Mengonfigurasi penyedia identitas pihak ketiga
Anda dapat menggunakan Cloud Identity, Google Workspace, atau penyedia identitas pihak ketiga (seperti Okta atau Azure AD) untuk mengelola pengguna, grup, dan autentikasi.
Halaman ini menjelaskan cara menggunakan penyedia identitas pihak ketiga dengan mengonfigurasi workforce identity federation. Untuk informasi tentang cara menggunakan Cloud Identity atau Google Workspace, lihat Mengonfigurasi penyedia identitas Google Cloud.
Dengan workforce identity federation Google, Anda dapat memberikan akses beban kerja lokal atau multi-cloud ke resource Google Cloud, tanpa harus menggunakan kunci akun layanan. Anda dapat menggunakan workforce identity federation dengan penyedia identitas (IdP) pihak ketiga apa pun yang mendukung OpenID Connect (OIDC), termasuk Microsoft Azure, Okta, atau SAML 2.0.
Google Security Operations mewajibkan penggunaan workforce identity federation Google sebagai broker SSO untuk hal berikut:
- Pelanggan dengan persyaratan kepatuhan FedRAMP High (atau yang lebih tinggi).
- Pelanggan yang mengakses kontrol tingkat perusahaan di Google Security Operations yang diaktifkan oleh Google Cloud, termasuk kontrol akses berbasis peran (RBAC) data dan fitur menggunakan Identity and Access Management (IAM).
- Pelanggan yang menggunakan pengelolaan kredensial layanan mandiri untuk akses terprogram Chronicle API.
Google Security Operations mendukung SSO SAML yang Dimulai Penyedia Layanan (SP) untuk pengguna. Dengan kemampuan ini, pengguna dapat langsung membuka Google Security Operations. Google Security Operations mengirimkan permintaan melalui federasi identitas tenaga kerja Identity and Access Management (IAM) Google Cloud ke penyedia identitas pihak ketiga (IdP).
Setelah IdP mengautentikasi identitas pengguna, pengguna akan dikembalikan ke Google Security Operations dengan pernyataan autentikasi. Federasi identitas tenaga kerja Google Cloud bertindak sebagai perantara dalam alur autentikasi.
Komunikasi antara Google Security Operations, federasi identitas tenaga kerja IAM, dan IdP
Pada tingkat tinggi, komunikasinya adalah sebagai berikut:
- Pengguna membuka Google Security Operations.
- Google Security Operations mencari informasi IdP di kumpulan identitas tenaga kerja Google Cloud.
- Permintaan dikirim ke IdP.
- Pernyataan SAML dikirim ke kumpulan identitas tenaga kerja Google Cloud.
- Jika autentikasi berhasil, Google Security Operations hanya akan menerima atribut SAML yang ditentukan saat Anda mengonfigurasi penyedia tenaga kerja di kumpulan identitas tenaga kerja.
Administrator Google Security Operations membuat grup di penyedia identitas mereka, mengonfigurasi aplikasi SAML untuk meneruskan informasi keanggotaan grup dalam pernyataan, lalu mengaitkan pengguna dan grup ke peran bawaan di IAM Google Security Operations atau ke peran kustom yang mereka buat.
Login yang dimulai IdP (memulai login dari dasbor IdP) tidak didukung. Hubungi perwakilan Google Security Operations Anda untuk meminta fitur ini jika organisasi Anda memerlukan kemampuan tersebut.
Dokumen ini menjelaskan langkah-langkah umum untuk menyiapkan autentikasi melalui penyedia identitas (IdP) pihak ketiga menggunakan workforce identity federation Google Cloud. Setelah melakukan langkah-langkah dalam dokumen ini, Anda akan dapat mengakses Google Security Operations menggunakan IdP pihak ketiga dan mengelola akses ke Google Security Operations menggunakan SSO SAML melalui federasi identitas tenaga kerja.
Sebelum memulai
- Pastikan Anda sudah memahami Cloud Shell, perintah
gcloud
, dan konsol Google Cloud. - Lakukan langkah-langkah di Mengonfigurasi project Google Cloud untuk Google Security Operations untuk menyiapkan project yang terikat dengan Google Security Operations.
- Pahami workforce identity federation Google Cloud.
- Pastikan Anda memiliki izin untuk melakukan langkah-langkah dalam dokumen ini. Untuk mengetahui informasi tentang izin yang diperlukan untuk setiap fase proses orientasi, lihat Peran yang diperlukan.
Langkah-langkah berikut menjelaskan cara melakukan konfigurasi menggunakan perintah gcloud
. Jika langkah dapat dilakukan di konsol Google Cloud, link ke dokumentasi IAM terkait akan diberikan.
Merencanakan penerapan
Bagian berikut menjelaskan keputusan yang harus Anda buat dan informasi yang Anda tentukan sebelum melakukan langkah-langkah dalam dokumen ini.
Menentukan workforce identity pool dan penyedia tenaga kerja
Sebagai bagian dari proses ini, Anda akan mengonfigurasi federasi identitas tenaga kerja Google Cloud sebagai perantara dalam alur autentikasi. Untuk melakukannya, Anda akan membuat resource Google Cloud berikut:
- Kumpulan tenaga kerja: Kumpulan identitas tenaga kerja memungkinkan Anda memberikan akses ke Google Security Operations kepada tenaga kerja (misalnya, karyawan).
- Penyedia tenaga kerja: Penyedia tenaga kerja adalah sub-resource dari workforce identity pool. File ini menyimpan detail tentang satu IdP.
Hubungan antara kumpulan identitas tenaga kerja, penyedia tenaga kerja, dan instance Google Security Operations, yang diidentifikasi oleh satu subdomain pelanggan, adalah sebagai berikut:
- Workforce identity pool ditentukan di tingkat organisasi.
- Setiap instance Google Security Operations memiliki kumpulan identitas tenaga kerja yang dikonfigurasi dan dikaitkan dengannya.
- Workforce identity pool dapat memiliki beberapa penyedia tenaga kerja.
- Setiap penyedia tenaga kerja mengintegrasikan IdP pihak ketiga dengan kumpulan identitas tenaga kerja.
- Kumpulan identitas tenaga kerja yang Anda buat menggunakan langkah-langkah ini harus dikhususkan untuk Google SecOps. Meskipun Anda dapat mengelola beberapa kumpulan identitas tenaga kerja untuk tujuan lain, kumpulan identitas tenaga kerja yang dibuat untuk Google SecOps tidak dapat dibagikan.
- Sebaiknya buat kumpulan identitas tenaga kerja di organisasi Google Cloud yang sama dengan yang berisi project yang terikat dengan Google SecOps.
Hal ini membantu menghemat waktu jika Anda menentukan informasi tentang kumpulan identitas tenaga kerja dan penyedia tenaga kerja terlebih dahulu. Anda menggunakan informasi ini saat mengonfigurasi aplikasi SAML IdP dan workforce identity federation.
Pilih nilai untuk ID berikut:
- ID kumpulan tenaga kerja (
WORKFORCE_POOL_ID
): pilih nilai yang menunjukkan cakupan atau tujuan kumpulan identitas tenaga kerja. Nilai harus memenuhi persyaratan berikut:- Harus unik secara global.
- Hanya boleh menggunakan karakter huruf kecil [a-z], angka [0-9], dan tanda hubung [-].
- Harus diawali dengan karakter huruf kecil [a-z].
- Harus diakhiri dengan karakter huruf kecil [a-z] atau angka [0-9].
- Panjangnya antara 4 hingga 61 karakter.
- Nama tampilan kumpulan tenaga kerja (
WORKFORCE_POOL_DISPLAY_NAME
): tentukan nama yang mudah digunakan untuk kumpulan identitas tenaga kerja. - Deskripsi kumpulan tenaga kerja (
WORKFORCE_POOL_DESCRIPTION
): tentukan deskripsi mendetail tentang kumpulan identitas tenaga kerja. - ID penyedia tenaga kerja (
WORKFORCE_PROVIDER_ID
): pilih nilai yang menunjukkan IdP yang diwakilinya. Nilai harus memenuhi persyaratan berikut:- Hanya boleh menggunakan karakter huruf kecil [a-z], angka [0-9], dan tanda hubung [-].
- Panjangnya dapat antara 4 hingga 32 karakter.
- Nama tampilan penyedia tenaga kerja (
WORKFORCE_PROVIDER_DISPLAY_NAME
): tentukan nama yang mudah digunakan untuk penyedia tenaga kerja. Panjangnya harus kurang dari 32 karakter. - Deskripsi penyedia tenaga kerja (
WORKFORCE_PROVIDER_DESCRIPTION
): tentukan deskripsi mendetail tentang penyedia tenaga kerja.
Menentukan atribut dan grup pengguna di IdP
Sebelum membuat aplikasi SAML di IdP, identifikasi atribut dan grup pengguna yang diperlukan untuk mengonfigurasi akses ke fitur di Google Security Operations. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM dan Izin Google Security Operations di IAM.
Anda memerlukan informasi ini selama fase berikut dalam proses ini:
Saat mengonfigurasi aplikasi SAML, Anda membuat grup yang ditentukan selama perencanaan. Anda mengonfigurasi aplikasi SAML IdP untuk meneruskan keanggotaan grup dalam pernyataan.
Saat membuat penyedia tenaga kerja, Anda memetakan atribut dan grup pernyataan ke atribut Google Cloud. Informasi ini dikirim dalam klaim pernyataan sebagai bagian dari identitas pengguna.
Saat menyiapkan kontrol akses berbasis peran di Google Security Operations, Anda menggunakan atribut pengguna dan informasi grup untuk mengonfigurasi akses ke fitur Google Security Operations.
Google Security Operations menyediakan beberapa peran bawaan yang masing-masing mengizinkan akses ke fitur tertentu. Anda dapat memetakan grup yang ditentukan di aplikasi SAML IdP ke peran bawaan ini.
Pastikan untuk membuat grup IdP bagi administrator yang mengonfigurasi pengguna dan grup yang dapat mengakses fitur terkait SOAR. Selama proses aktivasi, Anda akan memberikan nama grup ini sehingga pengguna dalam grup ini dapat menyiapkan kontrol akses ke fitur terkait SOAR.
Mengonfigurasi IdP
Bagian ini hanya menjelaskan konfigurasi spesifik yang diperlukan dalam aplikasi SAML IdP untuk berintegrasi dengan workforce identity federation Google Cloud dan Google Security Operations.
Buat aplikasi SAML baru di IdP Anda.
Konfigurasikan aplikasi dengan URL Assertion Consumer Service (ACS) berikut, yang juga disebut sebagai URL single sign-on, bergantung pada penyedia layanan.
https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Ganti kode berikut:
WORKFORCE_POOL_ID
: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.WORKFORCE_PROVIDER_ID
: ID yang Anda tentukan untuk penyedia tenaga kerja.Lihat Merencanakan penerapan untuk mengetahui deskripsi nilai ini.
Konfigurasikan aplikasi dengan ID Entitas berikut (juga disebut, ID Entitas SP).
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Ganti kode berikut:
WORKFORCE_POOL_ID
: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.WORKFORCE_PROVIDER_ID
: ID yang Anda tentukan untuk penyedia tenaga kerja.
Konfigurasikan ID nama di IdP Anda untuk memastikan kolom
NameID
ditampilkan dalam respons SAML.Anda dapat menetapkannya ke nilai yang mendukung kebijakan organisasi, seperti alamat email atau nama pengguna. Lihat dokumentasi IdP Anda untuk mengetahui informasi tentang cara mengonfigurasi nilai ini. Untuk informasi selengkapnya tentang persyaratan ini, lihat Memecahkan masalah federasi identitas tenaga kerja.
Anda juga dapat membuat atribut grup di aplikasi SAML. Anda menentukannya saat merencanakan penerapan IdP.
Download file XML metadata aplikasi. Di bagian berikutnya, Anda akan mengupload file ini dari sistem lokal ke direktori utama Google Cloud menggunakan Cloud Shell.
Mengonfigurasi workforce identity federation
Bagian ini hanya menjelaskan langkah-langkah spesifik yang diperlukan untuk mengonfigurasi federasi identitas tenaga kerja dengan aplikasi SAML IdP yang Anda buat di bagian sebelumnya. Untuk informasi selengkapnya tentang cara mengelola workforce identity pool, lihat Mengelola penyedia workforce identity pool
Buka konsol Google Cloud sebagai pengguna dengan izin yang diperlukan di project yang terikat dengan Google Security Operations. Anda mengidentifikasi atau membuat pengguna ini sebelumnya. Lihat bagian Sebelum memulai.
Luncurkan sesi Cloud Shell.
Tetapkan project Google Cloud yang ditagih dan dikenai kuota untuk operasi yang dilakukan menggunakan gcloud CLI. Gunakan perintah
gcloud
berikut sebagai contoh:gcloud config set billing/quota_project PROJECT_ID
Ganti
PROJECT_ID
dengan project ID project yang terikat dengan Google Security Operations yang Anda buat di Mengonfigurasi project Google Cloud untuk Google Security Operations. Lihat Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.Untuk mengetahui informasi tentang kuota, lihat dokumen berikut:
Jika Anda mengalami error, lihat Error kuota
Membuat dan mengonfigurasi workforce identity pool
Anda dapat mengonfigurasi kumpulan identitas tenaga kerja untuk berintegrasi dengan penyedia identitas (IdP) eksternal atau dengan Google Workspace atau Cloud Identity.
Buat workforce identity pool.
Buat workforce identity pool untuk IdP pihak ketiga:
Gunakan perintah
gcloud
berikut sebagai contoh:gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization="ORGANIZATION_ID" \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME"
Ganti kode berikut:
WORKFORCE_POOL_ID
: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.ORGANIZATION_ID
: ID organisasi numerik.WORKFORCE_POOL_DESCRIPTION
: menentukan deskripsi workforce identity pool.WORKFORCE_POOL_DISPLAY_NAME
: tentukan nama yang mudah digunakan untuk workforce identity pool.
Untuk melakukan konfigurasi ini menggunakan konsol Google Cloud, lihat Membuat kumpulan.
Jika Anda ingin menggunakan Google Workspace atau Cloud Identity untuk login ke Google SecOps, tambahkan flag
--allowed-services domain=backstory.chronicle.security
dan--disable-programmatic-signin
ke perintah:gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization="ORGANIZATION_ID" \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME" \ --allowed-services domain=backstory.chronicle.security \ --disable-programmatic-signin
Perintah ini membuat workforce pool yang tidak dapat digunakan untuk login ke Google Cloud, tetapi Anda harus menggunakan flag ini untuk mengatasi skenario ini.
Jika Anda diminta di command line untuk mengaktifkan Chronicle API, ketik
Yes
.
Membuat penyedia identitas tenaga kerja
Upload file metadata aplikasi SAML ke direktori utama Cloud Shell dengan mengklik >. File hanya dapat diupload ke direktori utama Anda. Untuk opsi lain guna mentransfer file antara Cloud Shell dan workstation lokal, lihat Mengupload dan mendownload file dan folder dari Cloud Shell.
LainnyaCatat jalur direktori tempat Anda mengupload file XML metadata aplikasi SAML di Cloud Shell. Anda akan memerlukan jalur ini di langkah berikutnya.
Buat penyedia workforce identity pool dan tentukan detail IdP.
Gunakan perintah
gcloud
berikut sebagai contoh:gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --location="global" \ --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \ --description="WORKFORCE_PROVIDER_DESCRIPTION" \ --idp-metadata-path=PATH_TO_METADATA_XML \ --attribute-mapping="ATTRIBUTE_MAPPINGS"
Lihat Merencanakan penerapan untuk mengetahui informasi selengkapnya tentang nilai ini.
Ganti kode berikut:
WORKFORCE_PROVIDER_ID
: nilai yang Anda tentukan untuk ID penyedia tenaga kerja.WORKFORCE_POOL_ID
: nilai yang Anda tentukan untuk ID kumpulan identitas tenaga kerja.WORKFORCE_PROVIDER_DISPLAY_NAME
: nama yang mudah digunakan untuk penyedia tenaga kerja. Panjangnya harus kurang dari 32 karakter.WORKFORCE_PROVIDER_DESCRIPTION
: deskripsi penyedia tenaga kerja.PATH_TO_METADATA_XML
: lokasi direktori Cloud Shell file XML metadata aplikasi yang Anda upload menggunakan Cloud Shell, misalnya:/path/to/sso_metadata.xml
.ATTRIBUTE_MAPPINGS
: definisi cara memetakan atribut pernyataan ke atribut Google Cloud. Common Expression Language digunakan untuk menafsirkan pemetaan ini. Contoh:google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups
Contoh sebelumnya memetakan atribut berikut:
assertion.subject
kegoogle.subject
. Ini adalah persyaratan minimum.assertion.attributes.name[0]
kegoogle.display_name
.assertion.attributes.groups
ke atributgoogle.groups
.
Jika Anda melakukan konfigurasi ini untuk Google Security Operations, yang mencakup Google Security Operations SIEM dan Google Security Operations SOAR, Anda juga harus memetakan atribut berikut yang diperlukan oleh Google Security Operations SOAR:
attribute.first_name
attribute.last_name
attribute.user_email
google.groups
Lihat informasi selengkapnya tentang menyediakan dan memetakan pengguna untuk Google Security Operations SOAR.
Secara default, Google Security Operations membaca informasi grup dari nama atribut pernyataan berikut yang tidak peka huruf besar/kecil:
_assertion.attributes.groups_
,_assertion.attributes.idpGroup_
, dan_assertion.attributes.memberOf_
.Saat mengonfigurasi aplikasi SAML untuk meneruskan informasi keanggotaan grup dalam pernyataan, tetapkan nama atribut grup ke
_group_
,_idpGroup_
, atau_memberOf_
.Dalam contoh perintah, Anda dapat mengganti
assertion.attributes.groups
denganassertion.attributes.idpGroup
atauassertion.attributes.memberOf
, yang mewakili nama atribut grup yang Anda konfigurasikan di aplikasi SAML IdP dan yang berisi informasi keanggotaan grup dalam pernyataan.Contoh berikut memetakan beberapa grup ke atribut
google.groups
:google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"
Contoh berikut memetakan grup
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group
yang berisi karakter khusus kegoogle.groups
:google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"
Untuk informasi selengkapnya tentang pemetaan atribut, lihat Pemetaan Atribut.
Untuk melakukan konfigurasi ini menggunakan konsol Google Cloud, lihat Membuat penyedia SAML.
Memberikan peran untuk mengaktifkan login ke Google Security Operations
Langkah-langkah berikut menjelaskan cara memberikan peran tertentu menggunakan IAM sehingga pengguna dapat login ke Google Security Operations. Lakukan konfigurasi menggunakan project Google Cloud yang terikat dengan Google Security Operations yang Anda buat sebelumnya.
Contoh ini menggunakan perintah gcloud
. Untuk menggunakan konsol Google Cloud,
lihat Memberikan satu peran.
Berikan peran Chronicle API Viewer (
roles/chronicle.viewer
) kepada pengguna atau grup yang harus memiliki akses ke aplikasi Google Security Operations.Contoh berikut memberikan peran Chronicle API Viewer ke identitas yang dikelola menggunakan kumpulan identitas tenaga kerja dan penyedia tenaga kerja yang Anda buat sebelumnya.
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"
Ganti kode berikut:
PROJECT_ID
: dengan project ID project terikat Google Security Operations yang Anda konfigurasikan di Mengonfigurasi project Google Cloud untuk Google Security Operations. Lihat Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.WORKFORCE_POOL_ID
: nilai yang Anda tentukan untuk ID kumpulan identitas tenaga kerja.
Untuk memberikan peran Chronicle API Viewer ke grup tertentu, jalankan perintah berikut:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Ganti
GROUP_ID
: grup dalam klaimgoogle.groups
yang dipetakan.Konfigurasikan kebijakan IAM tambahan untuk memenuhi persyaratan organisasi Anda.
Memverifikasi atau mengonfigurasi kontrol akses fitur Google Security Operations
Jika Anda mengonfigurasi federasi identitas tenaga kerja dengan atribut atau grup yang dipetakan
ke atribut google.groups
, informasi ini akan diteruskan ke Google Security Operations
sehingga Anda dapat mengonfigurasi kontrol akses berbasis peran (RBAC) ke fitur Google Security Operations.
Jika instance Google Security Operations memiliki konfigurasi RBAC yang sudah ada, pastikan konfigurasi asli berfungsi seperti yang diharapkan.
Jika Anda belum pernah mengonfigurasi kontrol akses, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM untuk mengetahui informasi tentang cara mengontrol akses ke fitur.
Mengubah konfigurasi workforce identity federation
Jika Anda perlu memperbarui workforce identity pool atau penyedia tenaga kerja, lihat Mengelola penyedia workforce identity pool untuk mengetahui informasi tentang cara memperbarui konfigurasi.
Bagian Pengelolaan kunci di Membuat penyedia kumpulan tenaga kerja SAML menjelaskan cara memperbarui kunci penandatanganan IdP, lalu memperbarui konfigurasi penyedia tenaga kerja dengan file XML metadata aplikasi terbaru.
Berikut adalah contoh perintah gcloud
yang memperbarui konfigurasi penyedia tenaga kerja:
gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location="global" \
--display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
--description="WORKFORCE_PROVIDER_DESCRIPTION" \
--idp-metadata-path=PATH_TO_METADATA_XML \
--attribute-mapping="ATTRIBUTE_MAPPINGS"
Ganti kode berikut:
WORKFORCE_PROVIDER_ID
: nilai yang Anda tentukan untuk ID penyedia tenaga kerja.WORKFORCE_POOL_ID
: nilai yang Anda tentukan untuk ID kumpulan identitas tenaga kerja.WORKFORCE_PROVIDER_DISPLAY_NAME
: nama yang mudah digunakan untuk penyedia tenaga kerja. Nilai harus kurang dari 32 karakter.WORKFORCE_PROVIDER_DESCRIPTION
: deskripsi penyedia tenaga kerja.PATH_TO_METADATA_XML
: lokasi file XML metadata aplikasi yang diperbarui, misalnya:/path/to/sso_metadata_updated.xml
.ATTRIBUTE_MAPPINGS
: atribut pernyataan yang dipetakan ke atribut Google Cloud. Contoh:google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf
Untuk memastikan bahwa RBAC Google SecOps terus berfungsi seperti yang diharapkan, petakan juga
atribut google.groups
ke semua grup yang digunakan untuk menentukan peran di Google SecOps.
Memecahkan masalah terkait konfigurasi
Jika Anda mengalami error selama proses ini, tinjau Memecahkan masalah workforce identity federation untuk mengatasi masalah umum. Bagian berikut memberikan informasi tentang masalah umum yang dihadapi saat melakukan langkah-langkah dalam dokumen ini.
Jika Anda masih mengalami masalah, hubungi perwakilan Google SecOps Anda dan berikan File Log Jaringan Chrome.
Error command not found
saat membuat penyedia workforce identity pool
Saat membuat penyedia workforce identity pool dan menentukan detail IdP, Anda akan mendapatkan error berikut:
Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found
Pastikan PATH_TO_METADATA_XML
adalah lokasi tempat Anda mengupload file XML metadata aplikasi SAML ke direktori beranda Cloud Shell.
The caller does not have permission
error
Saat menjalankan perintah gcloud projects add-iam-policy-binding
untuk memberikan peran kepada pengguna atau grup, Anda akan mendapatkan error berikut:
ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission
Pastikan Anda memiliki izin yang diperlukan. Lihat Peran yang diperlukan untuk mengetahui informasi selengkapnya.
Langkah selanjutnya
Setelah menyelesaikan langkah-langkah dalam dokumen ini, lakukan hal berikut:
Lakukan langkah-langkah untuk Menghubungkan instance Google Security Operations ke layanan Google Cloud.
Jika Anda belum menyiapkan logging audit, lanjutkan dengan mengaktifkan logging audit Google Security Operations.
Jika Anda mengonfigurasi untuk Google Security Operations, lakukan langkah-langkah tambahan di Menyediakan, mengautentikasi, dan memetakan pengguna di Google Security Operations.
Untuk mengonfigurasi akses ke fitur, lakukan langkah-langkah tambahan di Mengonfigurasi kontrol akses fitur menggunakan IAM dan izin Google Security Operations di IAM