Questa pagina è stata tradotta dall'API Cloud Translation.

Configura un provider di identità di terze parti

Puoi utilizzare Cloud Identity, Google Workspace o un provider di identità di terze parti (come Okta o Azure AD) per gestire utenti, gruppi e autenticazione.

In questa pagina viene descritto come utilizzare un provider di identità di terze parti configurando la federazione delle identità per la forza lavoro. Per informazioni sull'utilizzo di Cloud Identity o Google Workspace, consulta Configurare un provider di identità Google Cloud.

La federazione delle identità per la forza lavoro di Google consente di concedere ai carichi di lavoro on-premise o multi-cloud l'accesso alle risorse di Google Cloud, senza dover utilizzare una chiave dell'account di servizio. Puoi utilizzare la federazione delle identità della forza lavoro con qualsiasi provider di identità di terze parti (IdP) che supporti OpenID Connect (OIDC), tra cui Microsoft Azure, Okta o SAML 2.0.

Google Security Operations richiede l'utilizzo della federazione delle identità della forza lavoro di Google come broker SSO per i seguenti elementi:

Clienti con requisiti di conformità FedRAMP High (o superiori).
Clienti che accedono a qualsiasi controllo a livello aziendale di Google Security Operations abilitato da Google Cloud, incluso controllo dell'accesso basato su ruoli (RBAC) per dati e funzionalità utilizzando Identity and Access Management (IAM).
Clienti che utilizzano la gestione self-service delle credenziali per l'accesso programmatico all'API Google Security Operations.

Google Security Operations supporta il servizio SSO basato su SAML avviato dal fornitore di servizi (avviato da SP) per gli utenti. Con questa funzionalità, gli utenti possono accedere direttamente a Google Security Operations. Google Security Operations invia una richiesta tramite la federazione delle identità per la forza lavoro di Google Cloud Identity and Access Management (IAM) al provider di identità di terze parti (IdP).

Dopo che l'IdP autentica l'identità, l'utente viene restituito a Google Security Operations con un'asserzione di autenticazione. La federazione delle identità per la forza lavoro Google Cloud agisce da intermediario nel flusso di autenticazione.

Comunicazione tra Google Security Operations, federazione delle identità
per la forza lavoro Google Cloud IAM e IdP

Comunicazione tra Google Security Operations, federazione delle identità della forza lavoro IAM e IdP

A livello generale, la comunicazione è la seguente:

L'utente va a Google Security Operations.
Google Security Operations cerca le informazioni dell'IdP nel pool di identità della forza lavoro di Google Cloud.
Viene inviata una richiesta all'IdP.
L'asserzione SAML viene inviata al pool di identità della forza lavoro Google Cloud.
Se l'autenticazione ha esito positivo, Google Security Operations riceve solo gli attributi SAML definiti durante la configurazione del provider di forza lavoro nel pool di identità della forza lavoro.

Gli amministratori di Google Security Operations creano gruppi nel proprio provider di identità, configurano l'applicazione SAML in modo da passare le informazioni sull'appartenenza ai gruppi nell'asserzione, quindi associano utenti e gruppi ai ruoli predefiniti IAM di Google Security Operations o ai ruoli personalizzati da loro creati.

L'accesso avviato dall'IdP (l'avvio di un accesso dalla dashboard dell'IdP) non è supportato. Se la tua organizzazione ha bisogno di questa funzionalità, contatta il tuo rappresentante Google Security Operations.

Questo documento descrive la procedura generale per configurare l'autenticazione tramite un provider di identità (IdP) di terze parti utilizzando la federazione delle identità per la forza lavoro Google Cloud. Dopo aver eseguito i passaggi descritti in questo documento, potrai accedere a Google Security Operations utilizzando il tuo IdP di terze parti e gestire l'accesso a Google Security Operations utilizzando l'accesso SSO SAML tramite la federazione delle identità della forza lavoro.

Prima di iniziare

Assicurati di conoscere meglio Cloud Shell, il comando gcloud e la console Google Cloud.
Esegui i passaggi descritti in Configurare un progetto Google Cloud per Google Security Operations per configurare un progetto associato a Google Security Operations.
Acquisisci familiarità con la federazione delle identità per la forza lavoro di Google Cloud.
Assicurati di disporre delle autorizzazioni necessarie per eseguire la procedura descritta in questo documento. Per informazioni sulle autorizzazioni richieste per ogni fase del processo di onboarding, consulta Ruoli obbligatori.

I passaggi seguenti spiegano come eseguire la configurazione utilizzando i comandi gcloud. Se un passaggio può essere eseguito nella console Google Cloud, viene fornito un link alla relativa documentazione IAM.

Pianificare l'implementazione

La seguente sezione descrive le decisioni che devi prendere e le informazioni definite prima di eseguire i passaggi descritti in questo documento.

Definisci il pool di identità della forza lavoro e il provider della forza lavoro

Nell'ambito di questo processo, configurerai la federazione delle identità per la forza lavoro di Google Cloud come intermediario nel flusso di autenticazione. A questo scopo, devi creare le seguenti risorse Google Cloud:

Pool di forza lavoro: un pool di identità della forza lavoro ti consente di concedere alla forza lavoro (ad esempio i dipendenti) l'accesso a Google Security Operations.
Provider forza lavoro: un provider forza lavoro è una sottorisorsa del pool di identità della forza lavoro. Archivia i dettagli di un singolo IdP.

La relazione tra il pool di identità della forza lavoro, i provider della forza lavoro e un'istanza Google Security Operations, identificata da un sottodominio di un singolo cliente, è la seguente:

Un pool di identità della forza lavoro è definito a livello di organizzazione.
A ogni istanza di Google Security Operations è configurato e associato un pool di identità della forza lavoro.
Un pool di identità della forza lavoro può avere più provider di forza lavoro.
Ogni provider di forza lavoro integra un IdP di terze parti con il pool di identità della forza lavoro.

Il pool di identità della forza lavoro che crei utilizzando questi passaggi deve essere dedicato a Google SecOps. Sebbene sia possibile gestire più pool di identità della forza lavoro per altri scopi, il pool di identità della forza lavoro creato per Google SecOps non può essere condiviso.
Ti consigliamo di creare il pool di identità della forza lavoro nella stessa organizzazione Google Cloud che contiene il progetto associato a Google SecOps.

Consente di risparmiare tempo se predefinisci informazioni sul pool di identità per la forza lavoro e sul provider della forza lavoro. Puoi utilizzare queste informazioni quando configuri sia l'applicazione SAML IdP sia la federazione delle identità della forza lavoro.

Scegli i valori per i seguenti identificatori:

ID pool di forza lavoro (WORKFORCE_POOL_ID): seleziona un valore che indica l'ambito o lo scopo del pool di identità della forza lavoro. Il valore deve soddisfare i seguenti requisiti:
- Deve essere univoco a livello globale.
- Devi utilizzare solo caratteri minuscoli [a-z], cifre [0-9] e trattini [-].
- Deve iniziare con un carattere minuscolo [a-z].
- Deve terminare con un carattere minuscolo [a-z] o una cifra [0-9].
- Può avere una lunghezza compresa tra 4 e 61 caratteri.
Nome visualizzato del pool di forza lavoro (WORKFORCE_POOL_DISPLAY_NAME): definisci un nome semplice per il pool di identità della forza lavoro.
Descrizione del pool di forza lavoro (WORKFORCE_POOL_DESCRIPTION): definisci una descrizione dettagliata del pool di identità della forza lavoro.
ID provider forza lavoro (WORKFORCE_PROVIDER_ID): scegli un valore che indichi l'IdP che rappresenta. Il valore deve soddisfare i seguenti requisiti:
- Devi utilizzare solo caratteri minuscoli [a-z], cifre [0-9] e trattino [-].
- Può avere una lunghezza compresa tra 4 e 32 caratteri.
Nome visualizzato del provider di forza lavoro (WORKFORCE_PROVIDER_DISPLAY_NAME): definisci un nome semplice per il fornitore di forza lavoro. Deve contenere meno di 32 caratteri.
Descrizione del provider di forza lavoro (WORKFORCE_PROVIDER_DESCRIPTION): definisci una descrizione dettagliata del fornitore di forza lavoro.

Definisci attributi utente e gruppi nell'IdP

Prima di creare l'applicazione SAML nell'IdP, identifica gli attributi e i gruppi utente necessari per configurare l'accesso alle funzionalità in Google Security Operations. Per ulteriori informazioni, consulta Configurare il controllo dell'accesso funzionalità utilizzando IAM e le autorizzazioni di Google Security Operations in IAM.

Queste informazioni sono necessarie durante le seguenti fasi della procedura:

Quando configuri l'applicazione SAML, crei i gruppi definiti durante la pianificazione. Configuri l'applicazione SAML IdP per superare le appartenenze ai gruppi nell'asserzione.
Quando crei il provider di forza lavoro, mappa gli attributi e i gruppi di asserzione ad attributi di Google Cloud. Queste informazioni vengono inviate nella rivendicazione dell'asserzione come parte dell'identità di un utente.
Quando imposti controllo dell'accesso basato sui ruoli in Google Security Operations, utilizzi gli attributi utente e le informazioni sul gruppo per configurare l'accesso alle funzionalità di Google Security Operations.

Google Security Operations fornisce più ruoli predefiniti, ognuno dei quali consente l'accesso a funzionalità specifiche. Puoi mappare i gruppi definiti nell'applicazione SAML IdP a questi ruoli predefiniti.

Assicurati di creare un gruppo IdP per gli amministratori che configurano gli utenti e i gruppi che possono accedere alle funzionalità relative a SOAR. Durante il processo di onboarding, fornirai il nome di questo gruppo in modo che gli utenti che ne fanno parte possano configurare il controllo dell'accesso alle funzionalità relative a SOAR.

Configura l'IdP

Questa sezione descrive solo la configurazione specifica necessaria in un'applicazione SAML IdP per integrarsi con la federazione delle identità della forza lavoro Google Cloud e con Google Security Operations.

Crea una nuova applicazione SAML nel tuo IdP.

Importante: Google Security Operations supporta solo il servizio SSO basato su SAML.
Configura l'applicazione con il seguente URL ACS (Assertion Consumer Service), indicato anche come URL Single Sign-On in base al fornitore di servizi.
```
https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
Sostituisci quanto segue:
- WORKFORCE_POOL_ID: l'identificatore definito per il pool di identità della forza lavoro.
- WORKFORCE_PROVIDER_ID: l'identificatore che hai definito per il provider della forza lavoro.
  
  Per una descrizione di questi valori, consulta Pianificare l'implementazione.
Configura l'applicazione con il seguente ID entità (detto anche ID entità SP).
```
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
```
Sostituisci quanto segue:
- WORKFORCE_POOL_ID: l'identificatore definito per il pool di identità della forza lavoro.
- WORKFORCE_PROVIDER_ID: l'identificatore che hai definito per il fornitore della forza lavoro.
Configura l'identificatore del nome nel tuo IdP per assicurarti che il campo NameID venga restituito nella risposta SAML.

Puoi impostarlo su un valore che supporti i criteri della tua organizzazione, ad esempio l'indirizzo email o il nome utente. Consulta la documentazione dell'IdP per informazioni sulla configurazione di questo valore. Per ulteriori informazioni su questo requisito, consulta Risolvere i problemi relativi alla federazione delle identità della forza lavoro.
Facoltativamente, crea gli attributi del gruppo nell'applicazione SAML. Hai definito questi elementi quando hai pianificato l'implementazione dell'IdP.
Scarica il file XML dei metadati dell'applicazione. Nella sezione successiva, caricherai questo file dal sistema locale alla home directory di Google Cloud utilizzando Cloud Shell.

Configura la federazione delle identità per la forza lavoro

Questa sezione descrive solo i passaggi specifici necessari per configurare la federazione delle identità della forza lavoro con l'applicazione SAML IdP che hai creato nella sezione precedente. Per saperne di più sulla gestione dei pool di identità della forza lavoro, vedi Gestire i provider di pool di identità della forza lavoro

Apri la console Google Cloud come utente con le autorizzazioni richieste sul progetto associato a Google Security Operations. Hai identificato o creato questo utente in precedenza. Consulta la sezione Prima di iniziare.
Avvia una sessione di Cloud Shell.
Imposta la quota fatturata e addebitata per il progetto Google Cloud per le operazioni eseguite utilizzando gcloud CLI. Utilizza il seguente comando gcloud come esempio:
```
gcloud config set billing/quota_project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto associato a Google Security Operations che hai creato nella sezione Configurare un progetto Google Cloud per Google Security Operations. Consulta Creazione e gestione dei progetti per una descrizione dei campi che identificano un progetto.

Per informazioni sulle quote, consulta i seguenti documenti:
- Utilizzare le quote
- Imposta il progetto di quota in modo programmatico
Se si verifica un errore, consulta la sezione Errori di quota.

Crea e configura un pool di identità della forza lavoro

Puoi configurare un pool di identità della forza lavoro per l'integrazione con un provider di identità (IdP) esterno o con Google Workspace o Cloud Identity.

Crea un pool di identità della forza lavoro.
- Crea un pool di identità della forza lavoro per un IdP di terze parti:
  
  Usa questo comando gcloud come esempio:
```
gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"
```
  Sostituisci quanto segue:
  - WORKFORCE_POOL_ID: l'identificatore definito per il pool di identità della forza lavoro.
  - ORGANIZATION_ID: l'ID numerico dell'organizzazione.
  - WORKFORCE_POOL_DESCRIPTION: specifica una descrizione del pool di identità della forza lavoro.
  - WORKFORCE_POOL_DISPLAY_NAME: specifica un nome semplice per il pool di identità della forza lavoro.
  Per eseguire questa configurazione utilizzando la console Google Cloud, consulta Creare un pool.
  
  Se il comando ha esito positivo, vai al passaggio successivo. Se il comando ha esito negativo, considera se i seguenti scenari si applicano al tuo ambiente:
  - Vuoi usare Google Workspace o Cloud Identity per accedere a Google SecOps
  - Viene visualizzato l'errore "La federazione delle identità per la forza lavoro non è ancora disponibile per la tua organizzazione. Contatta un rappresentante Google Cloud".
  Se sono applicabili questi scenari, aggiungi i flag --allowed-services domain=backstory.chronicle.security e --disable-programmatic-signin al comando:
```
gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin
```
  Questo comando crea un pool di forza lavoro che non può essere utilizzato per accedere a Google Cloud, ma devi utilizzare questi flag per risolvere questi scenari.
Se nella riga di comando ti viene chiesto di abilitare l'API Chronicle, digita Yes.

Crea un provider di identità per la forza lavoro

Carica il file di metadati dell'applicazione SAML nella home directory di Cloud Shell facendo clic su Altro >. I file possono essere caricati solo nella home directory. Per ulteriori opzioni per trasferire file tra Cloud Shell e la workstation locale, vedi Caricare e scaricare file e cartelle da Cloud Shell.
Prendi nota del percorso della directory in cui hai caricato il file XML dei metadati dell'applicazione SAML in Cloud Shell. Questo percorso ti servirà nel passaggio successivo.
Crea un provider di pool di identità della forza lavoro e specifica i dettagli dell'IdP.

Usa questo comando gcloud come esempio:
```
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"
```
Per ulteriori informazioni su questi valori, consulta Pianificare l'implementazione.

Sostituisci quanto segue:
- WORKFORCE_PROVIDER_ID: il valore definito per l'ID provider di forza lavoro.
- WORKFORCE_POOL_ID: il valore definito per l'ID pool di identità della forza lavoro.
- WORKFORCE_PROVIDER_DISPLAY_NAME: un nome semplice per il fornitore della forza lavoro. Deve contenere meno di 32 caratteri.
- WORKFORCE_PROVIDER_DESCRIPTION: una descrizione del fornitore della forza lavoro.
- PATH_TO_METADATA_XML: la posizione della directory Cloud Shell del file XML dei metadati dell'applicazione che hai caricato utilizzando Cloud Shell, ad esempio /path/to/sso_metadata.xml.
- ATTRIBUTE_MAPPINGS: definizione di come mappare gli attributi di asserzione agli attributi di Google Cloud. Per interpretare questi mapping viene utilizzato Common Expression Language. Ad esempio:
  
  google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups
  
  L'esempio precedente mappa i seguenti attributi:
  - assertion.subject a google.subject. Questo è un requisito minimo.
  - assertion.attributes.name[0] a google.display_name.
  - assertion.attributes.groups all'attributo google.groups.
  Importante: come minimo, devi mappare l'attributo google.subject. Per garantire che il RBAC di Google Security Operations continui a funzionare come previsto, includi anche l'attributo google.groups e mappalo a tutti i gruppi utilizzati per definire i ruoli in Google Security Operations.
  
  Se esegui questa configurazione per Google Security Operations, che include Google Security Operations SIEM e Google Security Operations SOAR, devi anche mappare i seguenti attributi richiesti da Google Security Operations SOAR:
  - attribute.first_name
  - attribute.last_name
  - attribute.user_email
  - google.groups
  Importante: nella mappatura dei gruppi, assicurati di includere i gruppi di IdP creati per gli amministratori che configurano l'accesso di utenti e gruppi alle funzionalità relative a SOAR.
  
  Scopri di più su provisioning e mappatura degli utenti per Google Security Operations SOAR.
  
  Per impostazione predefinita, Google Security Operations legge le informazioni del gruppo dai seguenti nomi degli attributi di asserzione senza distinzione tra maiuscole e minuscole: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ e _assertion.attributes.memberOf_.
  
  Quando configuri l'applicazione SAML per passare le informazioni sull'appartenenza al gruppo nell'asserzione, imposta il nome dell'attributo del gruppo su _group_, _idpGroup_ o _memberOf_.
  
  Nel comando di esempio puoi sostituire assertion.attributes.groups con assertion.attributes.idpGroup o assertion.attributes.memberOf, che rappresenta il nome dell'attributo di gruppo che hai configurato nell'applicazione SAML IdP e contiene informazioni sull'appartenenza ai gruppi nell'asserzione.
  
  Il seguente esempio mappa più gruppi all'attributo google.groups:
  
  google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"
  
  L'esempio seguente mappa il gruppo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group contenente caratteri speciali a google.groups:
  
  google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"
  
  Per ulteriori informazioni sulla mappatura degli attributi, consulta Mappature degli attributi.
  
  Per eseguire questa configurazione utilizzando la console Google Cloud, vedi Creare un provider SAML.

Concedi un ruolo per consentire l'accesso a Google Security Operations

I passaggi seguenti spiegano come concedere un ruolo specifico utilizzando IAM in modo che gli utenti possano accedere a Google Security Operations. Esegui la configurazione utilizzando il progetto Google Cloud associato a Google Security Operations che hai creato in precedenza.

In questo esempio viene utilizzato il comando gcloud. Per utilizzare la console Google Cloud, consulta Concedere un singolo ruolo.

Concedi il ruolo di Visualizzatore API Chronicle (roles/chronicle.viewer) agli utenti o ai gruppi che dovrebbero avere accesso all'applicazione Google Security Operations.

L'esempio seguente concede il ruolo Visualizzatore API Chronicle alle identità gestite utilizzando il pool di identità della forza lavoro e il provider della forza lavoro che hai creato in precedenza.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"
```
Sostituisci quanto segue:
- PROJECT_ID: con l'ID del progetto associato a Google Security Operations che hai configurato in Configurare un progetto Google Cloud per Google Security Operations. Consulta Creazione e gestione dei progetti per una descrizione dei campi che identificano un progetto.
- WORKFORCE_POOL_ID: il valore definito per l'ID pool di identità della forza lavoro.
Per concedere il ruolo Visualizzatore API Chronicle a un gruppo specifico, esegui questo comando:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
```
Sostituisci GROUP_ID: un gruppo nella rivendicazione google.groups mappata.
Configura criteri IAM aggiuntivi per soddisfare i requisiti della tua organizzazione.

Verificare o configurare il controllo dell'accesso funzionalità di Google Security Operations

Se hai configurato la federazione delle identità della forza lavoro con attributi o gruppi mappati all'attributo google.groups, queste informazioni vengono passate a Google Security Operations in modo che tu possa configurare il controllo dell'accesso basato su ruoli (RBAC) per le funzionalità di Google Security Operations.

Se nell'istanza Google Security Operations è esistente una configurazione RBAC, verifica che la configurazione originale funzioni come previsto.

Se non hai configurato in precedenza il controllo dell'accesso dell'accesso, consulta Configurare il controllo dell'accesso dell'accesso alle funzionalità utilizzando IAM per informazioni sul controllo dell'accesso alle funzionalità.

Modifica la configurazione della federazione delle identità per la forza lavoro

Se devi aggiornare il pool di identità della forza lavoro o il provider della forza lavoro, consulta Gestire i provider del pool di identità della forza lavoro per informazioni sull'aggiornamento della configurazione.

La sezione Gestione delle chiavi in Creare un provider di pool di forza lavoro SAML descrive come aggiornare le chiavi di firma dell'IdP e come aggiornare la configurazione del provider di forza lavoro con il file XML dei metadati dell'applicazione più recente.

Di seguito è riportato un esempio di comando gcloud che aggiorna la configurazione del provider della forza lavoro:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Sostituisci quanto segue:

WORKFORCE_PROVIDER_ID: il valore definito per l'ID provider di forza lavoro.
WORKFORCE_POOL_ID: il valore definito per l'ID pool di identità della forza lavoro.
WORKFORCE_PROVIDER_DISPLAY_NAME: un nome semplice per il fornitore della forza lavoro. Il valore deve contenere meno di 32 caratteri.
WORKFORCE_PROVIDER_DESCRIPTION: la descrizione del fornitore della forza lavoro.
PATH_TO_METADATA_XML: la posizione del file XML dei metadati dell'applicazione aggiornato, ad esempio /path/to/sso_metadata_updated.xml.
ATTRIBUTE_MAPPINGS: attributi dell'asserzione mappati agli attributi di Google Cloud. Ad esempio:

google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Per assicurarti che RBAC di Google SecOps continui a funzionare come previsto, mappa anche l'attributo google.groups a tutti i gruppi utilizzati per definire i ruoli in Google SecOps.

Risolvere i problemi relativi alla configurazione

Se si verificano errori durante la procedura, consulta Risolvere i problemi relativi alla federazione delle identità della forza lavoro per risolvere i problemi comuni. La seguente sezione fornisce informazioni sui problemi comuni riscontrati durante l'esecuzione della procedura descritta in questo documento.

Se i problemi persistono, contatta il tuo rappresentante di Google SecOps e fornisci il tuo file di log di rete di Chrome.

`command not found` errore durante la creazione di un provider di pool di identità per la forza lavoro

Quando crei un provider di pool di identità per la forza lavoro e specifichi i dettagli dell'IdP, viene visualizzato il seguente errore:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Verifica che PATH_TO_METADATA_XML sia la posizione in cui hai caricato il file XML dei metadati dell'applicazione SAML nella home directory di Cloud Shell.

`The caller does not have permission` errore

Quando esegui il comando gcloud projects add-iam-policy-binding per concedere ruoli a utenti o gruppi, viene visualizzato il seguente errore:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Verifica di disporre delle autorizzazioni necessarie. Per saperne di più, consulta Ruoli obbligatori.

Passaggi successivi

Dopo aver completato i passaggi descritti in questo documento, segui questi passaggi:

Segui i passaggi per collegare un'istanza di Google Security Operations ai servizi Google Cloud.
Se non hai ancora configurato il logging di controllo, continua con l'abilitazione del logging di controllo di Google Security Operations.
Se stai eseguendo la configurazione per Google Security Operations, esegui i passaggi aggiuntivi descritti in Provisioning, autenticazione e mappatura degli utenti in Google Security Operations.
Per configurare l'accesso alle funzionalità, esegui i passaggi aggiuntivi in Configurare il controllo dell'accesso alle funzionalità utilizzando IAM e Google Security Operations alle autorizzazioni in IAM.