Externen Identitätsanbieter konfigurieren

Unterstützt in:

Sie können Cloud Identity, Google Workspace oder einen Identitätsanbieter eines Drittanbieters (z. B. Okta oder Azure AD) verwenden, um Nutzer, Gruppen und die Authentifizierung zu verwalten.

Auf dieser Seite wird beschrieben, wie Sie einen Identitätsanbieter von Drittanbietern verwenden, indem Sie die Mitarbeiteridentitätsföderation konfigurieren. Informationen zur Verwendung von Cloud Identity oder Google Workspace finden Sie unter Google Cloud-Identitätsanbieter konfigurieren.

Mit der Workforce Identity-Föderation von Google können Sie lokalen oder Multi-Cloud-Arbeitslasten Zugriff auf Google Cloud-Ressourcen gewähren, ohne dass Sie einen Dienstkontoschlüssel verwenden müssen. Sie können die Workforce Identity-Föderation mit jedem Drittanbieter-Identitätsanbieter (IdP) verwenden, der OpenID Connect (OIDC) unterstützt, z. B. Microsoft Azure, Okta oder SAML 2.0.

Google Security Operations erfordert die Verwendung der Workforce Identity-Föderation von Google als SSO-Broker für Folgendes:

  • Kunden mit FedRAMP High- oder höheren Compliance-Anforderungen
  • Kunden, die auf Steuerelemente auf Unternehmensebene in Google Security Operations zugreifen, die von Google Cloud aktiviert sind, einschließlich der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) für Daten und Funktionen mit Identity and Access Management (IAM).
  • Kunden, die die Self-Service-Anmeldedatenverwaltung für den programmatischen Zugriff auf die Chronicle API verwenden.

Google Security Operations unterstützt die vom Dienstanbieter initiierte SAML-SSO für Nutzer. Mit dieser Funktion können Nutzer direkt zu Google Security Operations wechseln. Google Security Operations sendet über Google Cloud Identity and Access Management (IAM) eine Anfrage an den externen Identitätsanbieter (IdP) über die Identitätsföderierung für Mitarbeiter.

Nachdem der IdP die Nutzeridentität authentifiziert hat, wird der Nutzer mit einer Authentifizierungsbestätigung an Google Security Operations zurückgeleitet. Die Workforce Identity-Föderation von Google Cloud fungiert als Vermittler im Authentifizierungsablauf.

Kommunikation zwischen Google Security Operations, der Google Cloud IAM-Mitarbeiteridentitätsföderation und dem IdP

Kommunikation zwischen Google Security Operations, der IAM-Mitarbeiteridentitätsföderation und dem IdP

Die Kommunikation läuft ungefähr so ab:

  1. Der Nutzer ruft Google Security Operations auf.
  2. Google Security Operations ruft IdP-Informationen im Google Cloud-Identity Pool für Mitarbeiter ab.
  3. Eine Anfrage wird an den Identitätsanbieter gesendet.
  4. Die SAML-Assertion wird an den Google Cloud-Workforce Identity-Pool gesendet.
  5. Wenn die Authentifizierung erfolgreich ist, erhält Google Security Operations nur die SAML-Attribute, die Sie beim Konfigurieren des Workforce-Anbieters im Workforce Identity-Pool definiert haben.

Google Security Operations-Administratoren erstellen Gruppen in ihrem Identitätsanbieter, konfigurieren die SAML-Anwendung so, dass Informationen zur Gruppenzugehörigkeit in der Assertion übergeben werden, und weisen Nutzer und Gruppen dann vordefinierten Rollen in IAM oder benutzerdefinierten Rollen zu, die sie erstellt haben.

Die vom IdP initiierte Anmeldung (Anmeldung über das IdP-Dashboard) wird nicht unterstützt. Wenden Sie sich an Ihren Google Security Operations-Ansprechpartner, um diese Funktion anzufordern, wenn Ihre Organisation sie benötigt.

In diesem Dokument werden die allgemeinen Schritte zum Einrichten der Authentifizierung über einen Identitätsanbieter (IdP) eines Drittanbieters mithilfe der Workforce Identity Federation von Google Cloud beschrieben. Nachdem Sie die Schritte in diesem Dokument ausgeführt haben, können Sie über Ihren externen Identitätsanbieter auf Google Security Operations zugreifen und den Zugriff auf Google Security Operations mit SAML-SSO über Workforce Identity Federation verwalten.

Hinweise

In den folgenden Schritten wird beschrieben, wie Sie die Konfiguration mit gcloud-Befehlen ausführen. Wenn ein Schritt in der Google Cloud Console ausgeführt werden kann, wird ein Link zur zugehörigen IAM-Dokumentation bereitgestellt.

Implementierung planen

Im folgenden Abschnitt werden die Entscheidungen beschrieben, die Sie treffen müssen, und die Informationen, die Sie definieren müssen, bevor Sie die Schritte in diesem Dokument ausführen.

Workforce Identity-Pool und Workforce-Anbieter definieren

Dabei konfigurieren Sie die Google Cloud-Mitarbeiteridentitätsföderation als Vermittler im Authentifizierungsablauf. Dazu erstellen Sie die folgenden Google Cloud-Ressourcen:

  • Personalpool: Mit einem Workforce Identity-Pool können Sie Ihren Mitarbeitern (z.B. Angestellten) Zugriff auf Google Security Operations gewähren.
  • Workforce-Anbieter: Ein Workforce-Anbieter ist eine untergeordnete Ressource des Workforce Identity-Pools. Hier werden Details zu einem einzelnen Identitätsanbieter gespeichert.

Die Beziehung zwischen einem Workforce Identity-Pool, Workforce-Anbietern und einer Google Security Operations-Instanz, die durch eine einzelne Kundensubdomain identifiziert wird, ist folgende:

  • Ein Workforce Identity-Pool wird auf Organisationsebene definiert.
  • Für jede Google Security Operations-Instanz ist ein Mitarbeiteridentitätspool konfiguriert und zugeordnet.
  • Ein Workforce Identity-Pool kann mehrere Workforce-Anbieter haben.
  • Jeder Anbieter von Workforce Identity integriert einen Drittanbieter-IdP in den Workforce Identity-Pool.
  • Der Workforce Identity-Pool, den Sie mit diesen Schritten erstellen, muss für Google SecOps reserviert sein. Sie können zwar mehrere Mitarbeiteridentitätspools für andere Zwecke verwalten, der für Google SecOps erstellte Mitarbeiteridentitätspool kann jedoch nicht freigegeben werden.
  • Wir empfehlen, den Mitarbeiteridentitätspool in derselben Google Cloud-Organisation zu erstellen, die das an Google SecOps gebundene Projekt enthält.

Sie sparen Zeit, wenn Sie Informationen zum Mitarbeiteridentitätspool und zum Mitarbeiteranbieter vorab definieren. Sie verwenden diese Informationen, um sowohl die SAML-Anwendung des Identitätsanbieters als auch die Workforce Identity Federation zu konfigurieren.

Wählen Sie die Werte für die folgenden IDs aus:

  • Workforce-Pool-ID (WORKFORCE_POOL_ID): Wählen Sie einen Wert aus, der den Umfang oder Zweck des Workforce Identity-Pools angibt. Der Wert muss die folgenden Anforderungen erfüllen:
    • Er muss global eindeutig sein.
    • Es dürfen nur Kleinbuchstaben [a–z], Ziffern [0–9] und Bindestriche [-] verwendet werden.
    • Muss mit einem Kleinbuchstaben [a–z] beginnen.
    • Muss mit einem Kleinbuchstaben [a–z] oder einer Ziffer [0–9] enden.
    • Kann 4 bis 61 Zeichen lang sein.
  • Anzeigename des Personalpools (WORKFORCE_POOL_DISPLAY_NAME): Geben Sie einen nutzerfreundlichen Namen für den Mitarbeiteridentitätspool an.
  • Beschreibung des Workforce-Pools (WORKFORCE_POOL_DESCRIPTION): Hier können Sie eine detaillierte Beschreibung des Workforce Identity-Pools angeben.
  • ID des Mitarbeiteranbieters (WORKFORCE_PROVIDER_ID): Wählen Sie einen Wert aus, der den entsprechenden IdP angibt. Der Wert muss die folgenden Anforderungen erfüllen:
    • Es dürfen nur Kleinbuchstaben [a–z], Ziffern [0–9] und Bindestriche [-] verwendet werden.
    • Sie kann 4 bis 32 Zeichen lang sein.
  • Anzeigename des Workforce-Anbieters (WORKFORCE_PROVIDER_DISPLAY_NAME): Legen Sie einen nutzerfreundlichen Namen für den Workforce-Anbieter fest. Er darf maximal 32 Zeichen lang sein.
  • Beschreibung des Workforce-Anbieters (WORKFORCE_PROVIDER_DESCRIPTION): Geben Sie eine detaillierte Beschreibung des Workforce-Anbieters an.

Nutzerattribute und Gruppen im Identitätsanbieter definieren

Bevor Sie die SAML-Anwendung im IdP erstellen, müssen Sie ermitteln, welche Nutzerattribute und Gruppen für die Konfiguration des Zugriffs auf Funktionen in Google Security Operations erforderlich sind. Weitere Informationen finden Sie unter Zugriffssteuerung für Funktionen mit IAM konfigurieren und Berechtigungen für Google Security Operations in IAM.

Sie benötigen diese Informationen in den folgenden Phasen dieses Prozesses:

  • Wenn Sie die SAML-Anwendung konfigurieren, erstellen Sie die während der Planung definierten Gruppen. Sie konfigurieren die SAML-Anwendung des IdP so, dass Gruppenmitgliedschaften in der Assertion übergeben werden.

  • Wenn Sie den Workforce-Anbieter erstellen, ordnen Sie Assertion-Attribute und ‑Gruppen Google Cloud-Attributen zu. Diese Informationen werden im Anspruch auf Bestätigung als Teil der Identität eines Nutzers gesendet.

  • Wenn Sie die rollenbasierte Zugriffssteuerung in Google Security Operations einrichten, verwenden Sie die Nutzerattribute und Gruppeninformationen, um den Zugriff auf die Funktionen von Google Security Operations zu konfigurieren.

    Google Security Operations bietet mehrere vordefinierte Rollen, die jeweils Zugriff auf bestimmte Funktionen gewähren. Sie können Gruppen, die in der SAML-Anwendung des IdP definiert sind, diesen vordefinierten Rollen zuordnen.

Erstellen Sie eine IdP-Gruppe für Administratoren, die festlegen, welche Nutzer und Gruppen auf SOAR-bezogene Funktionen zugreifen können. Während des Onboardings geben Sie diesen Gruppennamen an, damit Nutzer in dieser Gruppe die Zugriffssteuerung für SOAR-bezogene Funktionen einrichten können.

IdP konfigurieren

In diesem Abschnitt wird nur die spezifische Konfiguration beschrieben, die in einer SAML-Anwendung des Identitätsanbieters für die Einbindung in die Workforce Identity-Föderation von Google Cloud und Google Security Operations erforderlich ist.

  1. Erstellen Sie eine neue SAML-Anwendung in Ihrem IdP.

  2. Konfigurieren Sie die Anwendung mit der folgenden ACS-URL (Assertion Consumer Service), die je nach Dienstanbieter auch als SSO-URL (Single Sign-On) bezeichnet wird.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: die von Ihnen für den Workforce Identity-Pool definierte Kennung.

    • WORKFORCE_PROVIDER_ID: die Kennung, die Sie für den Anbieter des Mitarbeiterpools festgelegt haben.

      Eine Beschreibung dieser Werte finden Sie unter Implementierung planen.

  3. Konfigurieren Sie die Anwendung mit der folgenden Entitäts-ID (auch als SP-Entitäts-ID bezeichnet).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: die von Ihnen für den Workforce Identity-Pool definierte Kennung.
    • WORKFORCE_PROVIDER_ID: die von Ihnen für den Anbieter des Mitarbeiteridentitätspools definierte Kennung.

  4. Konfigurieren Sie die Name-ID in Ihrem IdP so, dass das Feld NameID in der SAML-Antwort zurückgegeben wird.

    Sie können einen Wert festlegen, der den Richtlinien Ihrer Organisation entspricht, z. B. eine E-Mail-Adresse oder einen Nutzernamen. Informationen zur Konfiguration dieses Werts finden Sie in der Dokumentation Ihres Identitätsanbieters. Weitere Informationen zu dieser Anforderung finden Sie unter Fehlerbehebung bei der Workforce Identity-Föderation.

  5. Optional können Sie die Gruppenattribute in der SAML-Anwendung erstellen. Sie haben diese beim Planen der IdP-Implementierung definiert.

  6. Laden Sie die XML-Datei mit den App-Metadaten herunter. Im nächsten Abschnitt laden Sie diese Datei mit Cloud Shell von Ihrem lokalen System in Ihr Google Cloud-Basisverzeichnis hoch.

Workforce Identity-Föderation konfigurieren

In diesem Abschnitt werden nur die spezifischen Schritte beschrieben, die zum Konfigurieren der Workforce Identity-Föderation mit der IdP-SAML-Anwendung erforderlich sind, die Sie im vorherigen Abschnitt erstellt haben. Weitere Informationen zum Verwalten von Mitarbeiteridentitätspools finden Sie unter Workforce Identity-Pool-Anbieter verwalten.

  1. Öffnen Sie die Google Cloud Console als Nutzer mit den erforderlichen Berechtigungen für das mit Google Security Operations verknüpfte Projekt. Sie haben diesen Nutzer bereits identifiziert oder erstellt. Weitere Informationen finden Sie im Abschnitt Vorbereitung.

  2. Starten Sie eine Cloud Shell-Sitzung.

  3. Legen Sie das Google Cloud-Projekt fest, das für die über die gcloud CLI ausgeführten Vorgänge in Rechnung gestellt und mit einem Kontingent belastet wird. Verwenden Sie als Beispiel den folgenden gcloud-Befehl:

    gcloud config set billing/quota_project PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Google Security Operations-gebundenen Projekts, das Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren erstellt haben. Eine Beschreibung der Felder, die ein Projekt identifizieren, finden Sie unter Projekte erstellen und verwalten.

    Informationen zu Kontingenten finden Sie in den folgenden Dokumenten:

    Wenn ein Fehler auftritt, lesen Sie den Hilfeartikel Kontingentfehler.

Workforce Identity-Pool erstellen und konfigurieren

Sie können einen Personalpool so konfigurieren, dass er mit einem externen Identitätsanbieter (Identity Provider, IdP) oder mit Google Workspace oder Cloud Identity verbunden wird.

  1. Erstellen Sie einen Workforce Identity-Pool.

    • So erstellen Sie einen Workforce Identity-Pool für einen externen Identitätsanbieter:

      Verwenden Sie als Beispiel den folgenden gcloud-Befehl:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Ersetzen Sie Folgendes:

      • WORKFORCE_POOL_ID: die von Ihnen für den Workforce Identity-Pool definierte Kennung.
      • ORGANIZATION_ID: die numerische Organisations-ID.
      • WORKFORCE_POOL_DESCRIPTION: Geben Sie eine Beschreibung des Workforce Identity-Pools an.
      • WORKFORCE_POOL_DISPLAY_NAME: Geben Sie einen nutzerfreundlichen Namen für den Workforce Identity-Pool an.

      Eine Anleitung dazu, wie Sie diese Konfiguration mit der Google Cloud Console vornehmen, finden Sie unter Pool erstellen.

      Wenn Sie sich mit Google Workspace oder Cloud Identity in Google SecOps anmelden möchten, fügen Sie dem Befehl die Flags --allowed-services domain=backstory.chronicle.security und --disable-programmatic-signin hinzu:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Mit diesem Befehl wird ein Workforce-Pool erstellt, mit dem sich nicht in Google Cloud anmelden lässt. Sie müssen diese Flags jedoch verwenden, um diese Szenarien zu behandeln.

  2. Wenn Sie in der Befehlszeile aufgefordert werden, die Chronicle API zu aktivieren, geben Sie Yes ein.

Workforce Identity-Anbieter erstellen

  1. Laden Sie die SAML-Anwendungsmetadatendatei in Ihr Cloud Shell-Basisverzeichnis hoch. Klicken Sie dazu auf Mehr >. Dateien können nur in Ihr Basisverzeichnis hochgeladen werden. Weitere Optionen zum Übertragen von Dateien zwischen Cloud Shell und Ihrer lokalen Workstation finden Sie unter Dateien und Ordner aus Cloud Shell hoch- und herunterladen.

  2. Notieren Sie sich den Verzeichnispfad, in das Sie die XML-Datei mit den Metadaten der SAML-Anwendung in Cloud Shell hochgeladen haben. Sie benötigen diesen Pfad im nächsten Schritt.

  3. Erstellen Sie einen Anbieter von Mitarbeiteridentitätspools und geben Sie die IdP-Details an.

    Verwenden Sie als Beispiel den folgenden gcloud-Befehl:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Weitere Informationen zu diesen Werten finden Sie unter Implementierung planen.

    Ersetzen Sie Folgendes:

    • WORKFORCE_PROVIDER_ID: Der Wert, den Sie für die ID des Mitarbeiter-Anbieters festgelegt haben.
    • WORKFORCE_POOL_ID: der Wert, den Sie für die ID des Mitarbeiteridentitätspools festgelegt haben.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: ein nutzerfreundlicher Name für den Anbieter von Mitarbeitern. Er darf maximal 32 Zeichen lang sein.
    • WORKFORCE_PROVIDER_DESCRIPTION: eine Beschreibung des Mitarbeiter-Anbieters.
    • PATH_TO_METADATA_XML: der Cloud Shell-Verzeichnisspeicherort der XML-Datei mit Anwendungsmetadaten, die Sie mit Cloud Shell hochgeladen haben, z. B. /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: Definition der Zuordnung von Assertion-Attributen zu Google Cloud-Attributen. Diese Zuordnungen werden in Common Expression Language interpretiert. Beispiel:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      Im vorherigen Beispiel werden die folgenden Attribute zugeordnet:

      • assertion.subject zu google.subject. Dies ist eine Mindestanforderung.
      • assertion.attributes.name[0] zu google.display_name.
      • assertion.attributes.groups in das Attribut google.groups.

      Wenn Sie diese Konfiguration für Google Security Operations ausführen, einschließlich Google Security Operations SIEM und Google Security Operations SOAR, müssen Sie auch die folgenden Attribute zuordnen, die für Google Security Operations SOAR erforderlich sind:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Weitere Informationen zum Bereitstellen und Zuordnen von Nutzern für Google Security Operations SOAR

      Standardmäßig liest Google Security Operations Gruppeninformationen aus den folgenden Namen von Behauptungsattributen, bei denen die Groß- und Kleinschreibung nicht beachtet wird: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ und _assertion.attributes.memberOf_.

      Wenn Sie die SAML-Anwendung so konfigurieren, dass Informationen zur Gruppenmitgliedschaft in der Assertion übergeben werden, legen Sie den Namen des Gruppenattributs auf _group_, _idpGroup_ oder _memberOf_ fest.

      Im Beispielbefehl können Sie assertion.attributes.groups durch assertion.attributes.idpGroup oder assertion.attributes.memberOf ersetzen. Dies ist der Name des Gruppenattributs, das Sie in der SAML-Anwendung des IdP konfiguriert haben und das Informationen zur Gruppenmitgliedschaft in der Assertion enthält.

      Im folgenden Beispiel werden dem Attribut google.groups mehrere Gruppen zugeordnet:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      Im folgenden Beispiel wird die Gruppe http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group mit Sonderzeichen google.groups zugeordnet:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Weitere Informationen zum Zuordnen von Attributen finden Sie unter Attributzuordnungen.

      Eine Anleitung dazu, wie Sie diese Konfiguration mit der Google Cloud Console ausführen, finden Sie unter SAML-Anbieter erstellen.

Rolle gewähren, um die Anmeldung in Google Security Operations zu ermöglichen

In den folgenden Schritten wird beschrieben, wie Sie mithilfe von IAM eine bestimmte Rolle gewähren, damit sich Nutzer in Google Security Operations anmelden können. Führen Sie die Konfiguration mit dem zuvor erstellten Google Cloud-Projekt aus, das mit Google Security Operations verknüpft ist.

In diesem Beispiel wird der Befehl gcloud verwendet. Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.

  1. Weisen Sie Nutzern oder Gruppen die Rolle Chronicle API-Betrachter (roles/chronicle.viewer) zu, die Zugriff auf die Google Security Operations-Anwendung haben sollen.

    Im folgenden Beispiel wird die Rolle „Chronicle API Viewer“ Identitäten zugewiesen, die mit dem zuvor erstellten Personalidentitätspool und dem Personalanbieter verwaltet werden.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Ersetzen Sie Folgendes:

    Führen Sie den folgenden Befehl aus, um einer bestimmten Gruppe die Rolle „Chronicle API Viewer“ zu gewähren:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Ersetzen Sie GROUP_ID durch eine Gruppe im zugeordneten google.groups-Anspruch.

  2. Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Anforderungen Ihrer Organisation zu erfüllen.

Zugriffssteuerung für Google Security Operations-Funktionen prüfen oder konfigurieren

Wenn Sie die Workforce Identity-Föderation mit Attributen oder Gruppen konfiguriert haben, die dem Attribut google.groups zugeordnet sind, werden diese Informationen an Google Security Operations übergeben, damit Sie die rollenbasierte Zugriffssteuerung (RBAC) für Google Security Operations-Funktionen konfigurieren können.

Wenn für die Google Security Operations-Instanz bereits eine RBAC-Konfiguration vorhanden ist, prüfen Sie, ob die ursprüngliche Konfiguration wie erwartet funktioniert.

Wenn Sie die Zugriffssteuerung noch nicht konfiguriert haben, finden Sie unter Zugriffssteuerung für Funktionen mit IAM konfigurieren Informationen dazu, wie Sie den Zugriff auf Funktionen steuern.

Konfiguration der Mitarbeiteridentitätsföderation ändern

Wenn Sie den Workforce Identity-Pool oder den Workforce-Anbieter aktualisieren müssen, finden Sie unter Workforce Identity-Pool-Anbieter verwalten Informationen zum Aktualisieren der Konfiguration.

Im Abschnitt Schlüsselverwaltung des Artikels SAML-Anbieter für Mitarbeiteridentitätspools erstellen wird beschrieben, wie Sie IdP-Signaturschlüssel aktualisieren und dann die Konfiguration des Anbieters für Mitarbeiteridentitätspools mit der neuesten XML-Datei der Anwendungsmetadaten aktualisieren.

Im Folgenden finden Sie ein Beispiel für einen gcloud-Befehl, mit dem die Konfiguration des Personaldienstleisters aktualisiert wird:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Ersetzen Sie Folgendes:

  • WORKFORCE_PROVIDER_ID: Der Wert, den Sie für die ID des Mitarbeiter-Anbieters festgelegt haben.
  • WORKFORCE_POOL_ID: der Wert, den Sie für die ID des Mitarbeiteridentitätspools festgelegt haben.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: ein nutzerfreundlicher Name für den Anbieter von Mitarbeitern. Der Wert darf maximal 32 Zeichen lang sein.
  • WORKFORCE_PROVIDER_DESCRIPTION: die Beschreibung des Mitarbeiter-Anbieters.
  • PATH_TO_METADATA_XML: der Speicherort der aktualisierten XML-Datei mit Anwendungsmetadaten, z. B. /path/to/sso_metadata_updated.xml.

  • ATTRIBUTE_MAPPINGS: die zugeordneten Assertion-Attribute zu Google Cloud-Attributen. Beispiel:

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Damit die RBAC-Funktion in Google SecOps weiterhin wie erwartet funktioniert, müssen Sie das Attribut google.groups auch allen Gruppen zuordnen, mit denen Rollen in Google SecOps definiert werden.

Probleme mit der Konfiguration beheben

Wenn bei diesem Vorgang Fehler auftreten, lesen Sie den Hilfeartikel Fehlerbehebung bei der Mitarbeiteridentitätsföderation, um häufige Probleme zu beheben. Im folgenden Abschnitt finden Sie Informationen zu häufigen Problemen, die beim Ausführen der Schritte in diesem Dokument auftreten können.

Sollten weiterhin Probleme auftreten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner und senden Sie ihm die Chrome-Netzwerkprotokolldatei.

command not found-Fehler beim Erstellen eines Workforce Identity-Anbieters

Wenn Sie einen Anbieter von Mitarbeiteridentitätspools erstellen und die IdP-Details angeben, erhalten Sie den folgenden Fehler:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Prüfen Sie, ob PATH_TO_METADATA_XML der Speicherort ist, an dem Sie die XML-Datei mit den SAML-Anwendungsmetadaten in Ihr Cloud Shell-Basisverzeichnis hochgeladen haben.

The caller does not have permission Fehler

Wenn Sie den Befehl gcloud projects add-iam-policy-binding ausführen, um Nutzern oder Gruppen Rollen zuzuweisen, erhalten Sie die folgende Fehlermeldung:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Prüfen Sie, ob Sie die erforderlichen Berechtigungen haben. Weitere Informationen finden Sie unter Erforderliche Rollen.

Nächste Schritte

Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus: