Panduan Pengguna Kontrol Akses Berbasis Peran (RBAC)

Kontrol akses berbasis peran (RBAC) memungkinkan administrator menyesuaikan akses ke fitur Chronicle berdasarkan peran karyawan di organisasi Anda.

Sebelum memulai

RBAC membaca informasi grup dari respons SAML dari nama atribut default yang tidak peka huruf besar/kecil berikut:

  • group
  • idpgroup group
  • memberof

Jika Anda menggunakan nama atribut khusus, nama tersebut harus diberikan ke Chronicle terlebih dahulu agar Anda dapat mengubah setelan RBAC.

Mengubah setelan RBAC

Untuk membuka profil RBAC dan halaman setelan, klik Settings di menu navigasi.

Profil

Halaman Profil menampilkan informasi dari profil pengguna (ID pengguna, ID grup, peran yang ditetapkan) dan beberapa informasi tambahan tentang organisasinya (ID pelanggan, nomor project Google Cloud, ID project Google Cloud).

Zona waktu

Anda dapat mengubah zona waktu yang terkait dengan profil Anda dengan mengklik Edit di samping Setelan Waktu. Pilih zona waktu yang sesuai, lalu klik Simpan. Perubahan ini mengubah waktu yang ditampilkan di sebagian besar antarmuka pengguna agar sesuai dengan zona waktu yang dipilih.

Pengguna & Grup

Halaman Users & Groups memungkinkan administrator mengonfigurasi RBAC.

  1. Klik link Users & Groups di panel navigasi sebelah kiri. Daftar pengguna dan grup ditampilkan di halaman Pengguna dan grup dengan kolom: Pengguna/Grup, Jenis, dan Peran yang ditetapkan.

  2. Klik Tetapkan baru untuk membuka dialog Tetapkan peran. Dari dialog ini, Anda dapat menyelesaikan tugas-tugas berikut:

    • Menetapkan pengguna baru atau beberapa pengguna baru ke peran.
    • Menetapkan grup atau grup baru ke peran.

    Peran yang tersedia adalah:

    • Default
    • ViewerWithNoDetectAccess
    • Viewer
    • Editor
    • Administrator

    Setelah Anda menambahkan ID pengguna atau grup dan memilih peran yang sesuai dari menu drop-down TETAPKAN PERAN, klik TETAPKAN.

    Saat menetapkan peran, perhatikan hal-hal berikut:

    • Saat menambahkan pengguna atau grup, pastikan pengguna atau grup tersebut ada di Penyedia Identitas (IdP). Saat menghapus pengguna atau grup, pastikan Anda mempertahankan setidaknya satu pengguna atau grup yang memiliki peran Administrator dan berada di IdP; jika tidak, Anda akan kehilangan akses administrator.
    • ID IdP pengguna dan grup peka huruf besar/kecil.
    • Anda tidak dapat mengubah peran yang ditetapkan pada pengguna atau grup yang sudah ada menggunakan dialog ini. Lihat langkah-langkah berikut untuk mengetahui cara mengubah peran serta menghapus pengguna dan grup.
    • Chronicle mengelola pemetaan antara pengguna, grup, dan peran.
    • Hati-hati jika ID pengguna atau grup berisi karakter khusus yang mungkin menggunakan encoding UTF-8, bergantung pada sumber teksnya. Setelah mengklik Tetapkan, Google menyarankan Anda untuk memverifikasi bahwa tugas baru telah disimpan dengan benar.

  3. Anda dapat mengubah peran pengguna atau grup yang ada dengan memilih peran baru dari menu drop-down yang sesuai dengan pengguna atau grup tersebut di kolom Peran yang ditetapkan.

  4. Anda dapat mengubah peran default yang ditetapkan kepada pengguna dan grup baru dari menu drop-down peran di sudut kanan atas.

  5. Anda dapat menghapus pengguna atau grup dengan mengklik ikon tempat sampah yang muncul di sisi paling kanan baris pengguna atau grup saat Anda mengarahkan kursor ke atasnya.

    Jika Anda menghapus pengguna dan grup yang merupakan administrator, dan satu-satunya administrator yang tersisa tidak ada di IDP Anda, Anda akan kehilangan akses administrator.

Peran dan Izin

Peran

Peran dikaitkan dengan sekumpulan izin produk. Menetapkan peran kepada pengguna akan memberi pengguna izin yang terkait dengan peran tersebut.

Chronicle menyertakan peran bawaan berikut:

  • Administrator—Mengelola kebijakan kontrol akses berbasis peran untuk perusahaan. Juga dapat mengedit atau melihat halaman Chronicle.
  • Editor—Dapat mengedit halaman Chronicle, termasuk kemampuan untuk membuat dan mengedit aturan untuk Detection Engine.
  • Pengakses lihat-saja—Dapat melihat halaman Chronicle, tetapi tidak dapat melakukan perubahan apa pun.
  • ViewerWithNoDetectAccess—Dapat melihat semua halaman Chronicle yang tidak menyertakan deteksi (terutama halaman Aturan dan Daftar Referensi).

Aplikasi RBAC meliputi hal berikut:

  • Membuat dan menetapkan peran berdasarkan tanggung jawab pekerjaan.
  • Buat dan tetapkan peran berdasarkan penyewaan atau organisasi.
  • Menetapkan peran sementara kepada analis untuk menyelidiki masalah.

Izin

Izin memberikan otorisasi yang diperlukan untuk melakukan satu tindakan terkontrol di Chronicle, termasuk (lihat antarmuka pengguna untuk mengetahui daftar lengkap izin):

  • Tampilkan aturan
  • Ubah aturan
  • Edit masukan
  • Edit daftar referensi
  • Lihat izin RBAC

Jika pengguna tidak memiliki izin untuk suatu tindakan, fungsi terkait akan dinonaktifkan. Misalnya, jika memiliki peran Pelihat, pengguna tidak dapat membuat aturan baru (tombol Baru dinonaktifkan di Editor Aturan), menduplikasi aturan (opsi Duplikasi dinonaktifkan), atau mengubah aturan yang sudah ada.

Untuk melihat peran dan izin yang tersedia bagi pengguna dan grup, selesaikan hal berikut:

  1. Klik link Peran di panel navigasi sebelah kiri.

  2. Pilih peran dari kolom Peran untuk melihat izin yang diberikan untuk peran tersebut. Izin yang terkait dengan setiap peran tidak dapat diubah.

Peran default untuk pengguna dan grup yang baru ditambahkan adalah Pelihat. Jika Anda memilih salah satu peran lain (misalnya, Editor), kontrol Tetapkan sebagai default akan tersedia. Tindakan ini memungkinkan Anda menjadikan peran tersebut sebagai default.