Configurer un fournisseur d'identité tiers
Vous pouvez utiliser Cloud Identity, Google Workspace ou une identité tierce (Okta ou Azure AD, par exemple) pour gérer les utilisateurs, les groupes et l'authentification.
Cette page explique comment utiliser un fournisseur d'identité tiers en configurant la fédération des identités des employés. Pour en savoir plus sur l'utilisation de Cloud Identity ou de Google Workspace, consultez la page Configurer un fournisseur d'identité Google Cloud.
Grâce à la fédération des identités des employés de Google, d'accorder aux charges de travail sur site ou multicloud un accès sans avoir à utiliser de clé de compte de service. Vous pouvez utiliser la fédération d'identité des employés avec n'importe quel fournisseur d'identité (IdP) tiers compatible avec OpenID Connect (OIDC), y compris Microsoft Azure, Okta ou SAML 2.0.
Google Security Operations nécessite d'utiliser la fédération des identités des employés de Google en tant que Agent SSO pour les éléments suivants:
- Clients soumis à des exigences de conformité FedRAMP (niveau d'impact élevé ou supérieur)
- Les clients accédant à tous les contrôles au niveau de l'entreprise dans Google Security Operations activés par Google Cloud y compris le contrôle des accès basé sur les données et les fonctionnalités (RBAC) à l'aide d'Identity and Access Management (IAM).
- Clients qui utilisent la gestion des identifiants en libre-service pour un accès programmatique à l'API Chronicle
Google Security Operations est compatible avec l'authentification unique SAML initiée par le fournisseur de services (SP) pour les utilisateurs. Grâce à cette fonctionnalité, les utilisateurs accèdent directement à Google Security Operations. Google Security Operations émet une requête via Google Cloud Identity and Access Management (IAM) fédération des identités des employés au fournisseur d'identité tiers.
Une fois que le fournisseur d'identité a authentifié l'identité de l'utilisateur, celui-ci est redirigé vers Google Security Operations avec une assertion d'authentification. Identité des employés Google Cloud agit comme un intermédiaire dans le flux d'authentification.
Communication entre Google Security Operations, la fédération d'identité de personnel IAM et l'IDP
De manière générale, la communication se présente comme suit :
- L'utilisateur accède à Google Security Operations.
- Google Security Operations recherche les informations sur les fournisseurs d'identité dans le pool d'identités de la main-d'œuvre Google Cloud.
- Une requête est envoyée à l'IDP.
- L'assertion SAML est envoyée au pool d'identités des employés Google Cloud.
- Si l'authentification réussit, Google Security Operations ne reçoit que le code définis lorsque vous avez configuré le fournisseur d'identité des employés dans le pool d'identités des employés.
Les administrateurs Google Security Operations créent des groupes dans leur fournisseur d'identité, configurent l'application SAML pour transmettre les informations d'appartenance au groupe dans l'assertion, puis associent les utilisateurs et les groupes aux rôles prédéfinis de Google Security Operations dans IAM ou aux rôles personnalisés qu'ils ont créés.
La connexion initiée par le fournisseur d'identité (démarrage d'une connexion à partir du tableau de bord de votre fournisseur d'identité) n'est pas prise en charge. Si votre organisation a besoin de cette fonctionnalité, contactez votre représentant Google Security Operations pour la demander.
Ce document décrit les étapes générales à suivre pour configurer l'authentification via un fournisseur d'identité (IdP) tiers à l'aide de la fédération d'identité de personnel Google Cloud. Après avoir suivi les étapes de ce document, vous pourrez accéder à Google Security Operations à l'aide de votre fournisseur d'identité tiers et gérer l'accès à Google Security Operations à l'aide de l'authentification unique SAML via la fédération d'identité du personnel.
Avant de commencer
- Assurez-vous de bien connaître Cloud Shell,
la commande
gcloud
et la console Google Cloud. - Suivez la procédure décrite dans Configurer un projet Google Cloud pour Google Security Operations pour configurer un projet qui se lie à Google Security Operations.
- Familiarisez-vous avec la fédération des identités des employés de Google Cloud.
- Assurez-vous de disposer des autorisations nécessaires pour effectuer les étapes décrites dans ce document. Pour en savoir plus sur les autorisations requises pour chaque phase du processus d'intégration, consultez la section Rôles requis.
Les étapes suivantes décrivent comment effectuer la configuration à l'aide de gcloud
commandes. Si une étape peut être effectuée dans la console Google Cloud, un lien vers la documentation IAM associée est fourni.
Planifier l'implémentation
La section suivante décrit les décisions que vous devez prendre et les informations que vous définir avant de suivre les étapes de ce document.
Définir le pool d'identités de personnel et le fournisseur de personnel
Lors de ce processus, vous allez configurer l'identité des employés Google Cloud la fédération en tant qu'intermédiaire dans le flux d'authentification. Pour ce faire, vous créer les ressources Google Cloud suivantes:
- Pool de personnel : un pool d'identités de personnel vous permet d'accorder à votre personnel (par exemple, vos employés) un accès à Google Security Operations.
- Fournisseur de personnel: Un fournisseur d'employés est une sous-ressource du pool d'identités des employés. Il stocke des informations sur un seul fournisseur d'identité.
Relation entre le pool d'identités des employés, les fournisseurs d'employés et l'équipe Google Security Operations de client unique, identifiée par un seul sous-domaine client, est la suivante:
- Un pool d'identités de personnel est défini au niveau de l'organisation.
- Chaque instance Google Security Operations dispose d'un pool d'identités d'employé configuré et associé à celui-ci.
- Un pool d'identités de personnel peut avoir plusieurs fournisseurs de personnel.
- Chaque fournisseur de personnel intègre un IdP tiers au pool d'identités des employés.
- Le pool d'identités des employés que vous créez à l'aide de ces étapes doit être dédié à Google SecOps. Bien que vous puissiez gérer plusieurs pools d'identités des employés à d'autres fins, le pool d'identités des employés créé pour Google SecOps ne peut pas être partagé.
- Nous vous recommandons de créer le pool d'identités de personnel dans la même organisation Google Cloud que le projet associé à Google SecOps.
Vous gagnerez du temps si vous prédéfinissez des informations sur le pool d'identités de personnel et le fournisseur de personnel. Ces informations vous serviront à configurer l'application SAML du fournisseur d'identité et la fédération des identités des employés.
Choisissez les valeurs des identifiants suivants :
- ID du pool d'identités de personnel (
WORKFORCE_POOL_ID
) : sélectionnez une valeur qui indique la portée ou l'objectif du pool d'identités de personnel. La valeur doit répondre aux exigences suivantes :- Doit être unique.
- Il doit contenir uniquement des caractères minuscules [a-z], des chiffres [0-9] et des tirets [-].
- Doit commencer par un caractère minuscule [a-z].
- Doit se terminer par une lettre minuscule [a-z] ou un chiffre [0-9].
- Peut comporter entre 4 et 61 caractères.
- Nom à afficher du pool d'employés (
WORKFORCE_POOL_DISPLAY_NAME
): définissez un nom convivial. pour le pool d'identités des employés. - Description du pool de personnel (
WORKFORCE_POOL_DESCRIPTION
) : définissez une description détaillée du pool d'identités de personnel. - ID du fournisseur de personnel (
WORKFORCE_PROVIDER_ID
): choisissez une valeur indiquant l'IdP qu'il représente. Cette valeur doit répondre aux exigences suivantes :- Vous ne devez utiliser que des caractères minuscules [a-z], des chiffres [0-9] et des tirets [-].
- Peut comporter entre 4 et 32 caractères.
- Nom à afficher du fournisseur de personnel (
WORKFORCE_PROVIDER_DISPLAY_NAME
): définir un nom convivial pour le fournisseur de main-d'œuvre. Il ne doit pas comporter plus de 32 caractères. - Description du fournisseur de personnel (
WORKFORCE_PROVIDER_DESCRIPTION
) : définissez une description détaillée du fournisseur de personnel.
Définir des attributs utilisateur et des groupes dans l'IDP
Avant de créer l'application SAML dans l'IdP, identifiez les attributs utilisateur et groupes sont nécessaires pour configurer l'accès aux fonctionnalités de Google Security Operations. Pour en savoir plus, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM. et les autorisations Google Security Operations dans IAM.
Vous aurez besoin de ces informations lors des phases suivantes de ce processus :
Lors de la configuration de l'application SAML, vous créez les groupes définis lors de la planification. Vous configurez l'application SAML du fournisseur d'identité pour transmettre les appartenances aux groupes dans l'assertion.
Lorsque vous créez le fournisseur de personnel, vous mappez les attributs et les groupes d'assertion avec Attributs Google Cloud Ces informations sont envoyées dans la revendication d'assertion en tant qu'identité de l'utilisateur.
Lorsque vous configurez le contrôle des accès basé sur les rôles dans Google Security Operations, vous utilisez les attributs utilisateur et les informations de groupe pour configurer l'accès aux fonctionnalités Google Security Operations.
Google Security Operations fournit plusieurs rôles prédéfinis, chacun permettant l'accès des fonctionnalités spécifiques. Vous pouvez mapper les groupes définis dans l'application SAML de l'IDP sur ces rôles prédéfinis.
Assurez-vous de créer un groupe d'IDP pour les administrateurs qui configurent les utilisateurs et les groupes autorisés à accéder aux fonctionnalités liées à SOAR. Au cours du processus d'intégration, vous indiquerez ce nom de groupe afin que les utilisateurs de ce groupe puissent configurer le contrôle des accès aux fonctionnalités liées à SOAR.
Configurer l'IdP
Cette section décrit uniquement la configuration spécifique requise dans une application SAML de fournisseur d'identité pour s'intègrent à la fédération des identités des employés Google Cloud et à Google Security Operations.
Créez une application SAML dans votre IdP.
Configurez l'application avec l'URL ACS (Assertion Consumer Service) suivante, également appelée "URL d'authentification unique" selon le fournisseur de services.
https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Remplacez les éléments suivants :
WORKFORCE_POOL_ID
: identifiant que vous avez défini pour le pool d'identités des employés.WORKFORCE_PROVIDER_ID
: l'identifiant que vous définies pour le fournisseur de main-d'œuvre.Pour en savoir plus sur ces valeurs, consultez la section Planifier l'implémentation.
Configurez l'application avec l'ID d'entité (également appelé ID d'entité du fournisseur de services) suivant.
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
Remplacez les éléments suivants :
WORKFORCE_POOL_ID
: identifiant que vous avez défini pour le pool d'identités des employés.WORKFORCE_PROVIDER_ID
: identifiant que vous avez défini pour le fournisseur de personnel.
Configurez l'identifiant de nom dans votre IdP pour vous assurer que le champ
NameID
est renvoyé dans la réponse SAML.Vous pouvez définir une valeur compatible avec vos règles d'administration (adresse e-mail ou nom d'utilisateur, par exemple). Pour en savoir plus sur la configuration de cette valeur, consultez la documentation de votre IdP. Pour en savoir plus sur cette exigence, consultez Résoudre les problèmes liés à la fédération des identités des employés.
Vous pouvez également créer les attributs de groupe dans l'application SAML. Vous les avez définies lorsque vous avez planifié l'implémentation de l'IdP.
Téléchargez le fichier XML de métadonnées de l'application. Dans la section suivante, vous allez importez ce fichier depuis votre système local vers votre répertoire d'accueil Google Cloud à l'aide de Cloud Shell.
Configurer la fédération d'identité de personnel
Cette section ne décrit que les étapes spécifiques nécessaires pour configurer la fédération d'identité des employés avec l'application SAML de l'IdP que vous avez créée dans la section précédente. Pour en savoir plus sur la gestion des pools d'identités des employés, Voir la page Gérer les fournisseurs de pools d'identités des employés
Ouvrez la console Google Cloud en tant qu'utilisateur disposant des autorisations requises sur la Projet lié à Google Security Operations. Vous avez identifié ou créé cet utilisateur précédemment. Consultez la section Avant de commencer.
Lancez une session Cloud Shell.
Définissez le projet Google Cloud de facturation/quotas pour les opérations effectuées à l'aide de la gcloud CLI. Utilisez les éléments suivants :
gcloud
à titre d'exemple:gcloud config set billing/quota_project PROJECT_ID
Remplacez
PROJECT_ID
par l'ID du projet lié à Google Security Operations. que vous avez créé dans Configurer un projet Google Cloud pour Google Security Operations. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.Pour en savoir plus sur les quotas, consultez les documents suivants:
Si une erreur se produit, consultez Erreurs de quota.
Créer et configurer un pool d'identités de personnel
Vous pouvez configurer un pool d'identités d'employés pour l'intégrer à un fournisseur d'identité (IdP) externe, ou à Google Workspace ou Cloud Identity.
Créez un pool d'identités de personnel.
Créez un pool d'identités de personnel pour un fournisseur d'identité tiers :
Utilisez la commande
gcloud
suivante comme exemple:gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization="ORGANIZATION_ID" \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME"
Remplacez les éléments suivants :
WORKFORCE_POOL_ID
: identifiant que vous avez défini pour le pool d'identités des employés.ORGANIZATION_ID
: ID numérique de l'organisation.WORKFORCE_POOL_DESCRIPTION
: spécifiez une description du pool d'identités des employés.WORKFORCE_POOL_DISPLAY_NAME
: spécifiez un nom convivial du pool d'identités des employés.
Pour effectuer cette configuration à l'aide de la console Google Cloud, consultez la section Créer un pool.
Si vous souhaitez utiliser Google Workspace ou Cloud Identity Google SecOps, ajoutez les options
--allowed-services domain=backstory.chronicle.security
et--disable-programmatic-signin
à la commande:gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization="ORGANIZATION_ID" \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME" \ --allowed-services domain=backstory.chronicle.security \ --disable-programmatic-signin
Cette commande crée un pool d'employés qui ne permet pas de se connecter Google Cloud, mais vous devez utiliser ces options pour résoudre ces scénarios.
Si la ligne de commande vous invite à activer l'API Chronicle, saisissez
Yes
.
Créer un fournisseur d'identités de personnel
Importez le fichier de métadonnées de l'application SAML dans votre répertoire d'accueil Cloud Shell en cliquant sur >. Vous ne pouvez importer des fichiers que dans votre répertoire d'accueil. Pour plus d'options de transfert de fichiers entre Cloud Shell et votre poste de travail local, consultez Importer et télécharger des fichiers et des dossiers à partir de Cloud Shell.
PlusNotez le chemin d'accès au répertoire dans lequel vous avez importé le fichier XML de métadonnées de l'application SAML. dans Cloud Shell. Vous aurez besoin de ce chemin à l'étape suivante.
Créez un fournisseur de pool d'identités des employés et spécifiez les détails de l'IdP.
Utilisez la commande
gcloud
suivante comme exemple :gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --location="global" \ --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \ --description="WORKFORCE_PROVIDER_DESCRIPTION" \ --idp-metadata-path=PATH_TO_METADATA_XML \ --attribute-mapping="ATTRIBUTE_MAPPINGS"
Pour en savoir plus sur ces valeurs, consultez la section Planifier l'implémentation.
Remplacez les éléments suivants :
WORKFORCE_PROVIDER_ID
: valeur que vous avez définie pour l'ID du fournisseur de personnel.WORKFORCE_POOL_ID
: valeur que vous avez définie pour l'ID du pool d'identités des employés.WORKFORCE_PROVIDER_DISPLAY_NAME
: nom convivial pour le fournisseur de main-d'œuvre. Il doit comporter moins de 32 caractères.WORKFORCE_PROVIDER_DESCRIPTION
: description du fournisseur de personnel.PATH_TO_METADATA_XML
: emplacement du répertoire Cloud Shell du fichier XML de métadonnées de l'application que vous avez importé à l'aide de Cloud Shell, par exemple :/path/to/sso_metadata.xml
.ATTRIBUTE_MAPPINGS
: définition de la façon de mapper les attributs d'assertion sur les attributs Google Cloud. Common Expression Language est utilisé pour interpréter ces correspondances. Exemple :google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups
L'exemple précédent mappe les attributs suivants :
assertion.subject
àgoogle.subject
. Il s'agit d'une condition minimale requise.assertion.attributes.name[0]
àgoogle.display_name
.assertion.attributes.groups
à l'attributgoogle.groups
.
Si vous effectuez cette configuration pour Google Security Operations, qui inclut Google Security Operations SIEM et Google Security Operations SOAR, vous devez également mapper les attributs suivants requis par Google Security Operations SOAR :
attribute.first_name
attribute.last_name
attribute.user_email
google.groups
En savoir plus sur le provisionnement et le mappage des utilisateurs pour le SOAR Google Security Operations
Par défaut, Google Security Operations lit les informations de groupe à partir des noms d'attributs d'assertion suivants, qui ne sont pas sensibles à la casse :
_assertion.attributes.groups_
,_assertion.attributes.idpGroup_
et_assertion.attributes.memberOf_
.Lorsque vous configurez l'application SAML pour transmettre des informations d'appartenance à un groupe dans l'assertion, définissez le nom de l'attribut de groupe sur
_group_
,_idpGroup_
ou_memberOf_
.Dans l'exemple de commande, vous pouvez remplacer
assertion.attributes.groups
parassertion.attributes.idpGroup
ouassertion.attributes.memberOf
, qui représente le nom de l'attribut de groupe que vous avez configuré dans l'IdP SAML et qui contient les informations d'appartenance à un groupe dans l'assertion.L'exemple suivant mappe plusieurs groupes sur l'attribut
google.groups
:google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"
L'exemple suivant mappe le groupe
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group
contenant des caractères spéciaux surgoogle.groups
:google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"
Pour en savoir plus sur le mappage des attributs, consultez Mappages d'attributs.
Pour effectuer cette configuration à l'aide de la console Google Cloud, consultez Créer un fournisseur SAML.
Accorder un rôle pour activer la connexion à Google Security Operations
Les étapes suivantes décrivent comment accorder un rôle spécifique à l'aide d'IAM afin que les utilisateurs puissent se connecter à Google Security Operations. Effectuez la configuration à l'aide de le projet Google Cloud lié à Google Security Operations que vous avez créé précédemment.
Cet exemple utilise la commande gcloud
. Pour utiliser la console Google Cloud, consultez Attribuer un seul rôle.
Accordez le rôle de lecteur de l'API Chronicle (
roles/chronicle.viewer
). aux utilisateurs ou aux groupes qui doivent avoir accès à l'application Google Security Operations.L'exemple suivant accorde le rôle de lecteur de l'API Chronicle aux identités gérées à l'aide du pool d'identités de personnel et du fournisseur de personnel que vous avez créés précédemment.
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"
Remplacez les éléments suivants :
PROJECT_ID
: avec l'ID du projet lié à Google Security Operations que vous avez configuré dans Configurer un projet Google Cloud pour Google Security Operations. Pour en savoir plus sur les champs qui identifient un projet, consultez Créer et gérer des projets.WORKFORCE_POOL_ID
: valeur que vous avez définie pour l'ID du pool d'identités des employés.
Pour attribuer le rôle de lecteur de l'API Chronicle à un groupe spécifique, exécutez la commande suivante:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Remplacez
GROUP_ID
: groupe de la revendicationgoogle.groups
mappée.Configurez des règles IAM supplémentaires pour répondre aux exigences de votre organisation.
Valider ou configurer le contrôle des accès aux fonctionnalités Google Security Operations
Si vous avez configuré la fédération des identités des employés avec des attributs ou des groupes mappés
à l'attribut google.groups
, ces informations sont transmises à Google Security Operations
afin de pouvoir configurer le contrôle des accès basé sur les rôles (RBAC) pour les fonctionnalités Google Security Operations.
Si l'instance Google Security Operations dispose d'une configuration RBAC, vérifiez que la configuration d'origine fonctionne comme prévu.
Si vous n'avez pas encore configuré le contrôle des accès, consultez la section Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM pour en savoir plus sur le contrôle des accès aux fonctionnalités.
Modifier la configuration de la fédération d'identité des employés
Si vous devez mettre à jour le pool d'identités de personnel ou le fournisseur de personnel, consultez la section Gérer les fournisseurs de pools d'identités de personnel pour savoir comment mettre à jour la configuration.
La section Gestion des clés de Créer un fournisseur de pools d'identités des employés SAML explique comment mettre à jour les clés de signature de l'IDP, puis mettre à jour la configuration du fournisseur de personnel avec le dernier fichier XML de métadonnées de l'application.
Voici un exemple de commande gcloud
qui met à jour la configuration du fournisseur de main-d'œuvre :
gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location="global" \
--display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
--description="WORKFORCE_PROVIDER_DESCRIPTION" \
--idp-metadata-path=PATH_TO_METADATA_XML \
--attribute-mapping="ATTRIBUTE_MAPPINGS"
Remplacez les éléments suivants :
WORKFORCE_PROVIDER_ID
: valeur que vous avez définie pour l'ID du fournisseur de personnel.WORKFORCE_POOL_ID
: valeur que vous avez définie pour l'ID du pool d'identités des employés.WORKFORCE_PROVIDER_DISPLAY_NAME
: nom convivial pour le fournisseur de main-d'œuvre. La valeur doit comporter moins de 32 caractères.WORKFORCE_PROVIDER_DESCRIPTION
: description du fournisseur de personnel.PATH_TO_METADATA_XML
: emplacement du fichier XML de métadonnées d'application mis à jour Exemple:/path/to/sso_metadata_updated.xml
.ATTRIBUTE_MAPPINGS
: attributs d'assertion mappés avec des attributs Google Cloud. Exemple :google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf
Pour vous assurer que Google SecOps RBAC continue de fonctionner comme prévu, mappez également
google.groups
à tous les groupes utilisés pour définir des rôles dans Google SecOps.
Résoudre les problèmes de configuration
Si vous rencontrez des erreurs au cours de ce processus, consultez la section Résoudre les problèmes liés à la fédération des identités des employés pour résoudre les problèmes courants. La section suivante fournit des informations sur les problèmes courants rencontrés lors de la réalisation des étapes de ce document.
Si le problème persiste, contactez votre représentant Google SecOps et fournissez votre fichier journaux réseau Chrome.
Erreur command not found
lors de la création d'un fournisseur de pool d'identités des employés
Lorsque vous créez un fournisseur de pools d'identités des employés et que vous spécifiez les détails de l'IdP, vous obtenez l'erreur suivante:
Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found
Vérifiez que PATH_TO_METADATA_XML
correspond à l'emplacement où vous avez importé le fichier XML des métadonnées de l'application SAML dans votre répertoire d'accueil Cloud Shell.
The caller does not have permission
erreur
Lorsque vous exécutez la commande gcloud projects add-iam-policy-binding
pour attribuer des rôles à des utilisateurs ou à des groupes, vous obtenez l'erreur suivante:
ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission
Vérifiez que vous disposez des autorisations requises. Pour en savoir plus, consultez la section Rôles requis.
Étape suivante
Après avoir effectué les étapes décrites dans ce document, procédez comme suit:
Suivez la procédure pour associer une instance Google Security Operations aux services Google Cloud.
Si vous n'avez pas encore configuré la journalisation des audits, passez à l'étape Activer la journalisation des audits Google Security Operations.
Si vous configurez pour Google Security Operations, suivez les étapes supplémentaires dans la section Provisionner, authentifier et mapper des utilisateurs dans Google Security Operations.
Pour configurer l'accès aux fonctionnalités, suivez les étapes supplémentaires de la section Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM. et les autorisations Google Security Operations dans IAM