Configurer un fournisseur d'identité tiers

Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.

Cette page explique comment utiliser un fournisseur d'identité tiers en configurant la fédération des identités des employés. Pour en savoir plus sur l'utilisation de Cloud Identity ou de Google Workspace, consultez la page Configurer un fournisseur d'identité Google Cloud.

La fédération des identités des employés de Google vous permet d'accorder aux charges de travail sur site ou multicloud un accès aux ressources Google Cloud, sans avoir à utiliser de clé de compte de service. Vous pouvez utiliser la fédération des identités des employés avec n'importe quel fournisseur d'identité (IdP) tiers compatible avec OpenID Connect (OIDC), y compris Microsoft Azure, Okta ou SAML 2.0.

Google Security Operations nécessite d'utiliser la fédération des identités des employés de Google en tant qu'agent SSO pour les opérations suivantes:

  • Clients soumis à des exigences de conformité FedRAMP (niveau d'impact élevé ou supérieur)
  • Clients accédant à tous les contrôles au niveau de l'entreprise dans Google Security Operations activés par Google Cloud, y compris le contrôle des accès basé sur les données et les fonctionnalités (RBAC) à l'aide d'Identity and Access Management (IAM).
  • Clients utilisant la gestion des identifiants en libre-service pour l'accès programmatique à l'API Google Security Operations

Google Security Operations est compatible avec l'authentification unique SAML initiée par le fournisseur de services (initiée par le fournisseur de services) pour les utilisateurs. Grâce à cette fonctionnalité, les utilisateurs accèdent directement à Google Security Operations. Google Security Operations envoie une requête via la fédération des identités des employés de Google Cloud Identity and Access Management (IAM) au fournisseur d'identité tiers (IdP).

Une fois que le fournisseur d'identité a authentifié l'identité de l'utilisateur, celui-ci est renvoyé à Google Security Operations avec une assertion d'authentification. La fédération des identités des employés de Google Cloud sert d'intermédiaire dans le flux d'authentification.

Communication entre Google Security Operations, la fédération des identités des employés de Google Cloud IAM et le fournisseur d'identité

Communication entre Google Security Operations, la fédération des identités des employés avec IAM et le fournisseur d'identité

De manière générale, la communication est la suivante:

  1. L'utilisateur accède à Google Security Operations.
  2. Google Security Operations recherche les informations sur l'IdP dans le pool d'identités des employés Google Cloud.
  3. Une requête est envoyée au fournisseur d'identité.
  4. L'assertion SAML est envoyée au pool d'identités des employés Google Cloud.
  5. Si l'authentification réussit, Google Security Operations ne reçoit que les attributs SAML définis lors de la configuration du fournisseur de personnel dans le pool d'identités des employés.

Les administrateurs Google Security Operations créent des groupes dans leur fournisseur d'identité, configurent l'application SAML pour transmettre les informations d'appartenance à un groupe dans l'assertion, puis associent les utilisateurs et les groupes aux rôles prédéfinis dans IAM de Google Security Operations ou aux rôles personnalisés qu'ils ont créés.

La connexion initiée par le fournisseur d'identité (à partir de votre tableau de bord IdP) n'est pas acceptée. Si votre organisation a besoin de cette fonctionnalité, contactez votre représentant Google Security Operations pour demander cette fonctionnalité.

Ce document décrit les grandes étapes à suivre pour configurer l'authentification via un fournisseur d'identité tiers (IdP) à l'aide de la fédération des identités des employés de Google Cloud. Après avoir suivi les étapes décrites dans ce document, vous pourrez accéder à Google Security Operations à l'aide de votre IdP tiers et gérer l'accès à Google Security Operations à l'aide de l'authentification unique SAML via la fédération des identités des employés.

Avant de commencer

Les étapes suivantes décrivent comment effectuer la configuration à l'aide des commandes gcloud. Si une étape peut être effectuée dans la console Google Cloud, un lien vers la documentation IAM associée est fourni.

Planifier l'implémentation

La section suivante décrit les décisions que vous devez prendre et les informations que vous définissez avant d'effectuer les étapes décrites dans ce document.

Définir le pool d'identités des employés et le fournisseur d'employés

Dans le cadre de ce processus, vous allez configurer la fédération des identités des employés Google Cloud en tant qu'intermédiaire dans le flux d'authentification. Pour ce faire, vous devez créer les ressources Google Cloud suivantes:

  • Pool d'employés : un pool d'identités d'employés vous permet d'accorder à vos collaborateurs (par exemple, leurs employés) l'accès à Google Security Operations.
  • Fournisseur de personnel : un fournisseur de personnel est une sous-ressource du pool d'identités des employés. Il stocke les détails d'un seul IdP.

La relation entre le pool d'identités des employés, les fournisseurs d'employés et une instance Google Security Operations, identifiée par un seul sous-domaine client, est la suivante:

  • Un pool d'identités de personnel est défini au niveau de l'organisation.
  • Chaque instance Google Security Operations dispose d'un pool d'identités d'employé configuré et associé à celui-ci.
  • Un pool d'identités de personnel peut comporter plusieurs fournisseurs d'employés.
  • Chaque fournisseur de personnel intègre un IdP tiers au pool d'identités des employés.
  • Le pool d'identités des employés que vous créez à l'aide de ces étapes doit être dédié à Google SecOps. Bien que vous puissiez gérer plusieurs pools d'identités de personnel à d'autres fins, le pool d'identités des employés créé pour Google SecOps ne peut pas être partagé.
  • Nous vous recommandons de créer le pool d'identités des employés dans l'organisation Google Cloud qui contient le projet lié à Google SecOps.

Vous gagnez du temps en prédéfinissant des informations sur le pool d'identités des employés et le fournisseur d'identités des employés. Vous utilisez ces informations lors de la configuration de l'application SAML du fournisseur d'identité et de la fédération des identités des employés.

Choisissez les valeurs des identifiants suivants:

  • ID du pool d'employés (WORKFORCE_POOL_ID): sélectionnez une valeur indiquant le champ d'application ou l'objectif du pool d'identités des employés. Cette valeur doit répondre aux exigences suivantes :
    • Doit être unique.
    • N'utilisez que des lettres minuscules [a-z], des chiffres [0-9] et des tirets [-].
    • Doit commencer par un caractère minuscule [a-z].
    • Doit se terminer par une lettre minuscule [a-z] ou un chiffre [0-9].
    • Peut comporter entre 4 et 61 caractères.
  • Nom à afficher du pool d'employés (WORKFORCE_POOL_DISPLAY_NAME): définissez un nom convivial pour le pool d'identités des employés.
  • Description du pool d'employés (WORKFORCE_POOL_DESCRIPTION): définissez une description détaillée du pool d'identités des employés.
  • ID du fournisseur de personnel (WORKFORCE_PROVIDER_ID): choisissez une valeur indiquant le fournisseur d'identité qu'il représente. Cette valeur doit répondre aux exigences suivantes :
    • Ne doit contenir que des lettres minuscules [a-z], des chiffres [0-9] et des tirets [-].
    • Peut comporter entre 4 et 32 caractères.
  • Nom à afficher du fournisseur de personnel (WORKFORCE_PROVIDER_DISPLAY_NAME): définissez un nom convivial pour le fournisseur de personnel. Il doit comporter moins de 32 caractères.
  • Description du fournisseur de personnel (WORKFORCE_PROVIDER_DESCRIPTION): définissez une description détaillée du fournisseur de personnel.

Définir des attributs utilisateur et des groupes dans l'IdP

Avant de créer l'application SAML dans l'IdP, identifiez les attributs utilisateur et les groupes nécessaires pour configurer l'accès aux fonctionnalités de Google Security Operations. Pour en savoir plus, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM et Autorisations Google Security Operations dans IAM.

Vous aurez besoin de ces informations lors des phases suivantes de ce processus:

  • Lors de la configuration de l'application SAML, vous créez les groupes définis lors de la planification. Vous configurez l'application SAML du fournisseur d'identité pour transmettre les appartenances aux groupes dans l'assertion.

  • Lorsque vous créez le fournisseur de personnel, vous mappez les attributs et les groupes d'assertion aux attributs Google Cloud. Ces informations sont envoyées dans la revendication d'assertion en tant qu'identité de l'utilisateur.

  • Lorsque vous configurez le contrôle des accès basé sur les rôles dans Google Security Operations, vous utilisez les attributs utilisateur et les informations de groupe pour configurer l'accès aux fonctionnalités de Google Security Operations.

    Google Security Operations fournit plusieurs rôles prédéfinis, chacun permettant d'accéder à des fonctionnalités spécifiques. Vous pouvez mapper les groupes définis dans l'application SAML du fournisseur d'identité à ces rôles prédéfinis.

Veillez à créer un groupe IdP pour les administrateurs qui configurent les utilisateurs et les groupes autorisés à accéder aux fonctionnalités liées au SOAR. Au cours du processus d'intégration, vous indiquerez le nom de ce groupe afin que les utilisateurs puissent configurer le contrôle des accès aux fonctionnalités liées au SOAR.

Configurer l'IdP

Cette section décrit uniquement la configuration spécifique nécessaire à une application SAML d'IdP pour s'intégrer à la fédération des identités des employés de Google Cloud et à Google Security Operations.

  1. Créez une application SAML dans votre IdP.

  2. Configurez l'application avec l'URL ACS (Assertion Consumer Service) suivante, également appelée "URL d'authentification unique" selon le fournisseur de services.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Remplacez les éléments suivants :

    • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.

    • WORKFORCE_PROVIDER_ID: identifiant que vous avez défini pour le fournisseur de personnel.

      Pour obtenir une description de ces valeurs, consultez Planifier l'implémentation.

  3. Configurez l'application avec l'ID d'entité suivant (également appelé ID d'entité du fournisseur de services).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Remplacez les éléments suivants :

    • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.
    • WORKFORCE_PROVIDER_ID: identifiant que vous avez défini pour le fournisseur de personnel.

  4. Configurez l'identifiant de nom dans votre IdP pour vous assurer que le champ NameID est renvoyé dans la réponse SAML.

    Vous pouvez définir une valeur compatible avec vos règles d'administration (adresse e-mail ou nom d'utilisateur, par exemple). Consultez la documentation de votre IdP pour en savoir plus sur la configuration de cette valeur. Pour en savoir plus sur cette exigence, consultez Résoudre les problèmes liés à la fédération des identités des employés.

  5. Vous pouvez également créer les attributs de groupe dans l'application SAML. Vous les avez définies lorsque vous avez planifié l'implémentation de l'IdP.

  6. Téléchargez le fichier XML des métadonnées de l'application. Dans la section suivante, vous allez importer ce fichier de votre système local vers votre répertoire d'accueil Google Cloud à l'aide de Cloud Shell.

Configurer la fédération d'identité de personnel

Cette section ne décrit que les étapes spécifiques nécessaires pour configurer la fédération des identités des employés avec l'application SAML du fournisseur d'identité que vous avez créée à la section précédente. Pour en savoir plus sur la gestion des pools d'identités des employés, consultez la page Gérer les fournisseurs de pools d'identités des employés.

  1. Ouvrez la console Google Cloud en tant qu'utilisateur disposant des autorisations requises sur le projet lié à Google Security Operations. Vous avez identifié ou créé cet utilisateur précédemment. Consultez la section Avant de commencer.

  2. Lancez une session Cloud Shell.

  3. Définissez le projet Google Cloud facturé et le quota facturé pour les opérations effectuées à l'aide de la gcloud CLI. Utilisez la commande gcloud suivante à titre d'exemple:

    gcloud config set billing/quota_project PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet lié à Google Security Operations que vous avez créé dans la section Configurer un projet Google Cloud pour Google Security Operations. Consultez la section Créer et gérer des projets pour obtenir une description des champs qui identifient un projet.

    Pour en savoir plus sur les quotas, consultez les documents suivants:

    Si vous rencontrez une erreur, consultez la section Erreurs de quota.

Créer et configurer un pool d'identités de personnel

Vous pouvez configurer un pool d'identités de personnel pour l'intégrer à un fournisseur d'identité externe, ou à Google Workspace ou Cloud Identity.

  1. Créer un pool d'identités de personnel

    • Créez un pool d'identités de personnel pour un fournisseur d'identité tiers:

      Utilisez la commande gcloud suivante comme exemple:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Remplacez les éléments suivants :

      • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.
      • ORGANIZATION_ID: ID numérique de l'organisation.
      • WORKFORCE_POOL_DESCRIPTION: spécifiez une description du pool d'identités des employés.
      • WORKFORCE_POOL_DISPLAY_NAME: spécifiez un nom convivial pour le pool d'identités des employés.

      Pour effectuer cette configuration à l'aide de la console Google Cloud, consultez la section Créer un pool.

      Si la commande aboutit, passez à l'étape suivante. Si la commande échoue, déterminez si les scénarios suivants s'appliquent à votre environnement:

      • Vous souhaitez utiliser Google Workspace ou Cloud Identity pour vous connecter à Google SecOps
      • Le message d'erreur suivant s'affiche : "La fédération des identités des employés n'est pas encore disponible pour votre organisation. Contactez un représentant Google Cloud".

      Si ces scénarios s'appliquent, ajoutez les options --allowed-services domain=backstory.chronicle.security et --disable-programmatic-signin à la commande:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Cette commande crée un pool d'employés qui ne peut pas être utilisé pour se connecter à Google Cloud, mais vous devez utiliser ces options pour résoudre ces scénarios.

  2. Si la ligne de commande vous invite à activer l'API Chronicle, saisissez Yes.

Créer un fournisseur d'identité pour les employés

  1. Importez le fichier de métadonnées de l'application SAML dans votre répertoire d'accueil Cloud Shell en cliquant sur Plus >. Les fichiers ne peuvent être importés que dans votre répertoire d'accueil. Pour découvrir d'autres options de transfert de fichiers entre Cloud Shell et votre poste de travail local, consultez la page Importer et télécharger des fichiers et des dossiers depuis Cloud Shell.

  2. Notez le chemin d'accès au répertoire dans lequel vous avez importé le fichier XML de métadonnées de l'application SAML dans Cloud Shell. Vous en aurez besoin à l'étape suivante.

  3. Créez un fournisseur de pool d'identités des employés et spécifiez les détails de l'IdP.

    Utilisez la commande gcloud suivante comme exemple:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Pour en savoir plus sur ces valeurs, consultez Planifier l'implémentation.

    Remplacez les éléments suivants :

    • WORKFORCE_PROVIDER_ID: valeur que vous avez définie pour l'ID du fournisseur de personnel.
    • WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités des employés.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: nom convivial du fournisseur de personnel. Il doit comporter moins de 32 caractères.
    • WORKFORCE_PROVIDER_DESCRIPTION: description du fournisseur de personnel.
    • PATH_TO_METADATA_XML: emplacement du répertoire Cloud Shell du fichier XML de métadonnées d'application que vous avez importé à l'aide de Cloud Shell, par exemple: /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: définition du mappage des attributs d'assertion avec les attributs Google Cloud. Common Expression Language est utilisé pour interpréter ces correspondances. Exemple :

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      L'exemple précédent mappe les attributs suivants:

      • assertion.subject à google.subject. Il s'agit d'une condition minimale.
      • assertion.attributes.name[0] à google.display_name.
      • assertion.attributes.groups à l'attribut google.groups.

      Si vous effectuez cette configuration pour Google Security Operations, qui inclut Google Security Operations SIEM et Google Security Operations SOAR, vous devez également mapper les attributs suivants requis par le SOAR Google Security Operations:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      En savoir plus sur le provisionnement et le mappage des utilisateurs pour le SOAR Google Security Operations

      Par défaut, Google Security Operations lit les informations de groupe à partir des noms d'attributs d'assertion non sensibles à la casse suivants: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ et _assertion.attributes.memberOf_.

      Lorsque vous configurez l'application SAML pour qu'elle transmette les informations d'appartenance à un groupe dans l'assertion, définissez le nom de l'attribut de groupe sur _group_, _idpGroup_ ou _memberOf_.

      Dans l'exemple de commande, vous pouvez remplacer assertion.attributes.groups par assertion.attributes.idpGroup ou assertion.attributes.memberOf, qui représente le nom de l'attribut de groupe que vous avez configuré dans l'application SAML du fournisseur d'identité et qui contient les informations d'appartenance à un groupe dans l'assertion.

      L'exemple suivant mappe plusieurs groupes à l'attribut google.groups:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      L'exemple suivant mappe le groupe http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group contenant des caractères spéciaux à google.groups:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Pour en savoir plus sur le mappage d'attributs, consultez la section Mappages d'attributs.

      Pour effectuer cette configuration à l'aide de la console Google Cloud, consultez Créer un fournisseur SAML.

Accorder un rôle pour activer la connexion à Google Security Operations

Les étapes suivantes décrivent comment attribuer un rôle spécifique à l'aide d'IAM afin que les utilisateurs puissent se connecter à Google Security Operations. Effectuez la configuration à l'aide du projet Google Cloud lié à Google Security Operations que vous avez créé précédemment.

Cet exemple utilise la commande gcloud. Pour utiliser la console Google Cloud, consultez la page Accorder un seul rôle.

  1. Accordez le rôle Lecteur de l'API Chronicle (roles/chronicle.viewer) aux utilisateurs ou aux groupes qui doivent avoir accès à l'application Google Security Operations.

    L'exemple suivant attribue le rôle Lecteur de l'API Chronicle aux identités gérées à l'aide du pool d'identités d'employé et du fournisseur d'employés que vous avez créés précédemment.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Remplacez les éléments suivants :

    Pour attribuer le rôle de lecteur de l'API Chronicle à un groupe spécifique, exécutez la commande suivante:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Remplacer GROUP_ID: un groupe figurant dans la revendication google.groups mappée.

  2. Configurez des stratégies IAM supplémentaires pour répondre aux exigences de votre organisation.

Vérifier ou configurer le contrôle des accès aux fonctionnalités Google Security Operations

Si vous avez configuré la fédération des identités des employés avec des attributs ou des groupes mappés à l'attribut google.groups, ces informations sont transmises à Google Security Operations afin que vous puissiez configurer le contrôle des accès basé sur les rôles (RBAC) pour les fonctionnalités Google Security Operations.

Si l'instance Google Security Operations dispose d'une configuration RBAC existante, vérifiez que la configuration d'origine fonctionne comme prévu.

Si vous n'avez pas encore configuré le contrôle des accès, consultez la page Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM pour en savoir plus sur le contrôle des accès aux fonctionnalités.

Modifier la configuration de la fédération des identités des employés

Si vous devez mettre à jour le pool d'identités des employés ou le fournisseur de pools d'identités des employés, consultez la section Gérer les fournisseurs de pools d'identités des employés pour en savoir plus sur la mise à jour de la configuration.

La section Gestion des clés de la page Créer un fournisseur de pool d'employés SAML explique comment mettre à jour les clés de signature IdP, puis comment mettre à jour la configuration du fournisseur d'employés avec le dernier fichier XML de métadonnées d'application.

Voici un exemple de commande gcloud qui met à jour la configuration du fournisseur de personnel:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Remplacez les éléments suivants :

  • WORKFORCE_PROVIDER_ID: valeur que vous avez définie pour l'ID du fournisseur de personnel.
  • WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités des employés.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: nom convivial du fournisseur de personnel. La valeur doit comporter moins de 32 caractères.
  • WORKFORCE_PROVIDER_DESCRIPTION: description du fournisseur de personnel.
  • PATH_TO_METADATA_XML : emplacement du fichier XML de métadonnées d'application mis à jour, par exemple /path/to/sso_metadata_updated.xml.

  • ATTRIBUTE_MAPPINGS: attributs d'assertion mappés avec des attributs Google Cloud. Exemple :

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Pour vous assurer que Google SecOps RBAC continue de fonctionner comme prévu, mappez également l'attribut google.groups à tous les groupes utilisés pour définir des rôles dans Google SecOps.

Résoudre les problèmes de configuration

Si vous rencontrez des erreurs au cours de ce processus, consultez la page Résoudre les problèmes de fédération des identités des employés pour résoudre les problèmes courants. La section suivante fournit des informations sur les problèmes courants rencontrés lors de l'exécution des étapes décrites dans ce document.

Si le problème persiste, contactez votre représentant Google SecOps et fournissez-lui votre fichier journaux réseau Chrome.

Erreur command not found lors de la création d'un fournisseur de pool d'identités des employés

Lorsque vous créez un fournisseur de pools d'identités des employés et que vous spécifiez les détails du fournisseur d'identité, l'erreur suivante s'affiche:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Vérifiez que PATH_TO_METADATA_XML est l'emplacement où vous avez importé le fichier XML de métadonnées de l'application SAML dans votre répertoire d'accueil Cloud Shell.

The caller does not have permission erreur

Lorsque vous exécutez la commande gcloud projects add-iam-policy-binding pour attribuer des rôles à des utilisateurs ou à des groupes, vous obtenez l'erreur suivante:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Vérifiez que vous disposez des autorisations requises. Pour en savoir plus, consultez la section Rôles requis.

Étapes suivantes

Après avoir effectué les étapes décrites dans ce document, procédez comme suit: