Fehlerbehebung mit der Richtlinien-Fehlerbehebung für BeyondCorp Enterprise

BeyondCorp Enterprise bietet ein Tool zur Fehlerbehebung, mit dem Administratoren den fehlgeschlagenen Zugriff eines Endnutzers prüfen und analysieren können.

Mit BeyondCorp Enterprise können Unternehmen erweiterte Regeln für kontextbasierten Anwendungszugriff erstellen. Wenn Sie jedoch mehrere Zugriffsregeln auf Ressourcen anwenden, von Standortbeschränkungen bis zu Geräteregeln, kann es schwierig werden zu verstehen, warum ein Endnutzer nicht auf eine Ressource zugreifen kann.

Mit der Richtlinien-Fehlerbehebung kann ein Administrator ermitteln, warum der Zugriff fehlschlägt. Er kann bei Bedarf die Richtlinie ändern und den Endnutzer anweisen, den Kontext anzupassen, um Zugriff zu ermöglichen.

Die Richtlinien-Fehlerbehebung ist ein wertvolles Tool für Organisationen, die mehrere Regeln auf mehrere Ressourcen für verschiedene Nutzergruppen anwenden müssen.

Hinweis

Die Richtlinien-Fehlerbehebung ist eine Premium-Feature und erfordert eine BeyondCorp Enterprise-Lizenz.

Zur Verwendung der Richtlinien-Fehlerbehebung aktivieren Sie das Feature für eine IAP-Ressource in den IAP-Einstellungen. Klicken Sie dazu auf das Dreipunkt-Menü rechts neben der geschützten IAP-Anwendung, Einstellungen und wählen Sie dann URL zur Fehlerbehebung generieren aus. Um die Effektivität der Richtlinien-Fehlerbehebung zu maximieren, prüfen Sie, ob Sie die Rolle „Administrator IAP-Einstellungen“ (roles/iap.settingsAdmin) haben. Dadurch wird sichergestellt, dass Sie die IAP-Einstellungen aller IAP-Ressourcen abrufen und aktualisieren können.

URLs zur Fehlerbehebung werden nur dann auf den standardmäßigen 403-Seiten angezeigt, wenn dies aktiviert ist.

Workflow der Fehlerbehebung

Die Richtlinien-Fehlerbehebung bietet eine Benutzeroberfläche, in der Sie die detaillierten Bewertungsergebnisse aller gültigen Richtlinien für die Ziel-IAP-Ressource anzeigen können. Wenn der Zugriff eines Nutzers fehlschlägt, zeigt die Richtlinien-Fehlerbehebung die Details der fehlgeschlagenen Bindungen und die Analyse der fehlgeschlagenen Zugriffsebenen an, sofern diese in den Bindungen vorhanden sind.

Nutzerzugriff verweigert

Wenn ein Nutzer nicht die Berechtigung hat oder nicht die Bedingung erfüllt, die zum Zugriff auf eine IAP-Ressource erforderlich ist, wird der Nutzer zu einer Fehlerseite vom Typ 403 (Zugriff verweigert) weitergeleitet. Die 403-Seite enthält eine URL zur Fehlerbehebung, die entweder kopiert und manuell an den Anwendungsinhaber oder Sicherheitsadministrator gesendet werden kann. Alternativ kann der Nutzer in der Benutzeroberfläche auf E-Mail senden klicken.

Wenn ein Nutzer auf E-Mail senden klickt, wird eine E-Mail an die Support-E-Mail-Adresse (supportEmail) gesendet, die auf dem OAuth-Zustimmungsbildschirm konfiguriert wurde. Weitere Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms finden Sie unter OAuth-Clients für IAP programmatisch erstellen.

Fehlerbehebung bei fehlgeschlagenem Zugriff

Wenn Sie den Link für eine fehlgeschlagene Zugriffsanfrage erhalten, können Sie auf die URL klicken, die im Standardbrowser geöffnet wird. Wenn Sie in Ihrem Standardbrowser nicht in der Google Cloud Console angemeldet sind, werden Sie möglicherweise auf eine andere Anmeldeseite weitergeleitet, um auf die Analyseseite der Richtlinien-Fehlerbehebung zuzugreifen.

Auf der Analyseseite der Richtlinien-Fehlerbehebung finden Sie weitere Informationen zum eingeschränkten Zugriff, einschließlich der E-Mail-Adresse des Zielhauptkontos, der URL der Ziel-IAP-Ressource und der erforderlichen Berechtigungen. Sie sehen auch eine Liste der effektiven Bewertungsergebnisse für die IAM-Bindungen (Identity and Access Management), die gewährt oder nicht gewährt wurden, zusammen mit einer allgemeinen Ansicht dazu, wo die Fehler aufgetreten sind, z. B. Hauptkonto kein Mitglied und erfüllt nicht die Bedingungen.

Weitere Informationen zum fehlgeschlagenen Zugriff finden Sie unter Bindungsdetails. In den Bindungsdetails sehen Sie die Bindungskomponenten, Rolle, Hauptkonto und Bedingung. Bei Komponenten mit den nötigen Berechtigungen wird Keine Aktion erforderlich angezeigt. Komponenten, bei denen der Zugriff fehlgeschlagen ist, werden die Lücken in den Berechtigungen explizit erläutert, z. B. Hauptkontokategorie: Fügen Sie den folgenden Gruppen ein Hauptkonto hinzu.

Beachten Sie, dass der Abschnitt Relevante Bindungen in der Benutzeroberfläche standardmäßig aktiviert ist. Die im Abschnitt Relevante Bindungen aufgeführten Bindungen sind keine umfassende Liste. Stattdessen sind sie die relevantesten Bindungen, die für Sie bei der Behebung eines bestimmten Zugriffsproblems von Interesse sein können. Die Richtlinien, die mit einer bestimmten Ressource verknüpft sind, enthalten möglicherweise viele Bindungen, die für Ihre Ressource nicht relevant sind, z. B. eine auf Projektebene gewährte Cloud Storage-Berechtigung. Irrelevante Details werden herausgefiltert.

Sie können eine fehlgeschlagene Bedingung weiter untersuchen, indem Sie sich die Erläuterungen zur Zugriffsebene ansehen. Die Details zur Zugriffsebene geben an, wo der Fehler aufgetreten ist, und machen Vorschläge zur Behebung des Fehlers. Sie können die erforderlichen Aktionen an den Nutzer weiterleiten oder bei Bedarf die Richtlinien korrigieren. Sie können beispielsweise die folgende Aktion an den Nutzer zurücksenden: Anfrage fehlgeschlagen, da das Gerät nicht zum Unternehmen gehört.

Häufige Fehlerbehebungsszenarien

Im Folgenden finden Sie einige häufige Szenarien, die bei der Arbeit mit der Richtlinien-Fehlerbehebung auftreten können:

  • Sie fordern den Endnutzer nach der Fehlerbehebung zu einer Maßnahme auf, beispielsweise mit der Anweisung, zu einem unternehmenseigenen Gerät zu wechseln oder das Betriebssystem zu aktualisieren.
  • Sie stellen fest, dass Sie dem Endnutzer nicht die richtige Berechtigung zugewiesen haben. Daher erstellen Sie eine neue Bindung für das Zielhauptkonto in der IAP-Oberfläche (roles/iap.httpsResourceAccessor).
  • Sie haben festgestellt, dass Sie eine Zugriffsebene aus folgenden Gründen falsch erstellt haben:
    • Sie haben komplizierte verschachtelte Attributbeschränkungen wie Unternehmens-Subnetzwerke erstellt, die nicht mehr gelten, da Mitarbeiter nun im Homeoffice arbeiten.
    • Sie haben falsche Parameter für die Zugriffsebene angewendet. Beispielsweise haben Sie angegeben, dass Nutzer eine benutzerdefinierte Ebene mit Anbietereinschränkungen erstellen können, haben aber Attribute unterschiedlicher Typen verglichen, z. B. device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Beachten Sie, dass die linke Seite einen booleschen Wert zurückgibt, während die rechte Seite einen String true zurückgibt. Aufgrund der ungleichen Attribute ist es schwierig, den Fehler im Richtlinienkonstrukt zu erkennen. Die Richtlinien-Fehlerbehebung hilft dabei, indem mit detaillierten partiellen Bewertungsergebnissen auf beiden Seiten erklärt wird, dass dies als Fehler gewertet wird.

Fehlerbehebung beim eingeschränkten Zugriff

Um die Effektivität der Richtlinien-Fehlerbehebung zu maximieren, benötigen Sie die Rolle "Sicherheitsprüfer" (roles/iam.securityReviewer). Dadurch ist gewährleistet, dass Sie alle gültigen Cloud IAM-Richtlinien lesen können.

Die Geräteberechtigung ist optional. Enthalten Richtlinien, die mit der Zielressource verknüpft sind, Geräterichtlinien, z. B. eine Zugriffsebene, die das Verschlüsseln des Geräts erfordert, erhalten Sie möglicherweise keine genauen Ergebnisse, es sei denn, die Berechtigung zum Abrufen der Gerätedetails des Zielhauptkontos wurde geprüft. „Super Admin“, „Administrator für Dienste“ und „Administrator für Mobilgeräte“ von Google Workspace haben in der Regel Zugriff auf Gerätedetails. So ermöglichen Sie einem Nutzer, der kein Super Admin, Administrator für Dienste und Administrator für Mobilgeräte ist, eine Fehlerbehebung für den Zugriff:

  1. Erstellen Sie eine benutzerdefinierte Google Workspace-Administratorrolle mit der MDM-Administratorberechtigung.
  2. Weisen Sie Nutzern die Rolle über die Admin-Konsole zu.

Die Berechtigung zum Anzeigen der Gruppenmitgliedschaft ist optional. Wenn die Richtlinien eine Gruppe enthalten, sollten Sie die Berechtigung zum Ansehen der Details der Gruppe haben, bevor Sie sie öffnen. Super Admins und Gruppenadministratoren von Google Workspace haben normalerweise Lesezugriff auf die Gruppenmitgliedschaft. So ermöglichen Sie einem Nutzer, der kein Super Admin oder Gruppenadministrator ist, die Fehlerbehebung für den Zugriff:

  1. Erstellen Sie eine benutzerdefinierte Google Workspace-Administratorrolle, die die Berechtigung groups.read (unter Berechtigungen für Admin APIs) enthält.
  2. Weisen Sie dem Nutzer die Rolle zu. Dadurch kann der Nutzer die Mitgliedschaft aller Gruppen in Ihrer Domain sehen und effektiver die Fehlerbehebung für den Zugriff durchführen.

Die Berechtigung „Benutzerdefinierte Rolle“ ist optional. Wenn Sie keine Berechtigung zum Aufrufen einer benutzerdefinierten Rolle haben, können Sie möglicherweise nicht feststellen, ob ein Hauptkonto mithilfe von benutzerdefinierten Rollen Zugriff darauf hat.

Vorgesehenes Verhalten der Fehlerbehebung

Die Fehlerbehebung für die eingeschränkten Zugriffe erfolgt mit den aktuellen Richtlinien und Geräteinformationen mit dem aktuellen Zeitstempel. Wenn Sie Ihr Gerät also synchronisiert oder die Richtlinien nach der Verweigerung des eingeschränkten Zugriffs geändert haben, erfolgt die Fehlerbehebung nicht mit den alten Kontexten und Daten. Sie verwenden zur Fehlerbehebung die aktuellen Kontexte und Daten.

Tipps zur Fehlerbehebung bei Bindungen

Erteilen Sie für alle Komponenten (Rolle, Hauptkonto, Bedingung) von Bindungen mit Autorisierungsfehlern die erforderlichen Berechtigungen, wenn Sie die Fehlerbehebungsergebnisse solcher Bindungen prüfen möchten.

Wenn die Rollenprüfung in einer Bindung fehlschlägt, führen Sie die folgenden Aktionen aus:

  • Prüfen Sie andere Bindungen oder erstellen Sie eine neue Bindung. Verwenden Sie dazu die IAP-Oberfläche, um dem Hauptkonto bei Bedarf die Rolle roles/iap.httpsResourceAccessor mit angewendeten Zugriffsebenen zuzuweisen.
  • Wenn es sich um eine benutzerdefinierte Rolle handelt, können Sie der benutzerdefinierten Rolle die Zielberechtigung hinzufügen, um die Berechtigung zu erteilen (nachdem Sie gegebenenfalls die Hauptkontofehler und die Bedingungsfehler behoben haben). Beachten Sie, dass das Hinzufügen von Berechtigungen zu einer vorhandenen benutzerdefinierten Rolle möglicherweise andere Bindungen mit dieser benutzerdefinierten Rolle mit mehr Berechtigungen gewährt als erforderlich. Tun Sie dies nur, wenn Sie den Geltungsbereich der benutzerdefinierten Rolle und das Risiko des Vorgangs kennen.
  • Wenn es sich nicht um eine benutzerdefinierte Rolle handelt, prüfen Sie andere Bindungen oder erstellen Sie eine neue Bindung. Verwenden Sie dazu die IAP-Oberfläche, um dem Hauptkonto bei Bedarf die Rolle roles/iap.httpsResourceAccessor mit angewendeten Zugriffsebenen zuzuweisen.

Wenn die Rollenprüfung erfolgreich ist, aber die Hauptkontoprüfung fehlschlägt, führen Sie die folgenden Aktionen aus:

  • Wenn die Mitglieder eine Gruppe enthalten, können Sie das Hauptkonto der Gruppe hinzufügen, um die Berechtigungen zu erteilen (nachdem Sie alle Bedingungsfehler behoben haben, falls zutreffend). Beachten Sie, dass das Hinzufügen des Hauptkontos zu einer vorhandenen Gruppe möglicherweise mehr Berechtigungen gewährt als erforderlich. Tun Sie dies nur, wenn Sie den Geltungsbereich der Gruppe und das Risiko des Vorgangs kennen.
  • Wenn die Mitglieder keine Gruppe enthalten, prüfen Sie andere Bindungen oder erstellen Sie eine neue Bindung. Verwenden Sie dazu die IAP-Oberfläche, um dem Hauptkonto gegebenenfalls die Rolle roles/iap.httpsResourceAccessor mit zugewiesenen Zugriffsebenen zu gewähren.

Wenn die Rollen- und die Hauptkontoprüfung erfolgreich sind, die Bedingung jedoch fehlschlägt, prüfen Sie die Fehlerbehebungsdetails für jede einzelne Zugriffsebene, die unter der Bedingung aufgeführt ist, sofern die Bedingung nur aus Zugriffsebenen besteht, die mit dem logischen Operator ODER verbunden sind.