Risolvere i problemi di accesso negato con Policy Remediator

Questa pagina mostra come attivare e utilizzare lo strumento di correzione dei criteri di Chrome Enterprise Premium.

Quando gli utenti tentano di accedere a una risorsa Google Cloud ma non sono conformi alle il criterio di accesso per la risorsa, all'utente viene negato l'accesso e 403. Puoi utilizzare lo strumento di correzione dei criteri per fornire agli utenti i passaggi pratici che possono seguire per risolvere il problema prima di rivolgersi a un amministratore per ulteriore assistenza. Le azioni di correzione specifiche dipendono di accesso ai criteri, ma può includere, ad esempio, l'attivazione del blocco schermo, l'aggiornamento la versione del sistema operativo o l'accesso a un'app da una rete consentita della tua azienda.

Attiva Policy Remediator

  1. Concedi all'amministratore dell'organizzazione Ruolo di roles/policyremediatormanager.policyRemediatorAdmin in a livello di organizzazione eseguendo i comandi seguenti in Google Cloud CLI:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID organizzazione Google Cloud.
    • PRINCIPAL: l'identificatore dell'entità o membro, che solitamente ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com.

  2. Abilita l'API Policy Remediator Manager eseguendo il seguente comando:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Chiama Policy Remediator Manager per abilitare Policy Remediator per per i progetti di un'organizzazione, viene creato un agente di servizio.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID organizzazione Google Cloud.
    • ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso. 
      gcloud auth print-access-token
    • PROJECT_ID: l'ID del progetto Google Cloud.

    Di seguito è riportato un esempio di risposta, che contiene i dettagli dell'agente di servizio:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    dove ORGANIZATION_ID è l'ID organizzazione Google Cloud.

  4. In Google Cloud CLI, esegui questo comando per accedere all'agente di servizio che hai creato:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID organizzazione Google Cloud.
    • ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso. 
      gcloud auth print-access-token
    • PROJECT_ID: l'ID progetto Google Cloud.

    Dovresti ricevere l'email dell'agente di servizio nel seguente formato:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    dove ORGANIZATION_ID è l'ID organizzazione Google Cloud.

Assegnare il ruolo di agente di servizio nella Console di amministrazione Google

  1. Accedi alla Console di amministrazione Google.

    Vai alla Console di amministrazione Google

  2. Vai ad Account > Ruoli amministratore e fai clic su Crea nuovo ruolo.

    • Inserisci un nome e una descrizione (facoltativa) per il ruolo, quindi fai clic su Continua.

    • In Privilegi della Console di amministrazione, vai a Servizi > Gestione dei dispositivi e dei dispositivi mobili e seleziona l'autorizzazione Gestisci dispositivi e impostazioni.

    • In Privilegi delle API amministrative, vai a Gruppi e seleziona l'autorizzazione Lettura.

    • Fai clic su Continua, conferma le voci e completa la creazione del ruolo.

    • Vai ad Assign Service Account (Assegna account di servizio) e inserisci l'indirizzo email del nuovo ha creato l'agente di servizio.

    • Fai clic su Aggiungi > Assegna ruolo.

  3. In Google Cloud CLI, esegui questi comandi per concedere all'agente di servizio (policyremediator.serviceAgent) all'agente di servizio nella a livello di organizzazione. In questo modo, l'agente di servizio avrà l'autorizzazione a leggere Identity and Access Management e altri criteri di accesso per la tua organizzazione.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Sostituisci ORGANIZATION_ID con l'ID organizzazione Google Cloud.

Abilita Policy Remediator per una risorsa IAP

Per utilizzare questa funzionalità, devi disporre di una licenza Chrome Enterprise Premium.

  1. Vai alla pagina Identity-Aware Proxy (IAP).
    Vai a IAP

  2. Seleziona una risorsa e fai clic su Impostazioni.

  3. Vai a Correggi accesso e seleziona Genera azioni di correzione.

Concedi il ruolo di correzione

Per concedere agli utenti l'autorizzazione per rimediare al negato l'accesso alle risorse IAP: esegui questo comando in Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Sostituisci PRINCIPAL con un identificatore per l'entità o il membro che solitamente ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com.

Per ulteriori informazioni, consulta gcloud iap web add-iam-policy-binding.

Per concedere agli utenti l'autorizzazione a correggere l'accesso alle risorse IAP a livello di progetto, esegui il seguente comando nella CLI di Google Cloud:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto Google Cloud.
  • PRINCIPAL: l'identificatore dell'entità o membro, che solitamente ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio: user:my-user@example.com.

Risolvere il problema con l'help desk

Quando agli utenti finali viene negato l'accesso, vengono reindirizzati a una pagina di Chrome Enterprise Premium che contiene informazioni sulla risoluzione dei problemi, tra cui un URL per la risoluzione dei problemi e un token di correzione. Se gli utenti non dispongono dell'autorizzazione per aprire il token di correzione, possono copiarlo e inviarlo all'Help desk per ulteriore assistenza.

Attributi dei criteri e messaggi associati

La tabella seguente fornisce l'elenco degli attributi supportati da Strumento di correzione dei criteri.

Attributo Messaggio predefinito
ip_address Stai accedendo all'app da una rete
non consentita dalla tua azienda.
region_code Accedi a questa app da una regione
consentito dalla tua azienda.
is_secured_with_screenlock Imposta una password di blocco dello schermo sul tuo dispositivo.
Disattiva la password sullo schermo sul dispositivo.
verified_chrome_os Utilizza un dispositivo con [tipo di sistema operativo] verificato.
Utilizza un dispositivo senza [tipo di sistema operativo] verificato.
is_admin_approved_device Utilizza un dispositivo approvato dall'amministratore della tua organizzazione.
Utilizzi un dispositivo non approvato dall'amministratore dell'organizzazione.
is_corp_owned_device Utilizza un dispositivo di proprietà della tua organizzazione.
Utilizza un dispositivo non di proprietà della tua organizzazione.
encryption_status Usa un dispositivo criptato.
Utilizza un dispositivo non criptato.
os_type Passa a un dispositivo [tipo di sistema operativo]. I dispositivi
[tipo di sistema operativo] non possono accedere a questa app.
os_version Esegui l'aggiornamento a una versione del sistema operativo pari o superiore a [version].
Esegui il downgrade del sistema operativo a una versione precedente a [versione].

Risoluzione dei problemi

Policy Remediator non può generare correzioni nei seguenti casi:

  • Una risorsa ha criteri in conflitto, ad esempio un utente deve connettersi utilizzando Windows e macOS.
  • L'attributo non è supportato da Strumento di correzione dei criteri.
  • L'agente di servizio non dispone dell'autorizzazione per eseguire la correzione.