BeyondCorp Enterprise fornisce uno strumento per la risoluzione dei problemi che gli amministratori possono utilizzare per valutare e analizzare l'accesso di un utente finale.
BeyondCorp Enterprise consente alle aziende di creare regole avanzate, che consentono di accedere alle applicazioni in base al contesto. Tuttavia, quando applichi più regole di accesso alle risorse, dalle restrizioni di località alle regole del dispositivo, può essere difficile capire come vengono valutati i criteri e perché un utente finale ha o non ha accesso alla risorsa di destinazione.
Lo strumento per la risoluzione dei problemi dei criteri ti consente di identificare il motivo per cui l'accesso ha esito positivo o negativo e, se necessario, di cambiare il criterio e indicare all'utente finale di modificare il contesto per consentire l'accesso o rimuovere l'associazione per negare l'accesso imprevisto.
Lo strumento per la risoluzione dei problemi dei criteri è uno strumento prezioso per le organizzazioni che devono applicare più regole a più risorse per diversi gruppi di utenti.
Prima di iniziare
Lo strumento per la risoluzione dei problemi dei criteri è una funzionalità premium e richiede una licenza BeyondCorp Enterprise.
Per massimizzare l'efficacia dello strumento per la risoluzione dei problemi relativi ai criteri, assicurati di avere il ruolo di revisore della sicurezza (roles/iam.securityReviewer). In questo modo puoi leggere tutti i criteri di Cloud IAM applicabili.
Per risolvere i problemi di accesso di un dispositivo, devi disporre dell'autorizzazione di visualizzazione dei dettagli. Se i criteri associati alla risorsa di destinazione contengono criteri relativi ai dispositivi, ad esempio un livello di accesso che richiede la crittografia del dispositivo, potresti non ottenere risultati accurati a meno che non venga verificata l'autorizzazione a recuperare i dettagli del dispositivo dell'entità target. I super amministratori, gli amministratori di servizi e gli amministratori di dispositivi mobili di Google Workspace di solito hanno accesso per visualizzare i dettagli del dispositivo. Per consentire a un utente che non è un super amministratore, né un amministratore di servizio o un dispositivo mobile di risolvere i problemi di accesso, procedi nel seguente modo:
- Crea un ruolo amministrativo di Google Workspace personalizzato che contenga il privilegio Servizi > Gestione dispositivi mobili > Gestione dispositivi e impostazioni (situato in Privilegi della Console di amministrazione).
- Assegna il ruolo agli utenti utilizzando la Console di amministrazione.
Per risolvere i problemi di accesso a una risorsa concessa da un gruppo Google Cloud, devi disporre dell'autorizzazione per visualizzare i membri. Se i criteri contengono un gruppo, devi avere l'autorizzazione per visualizzare i dettagli del gruppo prima di aprirlo. I super amministratori e gli amministratori dei gruppi di Google Workspace di solito hanno accesso alla visualizzazione delle iscrizioni al gruppo. Per consentire a un utente che non è un super amministratore o un amministratore di gruppo di risolvere i problemi di accesso, completa i seguenti passaggi:
- Crea un ruolo amministrativo di Google Workspace personalizzato che contenga il privilegio Gruppi > Lettura (che si trova in Privilegi delle API amministrative).
- Assegna il ruolo all'utente. In questo modo l'utente può visualizzare l'iscrizione di tutti i gruppi all'interno del dominio e risolvere i problemi di accesso in modo più efficace.
L'autorizzazione per il ruolo personalizzato è facoltativa. Se non hai l'autorizzazione per visualizzare un ruolo personalizzato, potresti non essere in grado di determinare se un'entità può accedervi dalle associazioni con ruoli personalizzati.
Panoramica del flusso di lavoro dello strumento per la risoluzione dei problemi
Risolvere i problemi di accesso negato
Per risolvere i problemi di accesso negato, puoi attivare la funzionalità per una risorsa IAP nelle impostazioni IAP facendo clic sui tre puntini a destra dell'applicazione protetta IAP, su Impostazioni e selezionando Genera un URL per la risoluzione dei problemi. Per massimizzare l'efficacia dello strumento per la risoluzione dei problemi dei criteri, assicurati di disporre del ruolo Amministratore impostazioni IAP (roles/iap.settingsAdmin). In questo modo puoi recuperare e aggiornare le impostazioni IAP di tutte le risorse IAP.
Gli URL di risoluzione dei problemi sono presentati soltanto nelle pagine 403 predefinite, quando questa opzione è attiva.
Lo strumento per la risoluzione dei problemi dei criteri fornisce un'interfaccia utente in cui è possibile visualizzare i risultati dettagliati della valutazione di tutti i criteri efficaci per la risorsa IAP di destinazione. Quando l'accesso di un utente non riesce, la pagina 403 mostra un URL dello strumento per la risoluzione dei problemi. Una volta visitato, lo strumento per la risoluzione dei problemi dei criteri mostra i dettagli delle associazioni in errore e l'analisi dei livelli di accesso in errore, se presenti. Puoi utilizzare lo strumento anche anche per visualizzare una visualizzazione dettagliata dell'accesso di un utente a una risorsa.
Accesso utente negato
Quando un utente non dispone dell'autorizzazione o non soddisfa la condizione richiesta per accedere a una risorsa IAP, l'utente viene indirizzato a una pagina di errore di accesso 403 negato. La pagina 403 include un URL per la risoluzione dei problemi che può essere copiato e inviato manualmente al proprietario dell'applicazione o all'amministratore della sicurezza oppure l'utente può fare clic su Invia email nell'interfaccia utente.
Quando un utente fa clic su Invia email, viene inviata un'email all'indirizzo email di assistenza (supportEmail) configurato nella schermata del consenso OAuth. Per saperne di più sulla configurazione della schermata per il consenso OAuth, vedi Creazione programmatica dei client OAuth per IAP.
Risoluzione dei problemi di accesso non riuscito
Quando ricevi da un utente finale il link per una richiesta di accesso non riuscita, puoi fare clic sull'URL che si aprirà nel browser predefinito. Se non hai eseguito l'accesso a Google Cloud Console nel browser predefinito, potresti essere reindirizzato a un'altra pagina di accesso per accedere alla pagina di analisi dello strumento per la risoluzione dei problemi relativi ai criteri.
La pagina di analisi dello strumento per la risoluzione dei problemi dei criteri fornisce una visualizzazione riepilogativa, una visualizzazione dei criteri IAM e una tabella che mostrano il contesto per un utente e il dispositivo, come l'indirizzo principale, l'ID dispositivo, la risorsa IAP a cui si accede e così via.
La visualizzazione di riepilogo fornisce una visualizzazione aggregata di tutti i risultati pertinenti relativi alle norme e ai membri. La visualizzazione dei criteri IAM fornisce un elenco dei risultati di valutazione delle associazioni IAM effettive, concesse o meno, insieme a una visione generale di dove si sono verificati gli errori, ad esempio Entità non membro e non soddisfa le condizioni.
Per analizzare ulteriormente l'accesso non riuscito, puoi visualizzare i dettagli dell'associazione. In Dettagli dell'associazione puoi vedere i componenti dell'associazione, Ruolo, Entità e Condizione. Il componente con autorizzazioni sufficienti rileverà Nessuna azione richiesta. Componenti in cui non è stato possibile accedere, vengono spiegate esplicitamente le lacune nelle autorizzazioni, ad esempio Categoria principale: aggiungi Entità ai gruppi seguenti.
Tieni presente che l'interfaccia utente, la sezione Associazioni pertinenti è attiva per impostazione predefinita. Le associazioni elencate nella sezione Associazioni pertinenti non sono un elenco completo, ma sono quelle più pertinenti che potrebbero interessarti durante la risoluzione di un problema di accesso specifico. I criteri effettivi associati a una risorsa specifica potrebbero contenere molte associazioni non pertinenti alla risorsa, ad esempio un'autorizzazione di Cloud Storage concessa a livello di progetto. I dettagli non pertinenti vengono filtrati.
Puoi esaminare ulteriormente una condizione non riuscita esaminando le spiegazioni del livello di accesso. I dettagli del Livello di accesso indicano dove si è verificato l'errore e suggeriscono correzioni per risolverlo. Puoi propagare le azioni necessarie all'utente o correggere i criteri, se necessario. Ad esempio, puoi inviare all'utente la seguente azione: Richiesta non riuscita perché il dispositivo non è di proprietà dell'azienda.
Abilitazione dell'URL di risoluzione dei problemi per la pagina di errore Access Denied personalizzata
Per aggiungere l'URL dello strumento per la risoluzione dei problemi relativi ai criteri alla pagina di errore Access Denied del cliente, segui questi passaggi:
- Reindirizza gli utenti alla tua pagina personalizzata anziché alla pagina di errore IAP predefinita completando il seguente passaggio: Impostazione di una pagina di errore di accesso personalizzato negato.
- Attiva la funzionalità URL dello strumento per la risoluzione dei problemi relativi ai criteri nelle impostazioni IAP.
Dopo aver configurato l'URL della pagina access denied nelle impostazioni IAP, l'URL dello strumento per la risoluzione dei problemi dei criteri viene incorporato come parametro di ricerca con caratteri di escape. Assicurati di annullare l'escape del parametro di ricerca con caratteri di escape prima di aprirlo. La chiave del parametro di ricerca è troubleshooting-url.
Risolvere in modo proattivo l'accesso degli utenti
Puoi utilizzare lo strumento per la risoluzione dei problemi relativi ai criteri, disponibile nel riquadro Sicurezza della pagina di destinazione di BeyondCorp Enterprise, per risolvere eventi ipotetici e acquisire informazioni e visibilità sui tuoi criteri di sicurezza. Ad esempio, puoi verificare l'accesso di un utente a una particolare risorsa protetta da IAP e capire se è davvero necessario. Un altro esempio è quando apporti una modifica ai criteri di una risorsa protetta da IAP e vuoi assicurarti che il super amministratore abbia ancora accesso. Puoi andare alla Console dispositivi Google Admin per ottenere l'ID dispositivo di proprietà del super amministratore, quindi utilizzare l'ID dispositivo nello strumento per la risoluzione dei problemi per verificare l'accesso.
La risoluzione dei problemi relativi a richieste ipotetiche consente di verificare che un utente disponga delle autorizzazioni corrette per accedere a una risorsa IAP prima che si verifichi un evento di negazione reale. Per farlo, puoi utilizzare l'indirizzo email dell'utente, la risorsa IAP di destinazione ed eventuali contesti di richiesta facoltativi, inclusi indirizzo IP, timestamp, ID dispositivo o contesto del dispositivo.
Quando risolvi i problemi relativi a richieste ipotetiche utilizzando l'ID dispositivo, assicurati che il dispositivo appartenga all'email dell'entità target. Puoi recuperare l'ID del dispositivo dal log di controllo di IAP o dalla Console di amministrazione Google -> Devices > Mobile and endpoints > Devices.
Per la risoluzione di richieste ipotetiche che utilizzano il contesto del dispositivo, lo strumento per la risoluzione dei problemi supporta i seguenti attributi:
is_secured_with_screenlockencryption_statusos_typeos_versionverified_chrome_osis_admin_approved_deviceis_corp_owned_device
Scenari comuni di risoluzione dei problemi
Di seguito sono riportati alcuni scenari comuni che potresti riscontrare quando utilizzi lo strumento per la risoluzione dei problemi relativi ai criteri:
- Dopo la risoluzione dei problemi devi fornire all'utente finale un elemento utilizzabile, ad esempio indicare all'utente finale di passare a un dispositivo di proprietà dell'azienda o di aggiornare il sistema operativo.
- e scopri di non avere assegnato la giusta autorizzazione all'utente finale, quindi crei una nuova associazione per l'entità target nell'interfaccia IAP (
roles/iap.httpsResourceAccessor). - Hai scoperto che hai creato un livello di accesso in modo errato per i seguenti motivi di esempio:
- Hai creato complicate limitazioni degli attributi nidificati, come le subnet aziendali, che non si applicano più perché i dipendenti ora lavorano da casa.
- Hai applicato parametri del livello di accesso errati. Ad esempio, hai specificato che gli utenti possono creare un livello personalizzato con limitazioni per i fornitori, ma hanno confrontato gli attributi con tipi diversi. Ad esempio,
device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Tieni presente che il lato sinistro restituisce un valore booleano, mentre il lato destro restituisce una stringatrue. A causa degli attributi inequivocabili, è difficile rilevare l'errore nella struttura dei criteri. Lo strumento per la risoluzione dei problemi relativi ai criteri spiega che si tratta di un errore con risultati parziali di valutazione parziale su entrambi i lati.
Comportamento previsto dello strumento per la risoluzione dei problemi
La risoluzione dei problemi relativi agli accessi limitati viene eseguita utilizzando i criteri correnti e le informazioni del dispositivo con l'attuale timestamp. Pertanto, se hai sincronizzato il tuo dispositivo o hai modificato i criteri dopo il rifiuto dell'accesso limitato, non risolvi i problemi utilizzando i vecchi contesti e dati. Stai risolvendo i problemi utilizzando i contesti e i dati correnti.
Suggerimenti per la risoluzione dei problemi relativi alle associazioni
Per i componenti (Role, Principal, Condition) di eventuali associazioni con errori di autorizzazione, concedi le autorizzazioni necessarie se vuoi controllare i risultati della risoluzione dei problemi di tali associazioni.
Se il controllo del ruolo non riesce in un'associazione, completa le seguenti azioni:
- Controlla le altre associazioni o crea una nuova associazione utilizzando l'interfaccia IAP per concedere il ruolo
roles/iap.httpsResourceAccessorall'entità con i livelli di accesso applicati, se necessario. - Se si tratta di un ruolo personalizzato, puoi aggiungere l'autorizzazione di targeting al ruolo personalizzato per concedere l'autorizzazione (dopo aver corretto eventuali errori dell'entità e eventuali errori della condizione, se applicabile). Tieni presente che l'aggiunta di autorizzazioni a un ruolo personalizzato esistente potrebbe concedere altre associazioni con questo ruolo personalizzato con più autorizzazioni del necessario. Non eseguire questa operazione a meno che tu non sia a conoscenza dell'ambito del ruolo personalizzato e del rischio della tua operazione.
- Se non è un ruolo personalizzato, verifica le altre associazioni o creane una nuova utilizzando l'interfaccia IAP per concedere il ruolo
roles/iap.httpsResourceAccessorall'entità a livelli di accesso applicati, se necessario.
Se il controllo del ruolo ha esito positivo ma il controllo principale non va a buon fine, completa le seguenti azioni:
- Se i membri contengono un gruppo, puoi aggiungere al gruppo l'entità al fine di concedere le autorizzazioni (dopo aver corretto eventuali errori di condizione, se applicabile). Tieni presente che l'aggiunta di entità a un gruppo esistente potrebbe concedere al gruppo più autorizzazioni del necessario. Non farlo a meno che tu non sia a conoscenza dell'ambito del gruppo e del rischio della tua operazione.
- Se i membri non contengono un gruppo, controlla le altre associazioni o crea una nuova associazione utilizzando l'interfaccia IAP per concedere all'entità
roles/iap.httpsResourceAccessorcon i livelli di accesso applicati, se necessario.
Se il controllo del ruolo e dell'entità ha esito positivo, ma la condizione non riesce, controlla i dettagli di risoluzione dei problemi per ogni singolo livello di accesso elencato sotto la condizione, se la condizione è costituita solo dai livelli di accesso connessi con l'operatore logico OR.