Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת הרשאות בארגונים שונים

בדף הזה מובאת סקירה כללית על תכונת ההרשאה בין ארגונים, וגם השלבים להגדרת התכונה.

אתם יכולים להשתמש ב-Chrome Enterprise Premium כדי לאפשר גישה מאובטחת לנתונים ממכשירים בתוך הארגון. כך אפשר לוודא שהמכשירים נבדקים מול מדיניות הגישה של הארגון בנקודות האכיפה כשנקבעת הגישה. לדוגמה, ההחלטה אם לאפשר או לדחות גישה מארגון אחר היא חלק מהמידע במדיניות הגישה שנבדקת. אם אתם צריכים שהמכשירים בארגון שלכם יוכלו לגשת למשאבים בארגון אחר, צריך להגדיר הרשאה בין ארגונים בשני הארגונים.

הרשאה בין ארגונים מאפשרת להגדיר מדיניות גישה שתאפשר לארגון שלכם לבטוח בנתונים שנמצאים בבעלות של ארגונים אחרים ולהשתמש בהם, כמו מאפייני מכשירים. לדוגמה, אתם יכולים להגדיר את מדיניות הגישה של הארגון כך שתאפשר גישה למשאבים שלו ממכשירים בארגונים אחרים.

לפני שמתחילים

כדי להגדיר ולנהל הרשאות בין ארגונים, צריך את מזהי הארגון שלכם ואת מזהי הארגונים שרוצים לתת להם הרשאה. תצטרכו גם את מספר המדיניות ברמת הארגון. אם אין לכם את מספרי המדיניות ברמת הארגון או את מזהי הארגון, תוכלו להיעזר במידע הבא:

כשמגדירים ומנהלים הרשאות בין ארגונים, עובדים עם המשאב AuthorizedOrgsDesc. משאב AuthorizedOrgsDesc מכיל את רשימת הארגונים שרוצים לאשר להם גישה, ומציין את סוג ההרשאה, סוג הנכס וכיוון ההרשאה לארגונים.

אפשר להשתמש ב-Google Cloud CLI כדי ליצור משאב AuthorizedOrgsDesc ולשנות את ההגדרות שלו. כשעובדים עם המשאב AuthorizedOrgsDesc, חשוב לזכור את הדברים הבאים:

‫ASSET_TYPE_DEVICE היא האפשרות היחידה שזמינה לסוג הנכס.
‫AUTHORIZATION_TYPE_TRUST היא האפשרות היחידה שזמינה לסוג ההרשאה.

הגדרת הרשאת מכשירים בין שני ארגונים

בקטע הזה מוסבר איך מגדירים הרשאה בין ארגונים באמצעות דוגמה שמופיעה לאורך השלבים.

בדוגמה הזו נוצרים יחסי הרשאה דו-כיווניים בין שני ארגונים, ומכשירים מארגון אחד מקבלים גישה למשאבים בארגון אחר. ארגון המשאבים (organizations/RESOURCE_ORG_ID) מכיל משאבים כמו קטגוריות של Cloud Storage ומכונות וירטואליות. לארגון המשאבים יש רמות גישה שמאפשרות למכשירים ספציפיים בארגון לגשת למשאבים שלו. הארגון השותף (organizations/PARTNER_ORG_ID) הוא ארגון שצריך לגשת למשאבים בארגון המשאבים.

אלה המדיניות של משאב ושל ארגוני שותפים לפני הגדרת הרשאה בין ארגונים:

ארגון המשאבים (organizations/RESOURCE_ORG_ID):

access policy:
access level: SP1
  --"requireScreenlock": true

הארגון השותף (organizations/PARTNER_ORG_ID):

no access policy

בתמונה הבאה, מאפייני המכשיר של המכשיר בארגון השותף לא גלויים לארגון המשאבים כי לא הוגדרה הרשאה בין ארגונים.

לפני שמגדירים את האפשרות 'בין ארגונים', מאפייני המכשיר של המכשיר בארגון השותף לא גלויים לארגון המשאבים.

בשלבים הבאים מוסבר איך להגדיר את הארגון של המשאב ואת הארגון של השותף כדי להפעיל הרשאה בין ארגונים באמצעות Google Cloud CLI.

הכנה

צריך להשלים את השלבים שבקטע הזה גם בארגון המשאב וגם בארגון השותף.

מוודאים שלשני הארגונים יש מדיניות ברמת הארגון. כדי ליצור מדיניות ברמת הארגון, אפשר לעיין במאמר בנושא יצירת מדיניות גישה ברמת הארגון.
מריצים את הפקודה הבאה כדי לקבל את מספר מדיניות הגישה ברמת הארגון:
```
gcloud access-context-manager policies list --organization=ORG_ID
```
מחליפים את ORG_ID במזהה הארגון.

המידע שיתקבל צריך להיות בפורמט הבא:
```
NAME                    ORGANIZATION SCOPES     TITLE     ETAG
<ACCESS_POLICY_NUMBER>  <ORGANIZATION_NUMBER>   A title   002cb3fbfde471e7
```

הגדרת הארגון של המשאבים

כדי להשלים את השלב הזה, אתם צריכים להיות אדמינים בארגון המשאבים (organizations/RESOURCE_ORG_ID). כדי ליצור משאב AuthorizedOrgsDesc בשביל הארגון של המשאב, מריצים את הפקודה הבאה:
```
gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
 --authorization_type=AUTHORIZATION_TYPE_TRUST \
 --asset_type=ASSET_TYPE_DEVICE \
 --authorization_direction=AUTHORIZATION_DIRECTION_FROM \
 --orgs=organizations/PARTNER_ORG_ID \
 --policy=ACCESS_POLICY_NUMBER
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
- ‫ACCESS_POLICY_NUMBER: מספר מדיניות הגישה ברמת הארגון.
- ‫PARTNER_ORG_ID: מספר הארגון של השותף.
מריצים את הפקודה הבאה כדי להציג את המשאב AuthorizedOrgsDesc שנוצר ולוודא שהוא תקין:
```
gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
 --policy=ACCESS_POLICY_NUMBER
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
- ‫ACCESS_POLICY_NUMBER: מספר מדיניות הגישה ברמת הארגון.

הגדרת הארגון השותף

כדי להשלים את השלב הזה, אתם צריכים להיות אדמינים בארגון השותף (organizations/PARTNER_ORG_ID). כדי ליצור משאב AuthorizedOrgsDesc לארגון השותף, מריצים את הפקודה הבאה:
```
gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
  --authorization_type=AUTHORIZATION_TYPE_TRUST \
  --asset_type=ASSET_TYPE_DEVICE \
  --authorization_direction=AUTHORIZATION_DIRECTION_TO \
  --orgs=organizations/RESOURCE_ORG_ID \
  --policy=ACCESS_POLICY_NUMBER
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
- ‫ACCESS_POLICY_NUMBER: מספר מדיניות הגישה ברמת הארגון.
- ‫RESOURCE_ORG_ID: מספר הארגון של המשאב.
מריצים את הפקודה הבאה כדי להציג את המשאב AuthorizedOrgsDesc שנוצר ולוודא שהוא תקין:
```
gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
- ‫ACCESS_POLICY_NUMBER: מספר מדיניות הגישה ברמת הארגון.

כללי המדיניות הצפויים אחרי ההגדרה

אלה המדיניות של משאב הארגון ושל ארגון השותף אחרי שמגדירים הרשאה בין ארגונים:

ארגון המשאבים (organizations/RESOURCE_ORG_ID):

access policy:
access level: SP1
  --"requireScreenlock": true
AuthorizedorgsDesc: AOD1
  --authorizationtype: trust
  --asset type: device
  --authorization direction: from
  --orgs: [organizations/PARTNER_ORG_ID]

הארגון השותף (organizations/PARTNER_ORG_ID):

access policy:
AuthorizedOrgsDesc: AOD2
  --authorizationtype: trust
  --asset type: device
  --authorization direction: to
  --orgs: [organizations/RESOURCE_ORG_ID]

בתמונה הבאה מוצגת רמת החשיפה של מאפייני המכשיר של הארגון השותף אחרי הגדרת הרשאה בין ארגונים.

אחרי שמגדירים הרשאה בין ארגונים, אפשר לראות בארגון המשאבים את מאפייני המכשיר של המכשיר בארגון השותף.

בדיקת ההגדרה

אחרי שמגדירים את שני הארגונים, משתמש בארגון השותף יכול לנסות לגשת למשאבים בארגון המשאבים באמצעות מכשיר שעומד בדרישות. אם הגישה ניתנת, ההרשאה בין הארגונים פועלת כמצופה. משתמשים בארגון השותף יכולים עכשיו לגשת לקטגוריה א' ב-Cloud Storage של הארגון שמספק את המשאבים רק אם במכשיר של המשתמש מוגדרת מדיניות נעילת מסך.

אם לא ניתנה למכשיר גישה, צריך לחזור על שלבי ההגדרה כדי לתקן את ההגדרה.

ניהול הגדרת הרשאות בין ארגונים

אחרי שמגדירים הרשאה בין ארגונים, יכול להיות שיהיה צורך להסיר גישה לארגון, להוסיף גישה לארגון אחר או לבצע משימות אחרות. בקטע הזה מוסבר איך לבצע משימות נפוצות כשמנהלים הרשאות גישה בין ארגונים.

יצירת משאב `AuthorizedOrgsDesc` ומתן הרשאה לארגונים חיצוניים

כדי ליצור משאב AuthorizedOrgsDesc ולכלול בו את הארגונים החיצוניים שרוצים להעניק להם גישה, מריצים את הפקודה הבאה:

gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME
 --authorization_type=AUTHORIZATION_TYPE_TRUST
 --asset_type=ASSET_TYPE_DEVICE
 --authorization_direction=AUTHORIZATION_DIRECTION_FROM
 --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
‫ORG_ID: מזהה הארגון שרוצים להעניק לו גישה. כשמציינים יותר מארגון אחד, צריך להשתמש בפסיק כדי להפריד בין מזהי הארגונים.
‫ACCESS_POLICY_NUMBER: מספר מדיניות הגישה ברמת הארגון.

הוסף ארגון

כדי להוסיף ארגון למשאב קיים של AuthorizedOrgsDesc, מריצים את הפקודה הבאה:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --add-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
‫ORG_ID: מזהה הארגון שרוצים להעניק לו גישה. כשמציינים יותר מארגון אחד, צריך להשתמש בפסיק כדי להפריד בין מזהי הארגונים.
‫ACCESS_POLICY_NUMBER: מספר מדיניות הגישה ברמת הארגון.

הסרת ארגון

כדי להסיר ארגון ממשאב AuthorizedOrgsDesc קיים, מריצים את הפקודה הבאה:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --remove-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
‫ORG_ID מספר הארגון שרוצים להסיר.
‫ACCESS_POLICY_NUMBER: מספר מדיניות הגישה ברמת הארגון.

מציינים רשימה חדשה של ארגונים

כדי לציין רשימה חדשה של ארגונים במשאב AuthorizedOrgsDesc קיים, מריצים את הפקודה הבאה:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --set-orgs=ORG_IDS \
  --policy=ACCESS_POLICY_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
‫ORG_ID: מזהה הארגון שרוצים להעניק לו גישה. כשמציינים יותר מארגון אחד, צריך להשתמש בפסיק כדי להפריד בין מזהי הארגונים.
‫ACCESS_POLICY_NUMBER: מספר מדיניות הגישה ברמת הארגון.

הסרת כל הארגונים

כדי להסיר את כל הארגונים ממשאב AuthorizedOrgsDesc קיים, מריצים את הפקודה הבאה:

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --clear-orgs --policy=ACCESS_POLICY_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
ACCESS_POLICY_NUMBER מספר מדיניות הגישה ברמת הארגון.

הצגת משאב `AuthorizedOrgsDesc`

כדי להציג משאב AuthorizedOrgsDesc קיים, מריצים את הפקודה הבאה:

gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
ACCESS_POLICY_NUMBER מספר מדיניות הגישה ברמת הארגון.

פירוט של משאבי `AuthorizedOrgsDesc`

כדי לכלול ברשימה את המשאבים AuthorizedOrgsDesc במדיניות הגישה, מריצים את הפקודה הבאה:

gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER

מחליפים את ACCESS_POLICY_NUMBER במספר מדיניות הגישה ברמת הארגון.

הסרת משאב `AuthorizedOrgsDesc`

כדי להסיר משאב AuthorizedOrgsDesc, מריצים את הפקודה הבאה:

gcloud access-context-manager authorized-orgs delete  AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

מחליפים את מה שכתוב בשדות הבאים:

‫AUTHORIZED_ORGS_DESC_NAME: שם ייחודי למשאב AuthorizedOrgsDesc. השם חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.
ACCESS_POLICY_NUMBER מספר מדיניות הגישה ברמת הארגון.

הגדרת הרשאות בארגונים שונים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

הגדרת הרשאת מכשירים בין שני ארגונים

הכנה

הגדרת הארגון של המשאבים

הגדרת הארגון השותף

כללי המדיניות הצפויים אחרי ההגדרה

בדיקת ההגדרה

ניהול הגדרת הרשאות בין ארגונים

יצירת משאב AuthorizedOrgsDesc ומתן הרשאה לארגונים חיצוניים

הוסף ארגון

הסרת ארגון

מציינים רשימה חדשה של ארגונים

הסרת כל הארגונים

הצגת משאב AuthorizedOrgsDesc

פירוט של משאבי AuthorizedOrgsDesc

הסרת משאב AuthorizedOrgsDesc

הגדרת הרשאות בארגונים שונים

יצירת משאב `AuthorizedOrgsDesc` ומתן הרשאה לארגונים חיצוניים

הצגת משאב `AuthorizedOrgsDesc`

פירוט של משאבי `AuthorizedOrgsDesc`

הסרת משאב `AuthorizedOrgsDesc`