基于角色的访问控制 (RBAC) 用户指南
通过基于角色的访问权限控制 (RBAC),管理员可以根据组织中的员工角色来定制对 Chronicle 功能的访问权限。
准备工作
RBAC 从以下默认属性名称(不区分大小写)读取 SAML 响应中的群组信息:
groupidpgroup groupmemberof
如果您使用自定义属性名称,则必须先将该名称提供给 Chronicle,以便您修改 RBAC 设置。
修改 RBAC 设置
如需前往 RBAC 个人资料和设置页面,请点击导航栏中的设置。
配置文件
个人资料页面会显示用户个人资料中的信息(用户 ID、群组 ID、分配的角色),以及有关用户组织的一些额外信息(客户 ID、Google Cloud 项目编号、Google Cloud 项目 ID)。
时区
您可以通过点击“时间设置”旁边的修改来更改与您的个人资料相关联的时区。选择相应的时区,然后点击保存。这项更改会更改界面的大部分内容显示的时间,使其与所选时区保持一致。
用户和群组
用户和群组页面可让管理员配置 RBAC。
点击左侧导航窗格中的用户和群组链接。系统会在用户和群组页面上显示用户和群组的列表,其中包含以下列:用户/群组、类型和已分配的角色。
点击分配新角色以打开分配角色对话框。在此对话框中,您可以完成以下任务:
- 将一个或多个新用户分配给角色。
- 将一个或多个新群组分配给角色。
可用角色包括:
- 默认
- ViewerWithNoDetectAccess
- Viewer
- Editor
- 管理员
添加用户或群组 ID 并从 ASSIGN ROLE 下拉菜单中选择适当的角色后,点击 ASSIGN。
分配角色时,请注意以下事项:
- 添加用户或群组时,请确保他们存在于您的身份提供方 (IdP) 中。删除用户或群组时,请确保至少保留一个在您的 IdP 中拥有管理员角色且位于您的 IdP 中的用户或群组;否则,您将失去管理员权限。
- 用户和群组 IdP ID 区分大小写。
- 使用此对话框无法更改现有用户或群组的已分配角色。请参阅以下步骤,了解如何更改角色以及删除用户和群组。
- Chronicle 管理用户、群组及角色之间的映射。
- 如果用户或群组 ID 包含可能使用 UTF-8 编码的特殊字符(取决于文本源),请谨慎使用。当您点击布置作业后,Google 建议您确认新作业是否已正确保存。
您可以从已分配的角色列中,从该用户或群组对应的下拉菜单中选择新角色,更改现有用户或群组的角色。
您可以从右上角的角色下拉菜单中更改已分配给新用户和群组的默认角色。
您可以删除用户或群组,方法是将鼠标指针悬停在相应用户或群组上方,然后点击出现在用户或群组行最右侧的垃圾桶图标。
如果您删除身份为管理员的用户和群组,且仅剩的其他管理员不在 IDP 中,那么您将失去管理员访问权限。
角色与权限
角色
角色与一组产品权限相关联。向用户分配角色可授予用户与该角色关联的权限。
Chronicle 包含以下预定义角色:
- Administrator - 为您的企业管理基于角色的访问权限控制政策。还可以修改或查看任何 Chronicle 页面。
- Editor - 可以修改 Chronicle 页面,包括为检测引擎创建和修改规则的能力。
- Viewer - 可以查看任何 Chronicle 页面,但不能进行任何更改。
- ViewerWithNoDetectAccess - 可以查看所有不包含检测项的 Chronicle 页面(主要是“规则和参考列表”页面)。
RBAC 应用包括以下各项:
- 根据工作职责创建和分配角色。
- 根据租户或组织创建和分配角色。
- 为分析人员分配临时角色以调查问题。
权限
权限提供在 Chronicle 中执行单个受控操作所需的授权,包括(请参阅用户界面以获取完整的权限列表):
- 查看规则
- 修改规则
- 修改反馈
- 修改参考列表
- 查看 RBAC 权限
如果用户没有操作的权限,关联的功能将被停用。例如,如果用户拥有“Viewer 角色,则无法创建新规则(规则编辑器中的新建按钮处于停用状态)、复制规则(复制选项处于停用状态)或修改现有规则。
如需查看用户和群组可用的角色和权限,请完成以下操作:
点击左侧导航窗格中的角色链接。
从“角色”列中选择角色以查看授予该角色的权限。与每个角色关联的权限无法更改。
新添加的用户和群组的默认角色是 Viewer。如果您选择其他角色(例如 Editor),设为默认控件便可使用。这样,您就可以将该角色设置为默认角色。