Externen Identitätsanbieter konfigurieren

Unterstützt in:

Sie können Cloud Identity, Google Workspace oder die Identität eines Drittanbieters verwenden (z. B. Okta oder Azure AD), um Nutzer, Gruppen und die Authentifizierung zu verwalten.

Auf dieser Seite wird beschrieben, wie Sie einen externen Identitätsanbieter verwenden, indem Sie Mitarbeiteridentitätsföderation. Informationen zur Verwendung von Cloud Identity oder Google Workspace Siehe Google Cloud-Identitätsanbieter konfigurieren.

Mit der Mitarbeiteridentitätsföderation von Google können Sie lokalen oder Multi-Cloud-Arbeitslasten Zugriff auf Google Cloud gewähren ohne einen Dienstkontoschlüssel verwenden zu müssen. Sie können die Mitarbeiteridentitätsföderation verwenden mit einem beliebigen externen Identitätsanbieter (Identity Provider, IdP), der OpenID Connect (OIDC) unterstützt, einschließlich Microsoft Azure, Okta oder SAML 2.0.

Für Google Security Operations muss die Mitarbeiteridentitätsföderation von Google als SSO-Broker für Folgendes:

  • Kunden mit FedRAMP High-Compliance-Anforderungen (oder höher)
  • Kunden, die auf Kontrollen auf Unternehmensebene in Google Security Operations zugreifen, die von Google Cloud aktiviert werden, einschließlich rollenbasierter Zugriffssteuerung (Role-based Access Control, RBAC) von Daten und Features mithilfe von Identity and Access Management (IAM).
  • Kunden, die die Self-Service-Verwaltung von Anmeldedaten für den programmatischen Zugriff auf die Chronicle API verwenden

Google Security Operations unterstützt die vom Dienstanbieter initiierte SAML-SSO für Nutzer. Mit dieser Funktion können Nutzer direkt zu Google Security Operations wechseln. Google Security Operations gibt eine Anfrage über Google Cloud Identity and Access Management (IAM) aus Mitarbeiteridentitätsföderation an den externen Identitätsanbieter (Identity Provider, IdP) senden.

Nachdem der IdP die Nutzeridentität authentifiziert hat, wird der Nutzer an Google Security Operations mit Authentifizierungs-Assertion. Die Workforce Identity-Föderation von Google Cloud fungiert als Vermittler im Authentifizierungsablauf.

Kommunikation zwischen Google Security Operations und Google Cloud IAM-Mitarbeiteridentität
Föderation und IdP

Kommunikation zwischen Google Security Operations, der IAM-Mitarbeiteridentitätsföderation und dem IdP

Auf übergeordneter Ebene läuft die Kommunikation so ab:

  1. Der Nutzer ruft Google Security Operations auf.
  2. Google Security Operations ruft IdP-Informationen im Google Cloud-Identity Pool für Mitarbeiter ab.
  3. Eine Anfrage wird an den IdP gesendet.
  4. Die SAML-Assertion wird an den Mitarbeiteridentitätspool von Google Cloud gesendet.
  5. Wenn die Authentifizierung erfolgreich ist, empfängt Google Security Operations nur die SAML- Attribute, die beim Konfigurieren des Personalanbieters im Mitarbeiteridentitätspool definiert wurden.

Google Security Operations-Administratoren erstellen Gruppen in ihrem Identitätsanbieter, konfigurieren der SAML-Anwendung, um Informationen zur Gruppenmitgliedschaft in der Assertion zu übergeben, und Nutzer und Gruppen mit vordefinierten Rollen in IAM von Google Security Operations verknüpfen oder benutzerdefinierten Rollen zugewiesen.

Eine vom IdP initiierte Anmeldung, also eine Anmeldung über Ihr IdP-Dashboard, wird nicht unterstützt. Wenden Sie sich an Ihren Google Security Operations-Mitarbeiter, um diese Funktion anzufordern, wenn Ihre Organisation die Funktion benötigt.

In diesem Dokument werden die allgemeinen Schritte zum Einrichten der Authentifizierung über einen externen Identitätsanbieter (IdP) mithilfe der Workforce Identity Federation von Google Cloud beschrieben. Nachdem Sie die Schritte in diesem Dokument ausgeführt haben, können Sie über Ihren externen IdP auf Google Security Operations zugreifen und den Zugriff auf Google Security Operations mithilfe der SAML-SSO über die Mitarbeiteridentitätsföderation verwalten.

Hinweise

In den folgenden Schritten wird beschrieben, wie die Konfiguration mit gcloud durchgeführt wird . Wenn ein Schritt in der Google Cloud Console ausgeführt werden kann, wird ein Link zur zugehörigen IAM-Dokumentation bereitgestellt.

Implementierung planen

Im folgenden Abschnitt werden die Entscheidungen, die Sie treffen müssen, sowie die Informationen beschrieben, die Sie bevor Sie die Schritte in diesem Dokument ausführen.

Workforce Identity-Pool und Workforce-Anbieter definieren

Dabei konfigurieren Sie die Google Cloud-Mitarbeiteridentitätsföderation als Vermittler im Authentifizierungsablauf. Um dies zu erreichen, Erstellen Sie die folgenden Google Cloud-Ressourcen:

  • Personalpool: Mit einem Mitarbeiteridentitätspool können Sie Ihren Mitarbeitern (z.B. Mitarbeitern) Zugriff auf Google Security Operations gewähren.
  • Workforce-Anbieter: Ein Workforce-Anbieter ist eine untergeordnete Ressource des Workforce Identity-Pools. Er speichert Details zu einem einzelnen IdP.

Beziehung zwischen Mitarbeiteridentitätspool, Personalanbieter und Google Security Operations durch eine einzelne Kunden-Subdomain identifiziert wird, lautet:

  • Ein Mitarbeiteridentitätspool wird auf Organisationsebene definiert.
  • Für jede Google Security Operations-Instanz ist ein Mitarbeiteridentitätspool konfiguriert und zugeordnet.
  • Ein Mitarbeiteridentitätspool kann mehrere Personalanbieter haben.
  • Jeder Personalanbieter bindet einen externen IdP in den Mitarbeiteridentitätspool ein.
  • Der Mitarbeiteridentitätspool, den Sie mit diesen Schritten erstellen, muss für Google SecOps reserviert sein. Auch wenn Sie für andere Zwecke mehrere Mitarbeiteridentitätspools verwalten können, Der für Google SecOps erstellte Mitarbeiteridentitätspool kann nicht freigegeben werden.
  • Es empfiehlt sich, den Mitarbeiteridentitätspool im selben Google Cloud- Organisation, die das an Google SecOps gebundene Projekt enthält.

Sie sparen Zeit, wenn Sie Informationen Mitarbeiteridentitätspool und Personalanbieter. Sie verwenden diese Informationen bei der Konfiguration sowohl die IdP-SAML-Anwendung als auch die Mitarbeiteridentitätsföderation.

Wählen Sie die Werte für die folgenden Kennzeichnungen aus:

  • Personalpool-ID (WORKFORCE_POOL_ID): Wählen Sie einen Wert aus, der angibt, den Umfang oder Zweck des Personalidentitätspools. Der Wert muss den die folgenden Anforderungen erfüllen:
    • Muss global eindeutig sein.
    • Es dürfen nur Kleinbuchstaben [a–z], Ziffern [0–9] und Bindestriche [-] verwendet werden.
    • Muss mit einem Kleinbuchstaben [a–z] beginnen.
    • Muss mit einem Kleinbuchstaben [a–z] oder einer Ziffer [0–9] enden.
    • Sie können zwischen 4 und 61 Zeichen lang sein.
  • Anzeigename des Personalpools (WORKFORCE_POOL_DISPLAY_NAME): Definieren Sie einen nutzerfreundlichen Namen. für den Mitarbeiteridentitätspool.
  • Beschreibung des Personalpools (WORKFORCE_POOL_DESCRIPTION): Definieren Sie eine detaillierte Beschreibung des Mitarbeiteridentitätspools.
  • Personalanbieter-ID (WORKFORCE_PROVIDER_ID): Wählen Sie einen Wert aus, der angibt, den IdP, den er repräsentiert. Der Wert muss die folgenden Anforderungen erfüllen:
    • Darf nur Kleinbuchstaben [a–z], Ziffern [0–9] und Bindestriche [-] enthalten.
    • Sie können zwischen 4 und 32 Zeichen lang sein.
  • Anzeigename des Personalanbieters (WORKFORCE_PROVIDER_DISPLAY_NAME): Definieren Sie einen für den Personalanbieter. Er muss kürzer als 32 Zeichen sein.
  • Beschreibung des Personalanbieters (WORKFORCE_PROVIDER_DESCRIPTION): Definieren Sie eine detaillierte die Beschreibung des Personaldienstleisters.

Nutzerattribute und Gruppen im IdP definieren

Bevor Sie die SAML-Anwendung im IdP erstellen, sollten Sie ermitteln, welche Nutzerattribute Sie verwenden. und Gruppen werden benötigt, um den Zugriff auf Funktionen in Google Security Operations zu konfigurieren. Weitere Informationen finden Sie unter Zugriffssteuerung für Features mit IAM konfigurieren. und Google Security Operations-Berechtigungen in IAM.

Sie benötigen diese Informationen in den folgenden Phasen dieses Prozesses:

  • Wenn Sie die SAML-Anwendung konfigurieren, erstellen Sie die während der Planung definierten Gruppen. Sie konfigurieren die SAML-Anwendung des IdP so, dass Gruppenmitgliedschaften in der Assertion beruhen.

  • Wenn Sie den Personalanbieter erstellen, ordnen Sie Assertion-Attribute und -Gruppen den Google Cloud-Attribute: Diese Informationen werden im Assertion-Anspruch als Teil der Identität eines Nutzers gesendet.

  • Beim Einrichten der rollenbasierten Zugriffssteuerung in Google Security Operations verwenden Sie die Nutzerattribute und Gruppeninformationen, um den Zugriff auf Google Security Operations-Funktionen zu konfigurieren.

    Google Security Operations bietet mehrere vordefinierte Rollen, die jeweils Zugriff auf bestimmte Funktionen gewähren. Sie können die in der IdP-SAML-Anwendung definierten Gruppen für diese vordefinierten Rollen.

Erstellen Sie eine IdP-Gruppe für Administratoren, die festlegen, welche Nutzer und Gruppen auf SOAR-bezogene Funktionen zugreifen können. Während der Einrichtung geben Sie diesen Gruppennamen an, damit die Nutzer in dieser Gruppe die Zugriffssteuerung für SOAR-Funktionen einrichten können.

IdP konfigurieren

In diesem Abschnitt wird nur die spezifische Konfiguration beschrieben, die in einer IdP-SAML-Anwendung für die in die Google Cloud-Mitarbeiteridentitätsföderation und Google Security Operations einbinden.

  1. Erstellen Sie bei Ihrem IdP eine neue SAML-Anwendung.

  2. Konfigurieren Sie die Anwendung mit der folgenden ACS-URL (Assertion Consumer Service), die je nach Dienstanbieter auch als SSO-URL bezeichnet wird.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
    

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: die von Ihnen definierte Kennung für den Mitarbeiteridentitätspool.
    • WORKFORCE_PROVIDER_ID: die Kennung, Personaldienstleister.

      Eine Beschreibung dieser Werte finden Sie unter Implementierung planen.

  3. Konfigurieren Sie die Anwendung mit der folgenden Entitäts-ID (auch SP-Entitäts-ID genannt).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
    

    Ersetzen Sie Folgendes:

    • WORKFORCE_POOL_ID: Die Kennung, die Sie für den Mitarbeiteridentitätspool definiert haben.
    • WORKFORCE_PROVIDER_ID: die von Ihnen für den Anbieter des Mitarbeiteridentitätspools definierte Kennung.
  4. Konfigurieren Sie die Namens-ID in Ihrem IdP, damit das Feld NameID in der SAML-Antwort zurückgegeben.

    Sie können diesen Wert auf einen Wert festlegen, der Ihre Organisationsrichtlinien unterstützt, z. B. die E-Mail-Adresse oder den Nutzernamen. Informationen zum Konfigurieren dieses Werts finden Sie in der IdP-Dokumentation. Weitere Informationen zu dieser Anforderung finden Sie unter Fehlerbehebung bei der Workforce Identity-Föderation.

  5. Optional können Sie die Gruppenattribute in der SAML-Anwendung erstellen. Sie haben diese beim Planen der IdP-Implementierung definiert.

  6. Laden Sie die XML-Datei mit den App-Metadaten herunter. Im nächsten Abschnitt Diese Datei von Ihrem lokalen System in Ihr Google Cloud-Basisverzeichnis hochladen mit Cloud Shell.

Workforce Identity-Föderation konfigurieren

In diesem Abschnitt werden nur die spezifischen Schritte beschrieben, die zum Konfigurieren der Mitarbeiter erforderlich sind. Identitätsföderation mit der IdP-SAML-Anwendung, die Sie im vorherigen Abschnitt erstellt haben. Weitere Informationen zum Verwalten von Mitarbeiteridentitätspools Siehe Anbieter von Mitarbeiteridentitätspools verwalten

  1. Öffnen Sie die Google Cloud Console als Nutzer mit den erforderlichen Berechtigungen für die An Google Security Operations gebundenes Projekt. Sie haben diesen Nutzer zuvor identifiziert oder erstellt. Weitere Informationen finden Sie im Abschnitt Vorbereitung.

  2. Starten Sie eine Cloud Shell-Sitzung.

  3. Legen Sie das Google Cloud-Projekt fest, für das abgerechnet wird und für das Kontingente abgerechnet werden. Vorgänge, die über die gcloud CLI ausgeführt werden. Verwenden Sie Folgendes: gcloud-Befehl als Beispiel:

    gcloud config set billing/quota_project PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die Projekt-ID der an Google Security Operations gebundenen Projekt, das Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.

    Informationen zu Kontingenten finden Sie in den folgenden Dokumenten:

    Wenn ein Fehler auftritt, lesen Sie die Informationen unter Kontingentfehler.

Mitarbeiteridentitätspool erstellen und konfigurieren

Sie können einen Mitarbeiteridentitätspool so konfigurieren, dass er in einen externen Pool eingebunden wird. Identitätsanbieter (Identity Provider, IdP) oder mit Google Workspace oder Cloud Identity verwenden.

  1. Erstellen Sie einen Mitarbeiteridentitätspool.

    • Erstellen Sie einen Mitarbeiteridentitätspool für einen externen IdP:

      Verwenden Sie als Beispiel den folgenden gcloud-Befehl:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
        --location="global" \
        --organization="ORGANIZATION_ID" \
        --description="WORKFORCE_POOL_DESCRIPTION" \
        --display-name="WORKFORCE_POOL_DISPLAY_NAME"
      

      Ersetzen Sie Folgendes:

      • WORKFORCE_POOL_ID: die von Ihnen definierte Kennung für den Mitarbeiteridentitätspool.
      • ORGANIZATION_ID: die numerische Organisations-ID.
      • WORKFORCE_POOL_DESCRIPTION: Geben Sie eine Beschreibung an. des Mitarbeiteridentitätspools.
      • WORKFORCE_POOL_DISPLAY_NAME: Geben Sie einen nutzerfreundlichen Namen für den Workforce Identity-Pool an.

      So führen Sie diese Konfiguration über die Google Cloud Console aus: Siehe Pool erstellen.

      Wenn der Befehl erfolgreich ausgeführt wurde, fahren Sie mit dem nächsten Schritt fort. Wenn der Befehl fehlschlägt, sollten Sie prüfen, ob die folgenden Szenarien auf Ihre Umgebung zutreffen:

      • Sie möchten sich mit Google Workspace oder Cloud Identity anmelden in Google SecOps
      • Die Fehlermeldung „Mitarbeiteridentitätsföderation ist noch nicht verfügbar“ wird angezeigt für Ihre Organisation, wenden Sie sich an einen Google Cloud-Ansprechpartner.“

      Wenn diese Szenarien zutreffen, fügen Sie die Flags hinzu. --allowed-services domain=backstory.chronicle.security und --disable-programmatic-signin zum Befehl hinzu:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
            --location="global" \
            --organization="ORGANIZATION_ID" \
            --description="WORKFORCE_POOL_DESCRIPTION" \
            --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
            --allowed-services domain=backstory.chronicle.security \
            --disable-programmatic-signin
      

      Mit diesem Befehl wird ein Personalpool erstellt, der nicht für die Anmeldung verwendet werden kann Google Cloud, aber Sie müssen diese Flags verwenden, um diese Szenarien zu bewältigen.

  2. Wenn Sie in der Befehlszeile aufgefordert werden, die Chronicle API zu aktivieren, geben Sie Yes ein.

Mitarbeiteridentitätsanbieter erstellen

  1. Laden Sie die Metadatendatei der SAML-Anwendung in Ihr Cloud Shell-Basisverzeichnis hoch. Klicken Sie dazu auf Mehr >. Dateien können nur in Ihr Basisverzeichnis hochgeladen werden. Weitere Optionen zum Übertragen von Dateien Informationen zum Wechseln zwischen Cloud Shell und Ihrer lokalen Workstation finden Sie unter Dateien und Ordner in Cloud Shell hochladen und herunterladen.

  2. Notieren Sie sich den Verzeichnispfad, in den Sie die XML-Datei mit den Metadaten der SAML-Anwendung hochgeladen haben. in Cloud Shell auf. Sie benötigen diesen Pfad im nächsten Schritt.

  3. Erstellen Sie einen Mitarbeiteridentitätspoolanbieter und geben Sie die IdP-Details an.

    Verwenden Sie als Beispiel den folgenden gcloud-Befehl:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
      --workforce-pool="WORKFORCE_POOL_ID" \
      --location="global" \
      --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
      --description="WORKFORCE_PROVIDER_DESCRIPTION" \
      --idp-metadata-path=PATH_TO_METADATA_XML \
      --attribute-mapping="ATTRIBUTE_MAPPINGS"
    

    Weitere Informationen zu diesen Werten finden Sie unter Implementierung planen.

    Ersetzen Sie Folgendes:

    • WORKFORCE_PROVIDER_ID: der Wert, den Sie für die Personalanbieter-ID definiert haben.
    • WORKFORCE_POOL_ID: Der Wert, den Sie für die ID des Mitarbeiteridentitätspools definiert haben.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: ein nutzerfreundlicher Name für den Personaldienstleister. Er muss kürzer als 32 Zeichen sein.
    • WORKFORCE_PROVIDER_DESCRIPTION: eine Beschreibung des Personalanbieters.
    • PATH_TO_METADATA_XML: der Cloud Shell-Verzeichnisspeicherort der XML-Datei mit Anwendungsmetadaten, die Sie mit Cloud Shell hochgeladen haben, z. B. /path/to/sso_metadata.xml.
    • ATTRIBUTE_MAPPINGS: Definition, wie Assertion-Attribute Google Cloud-Attributen zugeordnet werden. Common Expression Language wird verwendet, um diese Zuordnung zu interpretieren. Beispiel:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      Im vorherigen Beispiel werden die folgenden Attribute zugeordnet:

      • assertion.subject zu google.subject. Dies ist eine Mindestanforderung.
      • assertion.attributes.name[0] zu google.display_name.
      • assertion.attributes.groups für das Attribut google.groups.

      Wenn Sie diese Konfiguration für Google Security Operations ausführen, einschließlich Google Security Operations SIEM und Google Security Operations SOAR, müssen Sie auch die folgenden Attribute zuordnen, die von Google Security Operations SOAR benötigt werden:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Weitere Informationen zum Bereitstellen und Zuordnen von Nutzern für Google Security Operations SOAR

      Standardmäßig liest Google Security Operations Gruppeninformationen aus den folgenden Namen von Behauptungsattributen, bei denen die Groß- und Kleinschreibung nicht beachtet wird: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ und _assertion.attributes.memberOf_.

      Bei der Konfiguration der SAML-Anwendung, um Informationen zur Gruppenmitgliedschaft zu übergeben Legen Sie in der Assertion den Gruppenattributnamen auf _group_, _idpGroup_ oder _memberOf_ fest.

      Im Beispielbefehl können Sie assertion.attributes.groups durch entweder assertion.attributes.idpGroup oder assertion.attributes.memberOf, Der Name des Gruppenattributs, das Sie beim IdP konfiguriert haben SAML-Anwendung, die Informationen zur Gruppenmitgliedschaft in der Assertion enthält.

      Im folgenden Beispiel werden dem Attribut google.groups mehrere Gruppen zugeordnet:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      Im folgenden Beispiel wird die Gruppe http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group mit Sonderzeichen google.groups zugeordnet:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Weitere Informationen zu Zuordnungsattributen finden Sie unter Attributzuordnungen.

      Informationen zum Ausführen dieser Konfiguration über die Google Cloud Console finden Sie unter SAML-Anbieter erstellen.

Rolle gewähren, um die Anmeldung in Google Security Operations zu ermöglichen

In den folgenden Schritten wird beschrieben, wie Sie mithilfe von IAM eine bestimmte Rolle zuweisen damit sich Nutzer in Google Security Operations anmelden können. Führen Sie die Konfiguration mit dem zuvor erstellten Google Cloud-Projekt aus, das mit Google Security Operations verknüpft ist.

In diesem Beispiel wird der Befehl gcloud verwendet. So verwenden Sie die Google Cloud Console: Siehe Eine einzelne Rolle zuweisen.

  1. Weisen Sie Nutzern oder Gruppen die Rolle Chronicle API-Betrachter (roles/chronicle.viewer) zu, die Zugriff auf die Google Security Operations-Anwendung haben sollen.

    Im folgenden Beispiel wird den verwalteten Identitäten die Rolle „Chonicle API Viewer“ gewährt mit dem zuvor erstellten Mitarbeiteridentitätspool und -anbieter

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"
    

    Ersetzen Sie Folgendes:

    Führen Sie den folgenden Befehl aus, um einer bestimmten Gruppe die Rolle „Chronicle API Viewer“ zu gewähren:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
    

    Ersetzen Sie GROUP_ID durch eine Gruppe im zugeordneten google.groups-Anspruch.

  2. Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Anforderungen Ihrer Organisation zu erfüllen.

Zugriffssteuerung für Google Security Operations-Funktionen prüfen oder konfigurieren

Wenn Sie die Workforce Identity-Föderation mit Attributen oder Gruppen konfiguriert haben, die dem Attribut google.groups zugeordnet sind, werden diese Informationen an Google Security Operations übergeben, damit Sie die rollenbasierte Zugriffssteuerung (RBAC) für Google Security Operations-Funktionen konfigurieren können.

Wenn für die Google Security Operations-Instanz eine RBAC-Konfiguration vorhanden ist, prüfen Sie, dass die ursprüngliche Konfiguration wie erwartet funktioniert.

Falls Sie die Zugriffssteuerung noch nicht konfiguriert haben, lesen Sie den Abschnitt Zugriffssteuerung für Features mit IAM konfigurieren .

Konfiguration der Mitarbeiteridentitätsföderation ändern

Wenn Sie den Workforce Identity-Pool oder den Workforce-Anbieter aktualisieren müssen, finden Sie unter Workforce Identity-Pool-Anbieter verwalten Informationen zum Aktualisieren der Konfiguration.

Im Abschnitt Schlüsselverwaltung des Artikels SAML-Anbieter für Mitarbeiteridentitätspools erstellen wird beschrieben, wie Sie IdP-Signaturschlüssel aktualisieren und dann die Konfiguration des Anbieters für Mitarbeiteridentitätspools mit der neuesten XML-Datei der Anwendungsmetadaten aktualisieren.

Hier sehen Sie ein Beispiel für einen gcloud-Befehl, mit dem die Konfiguration des Personalanbieters aktualisiert wird:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Ersetzen Sie Folgendes:

  • WORKFORCE_PROVIDER_ID: der Wert, den Sie für die Personalanbieter-ID definiert haben.
  • WORKFORCE_POOL_ID: Der Wert, den Sie für die ID des Mitarbeiteridentitätspools definiert haben.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: ein nutzerfreundlicher Name für den Personaldienstleister. Der Wert muss kürzer als 32 Zeichen sein.
  • WORKFORCE_PROVIDER_DESCRIPTION: die Beschreibung des Personalanbieters.
  • PATH_TO_METADATA_XML: Speicherort der aktualisierten XML-Datei mit Anwendungsmetadaten Beispiel: /path/to/sso_metadata_updated.xml.
  • ATTRIBUTE_MAPPINGS: Die zugeordneten Assertion-Attribute zu Google Cloud-Attributen. Beispiel:

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Damit Google SecOps RBAC weiterhin wie erwartet funktioniert, ordnen Sie auch die google.groups-Attribut an alle Gruppen, die zum Definieren von Rollen in Google SecOps verwendet werden.

Konfigurationsprobleme beheben

Falls während des Vorgangs Fehler auftreten, überprüfen Sie Fehlerbehebung bei der Mitarbeiteridentitätsföderation um häufige Probleme zu beheben. Im folgenden Abschnitt finden Sie Informationen zu häufigen Problemen, die beim Ausführen der Schritte in diesem Dokument auftreten können.

Sollten weiterhin Probleme auftreten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner und stellen Sie Ihre Chrome-Netzwerkprotokolldatei bereit.

command not found Fehler beim Erstellen eines Anbieters für Mitarbeiteridentitätspools

Wenn Sie einen Anbieter für Mitarbeiteridentitätspools erstellen und die IdP-Details angeben, gehen Sie so vor: erhalten Sie den folgenden Fehler:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Prüfen Sie, ob es sich bei PATH_TO_METADATA_XML um den Ort handelt, an den Sie die Datei Metadaten-XML-Datei der SAML-Anwendung in Ihr Cloud Shell-Basisverzeichnis.

The caller does not have permission Fehler

Wenn Sie den Befehl gcloud projects add-iam-policy-binding ausführen, um Nutzern oder Gruppen Rollen zuzuweisen, erhalten Sie die folgende Fehlermeldung:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Prüfen Sie, ob Sie die erforderlichen Berechtigungen haben. Weitere Informationen finden Sie unter Erforderliche Rollen.

Nächste Schritte

Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus: