Externen Identitätsanbieter konfigurieren
Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter (z. B. Okta oder Azure AD) verwenden, um Nutzer, Gruppen und Authentifizierung zu verwalten.
Auf dieser Seite wird beschrieben, wie Sie einen externen Identitätsanbieter verwenden, indem Sie die Mitarbeiteridentitätsföderation konfigurieren. Informationen zur Verwendung von Cloud Identity oder Google Workspace finden Sie unter Google Cloud-Identitätsanbieter konfigurieren.
Mit der Mitarbeiteridentitätsföderation von Google können Sie lokalen oder Multi-Cloud-Arbeitslasten Zugriff auf Google Cloud-Ressourcen gewähren, ohne einen Dienstkontoschlüssel verwenden zu müssen. Sie können die Mitarbeiteridentitätsföderation mit jedem externen Identitätsanbieter (Identity Provider, IdP) verwenden, der OpenID Connect (OIDC) unterstützt, einschließlich Microsoft Azure, Okta oder SAML 2.0.
Google Security Operations setzt die Verwendung der Mitarbeiteridentitätsföderation von Google als SSO-Broker für Folgendes voraus:
- Kunden mit FedRAMP High-Compliance-Anforderungen (oder höher)
- Kunden, die auf Kontrollen auf Unternehmensebene in Google Security Operations zugreifen, die durch Google Cloud aktiviert werden, einschließlich rollenbasierter Zugriffssteuerung (Role-based Access Control, RBAC) von Features mithilfe von Identity and Access Management (IAM).
- Kunden, die die Self-Service-Verwaltung von Anmeldedaten für den programmatischen Zugriff auf die Google Security Operations API verwenden
Google Security Operations unterstützt die vom Dienstanbieter initiierte SAML-SSO für Nutzer. Mit dieser Funktion können Nutzer direkt zu Google Security Operations wechseln. Google Security Operations gibt über die Mitarbeiteridentitätsföderation von Google Cloud Identity and Access Management (IAM) eine Anfrage an den externen Identitätsanbieter aus.
Nachdem der IdP die Nutzeridentität authentifiziert hat, wird der Nutzer mit einer Authentifizierungs-Assertion an Google Security Operations zurückgegeben. Die Google Cloud-Mitarbeiteridentitätsföderation fungiert als Vermittler im Authentifizierungsablauf.
Kommunikation zwischen Google Security Operations, der IAM-Mitarbeiteridentitätsföderation und dem IdP
Auf übergeordneter Ebene läuft die Kommunikation so ab:
- Der Nutzer ruft Google Security Operations auf.
- Google Security Operations sucht im Google Cloud-Mitarbeiteridentitätspool nach IdP-Informationen.
- Eine Anfrage wird an den IdP gesendet.
- Die SAML-Assertion wird an den Mitarbeiteridentitätspool von Google Cloud gesendet.
- Wenn die Authentifizierung erfolgreich ist, empfängt Google Security Operations nur die SAML-Attribute, die beim Konfigurieren des Personalanbieters im Mitarbeiteridentitätspool definiert wurden.
Google Security Operations-Administratoren erstellen Gruppen in ihrem Identitätsanbieter, konfigurieren die SAML-Anwendung so, dass Informationen zur Gruppenmitgliedschaft in der Assertion weitergegeben werden, und verknüpfen dann Nutzer und Gruppen mit den vordefinierten Rollen von Google Security Operations in IAM oder mit von ihnen erstellten benutzerdefinierten Rollen.
Eine vom IdP initiierte Anmeldung, also eine Anmeldung über Ihr IdP-Dashboard, wird nicht unterstützt. Wenden Sie sich an Ihren Google Security Operations-Mitarbeiter, um diese Funktion anzufordern, wenn Ihre Organisation die Funktion benötigt.
In diesem Dokument werden allgemeine Schritte zum Einrichten der Authentifizierung über einen externen Identitätsanbieter (Identity Provider, IdP) mithilfe der Google Cloud-Mitarbeiteridentitätsföderation beschrieben. Nachdem Sie die Schritte in diesem Dokument ausgeführt haben, können Sie über Ihren externen IdP auf Google Security Operations zugreifen und den Zugriff auf Google Security Operations mithilfe der SAML-SSO über die Mitarbeiteridentitätsföderation verwalten.
Hinweise
- Machen Sie sich mit Cloud Shell, dem Befehl
gcloud
und der Google Cloud Console vertraut. - Führen Sie die Schritte unter Google Cloud-Projekt für Google Security Operations konfigurieren aus, um ein Projekt einzurichten, das an Google Security Operations gebunden wird.
- Machen Sie sich mit der Mitarbeiteridentitätsföderation von Google Cloud vertraut.
- Prüfen Sie, ob Sie die Berechtigungen zum Ausführen der Schritte in diesem Dokument haben. Informationen zu den erforderlichen Berechtigungen für die einzelnen Phasen des Onboarding-Prozesses finden Sie unter Erforderliche Rollen.
In den folgenden Schritten wird beschrieben, wie die Konfiguration mit gcloud
-Befehlen ausgeführt wird. Wenn ein Schritt in der Google Cloud Console ausgeführt werden kann, wird ein Link zur zugehörigen IAM-Dokumentation bereitgestellt.
Implementierung planen
Im folgenden Abschnitt werden die Entscheidungen und Informationen beschrieben, die Sie treffen müssen, bevor Sie die Schritte in diesem Dokument ausführen.
Personalidentitätspool und Personalanbieter definieren
Im Rahmen dieses Prozesses konfigurieren Sie die Google Cloud-Mitarbeiteridentitätsföderation als Vermittler im Authentifizierungsvorgang. Dazu erstellen Sie die folgenden Google Cloud-Ressourcen:
- Personalpool: Mit einem Mitarbeiteridentitätspool können Sie Ihren Mitarbeitern (z.B. Mitarbeitern) Zugriff auf Google Security Operations gewähren.
- Personalanbieter: Ein Personalanbieter ist eine Unterressource des Mitarbeiteridentitätspools. Er speichert Details zu einem einzelnen IdP.
Die Beziehung zwischen dem Mitarbeiteridentitätspool, Personalanbietern und einer Google Security Operations-Instanz, die durch eine einzelne Kunden-Subdomain identifiziert wird, sieht so aus:
- Ein Mitarbeiteridentitätspool wird auf Organisationsebene definiert.
- Für jede Google Security Operations-Instanz ist ein Mitarbeiteridentitätspool konfiguriert und zugeordnet.
- Ein Mitarbeiteridentitätspool kann mehrere Personalanbieter haben.
- Jeder Personalanbieter bindet einen externen IdP in den Mitarbeiteridentitätspool ein.
- Der Mitarbeiteridentitätspool, den Sie mit diesen Schritten erstellen, muss für Google SecOps reserviert sein. Sie können zwar mehrere Mitarbeiteridentitätspools für andere Zwecke verwalten, der für Google SecOps erstellte Mitarbeiteridentitätspool kann jedoch nicht freigegeben werden.
- Wir empfehlen, den Mitarbeiteridentitätspool in derselben Google Cloud-Organisation zu erstellen, die das an Google SecOps gebundene Projekt enthält.
Sie sparen Zeit, wenn Sie Informationen über den Personalidentitätspool und den Personalanbieter vordefinieren. Sie verwenden diese Informationen, wenn Sie die IdP-SAML-Anwendung und die Mitarbeiteridentitätsföderation konfigurieren.
Wählen Sie die Werte für die folgenden Kennzeichnungen aus:
- Personalpool-ID (
WORKFORCE_POOL_ID
): Wählen Sie einen Wert aus, der den Bereich oder Zweck des Mitarbeiteridentitätspools angibt. Der Wert muss die folgenden Anforderungen erfüllen:- Muss global eindeutig sein.
- Darf nur Kleinbuchstaben [a–z], Ziffern [0–9] und Bindestriche [-] enthalten.
- Muss mit einem Kleinbuchstaben [a–z] beginnen.
- Muss mit einem Kleinbuchstaben [a–z] oder einer Ziffer [0–9] enden.
- Sie können zwischen 4 und 61 Zeichen lang sein.
- Anzeigename des Personalpools (
WORKFORCE_POOL_DISPLAY_NAME
): Definieren Sie einen nutzerfreundlichen Namen für den Mitarbeiteridentitätspool. - Beschreibung des Personalpools (
WORKFORCE_POOL_DESCRIPTION
): Definieren Sie eine detaillierte Beschreibung des Mitarbeiteridentitätspools. - Personalanbieter-ID (
WORKFORCE_PROVIDER_ID
): Wählen Sie einen Wert aus, der den repräsentierten IdP angibt. Der Wert muss die folgenden Anforderungen erfüllen:- Darf nur Kleinbuchstaben [a–z], Ziffern [0–9] und Bindestriche [-] enthalten.
- Sie können zwischen 4 und 32 Zeichen lang sein.
- Anzeigename des Personalanbieters (
WORKFORCE_PROVIDER_DISPLAY_NAME
): Definieren Sie einen nutzerfreundlichen Namen für den Personalanbieter. Er muss kürzer als 32 Zeichen sein. - Beschreibung des Personalanbieters (
WORKFORCE_PROVIDER_DESCRIPTION
): Definieren Sie eine detaillierte Beschreibung des Personalanbieters.
Nutzerattribute und Gruppen im IdP definieren
Bevor Sie die SAML-Anwendung im IdP erstellen, ermitteln Sie, welche Nutzerattribute und Gruppen zum Konfigurieren des Zugriffs auf Funktionen in Google Security Operations erforderlich sind. Weitere Informationen finden Sie unter Zugriffssteuerung für Features mit IAM konfigurieren und Google Security Operations-Berechtigungen in IAM.
Sie benötigen diese Informationen in den folgenden Phasen dieses Prozesses:
Bei der Konfiguration der SAML-Anwendung erstellen Sie die während der Planung definierten Gruppen. Sie konfigurieren die SAML-Anwendung des IdP so, dass Gruppenmitgliedschaften in der Assertion übergeben werden.
Wenn Sie den Personalanbieter erstellen, ordnen Sie Assertion-Attribute und -Gruppen Google Cloud-Attributen zu. Diese Informationen werden im Assertion-Anspruch als Teil der Identität eines Nutzers gesendet.
Beim Einrichten der rollenbasierten Zugriffssteuerung in Google Security Operations verwenden Sie die Nutzerattribute und Gruppeninformationen, um den Zugriff auf Google Security Operations-Features zu konfigurieren.
Google Security Operations bietet mehrere vordefinierte Rollen, die jeweils den Zugriff auf bestimmte Funktionen ermöglichen. Sie können die in der IdP-SAML-Anwendung definierten Gruppen diesen vordefinierten Rollen zuordnen.
Erstellen Sie eine IdP-Gruppe für Administratoren, die konfigurieren, welche Nutzer und Gruppen auf SOAR-bezogene Funktionen zugreifen können. Während der Einrichtung geben Sie diesen Gruppennamen an, damit die Nutzer in dieser Gruppe die Zugriffssteuerung für SOAR-Funktionen einrichten können.
IdP konfigurieren
In diesem Abschnitt wird nur die spezifische Konfiguration beschrieben, die in einer IdP-SAML-Anwendung für die Einbindung in die Mitarbeiteridentitätsföderation von Google Cloud und Google Security Operations erforderlich ist.
Erstellen Sie bei Ihrem IdP eine neue SAML-Anwendung.
Konfigurieren Sie die Anwendung mit der folgenden ACS-URL (Assertion Consumer Service), die je nach Dienstanbieter auch als SSO-URL bezeichnet wird.
https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID
: Die Kennung, die Sie für den Mitarbeiteridentitätspool definiert haben.WORKFORCE_PROVIDER_ID
: Die Kennung, die Sie für den Personalanbieter definiert haben.Eine Beschreibung dieser Werte finden Sie unter Implementierung planen.
Konfigurieren Sie die Anwendung mit der folgenden Entitäts-ID (auch SP-Entitäts-ID genannt).
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID
: Die Kennung, die Sie für den Mitarbeiteridentitätspool definiert haben.WORKFORCE_PROVIDER_ID
: Die Kennung, die Sie für den Personalanbieter definiert haben.
Konfigurieren Sie die Namens-ID in Ihrem IdP, damit das Feld
NameID
in der SAML-Antwort zurückgegeben wird.Sie können diesen Wert auf einen Wert festlegen, der Ihre Organisationsrichtlinien unterstützt, z. B. die E-Mail-Adresse oder den Nutzernamen. Informationen zum Konfigurieren dieses Werts finden Sie in der IdP-Dokumentation. Weitere Informationen zu dieser Anforderung finden Sie unter Fehlerbehebung bei der Mitarbeiteridentitätsföderation.
Optional können Sie die Gruppenattribute in der SAML-Anwendung erstellen. Sie haben diese bei der Planung der IdP-Implementierung definiert.
Laden Sie die XML-Datei mit den Metadaten der Anwendung herunter. Im nächsten Abschnitt laden Sie diese Datei mit Cloud Shell von Ihrem lokalen System in Ihr Google Cloud-Basisverzeichnis hoch.
Workforce Identity-Föderation konfigurieren
In diesem Abschnitt werden nur die spezifischen Schritte beschrieben, die zum Konfigurieren der Mitarbeiteridentitätsföderation mit der IdP-SAML-Anwendung erforderlich sind, die Sie im vorherigen Abschnitt erstellt haben. Weitere Informationen zum Verwalten von Identitätspools für Mitarbeiter finden Sie unter Anbieter von Mitarbeiteridentitätspools verwalten.
Öffnen Sie die Google Cloud Console als Nutzer mit den erforderlichen Berechtigungen für das an Google Security Operations gebundene Projekt. Sie haben diesen Nutzer zuvor identifiziert oder erstellt. Weitere Informationen finden Sie im Abschnitt Vorbereitung.
Starten Sie eine Cloud Shell-Sitzung.
Legen Sie das Google Cloud-Projekt fest, das für Vorgänge, die über die gcloud CLI ausgeführt werden, abgerechnet werden und kostenpflichtige Kontingente erhalten. Verwenden Sie als Beispiel den folgenden
gcloud
-Befehl:gcloud config set billing/quota_project PROJECT_ID
Ersetzen Sie
PROJECT_ID
durch die Projekt-ID des an Google Security Operations gebundenen Projekts, das Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren erstellt haben. Eine Beschreibung der Felder, die ein Projekt identifizieren, finden Sie unter Projekte erstellen und verwalten.Informationen zu Kontingenten finden Sie in den folgenden Dokumenten:
Wenn ein Fehler auftritt, lesen Sie die Informationen unter Kontingentfehler.
Mitarbeiteridentitätspool erstellen und konfigurieren
Sie können einen Mitarbeiteridentitätspool so konfigurieren, dass er in einen externen Identitätsanbieter (Identity Provider, IdP) oder in Google Workspace oder Cloud Identity eingebunden wird.
Erstellen Sie einen Mitarbeiteridentitätspool.
Erstellen Sie einen Mitarbeiteridentitätspool für einen externen IdP:
Verwenden Sie als Beispiel den folgenden
gcloud
-Befehl:gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization="ORGANIZATION_ID" \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME"
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID
: Die Kennung, die Sie für den Mitarbeiteridentitätspool definiert haben.ORGANIZATION_ID
: die numerische Organisations-ID.WORKFORCE_POOL_DESCRIPTION
: Geben Sie eine Beschreibung des Mitarbeiteridentitätspools an.WORKFORCE_POOL_DISPLAY_NAME
: Geben Sie einen nutzerfreundlichen Namen für den Mitarbeiteridentitätspool an.
Informationen zum Ausführen dieser Konfiguration über die Google Cloud Console finden Sie unter Pool erstellen.
Wenn der Befehl erfolgreich ausgeführt wurde, fahren Sie mit dem nächsten Schritt fort. Wenn der Befehl fehlschlägt, sollten Sie prüfen, ob die folgenden Szenarien auf Ihre Umgebung zutreffen:
- Sie möchten sich mit Google Workspace oder Cloud Identity in Google SecOps anmelden
- Die Fehlermeldung „Mitarbeiteridentitätsföderation ist für Ihre Organisation noch nicht verfügbar. Wenden Sie sich an einen Google Cloud-Ansprechpartner.“ wird angezeigt.
Wenn diese Szenarien zutreffen, fügen Sie dem Befehl die Flags
--allowed-services domain=backstory.chronicle.security
und--disable-programmatic-signin
hinzu:gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization="ORGANIZATION_ID" \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME" \ --allowed-services domain=backstory.chronicle.security \ --disable-programmatic-signin
Mit diesem Befehl wird ein Personalpool erstellt, der nicht für die Anmeldung in Google Cloud verwendet werden kann. Sie müssen jedoch diese Flags verwenden, um diese Szenarien zu bewältigen.
Wenn Sie in der Befehlszeile aufgefordert werden, die Chronicle API zu aktivieren, geben Sie
Yes
ein.
Mitarbeiteridentitätsanbieter erstellen
Laden Sie die Metadatendatei der SAML-Anwendung in das Cloud Shell-Basisverzeichnis hoch. Klicken Sie dazu auf das >. Dateien können nur in Ihr Basisverzeichnis hochgeladen werden. Weitere Optionen zum Übertragen von Dateien zwischen Cloud Shell und Ihrer lokalen Workstation finden Sie unter Dateien und Ordner in Cloud Shell hochladen und herunterladen.
Dreipunkt-MenüNotieren Sie sich den Verzeichnispfad, in den Sie die Metadaten-XML-Datei der SAML-Anwendung in Cloud Shell hochgeladen haben. Sie benötigen diesen Pfad im nächsten Schritt.
Erstellen Sie einen Mitarbeiteridentitätspoolanbieter und geben Sie die IdP-Details an.
Verwenden Sie als Beispiel den folgenden
gcloud
-Befehl:gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --location="global" \ --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \ --description="WORKFORCE_PROVIDER_DESCRIPTION" \ --idp-metadata-path=PATH_TO_METADATA_XML \ --attribute-mapping="ATTRIBUTE_MAPPINGS"
Weitere Informationen zu diesen Werten finden Sie unter Implementierung planen.
Ersetzen Sie Folgendes:
WORKFORCE_PROVIDER_ID
: der Wert, den Sie für die Personalanbieter-ID definiert haben.WORKFORCE_POOL_ID
: Der Wert, den Sie für die ID des Mitarbeiteridentitätspools definiert haben.WORKFORCE_PROVIDER_DISPLAY_NAME
: ein nutzerfreundlicher Name für den Personalanbieter. Er muss kürzer als 32 Zeichen sein.WORKFORCE_PROVIDER_DESCRIPTION
: eine Beschreibung des Personalanbieters.PATH_TO_METADATA_XML
: der Speicherort des Cloud Shell-Verzeichnisses der XML-Datei mit den Anwendungsmetadaten, die Sie mit Cloud Shell hochgeladen haben, z. B./path/to/sso_metadata.xml
.ATTRIBUTE_MAPPINGS
: Definition, wie Assertion-Attribute Google Cloud-Attributen zugeordnet werden. Common Expression Language wird verwendet, um diese Zuordnung zu interpretieren. Beispiel:google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups
Im vorherigen Beispiel werden die folgenden Attribute zugeordnet:
assertion.subject
zugoogle.subject
. Dies ist eine Mindestanforderung.assertion.attributes.name[0]
zugoogle.display_name
.assertion.attributes.groups
für das Attributgoogle.groups
.
Wenn Sie diese Konfiguration für Google Security Operations durchführen, die Google Security Operations SIEM und Google Security Operations SOAR umfasst, müssen Sie auch die folgenden Attribute zuordnen, die für Google Security Operations SOAR erforderlich sind:
attribute.first_name
attribute.last_name
attribute.user_email
google.groups
Weitere Informationen zum Bereitstellen und Zuordnen von Nutzern für Google Security Operations SOAR
Google Security Operations liest standardmäßig Gruppeninformationen aus den folgenden Assertion-Attributnamen ohne Berücksichtigung der Groß- und Kleinschreibung:
_assertion.attributes.groups_
,_assertion.attributes.idpGroup_
und_assertion.attributes.memberOf_
.Wenn Sie die SAML-Anwendung so konfigurieren, dass Informationen zur Gruppenmitgliedschaft in der Assertion weitergegeben werden, legen Sie den Gruppenattributnamen entweder auf
_group_
,_idpGroup_
oder_memberOf_
fest.Im Beispielbefehl können Sie
assertion.attributes.groups
durchassertion.attributes.idpGroup
oderassertion.attributes.memberOf
ersetzen. Dies ist der Name des Gruppenattributs, das Sie in der SAML-Anwendung des IdP konfiguriert haben, und das Informationen zur Gruppenmitgliedschaft in der Assertion enthält.Im folgenden Beispiel werden dem Attribut
google.groups
mehrere Gruppen zugeordnet:google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"
Im folgenden Beispiel wird die Gruppe
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group
mit Sonderzeichengoogle.groups
zugeordnet:google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"
Weitere Informationen zum Zuordnen von Attributen finden Sie unter Attributzuordnungen.
Informationen zum Ausführen dieser Konfiguration über die Google Cloud Console finden Sie unter SAML-Anbieter erstellen.
Rolle zum Anmelden in Google Security Operations gewähren
In den folgenden Schritten wird beschrieben, wie Sie mithilfe von IAM eine bestimmte Rolle zuweisen, damit sich Nutzer in Google Security Operations anmelden können. Führen Sie die Konfiguration mit dem zuvor erstellten Google Cloud-Projekt mit Google Security Operations durch.
In diesem Beispiel wird der Befehl gcloud
verwendet. Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.
Gewähren Sie Nutzern oder Gruppen, die Zugriff auf die Google Security Operations-Anwendung haben sollen, die Rolle Chronicle API Viewer (
roles/chronicle.viewer
).Im folgenden Beispiel wird den Identitäten, die mit dem zuvor erstellten Mitarbeiteridentitätspool und dem Mitarbeiteranbieter verwaltet werden, die Rolle „Chronicle API Viewer“ zugewiesen.
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"
Ersetzen Sie Folgendes:
PROJECT_ID
: durch die Projekt-ID des an Google Security Operations gebundenen Projekts, das Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren konfiguriert haben. Unter Projekte erstellen und verwalten finden Sie eine Beschreibung der Felder, die ein Projekt identifizieren.WORKFORCE_POOL_ID
: Der Wert, den Sie für die ID des Mitarbeiteridentitätspools definiert haben.
Führen Sie den folgenden Befehl aus, um einer bestimmten Gruppe die Rolle „Chronicle API Viewer“ zu gewähren:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Ersetzen Sie
GROUP_ID
: eine Gruppe in der zugeordnetengoogle.groups
-Anforderung.Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Anforderungen Ihrer Organisation zu erfüllen.
Zugriffssteuerung für Google Security Operations-Features überprüfen oder konfigurieren
Wenn Sie die Mitarbeiteridentitätsföderation mit Attributen oder Gruppen konfiguriert haben, die dem Attribut google.groups
zugeordnet sind, werden diese Informationen an Google Security Operations übergeben, damit Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Google Security Operations-Features konfigurieren können.
Wenn für die Google Security Operations-Instanz eine RBAC-Konfiguration vorhanden ist, prüfen Sie, ob die ursprüngliche Konfiguration wie erwartet funktioniert.
Wenn Sie die Zugriffssteuerung noch nicht konfiguriert haben, finden Sie unter Zugriffssteuerung für Features mit IAM konfigurieren Informationen zum Steuern des Zugriffs auf Features.
Konfiguration der Mitarbeiteridentitätsföderation ändern
Wenn Sie den Mitarbeiteridentitätspool oder den Personalanbieter aktualisieren müssen, finden Sie unter Personalidentitätspoolanbieter verwalten Informationen zum Aktualisieren der Konfiguration.
Im Abschnitt Schlüsselverwaltung unter SAML-Personalpoolanbieter erstellen wird beschrieben, wie Sie die IdP-Signaturschlüssel und anschließend die Konfiguration des Personalanbieters mit der neuesten XML-Datei für Anwendungsmetadaten aktualisieren.
Hier sehen Sie ein Beispiel für einen gcloud
-Befehl, mit dem die Konfiguration des Personalanbieters aktualisiert wird:
gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location="global" \
--display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
--description="WORKFORCE_PROVIDER_DESCRIPTION" \
--idp-metadata-path=PATH_TO_METADATA_XML \
--attribute-mapping="ATTRIBUTE_MAPPINGS"
Ersetzen Sie Folgendes:
WORKFORCE_PROVIDER_ID
: der Wert, den Sie für die Personalanbieter-ID definiert haben.WORKFORCE_POOL_ID
: Der Wert, den Sie für die ID des Mitarbeiteridentitätspools definiert haben.WORKFORCE_PROVIDER_DISPLAY_NAME
: ein nutzerfreundlicher Name für den Personalanbieter. Der Wert muss kürzer als 32 Zeichen sein.WORKFORCE_PROVIDER_DESCRIPTION
: die Beschreibung des Personalanbieters.PATH_TO_METADATA_XML
: Speicherort der aktualisierten XML-Datei mit Anwendungsmetadaten, z. B./path/to/sso_metadata_updated.xml
ATTRIBUTE_MAPPINGS
: Die zugeordneten Assertion-Attribute zu Google Cloud-Attributen. Beispiel:google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf
Damit Google SecOps RBAC weiterhin wie erwartet funktioniert, ordnen Sie auch das Attribut google.groups
allen Gruppen zu, die zum Definieren von Rollen in Google SecOps verwendet werden.
Konfigurationsprobleme beheben
Wenn während dieses Vorgangs Fehler auftreten, lesen Sie den Artikel Fehlerbehebung bei der Mitarbeiteridentitätsföderation, um häufige Probleme zu beheben. Der folgende Abschnitt enthält Informationen zu häufigen Problemen, die beim Ausführen der Schritte in diesem Dokument auftreten können.
Sollten weiterhin Probleme auftreten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner und stellen Sie Ihre Chrome-Netzwerkprotokolldatei zur Verfügung.
command not found
Fehler beim Erstellen eines Anbieters für Mitarbeiteridentitätspools
Wenn Sie einen Personalidentitätspoolanbieter erstellen und die IdP-Details angeben, wird der folgende Fehler angezeigt:
Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found
Achten Sie darauf, dass PATH_TO_METADATA_XML
der Speicherort ist, an dem Sie die Metadaten-XML-Datei der SAML-Anwendung in Ihr Cloud Shell-Basisverzeichnis hochgeladen haben.
The caller does not have permission
Fehler
Wenn Sie den Befehl gcloud projects add-iam-policy-binding
ausführen, um Nutzern oder Gruppen Rollen zuzuweisen, wird der folgende Fehler ausgegeben:
ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission
Prüfen Sie, ob Sie die erforderlichen Berechtigungen haben. Weitere Informationen finden Sie unter Erforderliche Rollen.
Nächste Schritte
Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus:
Führen Sie die Schritte zum Verknüpfen einer Google Security Operations-Instanz mit Google Cloud-Diensten aus.
Wenn Sie das Audit-Logging noch nicht eingerichtet haben, fahren Sie mit dem Aktivieren des Audit-Loggings von Google Security Operations fort.
Wenn Sie für Google Security Operations konfigurieren, führen Sie zusätzliche Schritte unter Nutzer in Google Security Operations bereitstellen, authentifizieren und zuordnen aus.
Zum Konfigurieren des Zugriffs auf Features führen Sie zusätzliche Schritte unter Zugriffssteuerung für Features mit IAM konfigurieren und Google Security Operations-Berechtigungen in IAM aus