Menggunakan kebijakan organisasi kustom

Google Cloud Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource organisasi. Sebagai administrator kebijakan organisasi, Anda dapat menentukan kebijakan organisasi, yang merupakan serangkaian batasan yang disebut batasan yang berlaku untuk resourceGoogle Cloud dan turunan dari resource tersebut dalam hierarki resource Google Cloud . Anda dapat menerapkan kebijakan organisasi di level organisasi, folder, atau project.

Kebijakan Organisasi memberikan batasan yang telah ditetapkan untuk berbagai layananGoogle Cloud . Namun, jika menginginkan kontrol yang lebih terperinci dan dapat disesuaikan atas kolom tertentu yang dibatasi dalam kebijakan organisasi, Anda juga dapat membuat kebijakan organisasi kustom.

Manfaat

Anda dapat menggunakan kebijakan organisasi kustom untuk mengizinkan atau menolak operasi tertentu pada resource Identity Platform untuk persyaratan keamanan, kepatuhan, atau tata kelola aplikasi Anda. Misalnya, Anda dapat mengontrol properti berikut:

• Anda dapat menonaktifkan opsi login sandi untuk aplikasi di organisasi dan mewajibkannya untuk selalu menggunakan opsi login email.
• Anda dapat membatasi aplikasi di organisasi untuk menggunakan penyedia identitas OIDC (IdP) dengan penerbit yang ditentukan.
• Anda dapat menonaktifkan opsi IdP OIDC dan SAML untuk aplikasi di organisasi.
• Anda dapat menonaktifkan opsi multi-tenancy untuk aplikasi di organisasi Anda.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada folder, Google Cloud akan menerapkan kebijakan tersebut pada semua project dalam folder tersebut. Untuk mempelajari lebih lanjut perilaku ini dan cara mengubahnya, lihat Aturan evaluasi hierarki.

Harga

Layanan Kebijakan Organisasi, termasuk kebijakan organisasi yang telah ditetapkan dan khusus, ditawarkan tanpa biaya.

Batasan

Saat Anda mengaktifkan Identity Platform untuk project, Identity Platform akan membuat konfigurasi default untuk project tersebut. Pemilik project tidak dapat mengubah nilai default konfigurasi hingga setelah project diaktifkan. Mengubah salah satu nilai default sebelum project diaktifkan dapat menyebabkan pengaktifan gagal. Untuk mengubah nilai default konfigurasi setelah pengaktifan, gunakan metode updateConfig.

Sebelum memulai

• Hubungkan aplikasi Anda ke Identity Platform. Untuk mengetahui petunjuk cara menghubungkan aplikasi, lihat Panduan memulai.

• Pastikan Anda mengetahui ID organisasi Anda.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM berikut:

• Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di resource organisasi
• Identity Toolkit Admin (roles/identitytoolkit.admin) di resource Identity Platform

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengelola kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat batasan khusus

Batasan kustom ditentukan dalam file YAML oleh resource, metode, kondisi, dan tindakan yang didukung oleh layanan tempat Anda menerapkan kebijakan organisasi. Kondisi untuk batasan kustom Anda ditentukan menggunakan Common Expression Language (CEL). Untuk mengetahui informasi selengkapnya tentang cara membangun kondisi dalam batasan khusus menggunakan CEL, lihat bagian CEL tentang Membuat dan mengelola batasan kustom.

Untuk membuat file YAML untuk batasan kustom:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- identitytoolkit.googleapis.com/RESOURCE_NAME
methodTypes: METHOD
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ganti kode berikut:

• ORGANIZATION_ID: ID organisasi Anda, seperti 123456789.

• CONSTRAINT_NAME: nama yang Anda inginkan untuk batasan kustom baru. Batasan kustom harus dimulai dengan custom., dan hanya dapat menyertakan huruf besar, huruf kecil, atau angka, misalnya, custom.allowEmailLinkLogin. Panjang maksimum kolom ini adalah 70 karakter, tidak menghitung awalan, misalnya, organizations/123456789/customConstraints/custom.

• RESOURCE_NAME: nama (bukan URI) resource REST Identity Platform API yang berisi objek dan kolom yang ingin Anda batasi. Contoh, identitytoolkit.googleapis.com/Config.

• CONDITION: kondisi CEL yang ditulis berdasarkan representasi resource layanan yang didukung. Kolom ini memiliki panjang maksimal 1.000 karakter. Lihat Resource yang didukung untuk mengetahui informasi selengkapnya tentang resource yang tersedia untuk menulis kondisi. Contoh, "resource.signIn.email.passwordRequired == true".

• METHOD: Saat membuat konfigurasi atau batasan pembuatan tenant, tentukan CREATE. Saat membuat batasan UPDATE konfigurasi atau tenant, tentukan keduanya sebagai berikut:

  methodTypes:
  - CREATE
  - UPDATE
  

• ACTION: tindakan yang akan diambil jika condition terpenuhi. Ini dapat berupa ALLOW atau DENY.

• DISPLAY_NAME: nama yang mudah dibaca manusia untuk batasan. Kolom ini memiliki panjang maksimal 200 karakter.

• DESCRIPTION: deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimal 2.000 karakter.

Untuk mengetahui informasi selengkapnya tentang cara membuat batasan kustom, lihat Menentukan batasan kustom.

Menyiapkan batasan kustom

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Menerapkan kebijakan organisasi kustom

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

    gcloud org-policies set-policy POLICY_PATH
    

Menguji kebijakan organisasi kustom

Untuk menguji kebijakan organisasi kustom, coba aktifkan multi-tenancy untuk project:

curl -i -X PATCH \
-H 'Content-Type: application/json' \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-d '
{
  "sign_in": {"email": {"password_required": false}}
}' https://autopush-identitytoolkit.sandbox.googleapis.com/admin/v2/projects/shimingz-playground-1/config\?update_mask\=sign_in.email.password_required

Outputnya akan terlihat seperti berikut:

Operation denied by custom org policies: ["customConstraints/custom.allowEmailLinkLogin": "Cannot disable email link login."]

Resource dan operasi yang didukung Identity Platform

Identity Platform mendukung resource berikut untuk kebijakan organisasi kustom:

• identitytoolkit.googleapis.com/Config
• identitytoolkit.googleapis.com/DefaultSupportedIdpConfig
• identitytoolkit.googleapis.com/InboundSamlConfig
• identitytoolkit.googleapis.com/OauthIdpConfig
• identitytoolkit.googleapis.com/Tenant

Kolom yang tidak didukung

Kolom berikut tidak didukung karena berkaitan dengan keamanan resource Anda:

• identitytoolkit.googleapis.com/Config:
  • resource.notification.send_email.smtp.password
• identitytoolkit.googleapis.com/DefaultSupportedIdpConfig:
  • resource.client_secret
• identitytoolkit.googleapis.com/OauthIdpConfig:
  • resource.client_secret

Contoh kebijakan organisasi kustom untuk kasus penggunaan umum

Tabel berikut memberikan sintaksis beberapa kebijakan organisasi kustom yang mungkin berguna bagi Anda:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableEmailLogin
    resourceTypes:
    - identitytoolkit.googleapis.com/Config
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.sign_in.email.enabled == true"
    actionType: ALLOW
    displayName: Enable email login
    description: All applications must have email login enabled.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyUnexpectedGoogleClientId
    resourceTypes:
    - identitytoolkit.googleapis.com/DefaultSupportedIdpConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.name.contains('google.com') && !resource.client_id == 'my-client-id'"
    actionType: DENY
    displayName: Only allow login with Google with specific Google client ID
    description: Only allow login with Google with specific Google client ID for all applications.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowSpecificSamlEntity
    resourceTypes:
    - identitytoolkit.googleapis.com/InboundSamlConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.idp_config.idp_entity_id == 'my-saml-entity-id'"
    actionType: ALLOW
    displayName: Only allow a specific SAML entity
    description: Only allow a specific SAML entity for applications in this organization.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowOauthIdpWithCodeFlow
    resourceTypes:
    - identitytoolkit.googleapis.com/OauthIdpConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.response_type.code == true"
    actionType: ALLOW
    displayName: Allow OIDC IdP with code flow
    description: All OIDC IdP must use code flow.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowSmsRegion
    resourceTypes:
    - identitytoolkit.googleapis.com/Tenant
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.sms_region_config.allow_by_default.disallowed_regions.exists(disallowed_region, disallowed_region != 'US')"
    actionType: DENY
    displayName: Allow SMS region in US
    description: Only allow SMS to be operated in the US for all applications.

Langkah selanjutnya

• Lihat Pengantar Layanan Kebijakan Organisasi untuk mempelajari kebijakan organisasi lebih lanjut.
• Pelajari lebih lanjut cara membuat dan mengelola kebijakan organisasi.
• Lihat daftar lengkap Batasan kebijakan organisasi yang telah ditentukan.