Risoluzione dei problemi mediante lo strumento per la risoluzione dei problemi relativi ai criteri per BeyondCorp Enterprise

BeyondCorp Enterprise fornisce uno strumento per la risoluzione dei problemi che gli amministratori possono utilizzare per valutare e analizzare l'accesso di un utente finale.

BeyondCorp Enterprise consente alle aziende di creare regole avanzate, che consentono l'accesso alle applicazioni in base al contesto. Tuttavia, quando applichi più regole di accesso alle risorse, dalle restrizioni di località alle regole del dispositivo, può essere difficile comprendere come vengono valutati i criteri e perché un utente finale ha o meno accesso alla risorsa target.

Questo strumento ti consente di identificare il motivo per cui l'accesso ha esito positivo o negativo e, se necessario, di modificare il criterio e indicare all'utente finale di modificare il contesto per consentire l'accesso o di rimuovere l'associazione per negare l'accesso imprevisto.

Lo strumento per la risoluzione dei problemi dei criteri è uno strumento prezioso per le organizzazioni che devono applicare più regole a più risorse per gruppi di utenti diversi.

Prima di iniziare

Lo strumento per la risoluzione dei problemi dei criteri è una funzionalità premium e richiede una licenza BeyondCorp Enterprise.

Per massimizzare l'efficacia dello strumento per la risoluzione dei problemi relativi ai criteri, assicurati di avere il ruolo di revisore della sicurezza (roles/iam.securityReviewer). In questo modo potrai leggere tutti i criteri Cloud IAM applicabili.

Per risolvere i problemi di accesso di un dispositivo, devi disporre dell'autorizzazione per visualizzarne i dettagli. Se i criteri associati alla risorsa di destinazione contengono criteri relativi ai dispositivi, ad esempio un livello di accesso che richiede la crittografia del dispositivo, potresti non ottenere risultati accurati, a meno che non venga verificata l'autorizzazione a recuperare i dettagli del dispositivo dell'entità target. In genere, i super amministratori di Google Workspace, Amministratore di servizi e Amministratore di dispositivi mobili hanno accesso per visualizzare i dettagli del dispositivo. Per consentire a un utente che non è un super amministratore, un servizio o un amministratore di dispositivi mobili di risolvere i problemi di accesso, procedi nel seguente modo:

  1. Creare un ruolo amministrativo personalizzato di Google Workspace che contenga il privilegio Servizi > Gestione dei dispositivi mobili > Gestione dispositivi e impostazioni (nella sezione Privilegi della Console di amministrazione).
  2. Assegna il ruolo agli utenti utilizzando la Console di amministrazione.

Per risolvere i problemi di accesso a una risorsa fornita da un gruppo Google Cloud, devi disporre dell'autorizzazione per visualizzare i membri. Se i criteri contengono un gruppo, devi essere autorizzato a visualizzare i dettagli del gruppo prima di aprirlo. I super amministratori e gli amministratori dei gruppi di Google Workspace in genere hanno accesso alla visualizzazione delle iscrizioni ai gruppi. Per consentire a un utente che non è un super amministratore o un amministratore di gruppo di risolvere i problemi di accesso, completa i seguenti passaggi:

  1. Crea un ruolo amministrativo Google Workspace personalizzato contenente il privilegio Gruppi > Lettura (situato in Privilegi delle API amministrative).
  2. Assegna il ruolo all'utente. In questo modo l'utente può visualizzare l'appartenenza a tutti i gruppi all'interno del dominio e risolvere i problemi dell'accesso in modo più efficace.

L'autorizzazione del ruolo personalizzato è facoltativa. Se non hai l'autorizzazione per visualizzare un ruolo personalizzato, potresti non essere in grado di sapere se un'entità può accedervi dalle associazioni con ruoli personalizzati.

Panoramica del flusso di lavoro di risoluzione dei problemi

Risoluzione dei problemi relativi all'accesso negato

Per risolvere i problemi relativi all'accesso negato, puoi attivare la funzionalità per una risorsa IAP nelle impostazioni IAP facendo clic sui tre puntini a destra dell'applicazione protetta IAP, selezionando Impostazioni e selezionando Genera un URL per la risoluzione dei problemi. Per massimizzare l'efficacia dello strumento per la risoluzione dei problemi relativi ai criteri, assicurati di avere il ruolo Amministratore impostazioni IAP (roles/iap.settingsAdmin). In questo modo puoi recuperare e aggiornare le impostazioni IAP di tutte le risorse IAP.

Se attivi l'opzione, gli URL per la risoluzione dei problemi vengono visualizzati soltanto nelle pagine 403 predefinite.

Questo strumento fornisce un'interfaccia utente in cui è possibile visualizzare i risultati di valutazione dettagliati di tutti i criteri efficaci per la risorsa IAP di destinazione. Quando l'accesso di un utente non riesce, la pagina 403 mostra un URL dello strumento per la risoluzione dei problemi. Se consultato, lo strumento per la risoluzione dei problemi relativi ai criteri mostra i dettagli delle associazioni in errore e l'analisi dei livelli di accesso non riusciti, se presenti nelle associazioni. Puoi inoltre utilizzare lo strumento per la risoluzione dei problemi per visualizzare i dettagli dell'accesso di un utente a una risorsa.

Accesso utente negato

Quando un utente non dispone dell'autorizzazione o non soddisfa la condizione richiesta per accedere a una risorsa IAP, viene indirizzato a una pagina di errore di accesso negato 403. La pagina 403 include un URL per la risoluzione dei problemi che può essere copiato e inviato manualmente al proprietario dell'applicazione o all'amministratore della sicurezza oppure l'utente può fare clic su Invia email nell'interfaccia utente.

Quando un utente fa clic su Invia email, viene inviata un'email all'indirizzo email di assistenza (supportEmail) configurato nella schermata di consenso OAuth. Per ulteriori informazioni sulla configurazione della schermata per il consenso OAuth, consulta Creare a livello di programmazione i client OAuth per IAP.

Risoluzione dei problemi di accesso non riuscito

Quando ricevi da un utente finale il link a una richiesta di accesso non riuscita, puoi fare clic sull'URL che si aprirà nel browser predefinito. Se non hai eseguito l'accesso a Google Cloud Console nel browser predefinito, è possibile che tu venga reindirizzato a un'altra pagina di accesso per accedere alla pagina di analisi dello strumento per la risoluzione dei problemi relativi ai criteri.

La pagina di analisi dello strumento per la risoluzione dei problemi relativi ai criteri fornisce una visualizzazione riepilogativa, una visualizzazione dei criteri IAM e una tabella che mostrano il contesto di un utente e del dispositivo, ad esempio l'indirizzo dell'entità, l'ID dispositivo, la risorsa IAP a cui si accede e così via.

La visualizzazione riepilogativa offre una visualizzazione aggregata di tutti i risultati pertinenti relativi alle norme e ai membri. La visualizzazione dei criteri IAM fornisce un elenco dei risultati di valutazione delle associazioni IAM effettive, concesse o meno, insieme a una visione generale di dove si sono verificati gli errori, ad esempio Entità non membro e non soddisfa le condizioni.

Per analizzare ulteriormente l'accesso non riuscito, puoi visualizzare i dettagli dell'associazione. Nella sezione Dettagli associazione puoi visualizzare i componenti di associazione, Ruolo, Entità e Condizione. Il componente che dispone di autorizzazioni sufficienti vedrà il messaggio Nessuna azione richiesta. Componenti in cui l'accesso non è riuscito, vengono spiegate esplicitamente le lacune nelle autorizzazioni, ad esempio Categoria principale: aggiungi Entità ai gruppi seguenti.

Tieni presente che nell'interfaccia utente, la sezione Associazioni pertinenti è attiva per impostazione predefinita. Le associazioni elencate nella sezione Associazioni pertinenti non sono un elenco completo, ma sono piuttosto le associazioni più pertinenti che potrebbero interessarti per la risoluzione di un problema di accesso specifico. I criteri effettivi associati a una risorsa specifica possono contenere molte associazioni non pertinenti per la risorsa, ad esempio un'autorizzazione di Cloud Storage concessa a livello di progetto. I dettagli non pertinenti vengono filtrati.

Per saperne di più su una condizione non riuscita, consulta le spiegazioni del livello di accesso. I dettagli del livello di accesso indicano dove si è verificato l'errore e suggeriscono come risolvere il problema. Puoi propagare le azioni necessarie all'utente o correggere i criteri, se necessario. Ad esempio, puoi inviare all'utente la seguente azione: Richiesta non riuscita perché il dispositivo non è di proprietà dell'azienda.

Attivazione dell'URL per la risoluzione dei problemi nella tua pagina di errore Access Denied personalizzata

Per aggiungere l'URL dello strumento per la risoluzione dei problemi relativi ai criteri alla tua pagina di errore Access Denied del cliente, segui questi passaggi:

  1. Reindirizza gli utenti alla tua pagina personalizzata anziché alla pagina di errore predefinita per gli IAP completando il seguente passaggio: Impostare una pagina di errore di accesso personalizzato negato.
  2. Attiva la funzionalità URL dello strumento per la risoluzione dei problemi relativi ai criteri nelle impostazioni IAP.

Dopo aver configurato l'URL della pagina access denied nelle impostazioni IAP, l'URL dello strumento per la risoluzione dei problemi relativi ai criteri viene incorporato come parametro di ricerca con caratteri di escape. La chiave del parametro di ricerca è troubleshooting-url.

Risolvere in modo proattivo l'accesso degli utenti

Puoi utilizzare lo strumento per la risoluzione dei problemi relativi ai criteri, che trovi nel riquadro Sicurezza della pagina di destinazione di BeyondCorp Enterprise, per risolvere i problemi relativi a eventi ipotetici e acquisire informazioni dettagliate e visualizzare i criteri di sicurezza. Ad esempio, puoi controllare l'accesso di un utente a una determinata risorsa protetta IAP e verificare se è effettivamente necessario. Un altro esempio è quando apporti una modifica ai criteri in una risorsa protetta IAP e vuoi assicurarti che il super amministratore disponga ancora dell'accesso. Puoi accedere alla Console di amministrazione Google per recuperare l'ID dispositivo di proprietà del super amministratore e quindi utilizzare l'ID dispositivo nello strumento per la risoluzione dei problemi per verificare l'accesso.

La risoluzione dei problemi relativi a richieste ipotetiche ti permette di verificare che un utente disponga delle autorizzazioni appropriate per accedere a una risorsa IAP prima che si verifichi un evento di negazione reale. A tale scopo, puoi utilizzare l'email utente, la risorsa IAP di destinazione e gli eventuali contesti di richiesta facoltativi, inclusi indirizzo IP, timestamp, ID dispositivo o contesto del dispositivo.

Quando cerchi di risolvere i problemi relativi a richieste ipotetiche utilizzando l'ID dispositivo, assicurati che il dispositivo appartenga all'email dell'entità target. Puoi trovare l'ID dispositivo nel log di controllo degli IAP o nella Console di amministrazione Google -> Dispositivi > Dispositivi mobili ed endpoint > Dispositivi.

Per la risoluzione dei problemi relativi a richieste ipotetiche mediante il contesto del dispositivo, lo strumento per la risoluzione dei problemi supporta i seguenti attributi:

  • is_secured_with_screenlock
  • encryption_status
  • os_type
  • os_version
  • verified_chrome_os
  • is_admin_approved_device
  • is_corp_owned_device

Scenari di risoluzione dei problemi comuni

Di seguito sono riportati alcuni scenari comuni che potresti riscontrare quando lavori con lo strumento per la risoluzione dei problemi relativi ai criteri:

  • Dopo la risoluzione dei problemi, fornisci all'utente finale un elemento utilizzabile, ad esempio indicargli di passare a un dispositivo di proprietà dell'azienda o di aggiornare il sistema operativo.
  • Poiché non hai assegnato l'autorizzazione corretta all'utente finale, crei una nuova associazione per l'entità target nell'interfaccia di IAP (roles/iap.httpsResourceAccessor).
  • Hai scoperto che hai creato un livello di accesso in modo errato per i seguenti motivi di esempio:
    • Hai creato complesse limitazioni per gli attributi nidificati, come le subnet aziendali, che non vengono più applicate perché i dipendenti ora lavorano da casa.
    • Hai applicato parametri di livello di accesso errati. Ad esempio, hai indicato che gli utenti possono creare un livello personalizzato con limitazioni per i fornitori, ma hanno confrontato gli attributi con tipi diversi. Ad esempio, device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Tieni presente che il lato sinistro restituisce un valore booleano, mentre il lato destro restituisce una stringa true. A causa di attributi inequivocabili, è difficile rilevare l'errore nel costrutto dei criteri. Lo strumento per la risoluzione dei problemi relativi ai criteri consente di spiegare che si tratta di un errore con risultati di valutazione parziale dettagliati su entrambe le parti.

Comportamento previsto dello strumento per la risoluzione dei problemi

La risoluzione dei problemi relativi agli accessi limitati viene eseguita utilizzando i criteri correnti e le informazioni del dispositivo con il timestamp corrente. Di conseguenza, se hai sincronizzato il dispositivo o modificato i criteri dopo il rifiuto dell'accesso limitato, non stai risolvendo i problemi utilizzando i vecchi contesti e dati. Stai risolvendo i problemi utilizzando i contesti e i dati correnti.

Suggerimenti per la risoluzione dei problemi relativi alle associazioni

Per eventuali componenti (Ruolo, Entità, Condizione) di eventuali associazioni con errori di autorizzazione, concedi le autorizzazioni necessarie se vuoi controllare i risultati della risoluzione dei problemi di tali associazioni.

Se il controllo del ruolo non riesce in un'associazione, completa le azioni seguenti:

  • Controlla le altre associazioni o crea una nuova associazione utilizzando l'interfaccia IAP per concedere il ruolo roles/iap.httpsResourceAccessor all'entità con livelli di accesso applicati, se necessario.
  • Se si tratta di un ruolo personalizzato, puoi aggiungerlo al ruolo personalizzato per concederlo (dopo aver risolto eventuali errori dell'entità e relativi errori di condizione, se possibile). Tieni presente che l'aggiunta di autorizzazioni a un ruolo personalizzato esistente potrebbe concedere altre associazioni con questo ruolo personalizzato con più autorizzazioni del necessario. Non eseguire questa operazione a meno che tu non sia a conoscenza dell'ambito del ruolo personalizzato e del rischio dell'operazione.
  • Se non si tratta di un ruolo personalizzato, controlla le altre associazioni o creane una nuova utilizzando l'interfaccia IAP per concedere il ruolo roles/iap.httpsResourceAccessor all'entità con i livelli di accesso applicati, se necessario.

Se il controllo del ruolo ha esito positivo ma il controllo dell'entità non riesce, completa le seguenti azioni:

  • Se i membri contengono un gruppo, puoi aggiungere al gruppo l'entità per concedere le autorizzazioni (dopo aver corretto eventuali errori della condizione). Tieni presente che l'aggiunta di entità a un gruppo esistente potrebbe concedere al gruppo più autorizzazione del necessario. Non farlo a meno che tu non sia a conoscenza dell'ambito del gruppo e del rischio che dovrai sostenere.
  • Se i membri non contengono un gruppo, controlla le altre associazioni o crea una nuova associazione utilizzando l'interfaccia IAP per concedere l'entità roles/iap.httpsResourceAccessor all'entità con i livelli di accesso applicati, se necessario.

Se il controllo di ruolo e entità ha esito positivo, ma la condizione non riesce, controlla i dettagli di risoluzione dei problemi di ogni singolo livello di accesso elencato sotto la condizione, se la condizione è costituita solo da livelli di accesso collegati con l'operatore logico OR.