Configurer un fournisseur d'identité tiers

Vous pouvez utiliser Cloud Identity, Google Workspace ou une identité tierce (Okta ou Azure AD, par exemple) pour gérer les utilisateurs, les groupes et l'authentification.

Cette page explique comment utiliser un fournisseur d'identité tiers en configurant la fédération des identités des employés. Pour en savoir plus sur l'utilisation de Cloud Identity ou de Google Workspace, consultez Configurer un fournisseur d'identité Google Cloud.

Grâce à la fédération des identités des employés de Google, d'accorder aux charges de travail sur site ou multicloud un accès sans avoir à utiliser de clé de compte de service. Vous pouvez utiliser la fédération des identités des employés avec n'importe quel fournisseur d'identité (IdP) tiers compatible avec OpenID Connect (OIDC), y compris Microsoft Azure, Okta ou SAML 2.0.

Google Security Operations nécessite d'utiliser la fédération des identités des employés de Google en tant que Agent SSO pour les éléments suivants:

  • Clients soumis à des exigences de conformité FedRAMP (niveau d'impact élevé ou supérieur)
  • Les clients accédant à tous les contrôles au niveau de l'entreprise dans Google Security Operations activés par Google Cloud y compris le contrôle des accès basé sur les données et les fonctionnalités (RBAC) à l'aide d'Identity and Access Management (IAM).
  • Clients utilisant la gestion des identifiants en libre-service pour l'accès programmatique à l'API Google Security Operations

Google Security Operations est compatible avec l'authentification unique SAML initiée par le fournisseur de services (initiée par le fournisseur de services) pour utilisateurs. Grâce à cette fonctionnalité, les utilisateurs accèdent directement à Google Security Operations. Google Security Operations émet une requête via Google Cloud Identity and Access Management (IAM) fédération des identités des employés au fournisseur d'identité tiers.

Une fois que le fournisseur d'identité a authentifié l'identité de l'utilisateur, celui-ci est renvoyé vers Google Security Operations avec une assertion d'authentification. Identité des employés Google Cloud agit comme un intermédiaire dans le flux d'authentification.

Communication entre Google Security Operations et l'identité des employés Google Cloud IAM fédération et IdP

Communication entre Google Security Operations et l'identité des employés IAM fédération et IdP

De manière générale, la communication est la suivante:

  1. L'utilisateur accède à Google Security Operations.
  2. Google Security Operations recherche les informations sur l'IdP dans le pool d'identités des employés Google Cloud.
  3. Une requête est envoyée au fournisseur d'identité.
  4. L'assertion SAML est envoyée au pool d'identités des employés Google Cloud.
  5. Si l'authentification réussit, Google Security Operations ne reçoit que le code définis lorsque vous avez configuré le fournisseur d'identité des employés dans le pool d'identités des employés.

Les administrateurs Google Security Operations créent des groupes dans leur fournisseur d'identité, configurent l'application SAML pour transmettre les informations d'appartenance à un groupe dans l'assertion, puis associer des utilisateurs et des groupes aux rôles prédéfinis dans IAM de Google Security Operations ; ou aux rôles personnalisés qu'ils ont créés.

La connexion initiée par le fournisseur d'identité (à partir de votre tableau de bord IdP) n'est pas acceptée. Si votre organisation a besoin de cette fonctionnalité, contactez votre représentant Google Security Operations pour demander cette fonctionnalité.

Ce document décrit dans les grandes lignes comment configurer l'authentification via un un fournisseur d'identité (IdP) tiers utilisant la fédération des identités des employés de Google Cloud. Après avoir suivi les étapes décrites dans ce document, vous pourrez accéder à Google Security Operations à l'aide de votre IdP tiers et gérer l'accès à Google Security Operations à l'aide de l'authentification unique SAML via la fédération des identités des employés.

Avant de commencer

Les étapes suivantes décrivent comment effectuer la configuration à l'aide de gcloud commandes. Si une étape peut être effectuée dans la console Google Cloud, un lien vers la documentation IAM associée est fourni.

Planifier l'implémentation

La section suivante décrit les décisions que vous devez prendre et les informations que vous définir avant de suivre les étapes de ce document.

Définir le pool d'identités des employés et le fournisseur d'employés

Lors de ce processus, vous allez configurer l'identité des employés Google Cloud la fédération en tant qu'intermédiaire dans le flux d'authentification. Pour ce faire, vous créer les ressources Google Cloud suivantes:

  • Pool d'employés: Un pool d'identités vous permet d'accorder à vos collaborateurs (par exemple, vos employés) l'accès à Google Security Operations.
  • Fournisseur de personnel: Un fournisseur d'employés est une sous-ressource du pool d'identités des employés. Il stocke les détails d'un seul IdP.

Relation entre le pool d'identités des employés, les fournisseurs d'employés et l'équipe Google Security Operations de client unique, identifiée par un seul sous-domaine client, est la suivante:

  • Un pool d'identités de personnel est défini au niveau de l'organisation.
  • Chaque instance Google Security Operations dispose d'un pool d'identités d'employé configuré et associé à celui-ci.
  • Un pool d'identités de personnel peut comporter plusieurs fournisseurs d'employés.
  • Chaque fournisseur de personnel intègre un IdP tiers au pool d'identités des employés.
  • Le pool d'identités des employés que vous créez à l'aide de ces étapes doit être dédié à Google SecOps. Même si vous pouvez gérer plusieurs pools d'identités des employés à d'autres fins, le pool d'identités des employés créé pour Google SecOps ne peut pas être partagé.
  • Nous vous recommandons de créer le pool d'identités des employés dans le même Google Cloud organisation qui contient le projet lié à Google SecOps.

Vous gagnerez du temps si vous prédéfinissez des informations sur le pool d'identités des employés et fournisseur d'employés. Ces informations vous serviront à configurer à la fois de l'application SAML du fournisseur d'identité et de la fédération des identités des employés.

Choisissez les valeurs des identifiants suivants:

  • ID du pool d'employés (WORKFORCE_POOL_ID): sélectionnez une valeur indiquant le champ d'application ou l'objectif du pool d'identités des employés. La valeur doit respecter les exigences suivantes:
    • Doit être unique.
    • N'utilisez que des lettres minuscules [a-z], des chiffres [0-9] et des tirets [-].
    • Doit commencer par un caractère minuscule [a-z].
    • Doit se terminer par une lettre minuscule [a-z] ou un chiffre [0-9].
    • Peut comporter entre 4 et 61 caractères.
  • Nom à afficher du pool d'employés (WORKFORCE_POOL_DISPLAY_NAME): définissez un nom convivial. pour le pool d'identités des employés.
  • Description du pool d'employés (WORKFORCE_POOL_DESCRIPTION): définir une description du pool d'identités des employés.
  • ID du fournisseur de personnel (WORKFORCE_PROVIDER_ID): choisissez une valeur indiquant l'IdP qu'il représente. Cette valeur doit répondre aux exigences suivantes :
    • Ne doit contenir que des lettres minuscules [a-z], des chiffres [0-9] et des tirets [-].
    • Peut comporter entre 4 et 32 caractères.
  • Nom à afficher du fournisseur de personnel (WORKFORCE_PROVIDER_DISPLAY_NAME): définir un nom convivial pour le fournisseur de main-d'œuvre. Il doit comporter moins de 32 caractères.
  • Description du fournisseur de personnel (WORKFORCE_PROVIDER_DESCRIPTION): définir une description du fournisseur de main-d'œuvre.

Définir des attributs utilisateur et des groupes dans l'IdP

Avant de créer l'application SAML dans l'IdP, identifiez les attributs utilisateur et groupes sont nécessaires pour configurer l'accès aux fonctionnalités de Google Security Operations. Pour en savoir plus, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM. et les autorisations Google Security Operations dans IAM.

Vous aurez besoin de ces informations lors des phases suivantes de ce processus:

  • Lors de la configuration de l'application SAML, vous créez les groupes définis lors de la planification. Vous configurez l'application SAML du fournisseur d'identité pour qu'elle transmette les appartenances aux groupes dans le une assertion.

  • Lorsque vous créez le fournisseur de personnel, vous mappez les attributs et les groupes d'assertion avec Attributs Google Cloud Ces informations sont envoyées dans la revendication d'assertion en tant qu'identité de l'utilisateur.

  • Lorsque vous configurez un contrôle des accès basé sur les rôles dans Google Security Operations, vous utilisez attributs utilisateur et informations de groupe pour configurer l'accès aux fonctionnalités de Google Security Operations.

    Google Security Operations fournit plusieurs rôles prédéfinis, chacun permettant l'accès des fonctionnalités spécifiques. Vous pouvez mapper les groupes définis dans l'application SAML du fournisseur d'identité ces rôles prédéfinis.

Veillez à créer un groupe IdP pour les administrateurs qui configurent les utilisateurs et les groupes autorisés à accéder aux fonctionnalités liées au SOAR. Au cours du processus d'intégration, vous indiquerez le nom de ce groupe afin que les utilisateurs puissent configurer le contrôle des accès aux fonctionnalités liées au SOAR.

Configurer l'IdP

Cette section décrit uniquement la configuration spécifique requise dans une application SAML de fournisseur d'identité pour s'intègrent à la fédération des identités des employés Google Cloud et à Google Security Operations.

  1. Créez une application SAML dans votre IdP.

  2. Configurez l'application avec l'URL ACS (Assertion Consumer Service) suivante, également appelée "URL d'authentification unique" selon le fournisseur de services.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Remplacez les éléments suivants :

    • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.

    • WORKFORCE_PROVIDER_ID: l'identifiant que vous définies pour le fournisseur de main-d'œuvre.

      Pour obtenir une description de ces valeurs, consultez Planifier l'implémentation.

  3. Configurez l'application avec l'ID d'entité suivant (également appelé ID d'entité du fournisseur de services).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Remplacez les éléments suivants :

    • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.
    • WORKFORCE_PROVIDER_ID: identifiant que vous avez défini pour le fournisseur de personnel.

  4. Configurez l'identifiant de nom dans votre IdP pour vous assurer que le champ NameID est renvoyées dans la réponse SAML.

    Vous pouvez définir une valeur compatible avec vos règles d'administration (adresse e-mail ou nom d'utilisateur, par exemple). Consultez la documentation de votre IdP pour en savoir plus sur la configuration de cette valeur. Pour en savoir plus sur cette exigence, consultez Résoudre les problèmes liés à la fédération des identités des employés.

  5. Vous pouvez également créer les attributs de groupe dans l'application SAML. Vous les avez définies lorsque vous avez planifié l'implémentation de l'IdP.

  6. Téléchargez le fichier XML des métadonnées de l'application. Dans la section suivante, vous allez importez ce fichier depuis votre système local vers votre répertoire d'accueil Google Cloud à l'aide de Cloud Shell.

Configurer la fédération d'identité de personnel

Cette section ne décrit que les étapes spécifiques nécessaires pour configurer le personnel fédération d'identité avec l'application SAML d'IdP que vous avez créée à la section précédente. Pour en savoir plus sur la gestion des pools d'identités des employés, Voir la page Gérer les fournisseurs de pools d'identités des employés

  1. Ouvrez la console Google Cloud en tant qu'utilisateur disposant des autorisations requises sur la Projet lié à Google Security Operations. Vous avez identifié ou créé cet utilisateur précédemment. Consultez la section Avant de commencer.

  2. Lancez une session Cloud Shell.

  3. Définir le projet Google Cloud facturé et le quota facturé effectuées à l'aide de la gcloud CLI. Utilisez les éléments suivants : gcloud à titre d'exemple:

    gcloud config set billing/quota_project PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet lié à Google Security Operations. que vous avez créé dans Configurer un projet Google Cloud pour Google Security Operations. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.

    Pour en savoir plus sur les quotas, consultez les documents suivants:

    Si vous rencontrez une erreur, consultez la section Erreurs de quota.

Créer et configurer un pool d'identités de personnel

Vous pouvez configurer un pool d'identités de personnel pour l'intégrer à un cluster (IdP), ou avec Google Workspace ou Cloud Identity.

  1. Créer un pool d'identités de personnel

    • Créez un pool d'identités de personnel pour un fournisseur d'identité tiers:

      Utilisez la commande gcloud suivante comme exemple:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Remplacez les éléments suivants :

      • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.
      • ORGANIZATION_ID: ID numérique de l'organisation.
      • WORKFORCE_POOL_DESCRIPTION: spécifiez une description. du pool d'identités des employés.
      • WORKFORCE_POOL_DISPLAY_NAME: spécifiez un nom convivial du pool d'identités des employés.

      Pour effectuer cette configuration à l'aide de la console Google Cloud, consultez la section Créer un pool.

      Si la commande aboutit, passez à l'étape suivante. Si la commande échoue, déterminez si les scénarios suivants s'appliquent à votre environnement:

      • Vous souhaitez utiliser Google Workspace ou Cloud Identity pour vous connecter à Google SecOps
      • Le message d'erreur "La fédération des identités des employés n'est pas encore disponible" s'affiche pour votre organisation, contactez un représentant Google Cloud."

      Si ces scénarios s'appliquent, ajoutez les indicateurs --allowed-services domain=backstory.chronicle.security et --disable-programmatic-signin à la commande:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Cette commande crée un pool d'employés qui ne permet pas de se connecter Google Cloud, mais vous devez utiliser ces options pour résoudre ces scénarios.

  2. Si la ligne de commande vous invite à activer l'API Chronicle, saisissez Yes.

Créer un fournisseur d'identité pour les employés

  1. Importez le fichier de métadonnées de l'application SAML dans votre répertoire d'accueil Cloud Shell en cliquant sur Plus >. Les fichiers ne peuvent être importées dans votre répertoire personnel. Pour plus d'options de transfert de fichiers entre Cloud Shell et votre poste de travail local, consultez Importer et télécharger des fichiers et des dossiers à partir de Cloud Shell.

  2. Notez le chemin d'accès au répertoire dans lequel vous avez importé le fichier XML de métadonnées de l'application SAML. dans Cloud Shell. Vous en aurez besoin à l'étape suivante.

  3. Créez un fournisseur de pool d'identités des employés et spécifiez les détails de l'IdP.

    Utilisez la commande gcloud suivante comme exemple:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Pour en savoir plus sur ces valeurs, consultez Planifier l'implémentation.

    Remplacez les éléments suivants :

    • WORKFORCE_PROVIDER_ID: valeur que vous avez définie pour l'ID du fournisseur de personnel.
    • WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités des employés.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: nom convivial pour le fournisseur de main-d'œuvre. Il doit comporter moins de 32 caractères.
    • WORKFORCE_PROVIDER_DESCRIPTION: description du fournisseur de personnel.
    • PATH_TO_METADATA_XML: emplacement du répertoire Cloud Shell du fichier XML des métadonnées de l'application que vous avez importé à l'aide de Cloud Shell, par exemple: /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: définition du mappage des attributs d'assertion avec les attributs Google Cloud. Common Expression Language est utilisé pour interpréter ces correspondances. Exemple :

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      L'exemple précédent mappe les attributs suivants:

      • assertion.subject à google.subject. Il s'agit d'une condition minimale.
      • assertion.attributes.name[0] à google.display_name.
      • assertion.attributes.groups à l'attribut google.groups.

      Si vous effectuez cette configuration pour Google Security Operations, qui inclut SIEM Google Security Operations et SOAR Google Security Operations, vous devez également mapper les éléments suivants : requis par le SOAR Google Security Operations:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      En savoir plus sur le provisionnement et le mappage des utilisateurs pour le SOAR Google Security Operations

      Par défaut, Google Security Operations lit les informations de groupe à partir des éléments suivants : Noms d'attributs d'assertion non sensibles à la casse: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ et _assertion.attributes.memberOf_.

      Lors de la configuration de l'application SAML pour transmettre les informations d'appartenance à un groupe Dans l'assertion, définissez le nom de l'attribut de groupe sur _group_, _idpGroup_ ou _memberOf_.

      Dans l'exemple de commande, vous pouvez remplacer assertion.attributes.groups par assertion.attributes.idpGroup ou assertion.attributes.memberOf, qui représente le nom de l'attribut de groupe que vous avez configuré dans l'IdP SAML et qui contient les informations d'appartenance à un groupe dans l'assertion.

      L'exemple suivant mappe plusieurs groupes à l'attribut google.groups:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      L'exemple suivant mappe le groupe http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group contenant des caractères spéciaux à google.groups:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Pour en savoir plus sur le mappage des attributs, consultez Mappages d'attributs.

      Pour effectuer cette configuration à l'aide de la console Google Cloud, consultez Créer un fournisseur SAML.

Accorder un rôle pour activer la connexion à Google Security Operations

Les étapes suivantes décrivent comment attribuer un rôle spécifique à l'aide d'IAM afin que les utilisateurs puissent se connecter à Google Security Operations. Effectuez la configuration à l'aide de le projet Google Cloud lié à Google Security Operations que vous avez créé précédemment.

Cet exemple utilise la commande gcloud. Pour utiliser la console Google Cloud, consultez Attribuer un seul rôle.

  1. Accordez le rôle de lecteur de l'API Chronicle (roles/chronicle.viewer). aux utilisateurs ou aux groupes qui doivent avoir accès à l'application Google Security Operations.

    L'exemple suivant attribue le rôle Lecteur de l'API Chronicle aux identités gérées à l'aide du pool d'identités des employés et du fournisseur d'employés que vous avez créés précédemment.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Remplacez les éléments suivants :

    Pour attribuer le rôle de lecteur de l'API Chronicle à un groupe spécifique, exécutez la commande suivante:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Remplacer GROUP_ID: un groupe figurant dans la revendication google.groups mappée.

  2. Configurez des stratégies IAM supplémentaires pour répondre aux exigences de votre organisation.

Vérifier ou configurer le contrôle des accès aux fonctionnalités Google Security Operations

Si vous avez configuré la fédération des identités des employés avec des attributs ou des groupes mappés à l'attribut google.groups, ces informations sont transmises à Google Security Operations afin de pouvoir configurer le contrôle des accès basé sur les rôles (RBAC) pour les fonctionnalités Google Security Operations.

Si l'instance Google Security Operations dispose d'une configuration RBAC, vérifiez que la configuration d'origine fonctionne comme prévu.

Si vous n'avez pas encore configuré le contrôle des accès, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM pour en savoir plus sur le contrôle de l'accès aux fonctionnalités.

Modifier la configuration de la fédération des identités des employés

Si vous devez mettre à jour le pool d'identités des employés ou le fournisseur d'employés, Voir la page Gérer les fournisseurs de pools d'identités des employés pour en savoir plus sur la mise à jour de la configuration.

Section Gestion des clés dans Créer un fournisseur de pool d'employés SAML explique comment mettre à jour les clés de signature de l'IdP, puis mettre à jour le fournisseur de personnel avec le dernier fichier XML de métadonnées d'application.

Voici un exemple de commande gcloud qui met à jour la configuration du fournisseur de personnel:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Remplacez les éléments suivants :

  • WORKFORCE_PROVIDER_ID: valeur que vous avez définie pour l'ID du fournisseur de personnel.
  • WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités des employés.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: nom convivial pour le fournisseur de main-d'œuvre. La valeur doit comporter moins de 32 caractères.
  • WORKFORCE_PROVIDER_DESCRIPTION: description du fournisseur de personnel.
  • PATH_TO_METADATA_XML: emplacement du fichier XML de métadonnées d'application mis à jour Exemple: /path/to/sso_metadata_updated.xml.

  • ATTRIBUTE_MAPPINGS: attributs d'assertion mappés avec des attributs Google Cloud. Exemple :

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Pour vous assurer que Google SecOps RBAC continue de fonctionner comme prévu, mappez également google.groups à tous les groupes utilisés pour définir des rôles dans Google SecOps.

Résoudre les problèmes de configuration

Si vous rencontrez des erreurs au cours de ce processus, consultez Résoudre les problèmes liés à la fédération des identités des employés pour résoudre les problèmes courants. La section suivante fournit des informations sur les rencontrés lors de l'exécution des étapes de ce document.

Si le problème persiste, contactez votre représentant Google SecOps et fournissez votre fichier journaux réseau Chrome.

Erreur command not found lors de la création d'un fournisseur de pool d'identités des employés

Lorsque vous créez un fournisseur de pools d'identités des employés et que vous spécifiez les détails de l'IdP, vous obtenez l'erreur suivante:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Vérifiez que PATH_TO_METADATA_XML correspond à l'emplacement où vous avez importé le fichier XML de métadonnées de l'application SAML dans votre répertoire d'accueil Cloud Shell.

The caller does not have permission erreur

Lorsque vous exécutez la commande gcloud projects add-iam-policy-binding pour attribuer des rôles à des utilisateurs ou à des groupes, vous obtenez l'erreur suivante:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Vérifiez que vous disposez des autorisations requises. Pour en savoir plus, consultez la section Rôles requis.

Étape suivante

Après avoir effectué les étapes décrites dans ce document, procédez comme suit: