Externen Identitätsanbieter konfigurieren

Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter (z. B. Okta oder Azure AD) verwenden, um Nutzer, Gruppen und Authentifizierung zu verwalten.

Auf dieser Seite wird beschrieben, wie Sie einen externen Identitätsanbieter verwenden, indem Sie die Mitarbeiteridentitätsföderation konfigurieren. Informationen zur Verwendung von Cloud Identity oder Google Workspace finden Sie unter Google Cloud-Identitätsanbieter konfigurieren.

Mit der Mitarbeiteridentitätsföderation von Google können Sie lokalen oder Multi-Cloud-Arbeitslasten Zugriff auf Google Cloud-Ressourcen gewähren, ohne einen Dienstkontoschlüssel verwenden zu müssen. Sie können die Mitarbeiteridentitätsföderation mit jedem externen Identitätsanbieter (Identity Provider, IdP) verwenden, der OpenID Connect (OIDC) unterstützt, einschließlich Microsoft Azure, Okta oder SAML 2.0.

Google Security Operations setzt die Verwendung der Mitarbeiteridentitätsföderation von Google als SSO-Broker für Folgendes voraus:

  • Kunden mit FedRAMP High-Compliance-Anforderungen (oder höher)
  • Kunden, die auf Kontrollen auf Unternehmensebene in Google Security Operations zugreifen, die durch Google Cloud aktiviert werden, einschließlich rollenbasierter Zugriffssteuerung (Role-based Access Control, RBAC) von Features mithilfe von Identity and Access Management (IAM).
  • Kunden, die die Self-Service-Verwaltung von Anmeldedaten für den programmatischen Zugriff auf die Google Security Operations API verwenden

Google Security Operations unterstützt die vom Dienstanbieter initiierte SAML-SSO für Nutzer. Mit dieser Funktion können Nutzer direkt zu Google Security Operations wechseln. Google Security Operations gibt über die Mitarbeiteridentitätsföderation von Google Cloud Identity and Access Management (IAM) eine Anfrage an den externen Identitätsanbieter aus.

Nachdem der IdP die Nutzeridentität authentifiziert hat, wird der Nutzer mit einer Authentifizierungs-Assertion an Google Security Operations zurückgegeben. Die Google Cloud-Mitarbeiteridentitätsföderation fungiert als Vermittler im Authentifizierungsablauf.

Kommunikation zwischen Google Security Operations, der Google Cloud IAM-Mitarbeiteridentitätsföderation und dem IdP

Kommunikation zwischen Google Security Operations, der IAM-Mitarbeiteridentitätsföderation und dem IdP

Auf übergeordneter Ebene läuft die Kommunikation so ab:

  1. Der Nutzer ruft Google Security Operations auf.
  2. Google Security Operations sucht im Google Cloud-Mitarbeiteridentitätspool nach IdP-Informationen.
  3. Eine Anfrage wird an den IdP gesendet.
  4. Die SAML-Assertion wird an den Mitarbeiteridentitätspool von Google Cloud gesendet.
  5. Wenn die Authentifizierung erfolgreich ist, empfängt Google Security Operations nur die SAML-Attribute, die beim Konfigurieren des Personalanbieters im Mitarbeiteridentitätspool definiert wurden.

Google Security Operations-Administratoren erstellen Gruppen in ihrem Identitätsanbieter, konfigurieren die SAML-Anwendung so, dass Informationen zur Gruppenmitgliedschaft in der Assertion weitergegeben werden, und verknüpfen dann Nutzer und Gruppen mit den vordefinierten Rollen von Google Security Operations in IAM oder mit von ihnen erstellten benutzerdefinierten Rollen.

Eine vom IdP initiierte Anmeldung, also eine Anmeldung über Ihr IdP-Dashboard, wird nicht unterstützt. Wenden Sie sich an Ihren Google Security Operations-Mitarbeiter, um diese Funktion anzufordern, wenn Ihre Organisation die Funktion benötigt.

In diesem Dokument werden allgemeine Schritte zum Einrichten der Authentifizierung über einen externen Identitätsanbieter (Identity Provider, IdP) mithilfe der Google Cloud-Mitarbeiteridentitätsföderation beschrieben. Nachdem Sie die Schritte in diesem Dokument ausgeführt haben, können Sie über Ihren externen IdP auf Google Security Operations zugreifen und den Zugriff auf Google Security Operations mithilfe der SAML-SSO über die Mitarbeiteridentitätsföderation verwalten.

Hinweise

In den folgenden Schritten wird beschrieben, wie die Konfiguration mit gcloud-Befehlen ausgeführt wird. Wenn ein Schritt in der Google Cloud Console ausgeführt werden kann, wird ein Link zur zugehörigen IAM-Dokumentation bereitgestellt.

Implementierung planen

Im folgenden Abschnitt werden die Entscheidungen und Informationen beschrieben, die Sie treffen müssen, bevor Sie die Schritte in diesem Dokument ausführen.

Personalidentitätspool und Personalanbieter definieren

Im Rahmen dieses Prozesses konfigurieren Sie die Google Cloud-Mitarbeiteridentitätsföderation als Vermittler im Authentifizierungsvorgang. Dazu erstellen Sie die folgenden Google Cloud-Ressourcen:

  • Personalpool: Mit einem Mitarbeiteridentitätspool können Sie Ihren Mitarbeitern (z.B. Mitarbeitern) Zugriff auf Google Security Operations gewähren.
  • Personalanbieter: Ein Personalanbieter ist eine Unterressource des Mitarbeiteridentitätspools. Er speichert Details zu einem einzelnen IdP.

Die Beziehung zwischen dem Mitarbeiteridentitätspool, Personalanbietern und einer Google Security Operations-Instanz, die durch eine einzelne Kunden-Subdomain identifiziert wird, sieht so aus:

  • Ein Mitarbeiteridentitätspool wird auf Organisationsebene definiert.
  • Für jede Google Security Operations-Instanz ist ein Mitarbeiteridentitätspool konfiguriert und zugeordnet.
  • Ein Mitarbeiteridentitätspool kann mehrere Personalanbieter haben.
  • Jeder Personalanbieter bindet einen externen IdP in den Mitarbeiteridentitätspool ein.
  • Der Mitarbeiteridentitätspool, den Sie mit diesen Schritten erstellen, muss für Google SecOps reserviert sein. Sie können zwar mehrere Mitarbeiteridentitätspools für andere Zwecke verwalten, der für Google SecOps erstellte Mitarbeiteridentitätspool kann jedoch nicht freigegeben werden.
  • Wir empfehlen, den Mitarbeiteridentitätspool in derselben Google Cloud-Organisation zu erstellen, die das an Google SecOps gebundene Projekt enthält.

Sie sparen Zeit, wenn Sie Informationen über den Personalidentitätspool und den Personalanbieter vordefinieren. Sie verwenden diese Informationen, wenn Sie die IdP-SAML-Anwendung und die Mitarbeiteridentitätsföderation konfigurieren.

Wählen Sie die Werte für die folgenden Kennzeichnungen aus:

  • Personalpool-ID (WORKFORCE_POOL_ID): Wählen Sie einen Wert aus, der den Bereich oder Zweck des Mitarbeiteridentitätspools angibt. Der Wert muss die folgenden Anforderungen erfüllen:
    • Muss global eindeutig sein.
    • Darf nur Kleinbuchstaben [a–z], Ziffern [0–9] und Bindestriche [-] enthalten.
    • Muss mit einem Kleinbuchstaben [a–z] beginnen.
    • Muss mit einem Kleinbuchstaben [a–z] oder einer Ziffer [0–9] enden.
    • Sie können zwischen 4 und 61 Zeichen lang sein.
  • Anzeigename des Personalpools (WORKFORCE_POOL_DISPLAY_NAME): Definieren Sie einen nutzerfreundlichen Namen für den Mitarbeiteridentitätspool.
  • Beschreibung des Personalpools (WORKFORCE_POOL_DESCRIPTION): Definieren Sie eine detaillierte Beschreibung des Mitarbeiteridentitätspools.
  • Personalanbieter-ID (WORKFORCE_PROVIDER_ID): Wählen Sie einen Wert aus, der den repräsentierten IdP angibt. Der Wert muss die folgenden Anforderungen erfüllen:
    • Darf nur Kleinbuchstaben [a–z], Ziffern [0–9] und Bindestriche [-] enthalten.
    • Sie können zwischen 4 und 32 Zeichen lang sein.
  • Anzeigename des Personalanbieters (WORKFORCE_PROVIDER_DISPLAY_NAME): Definieren Sie einen nutzerfreundlichen Namen für den Personalanbieter. Er muss kürzer als 32 Zeichen sein.
  • Beschreibung des Personalanbieters (WORKFORCE_PROVIDER_DESCRIPTION): Definieren Sie eine detaillierte Beschreibung des Personalanbieters.

Nutzerattribute und Gruppen im IdP definieren

Bevor Sie die SAML-Anwendung im IdP erstellen, ermitteln Sie, welche Nutzerattribute und Gruppen zum Konfigurieren des Zugriffs auf Funktionen in Google Security Operations erforderlich sind. Weitere Informationen finden Sie unter Zugriffssteuerung für Features mit IAM konfigurieren und Google Security Operations-Berechtigungen in IAM.

Sie benötigen diese Informationen in den folgenden Phasen dieses Prozesses:

  • Bei der Konfiguration der SAML-Anwendung erstellen Sie die während der Planung definierten Gruppen. Sie konfigurieren die SAML-Anwendung des IdP so, dass Gruppenmitgliedschaften in der Assertion übergeben werden.

  • Wenn Sie den Personalanbieter erstellen, ordnen Sie Assertion-Attribute und -Gruppen Google Cloud-Attributen zu. Diese Informationen werden im Assertion-Anspruch als Teil der Identität eines Nutzers gesendet.

  • Beim Einrichten der rollenbasierten Zugriffssteuerung in Google Security Operations verwenden Sie die Nutzerattribute und Gruppeninformationen, um den Zugriff auf Google Security Operations-Features zu konfigurieren.

    Google Security Operations bietet mehrere vordefinierte Rollen, die jeweils den Zugriff auf bestimmte Funktionen ermöglichen. Sie können die in der IdP-SAML-Anwendung definierten Gruppen diesen vordefinierten Rollen zuordnen.

Erstellen Sie eine IdP-Gruppe für Administratoren, die konfigurieren, welche Nutzer und Gruppen auf SOAR-bezogene Funktionen zugreifen können. Während der Einrichtung geben Sie diesen Gruppennamen an, damit die Nutzer in dieser Gruppe die Zugriffssteuerung für SOAR-Funktionen einrichten können.

IdP konfigurieren

In diesem Abschnitt wird nur die spezifische Konfiguration beschrieben, die in einer IdP-SAML-Anwendung für die Einbindung in die Mitarbeiteridentitätsföderation von Google Cloud und Google Security Operations erforderlich ist.

  1. Erstellen Sie bei Ihrem IdP eine neue SAML-Anwendung.

  2. Konfigurieren Sie die Anwendung mit der folgenden ACS-URL (Assertion Consumer Service), die je nach Dienstanbieter auch als SSO-URL bezeichnet wird.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: Die Kennung, die Sie für den Mitarbeiteridentitätspool definiert haben.

    • WORKFORCE_PROVIDER_ID: Die Kennung, die Sie für den Personalanbieter definiert haben.

      Eine Beschreibung dieser Werte finden Sie unter Implementierung planen.

  3. Konfigurieren Sie die Anwendung mit der folgenden Entitäts-ID (auch SP-Entitäts-ID genannt).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: Die Kennung, die Sie für den Mitarbeiteridentitätspool definiert haben.
    • WORKFORCE_PROVIDER_ID: Die Kennung, die Sie für den Personalanbieter definiert haben.

  4. Konfigurieren Sie die Namens-ID in Ihrem IdP, damit das Feld NameID in der SAML-Antwort zurückgegeben wird.

    Sie können diesen Wert auf einen Wert festlegen, der Ihre Organisationsrichtlinien unterstützt, z. B. die E-Mail-Adresse oder den Nutzernamen. Informationen zum Konfigurieren dieses Werts finden Sie in der IdP-Dokumentation. Weitere Informationen zu dieser Anforderung finden Sie unter Fehlerbehebung bei der Mitarbeiteridentitätsföderation.

  5. Optional können Sie die Gruppenattribute in der SAML-Anwendung erstellen. Sie haben diese bei der Planung der IdP-Implementierung definiert.

  6. Laden Sie die XML-Datei mit den Metadaten der Anwendung herunter. Im nächsten Abschnitt laden Sie diese Datei mit Cloud Shell von Ihrem lokalen System in Ihr Google Cloud-Basisverzeichnis hoch.

Workforce Identity-Föderation konfigurieren

In diesem Abschnitt werden nur die spezifischen Schritte beschrieben, die zum Konfigurieren der Mitarbeiteridentitätsföderation mit der IdP-SAML-Anwendung erforderlich sind, die Sie im vorherigen Abschnitt erstellt haben. Weitere Informationen zum Verwalten von Identitätspools für Mitarbeiter finden Sie unter Anbieter von Mitarbeiteridentitätspools verwalten.

  1. Öffnen Sie die Google Cloud Console als Nutzer mit den erforderlichen Berechtigungen für das an Google Security Operations gebundene Projekt. Sie haben diesen Nutzer zuvor identifiziert oder erstellt. Weitere Informationen finden Sie im Abschnitt Vorbereitung.

  2. Starten Sie eine Cloud Shell-Sitzung.

  3. Legen Sie das Google Cloud-Projekt fest, das für Vorgänge, die über die gcloud CLI ausgeführt werden, abgerechnet werden und kostenpflichtige Kontingente erhalten. Verwenden Sie als Beispiel den folgenden gcloud-Befehl:

    gcloud config set billing/quota_project PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des an Google Security Operations gebundenen Projekts, das Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren erstellt haben. Eine Beschreibung der Felder, die ein Projekt identifizieren, finden Sie unter Projekte erstellen und verwalten.

    Informationen zu Kontingenten finden Sie in den folgenden Dokumenten:

    Wenn ein Fehler auftritt, lesen Sie die Informationen unter Kontingentfehler.

Mitarbeiteridentitätspool erstellen und konfigurieren

Sie können einen Mitarbeiteridentitätspool so konfigurieren, dass er in einen externen Identitätsanbieter (Identity Provider, IdP) oder in Google Workspace oder Cloud Identity eingebunden wird.

  1. Erstellen Sie einen Mitarbeiteridentitätspool.

    • Erstellen Sie einen Mitarbeiteridentitätspool für einen externen IdP:

      Verwenden Sie als Beispiel den folgenden gcloud-Befehl:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Ersetzen Sie Folgendes:

      • WORKFORCE_POOL_ID: Die Kennung, die Sie für den Mitarbeiteridentitätspool definiert haben.
      • ORGANIZATION_ID: die numerische Organisations-ID.
      • WORKFORCE_POOL_DESCRIPTION: Geben Sie eine Beschreibung des Mitarbeiteridentitätspools an.
      • WORKFORCE_POOL_DISPLAY_NAME: Geben Sie einen nutzerfreundlichen Namen für den Mitarbeiteridentitätspool an.

      Informationen zum Ausführen dieser Konfiguration über die Google Cloud Console finden Sie unter Pool erstellen.

      Wenn der Befehl erfolgreich ausgeführt wurde, fahren Sie mit dem nächsten Schritt fort. Wenn der Befehl fehlschlägt, sollten Sie prüfen, ob die folgenden Szenarien auf Ihre Umgebung zutreffen:

      • Sie möchten sich mit Google Workspace oder Cloud Identity in Google SecOps anmelden
      • Die Fehlermeldung „Mitarbeiteridentitätsföderation ist für Ihre Organisation noch nicht verfügbar. Wenden Sie sich an einen Google Cloud-Ansprechpartner.“ wird angezeigt.

      Wenn diese Szenarien zutreffen, fügen Sie dem Befehl die Flags --allowed-services domain=backstory.chronicle.security und --disable-programmatic-signin hinzu:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Mit diesem Befehl wird ein Personalpool erstellt, der nicht für die Anmeldung in Google Cloud verwendet werden kann. Sie müssen jedoch diese Flags verwenden, um diese Szenarien zu bewältigen.

  2. Wenn Sie in der Befehlszeile aufgefordert werden, die Chronicle API zu aktivieren, geben Sie Yes ein.

Mitarbeiteridentitätsanbieter erstellen

  1. Laden Sie die Metadatendatei der SAML-Anwendung in das Cloud Shell-Basisverzeichnis hoch. Klicken Sie dazu auf das Dreipunkt-Menü >. Dateien können nur in Ihr Basisverzeichnis hochgeladen werden. Weitere Optionen zum Übertragen von Dateien zwischen Cloud Shell und Ihrer lokalen Workstation finden Sie unter Dateien und Ordner in Cloud Shell hochladen und herunterladen.

  2. Notieren Sie sich den Verzeichnispfad, in den Sie die Metadaten-XML-Datei der SAML-Anwendung in Cloud Shell hochgeladen haben. Sie benötigen diesen Pfad im nächsten Schritt.

  3. Erstellen Sie einen Mitarbeiteridentitätspoolanbieter und geben Sie die IdP-Details an.

    Verwenden Sie als Beispiel den folgenden gcloud-Befehl:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Weitere Informationen zu diesen Werten finden Sie unter Implementierung planen.

    Ersetzen Sie Folgendes:

    • WORKFORCE_PROVIDER_ID: der Wert, den Sie für die Personalanbieter-ID definiert haben.
    • WORKFORCE_POOL_ID: Der Wert, den Sie für die ID des Mitarbeiteridentitätspools definiert haben.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: ein nutzerfreundlicher Name für den Personalanbieter. Er muss kürzer als 32 Zeichen sein.
    • WORKFORCE_PROVIDER_DESCRIPTION: eine Beschreibung des Personalanbieters.
    • PATH_TO_METADATA_XML: der Speicherort des Cloud Shell-Verzeichnisses der XML-Datei mit den Anwendungsmetadaten, die Sie mit Cloud Shell hochgeladen haben, z. B. /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: Definition, wie Assertion-Attribute Google Cloud-Attributen zugeordnet werden. Common Expression Language wird verwendet, um diese Zuordnung zu interpretieren. Beispiel:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      Im vorherigen Beispiel werden die folgenden Attribute zugeordnet:

      • assertion.subject zu google.subject. Dies ist eine Mindestanforderung.
      • assertion.attributes.name[0] zu google.display_name.
      • assertion.attributes.groups für das Attribut google.groups.

      Wenn Sie diese Konfiguration für Google Security Operations durchführen, die Google Security Operations SIEM und Google Security Operations SOAR umfasst, müssen Sie auch die folgenden Attribute zuordnen, die für Google Security Operations SOAR erforderlich sind:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Weitere Informationen zum Bereitstellen und Zuordnen von Nutzern für Google Security Operations SOAR

      Google Security Operations liest standardmäßig Gruppeninformationen aus den folgenden Assertion-Attributnamen ohne Berücksichtigung der Groß- und Kleinschreibung: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ und _assertion.attributes.memberOf_.

      Wenn Sie die SAML-Anwendung so konfigurieren, dass Informationen zur Gruppenmitgliedschaft in der Assertion weitergegeben werden, legen Sie den Gruppenattributnamen entweder auf _group_, _idpGroup_ oder _memberOf_ fest.

      Im Beispielbefehl können Sie assertion.attributes.groups durch assertion.attributes.idpGroup oder assertion.attributes.memberOf ersetzen. Dies ist der Name des Gruppenattributs, das Sie in der SAML-Anwendung des IdP konfiguriert haben, und das Informationen zur Gruppenmitgliedschaft in der Assertion enthält.

      Im folgenden Beispiel werden dem Attribut google.groups mehrere Gruppen zugeordnet:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      Im folgenden Beispiel wird die Gruppe http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group mit Sonderzeichen google.groups zugeordnet:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Weitere Informationen zum Zuordnen von Attributen finden Sie unter Attributzuordnungen.

      Informationen zum Ausführen dieser Konfiguration über die Google Cloud Console finden Sie unter SAML-Anbieter erstellen.

Rolle zum Anmelden in Google Security Operations gewähren

In den folgenden Schritten wird beschrieben, wie Sie mithilfe von IAM eine bestimmte Rolle zuweisen, damit sich Nutzer in Google Security Operations anmelden können. Führen Sie die Konfiguration mit dem zuvor erstellten Google Cloud-Projekt mit Google Security Operations durch.

In diesem Beispiel wird der Befehl gcloud verwendet. Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.

  1. Gewähren Sie Nutzern oder Gruppen, die Zugriff auf die Google Security Operations-Anwendung haben sollen, die Rolle Chronicle API Viewer (roles/chronicle.viewer).

    Im folgenden Beispiel wird den Identitäten, die mit dem zuvor erstellten Mitarbeiteridentitätspool und dem Mitarbeiteranbieter verwaltet werden, die Rolle „Chronicle API Viewer“ zugewiesen.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Ersetzen Sie Folgendes:

    Führen Sie den folgenden Befehl aus, um einer bestimmten Gruppe die Rolle „Chronicle API Viewer“ zu gewähren:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Ersetzen Sie GROUP_ID: eine Gruppe in der zugeordneten google.groups-Anforderung.

  2. Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Anforderungen Ihrer Organisation zu erfüllen.

Zugriffssteuerung für Google Security Operations-Features überprüfen oder konfigurieren

Wenn Sie die Mitarbeiteridentitätsföderation mit Attributen oder Gruppen konfiguriert haben, die dem Attribut google.groups zugeordnet sind, werden diese Informationen an Google Security Operations übergeben, damit Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Google Security Operations-Features konfigurieren können.

Wenn für die Google Security Operations-Instanz eine RBAC-Konfiguration vorhanden ist, prüfen Sie, ob die ursprüngliche Konfiguration wie erwartet funktioniert.

Wenn Sie die Zugriffssteuerung noch nicht konfiguriert haben, finden Sie unter Zugriffssteuerung für Features mit IAM konfigurieren Informationen zum Steuern des Zugriffs auf Features.

Konfiguration der Mitarbeiteridentitätsföderation ändern

Wenn Sie den Mitarbeiteridentitätspool oder den Personalanbieter aktualisieren müssen, finden Sie unter Personalidentitätspoolanbieter verwalten Informationen zum Aktualisieren der Konfiguration.

Im Abschnitt Schlüsselverwaltung unter SAML-Personalpoolanbieter erstellen wird beschrieben, wie Sie die IdP-Signaturschlüssel und anschließend die Konfiguration des Personalanbieters mit der neuesten XML-Datei für Anwendungsmetadaten aktualisieren.

Hier sehen Sie ein Beispiel für einen gcloud-Befehl, mit dem die Konfiguration des Personalanbieters aktualisiert wird:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Ersetzen Sie Folgendes:

  • WORKFORCE_PROVIDER_ID: der Wert, den Sie für die Personalanbieter-ID definiert haben.
  • WORKFORCE_POOL_ID: Der Wert, den Sie für die ID des Mitarbeiteridentitätspools definiert haben.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: ein nutzerfreundlicher Name für den Personalanbieter. Der Wert muss kürzer als 32 Zeichen sein.
  • WORKFORCE_PROVIDER_DESCRIPTION: die Beschreibung des Personalanbieters.
  • PATH_TO_METADATA_XML: Speicherort der aktualisierten XML-Datei mit Anwendungsmetadaten, z. B. /path/to/sso_metadata_updated.xml

  • ATTRIBUTE_MAPPINGS: Die zugeordneten Assertion-Attribute zu Google Cloud-Attributen. Beispiel:

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Damit Google SecOps RBAC weiterhin wie erwartet funktioniert, ordnen Sie auch das Attribut google.groups allen Gruppen zu, die zum Definieren von Rollen in Google SecOps verwendet werden.

Konfigurationsprobleme beheben

Wenn während dieses Vorgangs Fehler auftreten, lesen Sie den Artikel Fehlerbehebung bei der Mitarbeiteridentitätsföderation, um häufige Probleme zu beheben. Der folgende Abschnitt enthält Informationen zu häufigen Problemen, die beim Ausführen der Schritte in diesem Dokument auftreten können.

Sollten weiterhin Probleme auftreten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner und stellen Sie Ihre Chrome-Netzwerkprotokolldatei zur Verfügung.

command not found Fehler beim Erstellen eines Anbieters für Mitarbeiteridentitätspools

Wenn Sie einen Personalidentitätspoolanbieter erstellen und die IdP-Details angeben, wird der folgende Fehler angezeigt:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Achten Sie darauf, dass PATH_TO_METADATA_XML der Speicherort ist, an dem Sie die Metadaten-XML-Datei der SAML-Anwendung in Ihr Cloud Shell-Basisverzeichnis hochgeladen haben.

The caller does not have permission Fehler

Wenn Sie den Befehl gcloud projects add-iam-policy-binding ausführen, um Nutzern oder Gruppen Rollen zuzuweisen, wird der folgende Fehler ausgegeben:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Prüfen Sie, ob Sie die erforderlichen Berechtigungen haben. Weitere Informationen finden Sie unter Erforderliche Rollen.

Nächste Schritte

Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus: