Soluciona problemas mediante el solucionador de problemas de políticas de BeyondCorp Enterprise

BeyondCorp Enterprise proporciona una herramienta de solución de problemas que los administradores pueden usar para clasificar y analizar el acceso con errores del usuario final.

BeyondCorp Enterprise permite que las empresas creen reglas avanzadas que proporcionen acceso a las aplicaciones en función del contexto. Sin embargo, cuando aplicas varias reglas de acceso a los recursos, desde restricciones de ubicación hasta reglas de dispositivos, puede resultar difícil comprender por qué un usuario final no puede acceder a un recurso.

El solucionador de problemas de políticas permite que un administrador identifique por qué falla el acceso y, si es necesario, cambie la política y, luego, indique al usuario final que modifique su contexto para permitir el acceso.

El solucionador de problemas de políticas es una herramienta útil para organizaciones que necesitan aplicar varias reglas a distintos recursos para distintos grupos de usuarios.

Antes de comenzar

El solucionador de problemas de políticas es una función premium y requiere una licencia BeyondCorp Enterprise.

Para usar el solucionador de problemas de políticas, active la función para un recurso de IAP en la configuración de IAP. Para ello, haga clic en los tres puntos que aparecen a la derecha de la aplicación protegida con IAP, Configuración y, luego, seleccione Generar una URL de solución de problemas. Para maximizar la eficacia del solucionador de problemas de políticas, asegúrate de tener la función de administrador de configuración de IAP (roles/iap.settingsAdmin). Esto garantiza que puedas recuperar y actualizar la configuración de IAP de todos los recursos de IAP.

Las URL de solución de problemas solo se presentan en las páginas 403 predeterminadas si están habilitadas.

Descripción general del flujo de trabajo del solucionador de problemas

El solucionador de problemas de políticas proporciona una interfaz de usuario en la que puede ver los resultados de la evaluación detallados de todas las políticas eficaces para el recurso de IAP de destino. Cuando falla el acceso de un usuario, el solucionador de problemas de políticas muestra los detalles de las vinculaciones fallidas y el análisis de los niveles de acceso con errores, si existen en las vinculaciones.

Se denegó el acceso de los usuarios

Cuando un usuario no tiene el permiso o no cumple con la condición requerida para acceder a un recurso de IAP, se lo dirige a una página de error de acceso 403. La página 403 incluye una URL de solución de problemas que se puede copiar y enviar de forma manual al propietario de la aplicación o al administrador de seguridad, o bien puede hacer clic en Enviar correo electrónico en la interfaz de usuario.

Cuando un usuario hace clic en Enviar correo electrónico, se envía un correo electrónico a la dirección de correo electrónico de asistencia (supportEmail) que se configuró en la pantalla de consentimiento de OAuth. Para obtener más información sobre cómo configurar la pantalla de consentimiento de OAuth, consulta Crea clientes de OAuth de manera programática para IAP.

Cómo solucionar problemas de acceso con errores

Cuando recibe el vínculo de una solicitud de acceso con errores, puede hacer clic en la URL, que se abrirá en el navegador predeterminado. Si no accediste a Google Cloud Console en tu navegador predeterminado, es posible que se te redireccione a otra página de acceso para acceder a la página de análisis del solucionador de problemas de políticas.

En la página de análisis del solucionador de problemas de políticas, verá más información sobre el acceso restringido, incluida la dirección de correo electrónico principal de destino, la URL del recurso de IAP de destino y los permisos necesarios. También verá una vista de lista de resultados de evaluación efectivos para las vinculaciones de administración de identidades y accesos (IAM), otorgados o no, junto con una vista de alto nivel sobre dónde se produjeron las fallas, como El principal no es miembro y no lo hace. cumplir con las condiciones.

Para analizar aún más el acceso con errores, puedes ver los Detalles de vinculación. En Detalles de la vinculación, puedes ver los componentes de las vinculaciones Función, Principal y Condición. El componente que tenga permisos suficientes indicará No se requiere ninguna acción. Los componentes en los que falló el acceso, las brechas en los permisos se explican de manera explícita, como Categoría principal: agrega una principal a los grupos que aparecen a continuación.

Observe que, en la interfaz de usuario, la sección Vinculaciones relevantes está activada de forma predeterminada. Las vinculaciones que se mencionan en la sección Vinculaciones relevantes no son una lista completa, sino que son las vinculaciones más relevantes que podrían interesarte cuando solucionas un problema de acceso específico. Las políticas eficaces asociadas con un recurso específico pueden contener muchas vinculaciones, que no son relevantes para el recurso, como un permiso de Cloud Storage otorgado a nivel de proyecto. Se filtran los detalles irrelevantes.

Para investigar aún más una condición con errores, consulte las explicaciones del nivel de acceso. Los detalles del nivel de acceso indican dónde se produjo el error y sugieren soluciones para solucionarlo. Puedes propagar las acciones necesarias al usuario o corregir las políticas, si es necesario. Por ejemplo, puedes enviar la siguiente acción al usuario: La solicitud falló porque el dispositivo no es propiedad de la empresa.

Situaciones de solución de problemas comunes

A continuación, se describen algunas situaciones comunes que pueden surgir cuando trabajas con el solucionador de problemas de políticas:

  • Proporciona un elemento de acción al usuario final después de solucionar el problema, como indicarle al usuario final que cambie a un dispositivo empresarial o que actualice el sistema operativo.
  • Descubres que no asignaste el permiso correcto al usuario final, por lo que debes crear una vinculación nueva para el principal de destino en la interfaz de IAP (roles/iap.httpsResourceAccessor).
  • Descubre que creaste un nivel de acceso incorrectamente por los siguientes motivos de ejemplo:
    • Creó restricciones complejas de atributos anidados, como subredes corporativas, que ya no se aplican porque los empleados ahora trabajan desde casa.
    • Aplicó parámetros de nivel de acceso incorrectos. Por ejemplo, especificó que los usuarios pueden crear un nivel personalizado con restricciones de proveedores, pero comparan los atributos con diferentes tipos. Por ejemplo, device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Ten en cuenta que el lado izquierdo muestra un valor booleano, mientras que el lado derecho muestra una string true. Debido a los atributos equivalentes, es difícil detectar el error en la construcción de la política. El solucionador de problemas de políticas ayuda a explicar que esto se evalúa como un error con resultados de evaluaciones parciales detallados en ambos lados.

Soluciona problemas de acceso restringido

Para maximizar la eficacia del solucionador de problemas de políticas, asegúrate de tener la función de revisor de seguridad (roles/iam.securityReviewer). Esto garantiza que puedas leer todas las políticas de Cloud IAM aplicables.

El privilegio del dispositivo es opcional. Si las políticas asociadas al recurso de destino contienen políticas de dispositivo, como un nivel de acceso que requiere que el dispositivo esté encriptado, es posible que no obtengas resultados precisos, a menos que se verifique el permiso para recuperar los detalles de dispositivo del principal de destino. Los administradores avanzados de Google Workspace, de administrador de servicios y de administrador de dispositivos móviles suelen tener acceso para ver los detalles del dispositivo. Para permitir que un usuario que no es administrador avanzado, administrador de dispositivos móviles o de servicio solucione problemas de acceso, sigue estos pasos:

  1. Crea una función de administrador de Google Workspace personalizada con el privilegio de administrador de MDM.
  2. Asigna la función a los usuarios mediante la Consola del administrador

El privilegio de ver la membresía de un grupo es opcional. Si las políticas contienen un grupo, debes tener permiso para ver los detalles del grupo antes de abrirlo. Los administradores de grupo y los administradores avanzados de Google Workspace suelen tener acceso para ver las membresías del grupo. Para permitir que un usuario que no es administrador avanzado ni administrador de grupo solucione problemas de acceso, completa los siguientes pasos:

  1. Crea una función de administrador de Google Workspace personalizada que contenga el privilegio groups.read (que se encuentra en Privilegios de la API de Administrador).
  2. Asigna la función al usuario. Esto le permitirá al usuario ver la membresía de todos los grupos de su dominio y solucionar problemas de acceso de manera más eficaz.

El permiso de función personalizada es opcional. Si no tienes permiso para ver una función personalizada, es posible que no puedas saber si una principal tiene acceso a ella desde vinculaciones con funciones personalizadas.

Comportamiento previsto del solucionador de problemas

La solución de problemas se realiza en los accesos restringidos mediante las políticas actuales y la información del dispositivo con la marca de tiempo actual. Por lo tanto, si sincronizaste tu dispositivo o cambiaste las políticas luego de la denegación del acceso restringido, no estás solucionando problemas usando los contextos y los datos anteriores. Estás solucionando problemas usando los contextos y los datos actuales.

Sugerencias para solucionar problemas relacionados con vinculaciones

Para cualquier componente (Función, Principal o Condición) de cualquier vinculación con errores de autorización, otorga los permisos necesarios si deseas verificar los resultados de la solución de problemas de esas vinculaciones.

Si la verificación de la función falla en una vinculación, completa las siguientes acciones:

  • Verifica otras vinculaciones o crea una nueva mediante la interfaz IAP para otorgar la función roles/iap.httpsResourceAccessor a la principal con los niveles de acceso aplicados, si es necesario.
  • Si se trata de una función personalizada, puede agregar el permiso de destino a la función personalizada para otorgar el permiso (después de corregir cualquier falla principal y cualquier falla en la condición, cuando corresponda). Ten en cuenta que agregar permisos a una función personalizada existente podría otorgar otras vinculaciones con esta función personalizada con más permisos de los necesarios. No lo hagas, a menos que conozcas el alcance de la función personalizada y el riesgo de tu operación.
  • Si no es una función personalizada, verifica otras vinculaciones o crea una nueva mediante la interfaz IAP para otorgar la función roles/iap.httpsResourceAccessor a la principal con los niveles de acceso aplicados, si es necesario.

Si la verificación de la función es correcta, pero la verificación principal falla, completa las siguientes acciones:

  • Si los miembros contienen un grupo, puede agregar el principal a este para otorgar los permisos (después de corregir cualquier falla de la condición, cuando corresponda). Ten en cuenta que si agregas un principal a un grupo existente, es posible que se le otorgue más permiso del necesario. No lo hagas a menos que conozcas el alcance del grupo y el riesgo de tu operación.
  • Si los miembros no contienen un grupo, verifica otras vinculaciones o crea una nueva mediante la interfaz de IAP para otorgar el roles/iap.httpsResourceAccessor a la principal con niveles de acceso aplicados, si es necesario.

Si la función y la verificación principal tienen éxito, pero la condición falla, comprueba los detalles de la solución de problemas de cada nivel de acceso individual que aparece en la condición, si la condición solo consta de niveles de acceso conectados con el operador lógico OR.