Configura un provider di identità di terze parti

Puoi utilizzare Cloud Identity, Google Workspace o un'identità di terze parti (come Okta o Azure AD) per gestire utenti, gruppi e autenticazione.

In questa pagina viene descritto come utilizzare un provider di identità di terze parti configurando la federazione delle identità per la forza lavoro. Per informazioni sull'utilizzo di Cloud Identity o Google Workspace, consulta Configurare un provider di identità Google Cloud.

La federazione delle identità per la forza lavoro di Google concedere ai carichi di lavoro on-premise o multi-cloud l'accesso a Google Cloud senza dover usare una chiave dell'account di servizio. Puoi utilizzare la federazione delle identità per la forza lavoro con qualsiasi provider di identità (IdP) di terze parti che supporti OpenID Connect (OIDC), inclusi Microsoft Azure, Okta o SAML 2.0.

Google Security Operations richiede l'utilizzo della federazione delle identità della forza lavoro di Google come broker SSO per i seguenti elementi:

  • Clienti con requisiti di conformità FedRAMP High (o superiori).
  • I clienti che accedono a qualsiasi controllo di livello aziendale in Google Security Operations abilitato da Google Cloud; incluso controllo dell'accesso basato su ruoli (RBAC) per dati e funzionalità tramite Identity and Access Management (IAM).
  • Clienti che utilizzano la gestione self-service delle credenziali per l'accesso programmatico all'API Google Security Operations.

Google Security Operations supporta il servizio SSO basato su SAML avviato dal fornitore di servizi (avviato da SP) per utenti. Con questa funzionalità, gli utenti possono accedere direttamente a Google Security Operations. Google Security Operations invia una richiesta tramite Google Cloud Identity and Access Management (IAM) federazione delle identità per la forza lavoro al provider di identità (IdP) di terze parti.

Dopo che l'IdP ha autenticato l'identità, l'utente viene restituito Google Security Operations con un'asserzione di autenticazione. Identità della forza lavoro Google Cloud la federazione agisce da intermediario nel flusso di autenticazione.

Comunicazione tra Google Security Operations, identità della forza lavoro IAM di Google Cloud della federazione e dell'IdP

Comunicazione tra Google Security Operations, identità della forza lavoro IAM federazione e IdP

A livello generale, la comunicazione è la seguente:

  1. L'utente va a Google Security Operations.
  2. Google Security Operations cerca le informazioni dell'IdP nel pool di identità della forza lavoro di Google Cloud.
  3. Viene inviata una richiesta all'IdP.
  4. L'asserzione SAML viene inviata al pool di identità della forza lavoro Google Cloud.
  5. Se l'autenticazione ha esito positivo, Google Security Operations riceve solo il codice SAML definiti durante la configurazione del provider di forza lavoro nel pool di identità della forza lavoro.

Gli amministratori di Google Security Operations creano gruppi nel proprio provider di identità, configurano l'applicazione SAML per passare le informazioni sull'appartenenza al gruppo nell'asserzione, quindi associare utenti e gruppi ai ruoli predefiniti di IAM in Google Security Operations o ai ruoli personalizzati che ha creato.

L'accesso avviato dall'IdP (l'avvio di un accesso dalla dashboard dell'IdP) non è supportato. Se la tua organizzazione ha bisogno di questa funzionalità, contatta il tuo rappresentante Google Security Operations.

Questo documento descrive la procedura generale per configurare l'autenticazione mediante una un provider di identità (IdP) di terze parti che utilizza la federazione delle identità per la forza lavoro di Google Cloud. Dopo aver eseguito i passaggi descritti in questo documento, potrai accedere a Google Security Operations utilizzando il tuo IdP di terze parti e gestire l'accesso alle operazioni di sicurezza di Google utilizzando l'accesso SSO basato su SAML tramite la federazione delle identità per la forza lavoro.

Prima di iniziare

I passaggi seguenti spiegano come eseguire la configurazione utilizzando gcloud tramite comandi SQL. Se un passaggio può essere eseguito nella console Google Cloud, viene fornito un link alla relativa documentazione IAM.

Pianificare l'implementazione

La seguente sezione descrive le decisioni che devi prendere e le informazioni che da definire prima di eseguire i passaggi in questo documento.

Definisci il pool di identità della forza lavoro e il provider della forza lavoro

Nell'ambito di questo processo, configurerai l'identità della forza lavoro Google Cloud come intermediario nel flusso di autenticazione. A questo scopo, crea le seguenti risorse Google Cloud:

  • Pool forza lavoro: Un pool di identità della forza lavoro ti consente di concedere alla forza lavoro (ad es. i dipendenti) l'accesso a Google Security Operations.
  • Provider forza lavoro: Un provider di forza lavoro è una sottorisorsa del pool di identità della forza lavoro. Archivia i dettagli di un singolo IdP.

La relazione tra il pool di identità della forza lavoro, i provider della forza lavoro e Google Security Operations identificato da un sottodominio di un singolo cliente, è il seguente:

  • Un pool di identità della forza lavoro è definito a livello di organizzazione.
  • A ogni istanza di Google Security Operations è configurato e associato un pool di identità della forza lavoro.
  • Un pool di identità della forza lavoro può avere più provider di forza lavoro.
  • Ogni provider di forza lavoro integra un IdP di terze parti con il pool di identità della forza lavoro.
  • Il pool di identità della forza lavoro che crei utilizzando questi passaggi deve essere dedicato a Google SecOps. Anche se puoi gestire più pool di identità della forza lavoro per altri scopi, il pool di identità della forza lavoro creato per Google SecOps non può essere condiviso.
  • Ti consigliamo di creare il pool di identità della forza lavoro nello stesso Google Cloud che contiene il progetto associato a Google SecOps.

Ti consente di risparmiare tempo se predefinisci informazioni sul tipo pool di identità della forza lavoro e provider della forza lavoro. Queste informazioni vengono utilizzate durante la configurazione sia l'applicazione SAML IdP sia la federazione delle identità della forza lavoro.

Scegli i valori per i seguenti identificatori:

  • ID pool di forza lavoro (WORKFORCE_POOL_ID): seleziona un valore che indichi l'ambito o lo scopo del pool di identità della forza lavoro. Il valore deve soddisfare i seguenti requisiti:
    • Deve essere univoco a livello globale.
    • Devi utilizzare solo caratteri minuscoli [a-z], cifre [0-9] e trattini [-].
    • Deve iniziare con un carattere minuscolo [a-z].
    • Deve terminare con un carattere minuscolo [a-z] o una cifra [0-9].
    • Può avere una lunghezza compresa tra 4 e 61 caratteri.
  • Nome visualizzato del pool di forza lavoro (WORKFORCE_POOL_DISPLAY_NAME): definisci un nome semplice. per il pool di identità della forza lavoro.
  • Descrizione del pool di forza lavoro (WORKFORCE_POOL_DESCRIPTION): definisci una descrizione dettagliata descrizione del pool di identità della forza lavoro.
  • ID provider forza lavoro (WORKFORCE_PROVIDER_ID): scegli un valore che indichi all'IdP che rappresenta. Il valore deve soddisfare i seguenti requisiti:
    • Devi utilizzare solo caratteri minuscoli [a-z], cifre [0-9] e trattino [-].
    • Può avere una lunghezza compresa tra 4 e 32 caratteri.
  • Nome visualizzato del provider di forza lavoro (WORKFORCE_PROVIDER_DISPLAY_NAME): definisci un un nome semplice per il fornitore della forza lavoro. Deve contenere meno di 32 caratteri.
  • Descrizione del provider di forza lavoro (WORKFORCE_PROVIDER_DESCRIPTION): definisci una descrizione descrizione del fornitore della forza lavoro.

Definisci attributi utente e gruppi nell'IdP

Prima di creare l'applicazione SAML nell'IdP, identifica gli attributi utente e gruppi sono necessari per configurare l'accesso alle funzionalità in Google Security Operations. Per ulteriori informazioni, consulta Configurare il controllo dell'accesso alle funzionalità utilizzando IAM. e le autorizzazioni di Google Security Operations in IAM.

Queste informazioni sono necessarie durante le seguenti fasi della procedura:

  • Quando configuri l'applicazione SAML, crei i gruppi definiti durante la pianificazione. Configuri l'applicazione SAML IdP per trasferire le iscrizioni ai gruppi nel l'asserzione.

  • Quando crei il provider forza lavoro, mappa gli attributi e i gruppi di asserzione a Attributi Google Cloud. Queste informazioni vengono inviate nella rivendicazione dell'asserzione come parte dell'identità di un utente.

  • Quando configuri il controllo dell'accesso basato sui ruoli in Google Security Operations, utilizzi la attributi utente e informazioni sui gruppi per configurare l'accesso alle funzionalità di Google Security Operations.

    Google Security Operations fornisce diversi ruoli predefiniti, ognuno dei quali consente l'accesso a funzionalità specifiche. Puoi mappare i gruppi definiti nell'applicazione SAML dell'IdP a a questi ruoli predefiniti.

Assicurati di creare un gruppo IdP per gli amministratori che configurano gli utenti e i gruppi che possono accedere alle funzionalità relative a SOAR. Durante il processo di onboarding, fornirai il nome di questo gruppo in modo che gli utenti che ne fanno parte possano configurare il controllo dell'accesso alle funzionalità relative a SOAR.

Configura l'IdP

Questa sezione descrive solo la configurazione specifica necessaria in un'applicazione SAML IdP per si integrano con la federazione delle identità della forza lavoro di Google Cloud e con Google Security Operations.

  1. Crea una nuova applicazione SAML nel tuo IdP.

  2. Configura l'applicazione con il seguente URL ACS (Assertion Consumer Service), indicato anche come URL Single Sign-On in base al fornitore di servizi.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Sostituisci quanto segue:

    • WORKFORCE_POOL_ID: l'identificatore che hai definito per il pool di identità della forza lavoro.

    • WORKFORCE_PROVIDER_ID: l'identificatore che definita per il fornitore della forza lavoro.

      Per una descrizione di questi valori, consulta Pianificare l'implementazione.

  3. Configura l'applicazione con il seguente ID entità (detto anche ID entità SP).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Sostituisci quanto segue:

    • WORKFORCE_POOL_ID: l'identificatore definito per il pool di identità della forza lavoro.
    • WORKFORCE_PROVIDER_ID: l'identificatore che hai definito per il fornitore della forza lavoro.

  4. Configura l'identificatore del nome nel tuo IdP per assicurarti che il campo NameID sia restituito nella risposta SAML.

    Puoi impostarlo su un valore che supporti i criteri della tua organizzazione, ad esempio l'indirizzo email o il nome utente. Consulta la documentazione dell'IdP per informazioni sulla configurazione di questo valore. Per ulteriori informazioni su questo requisito, consulta Risolvere i problemi relativi alla federazione delle identità della forza lavoro.

  5. Facoltativamente, crea gli attributi del gruppo nell'applicazione SAML. Hai definito questi elementi quando hai pianificato l'implementazione dell'IdP.

  6. Scarica il file XML dei metadati dell'applicazione. Nella sezione successiva, carica questo file dal sistema locale nella home directory di Google Cloud utilizzando Cloud Shell.

Configura la federazione delle identità per la forza lavoro

Questa sezione descrive solo i passaggi specifici necessari per configurare la forza lavoro la federazione delle identità con l'applicazione SAML IdP che hai creato nella sezione precedente. Per saperne di più sulla gestione dei pool di identità della forza lavoro, consulta Gestire i provider di pool di identità della forza lavoro

  1. Apri la console Google Cloud come utente con le autorizzazioni richieste nella Progetto associato a Google Security Operations. Hai identificato o creato questo utente in precedenza. Consulta la sezione Prima di iniziare.

  2. Avvia una sessione di Cloud Shell.

  3. Imposta la quota fatturata e addebitata per il progetto Google Cloud eseguite utilizzando gcloud CLI. Utilizza quanto segue Comando gcloud, ad esempio:

    gcloud config set billing/quota_project PROJECT_ID

    Sostituisci PROJECT_ID con l'ID progetto del collegamento a Google Security Operations creato in Configurare un progetto Google Cloud per Google Security Operations. Consulta Creare e gestire progetti per una descrizione dei campi che identificano un progetto.

    Per informazioni sulle quote, consulta i seguenti documenti:

    Se si verifica un errore, consulta la sezione Errori di quota.

Crea e configura un pool di identità della forza lavoro

Puoi configurare un pool di identità della forza lavoro per l'integrazione con un o con Google Workspace o Cloud Identity.

  1. Crea un pool di identità della forza lavoro.

    • Crea un pool di identità della forza lavoro per un IdP di terze parti:

      Usa questo comando gcloud come esempio:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Sostituisci quanto segue:

      • WORKFORCE_POOL_ID: l'identificatore che hai definito per il pool di identità della forza lavoro.
      • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
      • WORKFORCE_POOL_DESCRIPTION: specifica una descrizione del pool di identità della forza lavoro.
      • WORKFORCE_POOL_DISPLAY_NAME: specifica un valore nome semplice per il pool di identità della forza lavoro.

      Per eseguire questa configurazione utilizzando la console Google Cloud, consulta Creare un pool.

      Se il comando ha esito positivo, vai al passaggio successivo. Se il comando ha esito negativo, considera se i seguenti scenari si applicano al tuo ambiente:

      • Vuoi utilizzare Google Workspace o Cloud Identity per accedere Google SecOps
      • Viene visualizzato l'errore "Federazione delle identità per la forza lavoro non ancora disponibile per la tua organizzazione, contatta un rappresentante Google Cloud"

      Se questi scenari sono applicabili, aggiungi i flag --allowed-services domain=backstory.chronicle.security e --disable-programmatic-signin al comando:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Questo comando crea un pool di forza lavoro che non può essere utilizzato per accedere Google Cloud, ma per risolvere questi scenari devi utilizzare questi flag.

  2. Se nella riga di comando ti viene chiesto di abilitare l'API Chronicle, digita Yes.

Crea un provider di identità per la forza lavoro

  1. Carica il file di metadati dell'applicazione SAML nella home directory di Cloud Shell facendo clic su Altro >. I file possono solo nella tua home directory. Per altre opzioni di trasferimento di file tra Cloud Shell e la workstation locale, vedi Caricare e scaricare file e cartelle da Cloud Shell.

  2. Prendi nota del percorso della directory in cui hai caricato il file XML dei metadati dell'applicazione SAML in Cloud Shell. Questo percorso ti servirà nel passaggio successivo.

  3. Crea un provider di pool di identità della forza lavoro e specifica i dettagli dell'IdP.

    Usa questo comando gcloud come esempio:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Per ulteriori informazioni su questi valori, consulta Pianificare l'implementazione.

    Sostituisci quanto segue:

    • WORKFORCE_PROVIDER_ID: il valore definito per l'ID provider di forza lavoro.
    • WORKFORCE_POOL_ID: il valore definito per l'ID pool di identità della forza lavoro.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: un nome semplice per il fornitore della forza lavoro. Deve contenere meno di 32 caratteri.
    • WORKFORCE_PROVIDER_DESCRIPTION: una descrizione del fornitore della forza lavoro.
    • PATH_TO_METADATA_XML: la posizione della directory Cloud Shell del file XML dei metadati dell'applicazione che hai caricato utilizzando Cloud Shell, ad esempio: /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: definizione di come mappare gli attributi di asserzione agli attributi di Google Cloud. Per interpretare questi mapping viene utilizzato Common Expression Language. Ad esempio:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      L'esempio precedente mappa i seguenti attributi:

      • assertion.subject a google.subject. Questo è un requisito minimo.
      • assertion.attributes.name[0] a google.display_name.
      • assertion.attributes.groups all'attributo google.groups.

      Se esegui questa configurazione per Google Security Operations, che include Google Security Operations SIEM e Google Security Operations SOAR, devi anche mappare quanto segue attributi richiesti dal SOAR di Google Security Operations:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Scopri di più su provisioning e mappatura degli utenti per Google Security Operations SOAR.

      Per impostazione predefinita, Google Security Operations legge le informazioni del gruppo da: nomi degli attributi di asserzione senza distinzione tra maiuscole e minuscole: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ e _assertion.attributes.memberOf_.

      Quando configuri l'applicazione SAML per passare le informazioni sull'iscrizione al gruppo nell'asserzione, imposta il nome dell'attributo di gruppo su _group_, _idpGroup_ o _memberOf_.

      Nel comando di esempio, puoi sostituire assertion.attributes.groups con assertion.attributes.idpGroup o assertion.attributes.memberOf, che rappresenta il nome dell'attributo di gruppo che hai configurato nell'IdP SAML e che contiene informazioni sull'appartenenza al gruppo nell'asserzione.

      Il seguente esempio mappa più gruppi all'attributo google.groups:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      L'esempio seguente mappa il gruppo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group contenente caratteri speciali a google.groups:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Per ulteriori informazioni sugli attributi di mappatura, consulta Mappature degli attributi.

      Per eseguire questa configurazione utilizzando la console Google Cloud, vedi Creare un provider SAML.

Concedi un ruolo per consentire l'accesso a Google Security Operations

I passaggi seguenti spiegano come concedere un ruolo specifico utilizzando IAM per consentire agli utenti di accedere a Google Security Operations. Esegui la configurazione utilizzando il progetto Google Cloud associato a Google Security Operations che hai creato in precedenza.

In questo esempio viene utilizzato il comando gcloud. Per utilizzare la console Google Cloud, consulta Concedere un singolo ruolo.

  1. Concedi il visualizzatore API Chronicle (roles/chronicle.viewer) agli utenti o ai gruppi che dovrebbero avere accesso all'applicazione Google Security Operations.

    L'esempio seguente concede il ruolo Visualizzatore API Chronicle alle identità gestite utilizzando il pool di identità della forza lavoro e il provider di forza lavoro che hai creato in precedenza.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Sostituisci quanto segue:

    Per concedere il ruolo Visualizzatore API Chronicle a un gruppo specifico, esegui questo comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Sostituisci GROUP_ID: un gruppo nella rivendicazione google.groups mappata.

  2. Configura criteri IAM aggiuntivi per soddisfare i requisiti della tua organizzazione.

Verificare o configurare il controllo dell'accesso alle funzionalità di Google Security Operations

Se hai configurato la federazione delle identità della forza lavoro con attributi o gruppi mappati all'attributo google.groups, queste informazioni vengono passate a Google Security Operations in modo da poter configurare controllo dell'accesso basato su ruoli (RBAC) alle funzionalità di Google Security Operations.

Se l'istanza Google Security Operations ha una configurazione RBAC esistente, verifica che la configurazione originale funzioni come previsto.

Se non hai configurato il controllo dell'accesso in precedenza, consulta Configurare il controllo dell'accesso alle funzionalità utilizzando IAM per informazioni su come controllare l'accesso alle funzionalità.

Modifica la configurazione della federazione delle identità per la forza lavoro

Se devi aggiornare il pool di identità della forza lavoro o il provider della forza lavoro, consulta Gestire i provider di pool di identità della forza lavoro per informazioni sull'aggiornamento della configurazione.

La sezione Gestione delle chiavi in Creare un provider di pool di forza lavoro SAML descrive come aggiornare le chiavi di firma dell'IdP e il provider della forza lavoro con il file XML dei metadati dell'applicazione più recente.

Di seguito è riportato un esempio di comando gcloud che aggiorna la configurazione del provider della forza lavoro:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Sostituisci quanto segue:

  • WORKFORCE_PROVIDER_ID: il valore definito per l'ID provider di forza lavoro.
  • WORKFORCE_POOL_ID: il valore definito per l'ID pool di identità della forza lavoro.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: un nome semplice per il fornitore della forza lavoro. Il valore deve contenere meno di 32 caratteri.
  • WORKFORCE_PROVIDER_DESCRIPTION: la descrizione del fornitore della forza lavoro.
  • PATH_TO_METADATA_XML: posizione del file XML dei metadati dell'applicazione aggiornato, ad esempio: /path/to/sso_metadata_updated.xml.

  • ATTRIBUTE_MAPPINGS: attributi dell'asserzione mappati agli attributi di Google Cloud. Ad esempio:

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Per assicurarti che Google SecOps RBAC continui a funzionare come previsto, mappa anche la google.groups a tutti i gruppi utilizzati per definire i ruoli in Google SecOps.

Risolvere i problemi relativi alla configurazione

Se si verificano errori durante questa procedura, esamina Risolvi i problemi relativi alla federazione delle identità della forza lavoro per risolvere problemi comuni. La seguente sezione fornisce informazioni sui problemi riscontrati durante l'esecuzione dei passaggi descritti in questo documento.

Se i problemi persistono, contatta il tuo rappresentante Google SecOps e fornisci il file di log di rete di Chrome.

command not found errore durante la creazione di un provider di pool di identità per la forza lavoro

Quando crei un provider di pool di identità per la forza lavoro e specifichi i dettagli dell'IdP, viene visualizzato il seguente errore:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Verifica che PATH_TO_METADATA_XML sia la posizione in cui hai caricato il file XML dei metadati dell'applicazione SAML nella home directory di Cloud Shell.

The caller does not have permission errore

Quando esegui il comando gcloud projects add-iam-policy-binding per concedere ruoli a utenti o gruppi, viene visualizzato il seguente errore:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Verifica di disporre delle autorizzazioni necessarie. Per saperne di più, consulta Ruoli obbligatori.

Passaggi successivi

Dopo aver completato i passaggi descritti in questo documento, segui questi passaggi: