Configurer un fournisseur d'identité Google Cloud

Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.

Cette page explique comment utiliser Cloud Identity ou Google Workspace. Pour en savoir plus sur la configuration d'un fournisseur d'identité tiers, consultez Configurer un fournisseur d'identité tiers pour Google Security Operations.

Lorsque vous utilisez Cloud Identity ou Google Workspace, vous créez des comptes utilisateur gérés pour contrôler les accès aux ressources Google Cloud et à Google SecOps.

Vous créez des stratégies IAM qui définissent les utilisateurs et les groupes qui ont accès aux fonctionnalités Google SecOps. Ces règles IAM sont définies à l'aide de rôles et d'autorisations prédéfinis fournis par Google SecOps ou de rôles personnalisés que vous créez.

Lors des étapes d'association de Google SecOps aux services Google Cloud, vous configurez une connexion à Google Cloud Identity. Une fois la configuration terminée, Google SecOps s'intègre directement à Cloud Identity ou Google Workspace d'authentifier les utilisateurs, et d'autoriser ou de refuser l'accès aux fonctionnalités basées sur les stratégies que vous créez.

Consultez la page Identités des utilisateurs. pour obtenir des informations détaillées sur la création de comptes Cloud Identity ou Google Workspace.

Attribuer un rôle pour activer la connexion à Google SecOps

Les étapes suivantes décrivent comment attribuer un rôle spécifique à l'aide d'IAM pour qu'un utilisateur puisse se connecter à Google SecOps. Effectuez la configuration à l'aide de le projet Google Cloud lié à Google SecOps que vous avez créé précédemment.

Cet exemple utilise la commande gcloud. Pour utiliser la console Google Cloud, consultez Attribuer un seul rôle.

  1. Accordez le rôle de lecteur de l'API Chronicle (roles/chronicle.viewer). aux utilisateurs ou aux groupes qui doivent avoir accès à l'application Google Security Operations.

    L'exemple suivant attribue le rôle Lecteur de l'API Chronicle à un groupe spécifique:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "group:GROUP_EMAIL"
    

    Remplacez les éléments suivants :

    Pour attribuer le rôle de lecteur de l'API Chronicle à un utilisateur spécifique, exécutez la commande suivante :

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principal:USER_EMAIL"
    

    Remplacez USER_EMAIL: adresse e-mail de l'utilisateur, par exemple alice@example.com.

    Pour obtenir des exemples d'attribution de rôles à d'autres membres, comme un groupe ou un domaine, consultez Documentation de référence sur gcloud projects add-iam-policy-binding et sur les identifiants principaux.

  2. Configurez des règles IAM supplémentaires pour répondre aux exigences de votre organisation.

Étape suivante

Une fois que vous avez suivi la procédure décrite dans ce document, procédez comme suit :