Google Cloud-Identitätsanbieter konfigurieren

Sie können Cloud Identity, Google Workspace oder die Identität eines Drittanbieters verwenden (z. B. Okta oder Azure AD), um Nutzer, Gruppen und die Authentifizierung zu verwalten.

Auf dieser Seite wird die Verwendung von Cloud Identity oder Google Workspace beschrieben. Informationen zum Konfigurieren eines Identitätsanbieters von Drittanbietern finden Sie im Hilfeartikel Identitätsanbieter von Drittanbietern für Google Security Operations konfigurieren.

Wenn Sie Cloud Identity oder Google Workspace verwenden, erstellen Sie verwaltete Nutzerkonten um den Zugriff auf Google Cloud-Ressourcen und Google SecOps zu steuern.

Sie erstellen IAM-Richtlinien, die festlegen, welche Nutzer und Gruppen Zugriff auf die Google SecOps-Funktionen haben. Diese IAM-Richtlinien werden mithilfe vordefinierter Rollen und Berechtigungen von Google SecOps definiert oder benutzerdefinierten Rollen erstellen.

Bei den Schritten zum Verknüpfen von Google SecOps mit Google Cloud-Diensten eine Verbindung zu Google Cloud Identity konfigurieren. Nach der Konfiguration wird Google SecOps direkt in Cloud Identity oder Google Workspace eingebunden, um Nutzer zu authentifizieren und den Zugriff auf Funktionen basierend auf den von Ihnen erstellten IAM-Richtlinien zuzulassen oder zu verweigern.

Ausführliche Informationen zum Erstellen von Cloud Identity- oder Google Workspace-Konten finden Sie unter Identitäten für Nutzer.

Rolle für die Anmeldung in Google SecOps gewähren

In den folgenden Schritten wird beschrieben, wie Sie mit IAM eine bestimmte Rolle gewähren, damit sich ein Nutzer in Google SecOps anmelden kann. Führen Sie die Konfiguration mit dem zuvor erstellten Google Cloud-Projekt aus, das mit Google SecOps verknüpft ist.

In diesem Beispiel wird der Befehl gcloud verwendet. So verwenden Sie die Google Cloud Console: Siehe Eine einzelne Rolle zuweisen.

  1. Weisen Sie Nutzern oder Gruppen die Rolle Chronicle API-Betrachter (roles/chronicle.viewer) zu, die Zugriff auf die Google Security Operations-Anwendung haben sollen.

    Im folgenden Beispiel wird einer bestimmten Gruppe die Rolle „Betrachter – Chronicle API“ zugewiesen:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "group:GROUP_EMAIL"
    

    Ersetzen Sie Folgendes:

    Führen Sie den folgenden Befehl aus, um einem bestimmten Nutzer die Rolle „Chonicle API Viewer“ zu gewähren:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principal:USER_EMAIL"
    

    Ersetzen Sie USER_EMAIL durch die E-Mail-Adresse des Nutzers, z. B. alice@example.com.

    Beispiele für das Zuweisen von Rollen an andere Mitglieder, z. B. einer Gruppe oder Domain, finden Sie unter Referenzdokumentation zu gcloud projects add-iam-policy-binding und Hauptkennungen

  2. Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Anforderungen Ihrer Organisation zu erfüllen.

Nächste Schritte

Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus: