命令：

gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

替换以下内容：

• AUTHORIZED_ORGS_DESC_NAME： AuthorizedOrgsDesc 资源。名称必须以字母开头，并且包含 只能包含字母、数字和下划线。名称最多只能包含 50 个 字符。

• ACCESS_POLICY_NUMBER 组织级访问权限政策编号。

列出 AuthorizedOrgsDesc 资源

如需列出访问权限政策中的 AuthorizedOrgsDesc 资源，请运行 以下命令：

gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER

将 ACCESS_POLICY_NUMBER 替换为组织级访问权限政策编号。

移除 AuthorizedOrgsDesc 资源

如需移除 AuthorizedOrgsDesc 资源，请运行以下命令：

gcloud access-context-manager authorized-orgs delete  AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

替换以下内容：

• AUTHORIZED_ORGS_DESC_NAME： AuthorizedOrgsDesc 资源。名称必须以字母开头，并且包含 只能包含字母、数字和下划线。名称最多只能包含 50 个 字符。

• ACCESS_POLICY_NUMBER：组织级访问权限政策编号。