Guida dell'utente al controllo dell'accesso basato sui ruoli (RBAC)

Controllo dell'accesso basato sui ruoli (RBAC) consente a un amministratore di personalizzare l'accesso alle funzionalità di Chronicle in base al ruolo di un dipendente nell'organizzazione.

Prima di iniziare

RBAC legge le informazioni del gruppo dalla risposta SAML dai seguenti nomi degli attributi predefiniti senza distinzione tra maiuscole e minuscole:

  • group
  • idpgroup group
  • memberof

Se utilizzi un nome di attributo personalizzato, devi prima fornirlo a Chronicle per consentirti di modificare le impostazioni RBAC.

Modifica impostazioni RBAC

Per accedere alle pagine del profilo e delle impostazioni di RBAC, fai clic su Impostazioni nella barra di navigazione.

Profilo

La pagina Profilo mostra le informazioni del profilo dell'utente (ID utente, ID gruppo, ruoli assegnati) e alcune informazioni aggiuntive sulla sua organizzazione (ID cliente, numero di progetto Google Cloud, ID progetto Google Cloud).

Fuso orario

Puoi modificare il fuso orario associato al tuo profilo facendo clic su Modifica accanto a Impostazioni orario. Seleziona il fuso orario appropriato e fai clic su Salva. Questa opzione modifica l'ora visualizzata nella maggior parte dell'interfaccia utente in modo che corrisponda al fuso orario selezionato.

Utenti e gruppi

La pagina Utenti e gruppi consente a un amministratore di configurare RBAC.

  1. Fai clic sul link Utenti e gruppi nel riquadro di navigazione a sinistra. Un elenco di utenti e gruppi è visualizzato nella pagina Utenti e gruppi con le colonne: Utente/Gruppo, Tipo e Ruolo assegnato.

  2. Fai clic su Assegna nuovo per aprire la finestra di dialogo Assegna ruolo. Da questa finestra di dialogo puoi completare le seguenti attività:

    • Assegnare un nuovo ruolo a uno o più utenti.
    • Assegnare un nuovo gruppo o gruppi a un ruolo.

    I ruoli disponibili sono:

    • Predefinito
    • ViewerWithNoDetectAccess
    • Visualizzatore
    • Editor
    • Amministratore

    Dopo aver aggiunto gli ID utente o gruppo e selezionato il ruolo appropriato dal menu a discesa ASSEGNA RUOLO, fai clic su ASSEGNA.

    Quando assegni i ruoli, tieni presente quanto segue:

    • Quando aggiungi utenti o gruppi, assicurati che esistano nel tuo provider di identità (IdP). Quando elimini utenti o gruppi, assicurati di conservare almeno un utente o un gruppo con il ruolo di amministratore che appartiene al tuo IdP, altrimenti perderai l'accesso amministrativo.
    • Gli ID IdP di utenti e gruppi sono sensibili alle maiuscole.
    • Non puoi modificare il ruolo assegnato di un utente o gruppo esistente utilizzando questa finestra di dialogo. Consulta i passaggi riportati di seguito per modificare i ruoli ed eliminare utenti e gruppi.
    • Chronicle gestisce la mappatura tra utenti, gruppi e ruoli.
    • Fai attenzione se l'ID utente o gruppo contiene caratteri speciali che, a seconda dell'origine di testo, potrebbero utilizzare la codifica UTF-8. Dopo aver fatto clic su Assegna, Google ti consiglia di verificare che il nuovo compito sia stato salvato correttamente.

  3. Puoi modificare il ruolo di un utente o gruppo esistente selezionando un nuovo ruolo dal menu a discesa corrispondente a quell'utente o gruppo nella colonna Ruolo assegnato.

  4. Puoi modificare il ruolo predefinito assegnato a nuovi utenti e gruppi dal menu a discesa del ruolo nell'angolo in alto a destra.

  5. Per eliminare un utente o un gruppo, fai clic sull'icona del cestino visualizzata all'estrema destra della riga dell'utente o del gruppo mentre tieni il puntatore sopra.

    Se elimini utenti e gruppi che sono amministratori e gli unici amministratori rimanenti non fanno parte del tuo IdP, perderai l'accesso come amministratore.

Ruoli e autorizzazioni

Ruoli

I ruoli sono associati a un insieme di autorizzazioni del prodotto. L'assegnazione di un ruolo a un utente concede all'utente le autorizzazioni associate a quel ruolo.

Chronicle include i seguenti ruoli predefiniti:

  • Amministratore: gestisce i criteri di controllo dell'accesso basati sui ruoli per la tua azienda. Può anche modificare o visualizzare qualsiasi pagina Chronicle.
  • Editor: può modificare le pagine Chronicle, inclusa la possibilità di creare e modificare le regole per il motore di rilevamento.
  • Visualizzatore: può visualizzare qualsiasi pagina Chronicle, ma non può apportare modifiche.
  • ViewerWithNoDetectAccess: può visualizzare tutte le pagine Chronicle che non includono rilevamenti (principalmente le pagine Regole ed Elenchi di riferimento).

Le applicazioni RBAC includono quanto segue:

  • Crea e assegna i ruoli in base alle responsabilità lavorative.
  • Crea e assegna ruoli in base a tenanze o organizzazioni.
  • Assegna ruoli temporanei agli analisti per analizzare un problema.

Autorizzazioni

Le autorizzazioni forniscono l'autorizzazione necessaria per eseguire una singola azione controllata in Chronicle. Per l'elenco completo delle autorizzazioni, consulta l'interfaccia utente:

  • Visualizza regola
  • Modifica regola
  • Modifica feedback
  • Modifica elenco di riferimento
  • Visualizza autorizzazioni RBAC

Se un utente non dispone delle autorizzazioni per un'azione, la funzionalità associata viene disattivata. Ad esempio, se l'utente ha il ruolo Visualizzatore, non potrà creare una nuova regola (il pulsante Nuova è disattivato nell'Editor regole), duplicare una regola (l'opzione Duplica è disattivata) o modificare una regola esistente.

Per visualizzare i ruoli e le autorizzazioni disponibili per utenti e gruppi:

  1. Fai clic sul link Ruoli nel riquadro di navigazione a sinistra.

  2. Seleziona un ruolo dalla colonna Ruoli per visualizzare le autorizzazioni concesse per quel ruolo. Le autorizzazioni associate a ciascun ruolo non possono essere modificate.

Il ruolo predefinito per gli utenti e i gruppi appena aggiunti è Visualizzatore. Se selezioni uno degli altri ruoli (ad esempio Editor), diventa disponibile il controllo Imposta come predefinito. In questo modo puoi rendere il ruolo predefinito.