为 Google Security Operations 配置第三方身份提供方

借助 Google 的员工身份联合，您可以授予本地或多云工作负载对 Google Cloud 资源的访问权限，而无需使用服务帐号密钥。您可以将员工身份联合与支持 OpenID Connect (OIDC) 的任何身份提供方 (IdP)（包括 Microsoft Azure、Okta 或 SAML 2.0）搭配使用。

Google 安全运营要求将 Google 的员工身份联合用作以下各项的默认 SSO 代理：

• 符合 FedRAMP High（或更高）合规要求的客户。
• 客户可以访问由 Google Cloud 启用的 Google Security Operations 中的任何企业级控件，包括使用 Identity and Access Management (IAM) 的数据和功能基于角色的访问权限控制 (RBAC)。
• 使用自助式凭据管理服务以程序化方式访问 Google Security Operations API 的客户。

Google Security Operations 支持由服务提供商发起的（SP 发起的）SAML 单点登录。借助此功能，用户可以直接转到 Google 安全运维系统。Google Security Operations 通过 Google Cloud Identity and Access Management (IAM) 员工身份联合向第三方身份提供方 (IdP) 发出请求。

在 IdP 对用户身份进行身份验证后，系统会使用身份验证断言将用户返回到 Google 安全运维套件。Google Cloud 员工身份联合充当身份验证流程中的中间层。

Google 安全运维套件、IAM 员工身份联合和 IdP 之间的通信

概括来讲，沟通方式如下：

1. 用户前往 Google 安全运维套件。
2. Google Security Operations 会在 Google Cloud 员工身份池中查找 IdP 信息。
3. 系统会向 IdP 发送请求。
4. 系统会将 SAML 断言发送到 Google Cloud 员工身份池。
5. 如果身份验证成功，Google Security Operations 仅会收到您在员工身份池中配置员工提供方时定义的 SAML 属性。

不支持 IdP 发起的登录（从 IdP 信息中心发起登录）。 如果您的组织需要该功能，请与您的 Google 安全运营代表联系以申请该功能。

本文档简要介绍了使用 Google Cloud 员工身份联合通过第三方身份提供方 (IdP) 设置身份验证的步骤。完成本文档中的步骤后，您就可以使用第三方 IdP 访问 Google 安全运维套件，并通过员工身份联合使用 SAML SSO 来管理对 Google 安全运维套件的访问权限。

准备工作

• 请确保您熟悉 Cloud Shell、gcloud 命令和 Google Cloud 控制台。
• 执行为 Google 安全运维套件配置 Google Cloud 项目中的步骤，设置绑定到 Google 安全运维套件的项目。
• 熟悉 Google Cloud 员工身份联合。
• 请确保您有权执行本文档中的步骤。 如需了解新手入门流程每个阶段所需的权限，请参阅必需的角色。

以下步骤介绍了如何使用 gcloud 命令执行配置。如果某个步骤可在 Google Cloud 控制台中执行，系统会提供指向相关 IAM 文档的链接。

规划实现

以下部分介绍了在执行本文档中的步骤之前必须做出的决策和定义的信息。

定义员工身份池和员工提供方

在此过程中，您将在身份验证流程中将 Google Cloud 员工身份联合配置为中间方。为此，您需要创建以下 Google Cloud 资源：

• 员工池：通过员工身份池，您可以授予员工（例如员工）访问 Google Security Operations 的权限。
• 员工提供方：员工提供方是员工身份池的子资源。它可以存储有关单个 IdP 的详细信息。

员工身份池、员工提供方和由单个客户子网域标识的 Google Security Operations 实例之间的关系如下所示：

• 员工身份池在组织级层定义。
• 每个 Google Security Operations 实例都配置并关联了员工身份池。
• 员工身份池可以有多个员工提供方。
• 每个员工提供方都会将第三方 IdP 与员工身份池集成。

• 您使用这些步骤创建的员工身份池必须专用于 Google SecOps。虽然您可以出于其他目的管理多个员工身份池，但为 Google SecOps 创建的员工身份池不能共享。
• 我们建议您在绑定到 Google SecOps 的项目所在的 Google Cloud 组织中创建员工身份池。

如果您预定义员工身份池和员工提供方的相关信息，则有助于节省时间。在配置 IdP SAML 应用和员工身份联合时会用到此信息。

选择以下标识符的值：

• 员工池 ID (WORKFORCE_POOL_ID)：选择一个值，用于指示员工身份池的范围或用途。该值必须满足以下要求：
  • 必须具有全局唯一性。
  • 只能使用小写字符 [a-z]、数字 [0-9] 和短划线 [-]。
  • 必须以小写字符 [a-z] 开头。
  • 必须以小写字符 [a-z] 或数字 [0-9] 结尾。
  • 长度介于 4 到 61 个字符之间。
• 员工池显示名称 (WORKFORCE_POOL_DISPLAY_NAME)：为员工身份池定义简单易记的名称。
• 员工池说明 (WORKFORCE_POOL_DESCRIPTION)：定义对员工身份池的详细说明。
• 员工提供方 ID (WORKFORCE_PROVIDER_ID)：选择一个值，表示其代表的 IdP。该值必须满足以下要求：
  • 只能使用小写字符 [a-z]、数字 [0-9] 和短划线 [-]。
  • 长度在 4 到 32 个字符之间。
• 员工提供方显示名称 (WORKFORCE_PROVIDER_DISPLAY_NAME)：为员工提供方指定一个易于理解的名称。长度必须少于 32 个字符。
• 员工提供方说明 (WORKFORCE_PROVIDER_DESCRIPTION)：定义对员工提供方的详细说明。

在 IdP 中定义用户属性和群组

在 IdP 中创建 SAML 应用之前，请确定配置对 Google Security Operations 中的功能的访问权限所需的用户属性和群组。如需了解详情，请参阅使用 IAM 配置功能访问权限控制和 IAM 中的 Google 安全运维权限。

此过程的以下阶段需要用到此信息：

• 配置 SAML 应用时，您需要创建在规划期间定义的群组。 您可以将 IdP SAML 应用配置为在断言中传递群组成员资格。

• 创建员工提供方时，您需要将断言属性和群组映射到 Google Cloud 属性。该信息作为用户身份的一部分在断言声明中发送。

• 在 Google Security Operations 中设置基于角色的访问权限控制时，您可以使用用户属性和群组信息来配置对 Google Security Operations 功能的访问权限。

  Google Security Operations 提供多个预定义角色，每个角色允许使用特定功能。您可以将 IdP SAML 应用中定义的群组映射到这些预定义角色。

配置 IdP

本部分仅介绍了 IdP SAML 应用中与 Google Cloud 员工身份联合和 Google Security Operations 集成所需的特定配置。

1. 在 IdP 中创建新的 SAML 应用。

2. 使用以下断言消费者服务 (ACS) 网址配置应用，该网址也称为单点登录网址，具体取决于服务提供商。

   https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   请替换以下内容：

   • WORKFORCE_POOL_ID：您为员工身份池定义的标识符。

   • WORKFORCE_PROVIDER_ID：您为员工提供方定义的标识符。

     如需了解这些值的说明，请参阅规划实现。

3. 使用以下实体 ID（也称为 SP 实体 ID）配置应用。

   https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
   

   请替换以下内容：

   • WORKFORCE_POOL_ID：您为员工身份池定义的标识符。
   • WORKFORCE_PROVIDER_ID：您为员工提供方定义的标识符。

4. 在 IdP 中配置名称标识符，以确保 SAML 响应中返回 NameID 字段。

   您可以将此项设置为支持您的组织政策的值，例如电子邮件地址或用户名。如需了解如何配置此值，请参阅 IdP 文档。如需详细了解此要求，请参阅排查员工身份联合问题。

5. （可选）在 SAML 应用中创建群组属性。 您在规划 IdP 实现时定义了这些网域。

6. 下载应用元数据 XML 文件。在下一部分中，您将使用 Cloud Shell 将此文件从本地系统上传到 Google Cloud 主目录。

配置员工身份联合

本部分仅介绍了在上一部分中创建的 IdP SAML 应用配置员工身份联合所需的具体步骤。如需详细了解如何管理员工身份池，请参阅管理员工身份池提供方

1. 以对 Google 安全运营绑定的项目拥有所需权限的用户身份打开 Google Cloud 控制台。您之前标识或创建了此用户。 请参阅准备工作部分。

2. 启动一个 Cloud Shell 会话。

3. 设置针对使用 gcloud CLI 执行的操作计费和计费的 Google Cloud 项目。使用以下 gcloud 命令作为示例：

   gcloud config set billing/quota_project PROJECT_ID
   

   将 PROJECT_ID 替换为您在为 Google Security Operations 配置 Google Cloud 项目中创建的 Google 安全运营绑定项目的 ID。如需了解用于标识项目的字段，请参阅创建和管理项目。

   如需了解配额，请参阅以下文档：

   • 使用配额
   • 以编程方式设置配额项目

   如果您遇到错误，请参阅配额错误

创建和配置员工身份池

您可以将员工身份池配置为与外部身份提供方 (IdP) 或者 Google Workspace 或 Cloud Identity 集成。

1. 创建员工身份池。

   • 为第三方 IdP 创建员工身份池：

     使用以下 gcloud 命令作为示例：

     gcloud iam workforce-pools create WORKFORCE_POOL_ID\
           --location="global" \
           --organization="ORGANIZATION_ID" \
           --description="WORKFORCE_POOL_DESCRIPTION" \
           --display-name="WORKFORCE_POOL_DISPLAY_NAME"
     

     请替换以下内容：

     • WORKFORCE_POOL_ID：您为员工身份池定义的标识符。
     • ORGANIZATION_ID：数字形式的组织 ID。
     • WORKFORCE_POOL_DESCRIPTION：指定员工身份池的说明。
     • WORKFORCE_POOL_DISPLAY_NAME：为员工身份池指定一个易于理解的名称。

   • 为 Google Workspace 或 Cloud Identity 创建员工身份池：

     如果您使用 Google Workspace 或 Cloud Identity 作为 IdP，请在命令中添加 --allowed-services domain=backstory.chronicle.security 标志：

     gcloud iam workforce-pools create WORKFORCE_POOL_ID\
           --location="global" \
           --organization="ORGANIZATION_ID" \
           --description="WORKFORCE_POOL_DESCRIPTION" \
           --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
           --allowed-services domain=backstory.chronicle.security
     

   如需使用 Google Cloud 控制台执行此配置，请参阅创建池。

2. 如果命令行提示您启用 Chronicle API，请输入 Yes。

创建员工身份提供方

1. 点击 more_vert 更多 >，将 SAML 应用元数据文件上传到 Cloud Shell 主目录。文件只能上传到您的主目录。如需了解在 Cloud Shell 和本地工作站之间传输文件的更多选项，请参阅通过 Cloud Shell 上传和下载文件和文件夹。

2. 记下您在 Cloud Shell 中上传了 SAML 应用元数据 XML 文件的目录路径。下一步中会用到此路径。

3. 创建员工身份池提供方并指定 IdP 详细信息。

   使用以下 gcloud 命令作为示例：

   gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
         --workforce-pool="WORKFORCE_POOL_ID" \
         --location="global" \
         --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
         --description="WORKFORCE_PROVIDER_DESCRIPTION" \
         --idp-metadata-path=PATH_TO_METADATA_XML \
         --attribute-mapping="ATTRIBUTE_MAPPINGS"
   

   如需详细了解这些值，请参阅规划实现。

   请替换以下内容：

   • WORKFORCE_PROVIDER_ID：您为员工提供方 ID 定义的值。
   • WORKFORCE_POOL_ID：您为员工身份池 ID 定义的值。
   • WORKFORCE_PROVIDER_DISPLAY_NAME：员工提供方的简单易记的名称。长度必须少于 32 个字符。
   • WORKFORCE_PROVIDER_DESCRIPTION：对员工提供方的说明。
   • PATH_TO_METADATA_XML：您使用 Cloud Shell 上传的应用元数据 XML 文件的 Cloud Shell 目录位置，例如：/path/to/sso_metadata.xml。

   • ATTRIBUTE_MAPPINGS：关于如何将断言属性映射到 Google Cloud 属性的定义。通用表达式语言用于解释这些映射。例如：

     google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

     上面的示例映射了以下属性：

     • assertion.subject 转换为 google.subject。这是最低要求。
     • 将 assertion.attributes.name[0] 映射到 google.display_name。
     • 为 google.groups 属性添加 assertion.attributes.groups。

     如果您要为 Google 安全运维套件（包括 Google 安全运维 SIEM 和 Google 安全运维 SOAR）执行此配置，则还必须映射 Google 安全运维 SOAR 所需的以下属性：

     • attribute.first_name
     • attribute.last_name
     • attribute.user_email
     • google.groups

     详细了解如何为 Google Security Operations SOAR 配置和映射用户。

     默认情况下，Google Security Operations 会从以下不区分大小写的断言属性名称中读取群组信息：_assertion.attributes.groups_、_assertion.attributes.idpGroup_ 和 _assertion.attributes.memberOf_。

     配置 SAML 应用以在断言中传递群组成员资格信息时，请将群组属性名称设置为 _group_、_idpGroup_ 或 _memberOf_。

     在示例命令中，您可以将 assertion.attributes.groups 替换为 assertion.attributes.idpGroup 或 assertion.attributes.memberOf，它们表示您在 IdP SAML 应用中配置的群组属性的名称，并且断言中包含群组成员资格信息。

     以下示例将多个组映射到 google.groups 属性：

     google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

     以下示例将包含特殊字符的组 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group 映射到 google.groups：

     google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

     如需详细了解如何映射属性，请参阅属性映射。

     如需使用 Google Cloud 控制台执行此配置，请参阅创建 SAML 提供方。

授予角色以登录 Google Security Operations

以下步骤介绍了如何使用 IAM 授予特定角色，以便用户可以登录 Google Security Operations。使用您之前创建的与 Google 安全运营绑定的 Google Cloud 项目执行配置。

本示例使用的是 gcloud 命令。如需使用 Google Cloud 控制台，请参阅授予单个角色。

1. 向应该有权访问 Google Security Operations 应用的用户或群组授予 Chronicle API Viewer (roles/chronicle.viewer) 角色。

   以下示例会向使用您之前创建的员工身份池和员工提供方管理的身份授予 Chronicle API Viewer 角色。

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"
   

   请替换以下内容：

   • PROJECT_ID：替换为您在为 Google Security Operations 配置 Google Cloud 项目中配置的 Google Security Operations 绑定项目的项目 ID。如需了解用于标识项目的字段，请参阅创建和管理项目。
   • WORKFORCE_POOL_ID：您为员工身份池 ID 定义的值。

   如需向特定群组授予 Chronicle API Viewer 角色，请运行以下命令：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
   

   替换 GROUP_ID：映射的 google.groups 声明中的组。

2. 配置其他 IAM 政策以满足您的组织要求。

验证或配置 Google Security Operations 功能访问权限控制

如果您使用映射到 google.groups 特性的特性或群组配置了员工身份联合，则此信息会传递给 Google Security Operations，以便您可以配置基于角色的访问权限控制 (RBAC) 对 Google Security Operations 功能。

如果 Google Security Operations 实例已有 RBAC 配置，请验证原始配置是否按预期运行。

如果您尚未配置 Google Security Operations RBAC，请参阅使用 IAM 配置功能访问权限控制，了解如何控制功能访问权限。

修改员工身份联合配置

如果您需要更新员工身份池或员工提供方，请参阅管理员工身份池提供方，了解如何更新配置。

创建 SAML 员工池提供方中的密钥管理部分介绍了如何更新 IdP 签名密钥，以及使用最新的应用元数据 XML 文件更新员工提供方配置。

下面是一个 gcloud 命令示例，用于更新员工提供方配置：

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location="global" \
    --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
    --description="WORKFORCE_PROVIDER_DESCRIPTION" \
    --idp-metadata-path=PATH_TO_METADATA_XML \
    --attribute-mapping="ATTRIBUTE_MAPPINGS"

请替换以下内容：

• WORKFORCE_PROVIDER_ID：您为员工提供方 ID 定义的值。
• WORKFORCE_POOL_ID：您为员工身份池 ID 定义的值。
• WORKFORCE_PROVIDER_DISPLAY_NAME：员工提供方的简单易记的名称。该值必须少于 32 个字符。
• WORKFORCE_PROVIDER_DESCRIPTION：员工提供方的说明。
• PATH_TO_METADATA_XML：更新后的应用元数据 XML 文件的位置，例如 /path/to/sso_metadata_updated.xml。

• ATTRIBUTE_MAPPINGS：映射到 Google Cloud 属性的断言属性。例如：

  google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

为确保 Google SecOps RBAC 继续按预期运行，请将 google.groups 属性映射到用于在 Google SecOps 中定义角色的所有群组。

排查配置问题

如果您在此过程中遇到错误，请查看排查员工身份联合问题以解决常见问题。以下部分介绍了执行本文档中的步骤时遇到的常见问题。

如果您仍然遇到问题，请与您的 Google SecOps 代表联系，并提供您的 Chrome 网络日志文件。

创建员工身份池提供方时出现 command not found 错误

在创建员工身份池提供方并指定 IdP 详细信息时，会收到以下错误：

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

检查 PATH_TO_METADATA_XML 是您将 SAML 应用元数据 XML 文件上传到 Cloud Shell 主目录的位置。

The caller does not have permission 个错误

运行 gcloud projects add-iam-policy-binding 命令以向用户或群组授予角色时，您收到以下错误：

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

检查您是否拥有所需权限。如需了解详情，请参阅所需角色。

后续步骤

完成本文档中的步骤后，请执行以下操作：

• 执行将 Google 安全运维实例关联到 Google Cloud 服务的步骤。

• 如果您尚未设置审核日志，请继续启用 Google Security Operations 审核日志记录。

• 如果您要为 Google 安全操作进行配置，请在在 Google 安全操作中配置、身份验证和映射用户中执行其他步骤。

• 如需配置对功能的访问权限，请执行使用 IAM 配置功能访问权限控制和 IAM 中的 Google Security Operations 权限中的其他步骤。