Configura un provider di identità di terze parti

Supportato in:

Puoi utilizzare Cloud Identity, Google Workspace o un provider di identità di terze parti (ad esempio Okta o Azure AD) per gestire utenti, gruppi e autenticazione.

In questa pagina viene descritto come utilizzare un provider di identità di terze parti configurando la federazione delle identità per la forza lavoro. Per informazioni sull'utilizzo di Cloud Identity o Google Workspace, consulta Configurare un provider di identità Google Cloud.

La federazione delle identità per la forza lavoro di Google concedere ai carichi di lavoro on-premise o multi-cloud l'accesso a Google Cloud senza dover usare una chiave dell'account di servizio. Puoi utilizzare la federazione delle identità della forza lavoro con qualsiasi provider di identità (IdP) di terze parti che supporta OpenID Connect (OIDC), tra cui Microsoft Azure, Okta o SAML 2.0.

Google Security Operations richiede l'utilizzo della federazione delle identità della forza lavoro di Google come broker SSO per quanto segue:

  • Clienti con requisiti di conformità FedRAMP High (o superiore).
  • Clienti che accedono a qualsiasi controllo a livello di azienda in Google Security Operations abilitato da Google Cloud, incluso il controllo dell'accesso basato su ruoli (RBAC) per dati e funzionalità utilizzando Identity and Access Management (IAM).
  • Clienti che utilizzano la gestione delle credenziali self-service per l'accesso programmatico all'API Chronicle.

Google Security Operations supporta il servizio SSO basato su SAML avviato dal fornitore di servizi (avviato da SP) per utenti. Con questa funzionalità, gli utenti possono accedere direttamente a Google Security Operations. Google Security Operations invia una richiesta tramite la federazione delle identità della forza lavoro di Google Cloud Identity & Access Management (IAM) al provider di identità (IdP) di terze parti.

Dopo che l'IdP ha autenticato l'identità dell'utente, l'utente viene reindirizzato a Google Security Operations con un'affermazione di autenticazione. La federazione delle identità del personale di Google Cloud funge da intermediario nel flusso di autenticazione.

Comunicazione tra Google Security Operations, identità della forza lavoro IAM di Google Cloud della federazione e dell'IdP

Comunicazione tra Google Security Operations, identità della forza lavoro IAM federazione e IdP

A livello generale, la comunicazione è la seguente:

  1. L'utente accede a Google Security Operations.
  2. Google Security Operations cerca le informazioni dell'IdP nel pool di identità della forza lavoro di Google Cloud.
  3. Viene inviata una richiesta all'IDP.
  4. L'affermazione SAML viene inviata al pool di identità del personale di Google Cloud.
  5. Se l'autenticazione ha esito positivo, Google Security Operations riceve solo il codice SAML definiti durante la configurazione del provider di forza lavoro nel pool di identità della forza lavoro.

Gli amministratori di Google Security Operations creano gruppi nel proprio provider di identità, configurano l'applicazione SAML per passare le informazioni sull'appartenenza al gruppo nell'asserzione, quindi associare utenti e gruppi ai ruoli predefiniti di IAM in Google Security Operations o ai ruoli personalizzati che ha creato.

L'accesso avviato dall'IdP (l'avvio di un accesso dalla dashboard dell'IdP) non è supportato. Se la tua organizzazione ha bisogno di questa funzionalità, contatta il tuo rappresentante Google Security Operations.

Questo documento descrive i passaggi di alto livello per configurare l'autenticazione tramite un provider di identità (IdP) di terze parti utilizzando la federazione delle identità della forza lavoro di Google Cloud. Dopo aver eseguito i passaggi descritti in questo documento, potrai accedere a Google Security Operations utilizzando il tuo IdP di terze parti e gestire l'accesso alle operazioni di sicurezza di Google utilizzando l'accesso SSO basato su SAML tramite la federazione delle identità per la forza lavoro.

Prima di iniziare

I passaggi riportati di seguito descrivono come eseguire la configurazione utilizzando i comandi gcloud. Se un passaggio può essere eseguito nella console Google Cloud, viene fornito un link alla documentazione IAM correlata.

Pianifica l'implementazione

La sezione seguente descrive le decisioni che devi prendere e le informazioni che devi definire prima di eseguire i passaggi descritti in questo documento.

Definisci il pool di identità della forza lavoro e il provider della forza lavoro

Nell'ambito di questa procedura, configurerai la federazione delle identità per la forza lavoro di Google Cloud come intermediario nel flusso di autenticazione. A questo scopo, crea le seguenti risorse Google Cloud:

  • Pool di forza lavoro: un pool di identità della forza lavoro ti consente di concedere alla tua forza lavoro (ad es. dipendenti) l'accesso a Google Security Operations.
  • Provider di forza lavoro: un provider di forza lavoro è una risorsa secondaria del pool di identità per la forza lavoro. Archivia i dettagli di un singolo IdP.

La relazione tra il pool di identità della forza lavoro, i provider della forza lavoro e Google Security Operations identificato da un sottodominio di un singolo cliente, è il seguente:

  • Un pool di identità della forza lavoro è definito a livello di organizzazione.
  • A ogni istanza di Google Security Operations è configurato e associato un pool di identità della forza lavoro.
  • Un pool di identità della forza lavoro può avere più provider di forza lavoro.
  • Ogni fornitore di servizi per la forza lavoro integra un provider di identità di terze parti con il pool di identità per la forza lavoro.
  • Il pool di identità della forza lavoro creato seguendo questi passaggi deve essere dedicato a Google SecOps. Anche se puoi gestire più pool di identità della forza lavoro per altri scopi, il pool di identità della forza lavoro creato per Google SecOps non può essere condiviso.
  • Ti consigliamo di creare il pool di identità della forza lavoro nello stesso Google Cloud che contiene il progetto associato a Google SecOps.

Ti consente di risparmiare tempo se predefinisci informazioni sul tipo pool di identità della forza lavoro e provider della forza lavoro. Queste informazioni vengono utilizzate durante la configurazione sia l'applicazione SAML IdP sia la federazione delle identità della forza lavoro.

Scegli i valori per i seguenti identificatori:

  • ID pool di forza lavoro (WORKFORCE_POOL_ID): seleziona un valore che indichi l'ambito o lo scopo del pool di identità della forza lavoro. Il valore deve soddisfare i seguenti requisiti:
    • Deve essere univoco a livello globale.
    • Deve utilizzare solo lettere minuscole [a-z], cifre [0-9] e trattini [-].
    • Deve iniziare con un carattere minuscolo [a-z].
    • Deve terminare con un carattere minuscolo [a-z] o con una cifra [0-9].
    • Può avere una lunghezza compresa tra 4 e 61 caratteri.
  • Nome visualizzato del pool di forza lavoro (WORKFORCE_POOL_DISPLAY_NAME): definisci un nome semplice. per il pool di identità della forza lavoro.
  • Descrizione del pool di forza lavoro (WORKFORCE_POOL_DESCRIPTION): definisci una descrizione dettagliata descrizione del pool di identità della forza lavoro.
  • ID fornitore della forza lavoro (WORKFORCE_PROVIDER_ID): scegli un valore che indichi l'IdP che rappresenta. Il valore deve soddisfare i seguenti requisiti:
    • Devi utilizzare solo caratteri minuscoli [a-z], cifre [0-9] e trattino [-].
    • Deve avere una lunghezza compresa tra 4 e 32 caratteri.
  • Nome visualizzato del provider di forza lavoro (WORKFORCE_PROVIDER_DISPLAY_NAME): definisci un un nome semplice per il fornitore della forza lavoro. Deve contenere meno di 32 caratteri.
  • Descrizione del provider di forza lavoro (WORKFORCE_PROVIDER_DESCRIPTION): definisci una descrizione descrizione del fornitore della forza lavoro.

Definisci attributi utente e gruppi nell'IdP

Prima di creare l'applicazione SAML nell'IdP, identifica gli attributi utente e gruppi sono necessari per configurare l'accesso alle funzionalità in Google Security Operations. Per ulteriori informazioni, consulta Configurare il controllo dell'accesso alle funzionalità utilizzando IAM. e le autorizzazioni di Google Security Operations in IAM.

Queste informazioni sono necessarie durante le seguenti fasi della procedura:

  • Quando configuri l'applicazione SAML, crei i gruppi definiti durante la pianificazione. Configuri l'applicazione SAML IdP per trasferire le iscrizioni ai gruppi nel l'asserzione.

  • Quando crei il provider della forza lavoro, mappi gli attributi e i gruppi di asserzione agli attributi Google Cloud. Queste informazioni vengono inviate nella rivendicazione dell'affermazione nell'ambito dell'identità di un utente.

  • Quando configuri il controllo dell'accesso basato sui ruoli in Google Security Operations, utilizzi la attributi utente e informazioni sui gruppi per configurare l'accesso alle funzionalità di Google Security Operations.

    Google Security Operations fornisce diversi ruoli predefiniti, ognuno dei quali consente l'accesso a funzionalità specifiche. Puoi mappare i gruppi definiti nell'applicazione SAML dell'IdP a a questi ruoli predefiniti.

Assicurati di creare un gruppo IdP per gli amministratori che configurano gli utenti e i gruppi che possono accedere alle funzionalità relative a SOAR. Durante la procedura di onboarding, dovrai fornire il nome di questo gruppo in modo che gli utenti al suo interno possano configurare il controllo dell'accesso alle funzionalità correlate a SOAR.

Configura l'IdP

Questa sezione descrive solo la configurazione specifica necessaria in un'applicazione SAML IdP per si integrano con la federazione delle identità della forza lavoro di Google Cloud e con Google Security Operations.

  1. Crea una nuova applicazione SAML nel tuo IdP.

  2. Configura l'applicazione con il seguente URL Assertion Consumer Service (ACS), indicato anche come URL Single Sign-On a seconda del fornitore di servizi.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Sostituisci quanto segue:

    • WORKFORCE_POOL_ID: l'identificatore che hai definito per il pool di identità della forza lavoro.

    • WORKFORCE_PROVIDER_ID: l'identificatore che definita per il fornitore della forza lavoro.

      Per una descrizione di questi valori, consulta Pianificare l'implementazione.

  3. Configura l'applicazione con il seguente ID entità (chiamato anche ID entità SP).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Sostituisci quanto segue:

    • WORKFORCE_POOL_ID: l'identificatore che hai definito per il pool di identità della forza lavoro.
    • WORKFORCE_PROVIDER_ID: l'identificatore che hai definito per il fornitore di risorse umane.

  4. Configura l'identificatore del nome nel tuo IdP per assicurarti che il campo NameID sia restituito nella risposta SAML.

    Puoi impostarlo su un valore che supporti i criteri della tua organizzazione, ad esempio l'indirizzo email o il nome utente. Consulta la documentazione dell'IdP per informazioni sulla configurazione di questo valore. Per ulteriori informazioni su questo requisito, consulta Risolvere i problemi relativi alla federazione delle identità della forza lavoro.

  5. Facoltativamente, crea gli attributi del gruppo nell'applicazione SAML. Hai definito questi elementi quando hai pianificato l'implementazione dell'IdP.

  6. Scarica il file XML dei metadati dell'applicazione. Nella sezione successiva, carica questo file dal sistema locale nella home directory di Google Cloud utilizzando Cloud Shell.

Configura la federazione delle identità per la forza lavoro

Questa sezione descrive solo i passaggi specifici necessari per configurare la federazione delle identità del personale con l'applicazione SAML dell'IdP che hai creato nella sezione precedente. Per ulteriori informazioni sulla gestione dei pool di identità della forza lavoro, consulta Gestire i provider di pool di identità della forza lavoro

  1. Apri la console Google Cloud come utente con le autorizzazioni richieste nel progetto associato a Google Security Operations. Hai identificato o creato questo utente in precedenza. Consulta la sezione Prima di iniziare.

  2. Avvia una sessione Cloud Shell.

  3. Imposta il progetto Google Cloud a cui viene addebitata la quota per le operazioni eseguite utilizzando gcloud CLI. Utilizza quanto segue Comando gcloud, ad esempio:

    gcloud config set billing/quota_project PROJECT_ID

    Sostituisci PROJECT_ID con l'ID progetto del collegamento a Google Security Operations creato in Configurare un progetto Google Cloud per Google Security Operations. Consulta Creare e gestire progetti per una descrizione dei campi che identificano un progetto.

    Per informazioni sulle quote, consulta i seguenti documenti:

    Se si verifica un errore, consulta Errori relativi alla quota

Crea e configura un pool di identità della forza lavoro

Puoi configurare un pool di identità della forza lavoro per l'integrazione con un o con Google Workspace o Cloud Identity.

  1. Crea un pool di identità della forza lavoro.

    • Crea un pool di identità per la forza lavoro per un provider di identità di terze parti:

      Usa questo comando gcloud come esempio:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Sostituisci quanto segue:

      • WORKFORCE_POOL_ID: l'identificatore che hai definito per il pool di identità della forza lavoro.
      • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
      • WORKFORCE_POOL_DESCRIPTION: specifica una descrizione del pool di identità della forza lavoro.
      • WORKFORCE_POOL_DISPLAY_NAME: specifica un nome facile da ricordare per il pool di identità della forza lavoro.

      Per eseguire questa configurazione utilizzando la console Google Cloud, consulta Creare un pool.

      Se il comando va a buon fine, vai al passaggio successivo. Se il comando non va a buon fine, valuta se i seguenti scenari si applicano al tuo ambiente:

      • Vuoi utilizzare Google Workspace o Cloud Identity per accedere Google SecOps
      • Viene visualizzato l'errore "Federazione delle identità per la forza lavoro non ancora disponibile per la tua organizzazione, contatta un rappresentante Google Cloud"

      Se si applicano questi scenari, aggiungi i flag --allowed-services domain=backstory.chronicle.security e --disable-programmatic-signin al comando:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Questo comando crea un pool di forza lavoro che non può essere utilizzato per accedere a Google Cloud, ma devi utilizzare questi flag per gestire questi scenari.

  2. Se nella riga di comando ti viene chiesto di abilitare l'API Chronicle, digita Yes.

Crea un provider di identità per la forza lavoro

  1. Carica il file dei metadati dell'applicazione SAML nella home directory di Cloud Shell facendo clic su Altro >. I file possono essere caricati solo nella home directory. Per altre opzioni per trasferire file tra Cloud Shell e la tua workstation locale, vedi Caricare e scaricare file e cartelle da Cloud Shell.

  2. Prendi nota del percorso della directory in cui hai caricato il file XML dei metadati dell'applicazione SAML in Cloud Shell. Ti servirà questo percorso nel passaggio successivo.

  3. Crea un provider del pool di identità per la forza lavoro e specifica i dettagli dell'IdP.

    Usa questo comando gcloud come esempio:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Per ulteriori informazioni su questi valori, consulta Pianificare l'implementazione.

    Sostituisci quanto segue:

    • WORKFORCE_PROVIDER_ID: il valore definito per l'ID provider di forza lavoro.
    • WORKFORCE_POOL_ID: il valore definito per l'ID pool di identità della forza lavoro.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: un nome facile da ricordare per il fornitore di personale. Deve contenere meno di 32 caratteri.
    • WORKFORCE_PROVIDER_DESCRIPTION: una descrizione del fornitore di forza lavoro.
    • PATH_TO_METADATA_XML: la posizione della directory Cloud Shell del file XML dei metadati dell'applicazione che hai caricato utilizzando Cloud Shell, ad esempio: /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: definizione di come mappare gli attributi di asserzione agli attributi Google Cloud. Per interpretare questi mapping viene utilizzato Common Expression Language. Ad esempio:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      L'esempio precedente mappa i seguenti attributi:

      • assertion.subject a google.subject. Si tratta di un requisito minimo.
      • assertion.attributes.name[0] a google.display_name.
      • assertion.attributes.groups all'attributo google.groups.

      Se esegui questa configurazione per Google Security Operations, che include Google Security Operations SIEM e Google Security Operations SOAR, devi anche mappare quanto segue attributi richiesti dal SOAR di Google Security Operations:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Scopri di più sul provisioning e sulla mappatura degli utenti per Google Security Operations SOAR.

      Per impostazione predefinita, Google Security Operations legge le informazioni del gruppo da: nomi degli attributi di asserzione senza distinzione tra maiuscole e minuscole: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ e _assertion.attributes.memberOf_.

      Quando configuri l'applicazione SAML per passare le informazioni sull'iscrizione al gruppo nell'asserzione, imposta il nome dell'attributo di gruppo su _group_, _idpGroup_ o _memberOf_.

      Nel comando di esempio, puoi sostituire assertion.attributes.groups con assertion.attributes.idpGroup o assertion.attributes.memberOf, che rappresenta il nome dell'attributo del gruppo configurato nell'applicazione SAML dell'IDP e che contiene le informazioni sull'appartenenza al gruppo nell'affermazione.

      Il seguente esempio mappa più gruppi all'attributo google.groups:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      L'esempio seguente mappa il gruppo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group contenente caratteri speciali a google.groups:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Per saperne di più sulla mappatura degli attributi, consulta Mappature degli attributi.

      Per eseguire questa configurazione utilizzando la console Google Cloud, consulta Creare un provider SAML.

Concedi un ruolo per consentire l'accesso a Google Security Operations

I passaggi che seguono descrivono come concedere un ruolo specifico utilizzando IAM in modo che gli utenti possano accedere a Google Security Operations. Esegui la configurazione utilizzando il progetto Google Cloud associato a Google Security Operations che hai creato in precedenza.

In questo esempio viene utilizzato il comando gcloud. Per utilizzare la console Google Cloud, consulta Concedere un singolo ruolo.

  1. Concedi il ruolo Chronicle API Viewer (roles/chronicle.viewer) agli utenti o ai gruppi che devono avere accesso all'applicazione Google Security Operations.

    L'esempio seguente concede il ruolo Visualizzatore API Chronicle alle identità gestite utilizzando il pool di identità della forza lavoro e il provider di forza lavoro che hai creato in precedenza.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Sostituisci quanto segue:

    Per concedere il ruolo Visualizzatore API Chronicle a un gruppo specifico, esegui il seguente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Sostituisci GROUP_ID: un gruppo nella rivendicazione google.groups mappata.

  2. Configura criteri IAM aggiuntivi per soddisfare i requisiti della tua organizzazione.

Verificare o configurare il controllo dell'accesso alle funzionalità di Google Security Operations

Se hai configurato la federazione delle identità della forza lavoro con attributi o gruppi mappati all'attributo google.groups, queste informazioni vengono passate a Google Security Operations in modo da poter configurare controllo dell'accesso basato su ruoli (RBAC) alle funzionalità di Google Security Operations.

Se l'istanza Google Security Operations ha già una configurazione RBAC, verifica che la configurazione originale funzioni come previsto.

Se non hai configurato il controllo dell'accesso in precedenza, consulta Configurare il controllo dell'accesso alle funzionalità utilizzando IAM per informazioni su come controllare l'accesso alle funzionalità.

Modificare la configurazione della federazione delle identità per la forza lavoro

Se devi aggiornare il pool di identità della forza lavoro o il provider della forza lavoro, consulta Gestire i provider di pool di identità per la forza lavoro per informazioni su come aggiornare la configurazione.

La sezione Gestione delle chiavi in Creare un provider di pool di personale SAML descrive come aggiornare le chiavi di firma dell'IdP e poi la configurazione del provider di personale con il file XML dei metadati dell'applicazione più recente.

Di seguito è riportato un esempio di comando gcloud che aggiorna la configurazione del provider della forza lavoro:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Sostituisci quanto segue:

  • WORKFORCE_PROVIDER_ID: il valore definito per l'ID provider di forza lavoro.
  • WORKFORCE_POOL_ID: il valore definito per l'ID pool di identità della forza lavoro.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: un nome semplice per il fornitore della forza lavoro. Il valore deve contenere meno di 32 caratteri.
  • WORKFORCE_PROVIDER_DESCRIPTION: la descrizione del fornitore della forza lavoro.
  • PATH_TO_METADATA_XML: posizione del file XML dei metadati dell'applicazione aggiornato, ad esempio: /path/to/sso_metadata_updated.xml.

  • ATTRIBUTE_MAPPINGS: gli attributi dell'affermazione mappati agli attributi Google Cloud. Ad esempio:

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Per assicurarti che Google SecOps RBAC continui a funzionare come previsto, mappa anche la google.groups a tutti i gruppi utilizzati per definire i ruoli in Google SecOps.

Risolvere i problemi relativi alla configurazione

Se riscontri errori durante questa procedura, consulta Risolvere i problemi relativi alla federazione delle identità del personale per risolvere i problemi comuni. La seguente sezione fornisce informazioni sui problemi riscontrati durante l'esecuzione dei passaggi descritti in questo documento.

Se i problemi persistono, contatta il tuo rappresentante di Google SecOps e fornisci il file dei log di rete di Chrome.

command not found errore durante la creazione di un provider di pool di identità per la forza lavoro

Quando crei un provider del pool di identità della forza lavoro e specifichi i dettagli dell'IdP, viene visualizzato il seguente errore:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Verifica che PATH_TO_METADATA_XML sia la posizione in cui hai caricato il file XML dei metadati dell'applicazione SAML nella home directory di Cloud Shell.

The caller does not have permission errore

Quando esegui il comando gcloud projects add-iam-policy-binding per concedere i ruoli a utenti o gruppi, viene visualizzato il seguente errore:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Verifica di disporre delle autorizzazioni necessarie. Per saperne di più, consulta Ruoli obbligatori.

Passaggi successivi

Dopo aver completato i passaggi descritti in questo documento, svolgi quanto segue: