Cette page a été traduite par l'API Cloud Translation.

Guide de l’utilisateur du contrôle des accès basé sur les rôles (RBAC)

Le contrôle des accès basé sur les rôles (RBAC) permet à un administrateur d'adapter l'accès aux fonctionnalités de Google Security Operations en fonction du rôle d'un employé dans votre organisation.

Avant de commencer

RBAC lit les informations de groupe à partir de la réponse SAML à partir des noms d'attributs par défaut non sensibles à la casse suivants:

group
idpgroup group
memberof

Si vous utilisez un nom d'attribut personnalisé, vous devez d'abord le fournir à Google Security Operations pour vous permettre de modifier vos paramètres RBAC.

Modifier les paramètres RBAC

Pour accéder aux pages de profil et de paramètres RBAC, cliquez sur Settings (Paramètres) dans la barre de navigation.

Profile

La page Profil affiche les informations du profil de l'utilisateur (ID utilisateur, ID de groupe, rôles attribués) et d'autres informations sur son organisation (ID client, numéro de projet Google Cloud, ID de projet Google Cloud).

ID client

Votre numéro client se trouve dans la section Informations sur l'organisation de la page Profil.

Fuseau horaire

Vous pouvez modifier le fuseau horaire associé à votre profil en cliquant sur Modifier à côté de "Paramètres d'heure". Sélectionnez le fuseau horaire approprié, puis cliquez sur Enregistrer. L'heure affichée dans la majeure partie de l'interface utilisateur correspond alors au fuseau horaire sélectionné.

Utilisateurs et groupes

La page Utilisateurs et groupes permet à un administrateur de configurer RBAC.

Cliquez sur le lien Utilisateurs et groupes dans le volet de navigation de gauche. La liste des utilisateurs et des groupes s'affiche sur la page Utilisateurs et groupes, avec les colonnes Utilisateur/Groupe, Type et Rôle attribué.
Cliquez sur Attribuer un nouveau rôle pour ouvrir la boîte de dialogue Attribuer un rôle. Dans cette boîte de dialogue, vous pouvez effectuer les tâches suivantes:
- Attribuez un rôle à un ou plusieurs nouveaux utilisateurs.
- Attribuez un rôle à un ou plusieurs nouveaux groupes.
Voici les rôles disponibles:
- Par défaut
- ViewerWithNoDetectAccess
- Lecteur
- Éditeur
- Administrateur
Une fois que vous avez ajouté vos ID d'utilisateur ou de groupe et sélectionné le rôle approprié dans le menu déroulant ATTRIBUER UN RÔLE, cliquez sur ATTRIBUER.

Lorsque vous attribuez des rôles, tenez compte des points suivants:
- Lorsque vous ajoutez des utilisateurs ou des groupes, assurez-vous qu'ils existent dans votre fournisseur d'identité (IdP). Lorsque vous supprimez des utilisateurs ou des groupes, veillez à conserver au moins un utilisateur ou un groupe disposant du rôle Administrateur et figurant dans votre IdP. Sinon, vous perdrez l'accès administrateur.
- Les ID IdP des utilisateurs et des groupes sont sensibles à la casse.
- Vous ne pouvez pas modifier le rôle attribué à un utilisateur ou à un groupe existant à l'aide de cette boîte de dialogue. Consultez les étapes suivantes pour savoir comment modifier les rôles et supprimer des utilisateurs et des groupes.
- Google Security Operations gère le mappage entre les utilisateurs, les groupes et les rôles.
- Soyez prudent si l'ID d'utilisateur ou de groupe contient des caractères spéciaux qui, selon la source du texte, peuvent utiliser l'encodage UTF-8. Une fois que vous avez cliqué sur Publier le devoir, Google vous recommande de vérifier que le nouveau devoir a été enregistré correctement.
Vous pouvez modifier le rôle d'un utilisateur ou d'un groupe existant en sélectionnant un nouveau rôle dans le menu déroulant correspondant à cet utilisateur ou à ce groupe dans la colonne Rôle attribué.

Remarque :Si l'administrateur a modifié le rôle d'un utilisateur, celui-ci devra peut-être actualiser son navigateur pour afficher les modifications.
Vous pouvez modifier le rôle par défaut attribué aux nouveaux utilisateurs et groupes à partir du menu déroulant des rôles en haut à droite.
Vous pouvez supprimer un utilisateur ou un groupe en cliquant sur l'icône de la corbeille qui apparaît tout à droite de la ligne de l'utilisateur ou du groupe lorsque vous placez le pointeur de la souris dessus.

Si vous supprimez des utilisateurs et des groupes qui sont des administrateurs et que les seuls administrateurs restants ne font pas partie de votre IdP, vous perdrez l'accès administrateur.

Rôles et autorisations

Rôles

Les rôles sont associés à un ensemble d'autorisations liées aux produits. L'attribution d'un rôle à un utilisateur lui accorde les autorisations associées à ce rôle.

Google Security Operations inclut les rôles prédéfinis suivants:

Administrateur : gère les stratégies de contrôle des accès basées sur les rôles pour votre entreprise. Peut également modifier ou afficher n'importe quelle page Google Security Operations.
Éditeur : peut modifier les pages Google Security Operations, y compris créer et modifier des règles pour le moteur de détection.
Lecteur : peut afficher n'importe quelle page Google Security Operations, mais ne peut pas apporter de modifications.
ViewerWithNoDetectAccess : peut afficher toutes les pages Google Security Operations qui n'incluent pas de détections (principalement les pages "Rules" (Règles) et "Reference List" (Listes de référence)

Les applications RBAC incluent les éléments suivants:

Créer et attribuer des rôles en fonction des responsabilités professionnelles
Créez et attribuez des rôles en fonction de l'immeuble ou de l'organisation.
Attribuez des rôles temporaires à des analystes pour qu'ils examinent un problème.

Autorisations

Les autorisations fournissent l'autorisation nécessaire pour effectuer une seule action contrôlée dans Google Security Operations, y compris (consultez l'interface utilisateur pour obtenir la liste complète des autorisations):

Afficher la règle
Modifier la règle
Modifier les commentaires
Modifier la liste de référence
Afficher les autorisations RBAC

Si un utilisateur n'est pas autorisé à effectuer une action, la fonctionnalité associée est désactivée. Par exemple, si l'utilisateur dispose du rôle Lecteur, il ne peut pas créer de règle (le bouton Nouveau est désactivé dans l'éditeur de règles), dupliquer une règle (l'option Dupliquer est désactivée) ni modifier une règle existante.

Pour afficher les rôles et les autorisations disponibles pour les utilisateurs et les groupes, procédez comme suit:

Cliquez sur le lien Rôles dans le volet de navigation de gauche.
Sélectionnez un rôle dans la colonne "Rôles" pour afficher les autorisations qui lui sont accordées. Les autorisations associées à chaque rôle ne peuvent pas être modifiées.

Le rôle par défaut des nouveaux utilisateurs et groupes est "Lecteur". Si vous sélectionnez l'un des autres rôles (par exemple, "Éditeur"), la commande Définir par défaut devient disponible. Cela vous permet de faire de ce rôle le rôle par défaut à la place.