Soluciona problemas mediante el solucionador de problemas de políticas de BeyondCorp Enterprise

BeyondCorp Enterprise proporciona una herramienta de solución de problemas que los administradores pueden usar para clasificar y analizar el acceso del usuario final.

BeyondCorp Enterprise permite que las empresas creen reglas avanzadas que proporcionan acceso a las aplicaciones basado en el contexto. Sin embargo, cuando aplicas varias reglas de acceso a los recursos, desde restricciones de ubicación hasta reglas de dispositivo, puede ser difícil comprender cómo se evalúan las políticas y por qué un usuario final tiene o no acceso al recurso de destino.

El Solucionador de problemas de políticas te permite identificar por qué el acceso es correcto o no y, si es necesario, cambiar la política y, luego, indicarle al usuario final que modifique su contexto para permitir el acceso o quitar la vinculación para denegar el acceso inesperado.

El Solucionador de problemas de políticas es una herramienta valiosa para las organizaciones que necesitan aplicar varias reglas a varios recursos de distintos grupos de usuarios.

Antes de comenzar

El solucionador de problemas de políticas es una función premium y requiere una licencia BeyondCorp Enterprise.

Para maximizar la eficacia del solucionador de problemas de políticas, asegúrate de tener el rol de revisor de seguridad (roles/iam.securityReviewer). Esto garantiza que puedas leer todas las políticas de Cloud IAM aplicables.

Para solucionar problemas de acceso a un dispositivo, debes tener permiso para ver sus detalles. Si las políticas asociadas con el recurso de destino contienen políticas de dispositivo, como un nivel de acceso que requiere que el dispositivo esté encriptado, es posible que no obtengas resultados precisos, a menos que se verifique el permiso para recuperar los detalles del dispositivo de la principal de destino. Los administradores avanzados de Google Workspace, administradores de servicios y administradores de dispositivos móviles suelen tener acceso para ver los detalles de los dispositivos. Para permitir que un usuario que no es un administrador avanzado, de servicios o de dispositivos móviles solucione problemas de acceso, sigue estos pasos:

  1. Crea un rol de administrador de Google Workspace personalizado que contenga el privilegio Servicios > Administración de dispositivos móviles > Administrar dispositivos y configuración (que se encuentra en Privilegios de la Consola del administrador).
  2. Asigna la función a los usuarios mediante la Consola del administrador

Si quieres solucionar problemas de acceso a un recurso que otorga un grupo de Google Cloud, debes tener permiso para ver sus miembros. Si las políticas contienen un grupo, debes tener permiso para ver los detalles del grupo antes de abrirlo. Los administradores avanzados de Google Workspace y los administradores de grupo suelen tener acceso para ver las membresías del grupo. Para permitir que un usuario que no es administrador avanzado o de grupo solucione problemas de acceso, completa los siguientes pasos:

  1. Crea un rol de administrador de Google Workspace personalizado que contenga el privilegio Grupos > Lectura (ubicado en Privilegios de la API de Admin).
  2. Asigna el rol al usuario. Esto le permite al usuario ver la membresía de todos los grupos de tu dominio y solucionar problemas de acceso de manera más eficaz.

El permiso del rol personalizado es opcional. Si no tienes permiso para ver un rol personalizado, es posible que no puedas saber si una principal tiene acceso a ella desde las vinculaciones con roles personalizados.

Descripción general del flujo de trabajo del solucionador de problemas

Soluciona problemas relacionados con la denegación de acceso

Para solucionar problemas de acceso denegado, puedes activar la función para un recurso de IAP en la configuración de IAP. Para esto, haz clic en los tres puntos que se encuentran a la derecha de la aplicación protegida con IAP, Configuración y, luego, selecciona Generar una URL de solución de problemas. Para maximizar la eficacia del solucionador de problemas de políticas, asegúrate de tener el rol de administrador de configuración de IAP (roles/iap.settingsAdmin). Esto garantiza que puedas recuperar y actualizar la configuración de IAP de todos los recursos de IAP.

Las URLs de solución de problemas solo se presentan en las páginas 403 predeterminadas, cuando están habilitadas.

El Solucionador de problemas de políticas proporciona una interfaz de usuario en la que puedes ver los resultados de evaluación detallados de todas las políticas vigentes para el recurso de IAP de destino. Cuando falla el acceso de un usuario, la página 403 muestra la URL del solucionador de problemas. Cuando se visita, el Solucionador de problemas de políticas muestra los detalles de las vinculaciones que fallan y el análisis de los niveles de acceso con errores, si existen en las vinculaciones. También puedes utilizar el solucionador de problemas para obtener una vista detallada del acceso de un usuario a un recurso.

Se denegó el acceso del usuario

Cuando un usuario no tiene el permiso o no cumple con la condición requerida para acceder a un recurso de IAP, se lo dirige a una página de error 403: Acceso denegado. La página 403 incluye una URL de solución de problemas que se puede copiar y enviar de forma manual al propietario de la aplicación o al administrador de seguridad, o el usuario puede hacer clic en Enviar correo electrónico en la interfaz de usuario.

Cuando un usuario hace clic en Enviar correo electrónico, se envía un mensaje a la dirección de correo electrónico de asistencia (supportEmail) que está configurada en la pantalla de consentimiento de OAuth. Para obtener más información sobre la configuración de la pantalla de consentimiento de OAuth, consulta Crea clientes de OAuth de forma programática para IAP.

Solución de problemas de acceso con errores

Cuando recibas el vínculo de una solicitud de acceso fallida de un usuario final, puedes hacer clic en la URL, que se abrirá en el navegador predeterminado. Si no accediste a la consola de Google Cloud en tu navegador predeterminado, es posible que se te redireccione a otra página de acceso para ingresar a la página de análisis del solucionador de problemas de políticas.

La página de análisis del solucionador de problemas de políticas proporciona una vista resumida, una vista de las políticas de IAM y una tabla que muestran el contexto de un usuario y el dispositivo, como la dirección principal, el ID de dispositivo y el recurso de IAP al que se accede, entre otros.

La vista resumida proporciona una vista global de todos los resultados de políticas y membresías relevantes. La vista de la política de IAM proporciona una lista de los resultados de la evaluación de las vinculaciones de IAM efectivas, otorgadas o no, junto con una vista de alto nivel de dónde se produjeron las fallas, como La principal no es miembro y no cumple con las condiciones.

Para analizar con más detalle el acceso con errores, puedes consultar Detalles de la vinculación. Dentro de Detalles de vinculación, puedes ver los componentes de vinculación, Función, Principal y Condición. El componente que tenga los permisos necesarios mostrará el mensaje No se requiere ninguna acción. Los componentes en los que falló el acceso, las brechas en los permisos se explican de forma explícita, como Categoría principal: Agrega una principal a los siguientes grupos.

Ten en cuenta que, en la interfaz de usuario, la sección Vinculaciones relevantes está activada de forma predeterminada. Las vinculaciones que se enumeran en la sección Vinculaciones relevantes no son una lista completa, sino las más relevantes que pueden interesarte a la hora de solucionar un problema de acceso específico. Las políticas vigentes asociadas con un recurso específico pueden contener muchas vinculaciones que no son relevantes para tu recurso, como un permiso de Cloud Storage otorgado a nivel de proyecto. Se filtran los detalles irrelevantes.

Puedes investigar con más detalle una condición con errores en las Explicaciones de nivel de acceso. Los detalles de Nivel de acceso indican dónde ocurrió la falla y sugieren soluciones para resolverla. Puedes propagar las acciones necesarias al usuario o corregir las políticas, si es necesario. Por ejemplo, puedes enviarle de vuelta la siguiente acción al usuario: Request failed porque the device is not is company from business.

Habilitación de la URL de solución de problemas para tu página de error de Access Denied personalizada

Para agregar la URL del solucionador de problemas de políticas a la página de error Access Denied de tu cliente, completa los siguientes pasos:

  1. Para redireccionar a tus usuarios a tu página personalizada en lugar de a la página de error predeterminada de IAP, completa el siguiente paso: Configura una página de error de acceso denegado personalizada.
  2. Activa la función de URL del solucionador de problemas de políticas en la configuración de IAP.

Después de configurar la URL de la página access denied en la configuración de IAP, la URL del solucionador de problemas de políticas se incorpora como un parámetro de búsqueda con escape. Asegúrate de aplicar unescape al parámetro de consulta con escape antes de abrirlo. La clave del parámetro de consulta es troubleshooting-url.

Soluciona problemas de acceso de los usuarios de forma proactiva

Puedes usar el solucionador de problemas de políticas, ubicado en el panel Seguridad de la página de destino de BeyondCorp Enterprise, para solucionar eventos hipotéticos y obtener estadísticas y visibilidad de tus políticas de seguridad. Por ejemplo, puedes verificar el acceso de un usuario a un recurso protegido por IAP en particular e investigar si es realmente necesario o no. Otro ejemplo es cuando haces un cambio en la política a un recurso protegido con IAP y quieres asegurarte de que el administrador avanzado aún tenga acceso. Puedes ir a la Consola del administrador de Google para obtener el ID del dispositivo que pertenece al administrador avanzado y, luego, usarlo en el solucionador de problemas para verificar el acceso.

Con la solución de problemas de solicitudes hipotéticas, puedes verificar que un usuario tenga los permisos adecuados para acceder a un recurso IAP antes de que se produzca un evento de denegación real. Para hacerlo, puedes usar el correo electrónico del usuario, el recurso de destino de IAP y cualquier contexto de solicitud opcional, incluida la dirección IP, la marca de tiempo, el ID de dispositivo o el contexto del dispositivo.

Cuando soluciones solicitudes hipotéticas con el ID de dispositivo, asegúrate de que el dispositivo pertenezca al correo electrónico principal de destino. Puedes obtener el ID de dispositivo en el Registro de auditoría de IAP o en Consola del administrador de Google -> Dispositivos > Dispositivos móviles y extremos > Dispositivos.

Cuando se solucionan problemas de solicitudes hipotéticas con contextos de dispositivos, el solucionador de problemas admite los siguientes atributos:

  • is_secured_with_screenlock
  • encryption_status
  • os_type
  • os_version
  • verified_chrome_os
  • is_admin_approved_device
  • is_corp_owned_device

Situaciones comunes de solución de problemas

A continuación, se presentan algunas situaciones comunes que puedes encontrar cuando trabajas con el Solucionador de problemas de políticas:

  • Proporciona un elemento de acción al usuario final después de solucionar el problema, como indicarle al usuario final que cambie a un dispositivo empresarial o que actualice el sistema operativo.
  • Descubres que no asignaste el permiso correcto al usuario final, por lo que debes crear una vinculación nueva para el principal de destino en la interfaz de IAP (roles/iap.httpsResourceAccessor).
  • Descubres que creaste un nivel de acceso de forma incorrecta por los siguientes motivos de ejemplo:
    • Creaste restricciones complicadas de atributos anidados, como las subredes corporativas, que ya no se aplican porque los empleados ahora trabajan desde casa.
    • Aplicaste parámetros de nivel de acceso incorrectos. Por ejemplo, especificaste que los usuarios pueden crear un nivel personalizado con restricciones de proveedores, pero comparar atributos con diferentes tipos. Por ejemplo, device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Ten en cuenta que el lado izquierdo muestra un valor booleano, mientras que el lado derecho muestra una string true. Debido a atributos no equivalentes, es difícil detectar el error en la construcción de la política. El Solucionador de problemas de políticas explica que esto se evalúa como un error con resultados de evaluación parciales detallados en ambos lados.

Comportamiento previsto del solucionador de problemas

La solución de problemas se realiza en los accesos restringidos usando las políticas actuales y la información del dispositivo con la marca de tiempo actual. Por lo tanto, si sincronizaste tu dispositivo o cambiaste las políticas después de la denegación del acceso restringido, no estás solucionando los problemas con los contextos y datos anteriores. Estás solucionando problemas con los contextos y los datos actuales.

Sugerencias para solucionar problemas de vinculación

Para cualquier componente (rol, principal, condición) de cualquier vinculación con errores de autorización, otorga los permisos necesarios si deseas verificar los resultados de la solución de problemas de esas vinculaciones.

Si la verificación de rol falla en una vinculación, completa las siguientes acciones:

  • Verifica otras vinculaciones o crea una vinculación nueva mediante la interfaz de IAP para otorgar el rol roles/iap.httpsResourceAccessor a la principal con niveles de acceso aplicados, si es necesario.
  • Si es un rol personalizado, puedes agregar el permiso de destino al rol personalizado para otorgar el permiso (después de corregir cualquier falla de principal y de condición, si corresponde). Ten en cuenta que agregar permisos a un rol personalizado existente puede otorgar otras vinculaciones con este rol personalizado con más permisos de los necesarios. No hagas esto a menos que conozcas el alcance del rol personalizado y el riesgo de tu operación.
  • Si no es un rol personalizado, verifica otras vinculaciones o crea una nueva mediante la interfaz de IAP para otorgar el rol roles/iap.httpsResourceAccessor a la principal con niveles de acceso aplicados, si es necesario.

Si la verificación de rol tiene éxito, pero la verificación de principal falla, completa las siguientes acciones:

  • Si los miembros contienen un grupo, puedes agregar la principal al grupo para otorgar los permisos (después de corregir cualquier falla de condición, cuando corresponda). Ten en cuenta que agregar la principal a un grupo existente podría otorgar al grupo más permisos de los necesarios. No lo hagas a menos que conozcas el alcance del grupo y el riesgo de tu operación.
  • Si los miembros no contienen un grupo, verifica otras vinculaciones o crea una nueva mediante la interfaz de IAP para otorgar el roles/iap.httpsResourceAccessor a la principal con los niveles de acceso aplicados, si es necesario.

Si la verificación de rol y principal tiene éxito, pero la condición falla, comprueba los detalles de solución de problemas de cada nivel de acceso individual que se enumera en la condición, si la condición solo consiste en niveles de acceso conectados con el operador lógico OR.