Guia do usuário do controle de acesso baseado em função (RBAC)

O controle de acesso baseado em função (RBAC) permite que um administrador personalize o acesso aos recursos do Google Security Operations com base na função de um funcionário na sua organização.

Antes de começar

O RBAC lê as informações do grupo na resposta SAML com base nos seguintes nomes de atributos padrão, que não diferenciam maiúsculas de minúsculas:

• group
• idpgroup group
• memberof

Se você usar um nome de atributo personalizado, ele precisará ser fornecido às Operações de segurança do Google primeiro para que você possa modificar as configurações do RBAC.

Modificar as configurações do RBAC

Para acessar as páginas de configurações e do perfil de RBAC, clique em Configurações na barra de navegação.

Perfil

A página Perfil mostra as informações do perfil do usuário (ID do usuário, ID do grupo, funções atribuídas) e algumas informações adicionais sobre a organização (ID do cliente, número do projeto do Google Cloud, ID do projeto do Google Cloud).

ID de cliente

O ID de cliente está na seção Detalhes da organização da página Perfil.

Fuso horário

Para mudar o fuso horário associado ao seu perfil, clique em Editar ao lado de "Configurações de tempo". Selecione o fuso horário correto e clique em Salvar. Isso muda a hora mostrada na maior parte da interface do usuário para corresponder ao fuso horário selecionado.

Usuários e grupos

Na página Usuários e grupos, o administrador pode configurar o RBAC.

1. Clique no link Usuários e grupos no painel de navegação à esquerda. Uma lista de usuários e grupos é exibida na página Usuários e grupos com as colunas Usuário/Grupo, Tipo e Função atribuída.

2. Clique em Atribuir novo para abrir a caixa de diálogo Atribuir função. Nessa caixa de diálogo, você pode realizar as seguintes tarefas:

   • Atribuir uma nova função a um ou mais usuários.
   • Atribuir um ou mais grupos a uma função.

   As funções disponíveis são:

   • Padrão
   • ViewerWithNoDetectAccess
   • Leitor
   • Editor
   • Administrador

   Depois de adicionar os IDs de usuário ou grupo e selecionar a função adequada no menu suspenso ATRIBUIR FUNÇÃO, clique em ATRIBUIR.

   Ao atribuir papéis, observe o seguinte:

   • Ao adicionar usuários ou grupos, verifique se eles existem no seu provedor de identidade (IdP). Ao excluir usuários ou grupos, mantenha pelo menos um usuário ou grupo com a função de administrador e que esteja no seu IdP. Caso contrário, você vai perder o acesso de administrador.
   • Os IDs de IdP de usuários e grupos diferenciam maiúsculas de minúsculas.
   • Não é possível mudar a função atribuída de um usuário ou grupo usando essa caixa de diálogo. Confira as etapas a seguir para saber como mudar as funções e excluir usuários e grupos.
   • O Google Security Operations gerencia o mapeamento entre usuários, grupos e funções.
   • Tenha cuidado se o ID do usuário ou do grupo tiver caracteres especiais que, dependendo da origem do texto, podem usar a codificação UTF-8. Depois de clicar em Atribuir, o Google recomenda que você verifique se a nova atribuição foi salva corretamente.

3. Para mudar a função de um usuário ou grupo, selecione uma nova função no menu suspenso correspondente a esse usuário ou grupo na coluna Função atribuída.

4. É possível mudar a função padrão atribuída a novos usuários e grupos no menu suspenso de funções no canto superior direito.

5. Para excluir um usuário ou grupo, clique no ícone de lixeira que aparece no lado direito da linha do usuário ou grupo enquanto você mantém o ponteiro sobre ele.

   Se você excluir usuários e grupos que são administradores e os únicos administradores restantes não estiverem no IdP, você vai perder o acesso de administrador.

Papéis e permissões

Papéis

Os papéis são associados a um conjunto de permissões do produto. A atribuição de uma função a um usuário concede a ele as permissões associadas a essa função.

As operações de segurança do Google incluem os seguintes papéis predefinidos:

• Administrador: gerencia as políticas de controle de acesso baseado em função da sua empresa. Também pode editar ou acessar qualquer página de Operações de segurança do Google.
• Editor: pode editar páginas do Google Security Operations, incluindo a capacidade de criar e editar regras para o mecanismo de detecção.
• Leitor: pode acessar qualquer página das Operações de segurança do Google, mas não pode fazer alterações.
• ViewerWithNoDetectAccess: pode acessar todas as páginas das Operações de segurança do Google que não incluem detecções (principalmente as páginas "Regras" e "Listas de referência").

As aplicações do RBAC incluem:

• Crie e atribua funções com base nas responsabilidades do cargo.
• Crie e atribua funções com base em locações ou organizações.
• Atribuir papéis temporários a analistas para investigar um problema.

Permissões

As permissões fornecem a autorização necessária para realizar uma única ação controlada no Google Security Operations, incluindo (consulte a interface do usuário para ver a lista completa de permissões):

• Ver regra
• Modificar regra
• Editar feedback
• Editar lista de referências
• Conferir as permissões do RBAC

Se um usuário não tiver permissões para uma ação, a funcionalidade associada será desativada. Por exemplo, se o usuário tiver a função de leitor, ele não poderá criar uma nova regra (o botão Nova está desativado no editor de regras), duplicar uma regra (a opção Duplicar está desativada) ou modificar uma regra existente.

Para conferir as funções e permissões disponíveis para usuários e grupos, faça o seguinte:

1. Clique no link Funções no painel de navegação à esquerda.

2. Selecione uma função na coluna "Funções" para conferir as permissões concedidas a ela. As permissões associadas a cada função não podem ser alteradas.

A função padrão para usuários e grupos recém-adicionados é "Leitor". Se você selecionar uma das outras funções (por exemplo, "Editor"), o controle Definir como padrão vai ficar disponível. Assim, você pode definir essa função como padrão.