Configure um Google Cloud Fornecedor de identidade

Pode usar o Cloud ID, o Google Workspace ou um fornecedor de identidade de terceiros (como o Okta ou o Azure AD) para gerir utilizadores, grupos e autenticação.

Esta página descreve como usar o Cloud ID ou o Google Workspace.

Quando usa o Cloud ID ou o Google Workspace, cria contas de utilizador geridas para controlar o acesso aos recursos e ao Google SecOps. Google Cloud

Cria políticas de IAM que definem que utilizadores e grupos têm acesso às funcionalidades do Google SecOps. Estas políticas da IAM são definidas através de funções e autorizações predefinidas fornecidas pelo Google SecOps ou funções personalizadas que criar.

Como parte da associação de uma instância do Google SecOps a Google Cloud serviços, configure uma associação a um Google Cloud IdP. A instância do Google SecOps integra-se diretamente com o Cloud Identity ou o Google Workspace para autenticar os utilizadores e aplicar o controlo de acesso com base nas políticas de IAM configuradas.

Consulte Identidades para utilizadores para obter informações detalhadas sobre a criação de contas do Cloud ID ou Google Workspace.

Conceda uma função para ativar o início de sessão no Google SecOps

Os passos seguintes descrevem como conceder uma função específica através da IAM para que um utilizador possa iniciar sessão no Google SecOps. Faça a configuração através do projeto associado ao Google SecOps que criou anteriormente. Google Cloud

1. Conceda a função Visualizador da API Chronicle (roles/chronicle.viewer) aos utilizadores ou grupos que devem ter acesso à aplicação Google Security Operations.

   • O exemplo seguinte atribui a função de leitor da API Chronicle a um grupo específico:

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role roles/chronicle.viewer \
       --member "group:GROUP_EMAIL"
     

     Substitua o seguinte:

     • PROJECT_ID: com o ID do projeto do projeto associado ao Google Security Operations que configurou em Configure um Google Cloud projeto para o Google Security Operations. Consulte o artigo Criar e gerir projetos para ver uma descrição dos campos que identificam um projeto.
     • GROUP_EMAIL: o alias de email do grupo, como analyst-t1@example.com.

   • Para conceder a função de leitor da API Chronicle a um utilizador específico, execute o seguinte comando:

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role roles/chronicle.viewer \
       --member "principal:USER_EMAIL"
     

     Substitua USER_EMAIL pelo endereço de email do utilizador, como alice@example.com.

   • Para ver exemplos de como conceder funções a outros membros, como um grupo ou um domínio, consulte a documentação de referência gcloud projects add-iam-policy-binding e Identificadores principais.

2. Configure políticas de IAM adicionais para cumprir os requisitos de acesso e segurança da sua organização.

O que se segue?

Depois de concluir os passos neste documento, faça o seguinte:

• Execute os passos para associar uma instância do Google Security Operations a Google Cloud serviços.

• Se ainda não configurou o registo de auditoria, continue com a ativação do registo de auditoria do Google Security Operations.

• Se estiver a configurar o Google Security Operations, execute passos adicionais no artigo Aprovisione, autentique e mapeie utilizadores no Google Security Operations.

• Para configurar o acesso às funcionalidades, execute passos adicionais em Configure o controlo de acesso a funcionalidades através da IAM e autorizações do Google Security Operations na IAM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.