Questa pagina è stata tradotta dall'API Cloud Translation.

Risolvere i problemi di accesso negato con Policy Remediator

Questa pagina mostra come attivare e utilizzare lo strumento di correzione delle norme di Chrome Enterprise Premium.

Quando gli utenti tentano di accedere a una risorsa Google Cloud , ma non rispettano il criterio di accesso per la risorsa, l'accesso viene negato e ricevono un messaggio di errore generico 403. Puoi utilizzare lo strumento di correzione dei criteri per fornire agli utenti i passaggi pratici che possono seguire per risolvere il problema prima di rivolgersi a un amministratore per ulteriore assistenza. Le azioni di correzione specifiche dipendono dai criteri di accesso, ma possono includere l'attivazione del blocco schermo, l'aggiornamento della versione del sistema operativo (OS) o l'accesso a un'app da una rete consentita dalla tua azienda.

Attiva Policy Remediator

Concedi all'amministratore dell'organizzazione il ruolo roles/policyremediatormanager.policyRemediatorAdmin a livello di organizzazione eseguendo i seguenti comandi in Google Cloud CLI:
```
gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin
```
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID Google Cloud organizzazione.
- PRINCIPAL: l'identificatore del principale o del membro, che solitamente ha la seguente forma: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com.
Abilita l'API Policy Remediator Manager eseguendo il seguente comando:
```
gcloud services enable policyremediatormanager.googleapis.com
```

Chiama Policy Remediator Manager per attivare Policy Remediator per i progetti di un'organizzazione. Verrà creato un agente di servizio.

curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

Sostituisci quanto segue:

ORGANIZATION_ID: l'ID Google Cloud organizzazione.
ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso.
```
gcloud auth print-access-token
```
PROJECT_ID: l' Google Cloud ID progetto.

Di seguito è riportato un esempio di risposta contenente i dettagli dell'agente di servizio:

{
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

Dove ORGANIZATION_ID è l' Google Cloud ID organizzazione.

In Google Cloud CLI, esegui il seguente comando per accedere all'agente di servizio che hai creato:

curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

Sostituisci quanto segue:

ORGANIZATION_ID: l'ID Google Cloud organizzazione.
ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso.
```
gcloud auth print-access-token
```
PROJECT_ID: l' Google Cloud ID progetto.

Dovresti ricevere l'email dell'agente di servizio nel seguente formato:

{
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

Dove ORGANIZATION_ID è l' Google Cloud ID organizzazione.

Assegnare il ruolo di agente di servizio nella Console di amministrazione Google

Accedi alla Console di amministrazione Google.

Vai alla Console di amministrazione Google
Vai ad Account > Ruoli amministratore e fai clic su Crea nuovo ruolo.
- Inserisci un nome e una descrizione (facoltativa) per il ruolo, quindi fai clic su Continua.
- In Privilegi della Console di amministrazione, vai a Servizi > Gestione dispositivi mobili e seleziona l'autorizzazione Gestisce dispositivi e impostazioni.
- In Privilegi delle API amministrative, vai a Gruppi e seleziona l'autorizzazione Lettura.
- Fai clic su Continua, conferma le voci e completa la creazione del ruolo.
- Vai ad Assegna account di servizio e inserisci l'indirizzo email del agente di servizio appena creato.
- Fai clic su Aggiungi > Assegna ruolo.
In Google Cloud CLI, esegui i seguenti comandi per concedere il ruolo Agente di servizio (policyremediator.serviceAgent) all'agente di servizio a livello di organizzazione. In questo modo, l'agente di servizio avrà l'autorizzazione a leggere Identity and Access Management e altri criteri di accesso per la tua organizzazione.
```
gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'
```
Sostituisci ORGANIZATION_ID con l'ID Google Cloud dell'organizzazione.

Abilita Policy Remediator per una risorsa IAP

Per utilizzare questa funzionalità, devi disporre di una licenza Chrome Enterprise Premium.

Vai alla pagina Identity-Aware Proxy (IAP).
Vai a IAP
Seleziona una risorsa e fai clic su Impostazioni.
Vai a Correggi accesso e seleziona Genera azioni di correzione.

Concedi il ruolo di responsabile della correzione

Per concedere agli utenti l'autorizzazione a correggere l'accesso negato alle risorse IAP, esegui il seguente comando nella CLI di Google Cloud:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Sostituisci PRINCIPAL con un identificatore per l'entità o il membro, che in genere ha la seguente forma: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com.

Per ulteriori informazioni, consulta gcloud iap web add-iam-policy-binding.

Per concedere agli utenti l'autorizzazione a correggere l'accesso alle risorse IAP a livello di progetto, esegui il seguente comando nella CLI di Google Cloud:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Sostituisci quanto segue:

PROJECT_ID: l' Google Cloud ID progetto.
PRINCIPAL: l'identificatore del principale o del membro, che solitamente ha la seguente forma: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com.

Risolvere il problema con l'help desk

Quando a un utente finale viene negato l'accesso, viene reindirizzato a una pagina di Chrome Enterprise Premium contenente informazioni sulla risoluzione dei problemi, tra cui un URL per la risoluzione dei problemi e un token di correzione. Se gli utenti non dispongono dell'autorizzazione per aprire il token di correzione, possono copiarlo e inviarlo all'help desk per ulteriore assistenza.

Attributi delle norme e messaggi associati

La tabella seguente fornisce l'elenco degli attributi supportati da Strumento di correzione dei criteri.

Attributo	Messaggio predefinito
`ip_address`	Stai accedendo all'app da una rete non consentita dalla tua azienda.
`region_code`	Accedi a questa app da una regione consentita dalla tua azienda.
`is_secured_with_screenlock`	Imposta una password di blocco dello schermo sul tuo dispositivo. Disattiva la password di blocco dello schermo sul tuo dispositivo.
`verified_chrome_os`	Utilizza un dispositivo con [tipo di sistema operativo] verificato. Utilizza un dispositivo senza [tipo di sistema operativo] verificato.
`is_admin_approved_device`	Utilizza un dispositivo approvato dall'amministratore della tua organizzazione. Utilizzi un dispositivo non approvato dall'amministratore dell'organizzazione.
`is_corp_owned_device`	Utilizza un dispositivo di proprietà della tua organizzazione. Utilizza un dispositivo non di proprietà della tua organizzazione.
`encryption_status`	Utilizza un dispositivo criptato. Utilizzi un dispositivo non criptato.
`os_type`	Passa a un dispositivo [tipo di sistema operativo]. I dispositivi [tipo di sistema operativo] non possono accedere a questa app.
`os_version`	Esegui l'aggiornamento a una versione del sistema operativo pari o superiore a [version]. Esegui il downgrade del sistema operativo a una versione precedente a [versione].

Risoluzione dei problemi

Lo strumento di correzione delle norme non può generare correzioni quando si verifica una delle seguenti condizioni:

Una risorsa ha criteri in conflitto, ad esempio un utente deve connettersi utilizzando Windows e macOS.
L'attributo non è supportato da Strumento di correzione criteri.
L'agente di servizio non dispone dell'autorizzazione per eseguire la correzione.