Configura un proveedor de identidad externo

Compatible con:

Esta guía está dirigida a los administradores de Google Security Operations que desean autenticar a su personal (usuarios y grupos) en Google SecOps con un proveedor de identidad (IdP) externo. Este proceso es posible gracias a laGoogle Cloud federación de identidades de personal.

La federación de identidades de personal admite cualquier IdP que use el lenguaje de marcado para confirmaciones de seguridad (SAML 2.0) o OpenID Connect (OIDC), como Okta, Microsoft Entra ID y Microsoft Active Directory Federation Services (AD FS).

En este documento, se describen los pasos generales para configurar la autenticación a través de un IdP basado en SAML con la federación de identidades de personal.

  1. Planifica los recursos que necesitas. Decide los detalles del grupo y el proveedor de identidades de personal, e identifica los atributos y grupos de usuarios necesarios para configurar el acceso a las funciones de Google SecOps.
  2. Configura la aplicación del IdP externo. Crea una aplicación SAML del IdP para integrarla con la federación de identidades de personal y Google SecOps.
  3. Configura la federación de identidades de personal. Configura tu grupo y proveedor de identidades de personal, y otorga roles de Google Cloud Identity and Access Management (IAM) a los grupos y usuarios del IdP.
  4. Configura el inicio de sesión único (SSO) con el proveedor recién creado.

Después de completar estos pasos, puedes acceder a Google SecOps con tu proveedor de identidad y administrar el acceso de los usuarios a través del control de acceso basado en roles (RBAC) de funciones con IAM.

Casos de uso habituales

Google SecOps requiere el uso de la federación de identidades de personal como el agente de SSO para un conjunto variado de casos de uso.

Cumplir con estándares de seguridad estrictos

  • Objetivo: Cumplir con los estrictos estándares reglamentarios para el acceso al sistema y a la nube
  • Valor: Ayuda a cumplir con los requisitos de cumplimiento de FedRAMP High (o superior) al negociar de forma segura el SSO.

Administra el control de acceso empresarial

  • Objetivo: Controlar el acceso a las funciones y los datos de forma centralizada en toda la organización
  • Valor: Permite el RBAC a nivel empresarial en Google SecOps con IAM.

Automatiza el acceso programático a la API

  • Objetivo: Proporcionar métodos de autoservicio para interactuar de forma segura con las APIs de Chronicle
  • Valor: Reduce la sobrecarga administrativa manual, ya que permite que los clientes administren sus credenciales de forma programática.

Terminología clave

  • Grupo de personal: Es un recurso Google Cloud único a nivel global que se define a nivel de la organización y que otorga a tu personal acceso a Google SecOps.
  • Proveedor de personal: Es un recurso secundario del grupo de identidades de personal que almacena detalles de configuración para un solo IdP externo.
  • Asignación de atributos: Proceso de traducción de los atributos de aserción proporcionados por tu IdP en atributos de Google Cloud con Common Expression Language (CEL).
  • URL del servicio de confirmación de aserciones (ACS): Es una URL específica (a veces denominada URL de inicio de sesión único según el proveedor) que se usa para configurar una aplicación SAML para que se comunique con Google SecOps.
  • ID de la entidad: Es una URL de identificador único global que identifica una aplicación o un servicio específicos, como Google SecOps, y configura la aplicación SAML dentro de tu IdP.

Descripción general del proceso

Google SecOps admite el SSO de SAML iniciado por el proveedor de servicios (SP) para los usuarios. Con esta capacidad, los usuarios navegan directamente a Google SecOps. Google SecOps emite una solicitud a través de la federación de identidades de personal de IAM al IdP externo.

Después de que el IdP autentica la identidad del usuario, este regresa a Google SecOps con una aserción de autenticación. Google Cloud La federación de identidades de personal actúa como intermediaria en el flujo de autenticación.

Comunicación entre Google SecOps, Google Cloud IAM Workforce Identity Federation y el IdP

Comunicación entre Google SecOps, la federación de identidades de personal de IAM y el IdP

En términos generales, la comunicación es la siguiente:

  1. El usuario navega a Google SecOps.
  2. Google SecOps busca la información del IdP en el grupo de identidad de trabajadores. Google Cloud
  3. Se envía una solicitud al IdP.
  4. La aserción de SAML se envía al grupo de identidades de personal Google Cloud .
  5. Si la autenticación se realiza correctamente, Google SecOps solo recibe los atributos de SAML definidos cuando configuraste el proveedor de personal en el grupo de identidades para cargas de trabajo.

Los administradores de Google SecOps crean grupos en su proveedor de identidad, configuran la aplicación SAML para que pase la información de pertenencia a un grupo en la aserción y asocian usuarios y grupos a los roles predefinidos en IAM de Google SecOps o a los roles personalizados que crearon.

Antes de comenzar

Planifica la implementación

En esta sección, se describen las decisiones que debes tomar y la información que debes definir antes de seguir los pasos que se indican en este documento.

Define el grupo de identidades de personal y el proveedor de personal

Para configurar la autenticación a través de un IdP, debes configurar la federación de identidades de personal como intermediaria en el flujo de autenticación. Antes de configurar la federación de identidades de personal, define los siguientes recursos deGoogle Cloud :

  • Grupo de personal: Un grupo de identidades de personal otorga a tu personal (como los empleados) acceso a Google SecOps.
  • Proveedor de personal: Es un recurso secundario del grupo de identidades de personal que almacena detalles sobre un solo IdP.

La relación entre el grupo de identidades para cargas de trabajo, los proveedores de personal y una instancia de Google SecOps, identificada por un solo subdominio del cliente, es la siguiente:

  • Un grupo de identidades del personal se define a nivel de la organización.
  • Cada instancia de Google SecOps tiene un grupo de identidades de la fuerza laboral configurado y asociado.
  • Un grupo de identidades de personal puede tener varios proveedores de personal.

  • Cada proveedor de personal integra un IdP externo con el grupo de identidades de personal.

  • El grupo de identidades del personal debe estar dedicado a Google SecOps. No puedes compartir el grupo creado para Google SecOps con otros fines.

  • Debes tener el grupo de identidades para cargas de trabajo en la misma organizaciónGoogle Cloud que contiene el proyecto vinculado a Google SecOps.

A continuación, se indican los lineamientos para definir los valores de los identificadores clave del grupo de personal y del proveedor de personal:

  • ID del grupo de personal (WORKFORCE_POOL_ID): Define un valor que indica el alcance o el propósito del grupo de identidades de personal. El valor debe cumplir con los siguientes requisitos:
    • Debe ser único a nivel global.
    • Solo debe usar caracteres en minúscula [a-z], dígitos [0-9] y guiones [-].
    • Debe comenzar con un carácter en minúscula [a-z].
    • Debe terminar con una letra minúscula [a-z] o un dígito [0-9].
    • Puede tener entre 4 y 61 caracteres.
  • Nombre visible del grupo de personal (WORKFORCE_POOL_DISPLAY_NAME): Define un nombre fácil de usar para el grupo de identidades del personal.
  • Descripción del grupo de personal (WORKFORCE_POOL_DESCRIPTION): Define una descripción detallada del grupo de identidades del personal.
  • ID del proveedor de personal (WORKFORCE_PROVIDER_ID): Define un valor que indique el IdP que representa. El valor debe cumplir con los siguientes requisitos:
    • Solo debe usar caracteres en minúscula [a-z], dígitos [0-9] y guiones [-].
    • Puede tener entre 4 y 32 caracteres.
  • Nombre visible del proveedor de personal (WORKFORCE_PROVIDER_DISPLAY_NAME): Define un nombre fácil de usar para el proveedor de personal. Debe tener menos de 32 caracteres.
  • Descripción del proveedor de personal (WORKFORCE_PROVIDER_DESCRIPTION): Define una descripción detallada del proveedor de personal.

Define atributos y grupos de usuarios en el IdP

Antes de crear la aplicación SAML en el IdP, identifica los atributos y grupos de usuarios necesarios para configurar el acceso a las funciones de Google SecOps. Los atributos típicos del usuario incluyen los siguientes:

  • Asunto
  • Correo electrónico
  • Nombre
  • Apellido
  • Nombre visible

Necesitas la información sobre los grupos y atributos de usuarios durante las siguientes fases de este proceso:

  • Cuando configures la aplicación de SAML, crea los grupos definidos durante la planificación. Configuras la aplicación SAML del IdP para que pase las membresías de grupo en la aserción.

  • Cuando creas el proveedor de personal, asignas atributos y grupos de aserción a atributos deGoogle Cloud . Esta información se envía en el reclamo de aserción como parte de la identidad de un usuario.

Configura la aplicación del IdP

En esta sección, solo se describe la configuración específica necesaria en una aplicación SAML de IdP para integrarse con la federación de identidades de personal y Google SecOps. Google Cloud Consulta la documentación de tu IdP para conocer los pasos detallados.

  1. Crea grupos en tu IdP, si aún no lo hiciste.

    Como práctica recomendada, usa grupos en lugar de cuentas de usuario individuales para administrar el acceso a tu instancia de Google SecOps. Google recomienda crear grupos en tu IdP que correspondan directamente a los roles predeterminados de Google SecOps.

    Consulta el siguiente ejemplo:

    Rol de Google SecOps Grupo de IdP (sugerido)
    Administrador de la API de Chronicle chronicle_secops_admins
    Editor de la API de Chronicle chronicle_secops_editor
    Visualizador de API de Chronicle chronicle_secops_viewer

  2. Crea una nueva aplicación SAML en tu IdP.

  3. Configura la aplicación con los siguientes parámetros:

    1. Especifica la URL del servicio de confirmación de aserciones (ACS), que también se conoce como URL de inicio de sesión único según el proveedor de servicios.

      https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      Reemplaza lo siguiente:

      • WORKFORCE_POOL_ID: Es el identificador que definiste para el grupo de identidades de personal.
      • WORKFORCE_PROVIDER_ID: Es el identificador que definiste para el proveedor de personal.

      Para obtener descripciones de los valores, consulta Cómo definir el grupo de identidades de personal y el proveedor de personal.

    2. Especifica el siguiente ID de entidad (también llamado ID de entidad del SP).

      https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    3. Configura el identificador de nombre en tu IdP para asegurarte de que el campo NameID se devuelva en la respuesta de SAML.

      Puedes establecer este valor en uno que admita las políticas de la organización, como la dirección de correo electrónico o el nombre de usuario. Consulta la documentación de tu IdP para obtener información sobre cómo configurar este valor. Para obtener más información sobre este requisito, consulta Soluciona problemas relacionados con la federación de identidades de personal.

  4. Agrega las instrucciones de atributos que te permiten pasar información del usuario desde el IdP a las integraciones de tu aplicación. Definiste los atributos cuando planificaste la implementación del IdP.

    Por ejemplo, en la siguiente tabla, se enumeran las instrucciones de atributos del usuario que puedes agregar en los IdP de uso frecuente, como Okta, Microsoft AD FS o Entra ID:

    Nombre del atributo Valor de Okta (expresión) AD FS o Entra ID (atributo de origen)
    subject user.email user.mail o user.userprincipalname
    emailaddress user.email user.mail
    first_name user.firstName user.givenname
    last_name user.lastName user.surname
    display_name user.displayName user.displayname

    Si configuras una aplicación de IdP de Okta, asegúrate de seleccionar Unspecified como el formato cuando agregues los atributos. Deja el espacio de nombres en blanco cuando uses Microsoft AD FS o Entra ID como tu IdP.

    De manera opcional, agrega los atributos del grupo, como groups, en la aplicación del IdP.

  5. Asigna los grupos y usuarios correspondientes a la aplicación en tu IdP.

    Estos grupos y usuarios tendrán autorización para acceder a Google SecOps.

  6. Descarga el archivo XML de metadatos de la aplicación.

    En la siguiente sección, usarás este archivo de metadatos cuando configures tu proveedor de identidad de personal. Si usas Google Cloud CLI, debes subir este archivo desde tu sistema local a tu Google Cloud directorio principal con Cloud Shell.

Configura la federación de identidades de personal

En esta sección, solo se describen los pasos específicos necesarios para configurar la federación de identidades de personal con la aplicación SAML del IdP que creaste en la sección anterior. Para obtener más información sobre cómo administrar grupos de identidad de trabajadores, consulta Administra proveedores de grupos de identidad de trabajadores.

Configura el proyecto de facturación y cuota

  1. Abre la consola Google Cloud como el usuario con los permisos necesarios en el proyecto vinculado a Google SecOps. Identificaste o creaste este usuario anteriormente. Consulta la sección Antes de comenzar.

  2. Inicia una sesión de Cloud Shell.

  3. Configura el proyecto Google Cloud al que se le factura y al que se le cobra la cuota de las operaciones realizadas con gcloud CLI. Usa el siguiente comando gcloud como ejemplo:

    gcloud config set billing/quota_project PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto vinculado a Google SecOps que creaste en Configura un proyecto de Google Cloud para Google SecOps. Para obtener una descripción de los campos que identifican un proyecto, consulta Crea y administra proyectos.

    Para obtener información sobre las cuotas, consulta los siguientes documentos:

    Si encuentras un error, consulta Soluciona problemas relacionados con errores de cuota.

Crea y configura un grupo de identidades para la fuerza laboral

Puedes configurar un grupo de identidades de personal para que se integre con un proveedor de identidad (IdP) externo o con Google Workspace o Cloud Identity.

Console

Para crear el grupo de identidades de personal, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página Grupos de identidades de personal:

    Ir a Grupos de identidades de personal

  2. Selecciona la organización para tu grupo de identidades del personal. Los grupos de identidades para la fuerza laboral están disponibles en todos los proyectos y carpetas de una organización.

  3. Haz clic en Crear grupo y haz lo siguiente:

    1. En el campo Nombre, ingresa el nombre visible del grupo. El ID del grupo se deriva automáticamente del nombre a medida que escribes y se muestra en el campo Nombre. Para actualizar el ID del grupo, haz clic en Editar junto a él.

    2. Opcional: En Descripción, ingresa una descripción del grupo.

  4. Haz clic en Siguiente.

La duración predeterminada de la sesión del grupo de identidades del personal es de una hora. Esta duración determina la validez de los tokens de acceso de Google Cloud , la consola de la federación de identidades de personal deGoogle Cloud y las sesiones de acceso de la gcloud CLI. Puedes actualizar el grupo para establecer una duración de la sesión personalizada entre 15 minutos y 12 horas.

gcloud

  1. Crea un grupo de Workforce Identity.

    Usa el siguiente comando gcloud como ejemplo:

    gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization=ORGANIZATION_ID \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
  --session-duration=SESSION_DURATION

    Reemplaza lo siguiente:

    • WORKFORCE_POOL_ID: Es el valor que definiste para el ID del grupo de identidades de personal.
    • ORGANIZATION_ID: Es el ID numérico de la organización.
    • WORKFORCE_POOL_DESCRIPTION: Es una descripción opcional del grupo de identidades para cargas de trabajo.
    • WORKFORCE_POOL_DISPLAY_NAME: Es un nombre opcional fácil de usar para el grupo de identidades de personal.
    • SESSION_DURATION: Es un valor opcional para la duración de la sesión, expresado como un número al que se le agrega s; por ejemplo, 3600s. Esta duración determina la validez de los tokens de acceso de Google Cloud, la consola de la federación de identidades de personal deGoogle Cloud y las sesiones de acceso a gcloud CLI. Puedes actualizar el grupo para establecer una duración de la sesión personalizada entre 15 minutos y 12 horas.

    Para usar Google Workspace o Cloud Identity para acceder a Google SecOps, agrega las marcas --allowed-services domain=backstory.chronicle.security y --disable-programmatic-signin al comando.

    gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --session-duration=SESSION_DURATION \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

    Este comando crea un grupo de identidades de personal que no admite el acceso a Google Cloud. Para habilitar la funcionalidad de acceso, debes usar las marcas adecuadas para cada situación.

  2. Si se te solicita habilitar la API de Chronicle, ingresa Yes.

Crea un proveedor de grupos de Workforce Identity

Un proveedor de grupos de identidad de trabajadores describe una relación entre tuGoogle Cloud organización y tu IdP.

Console

Para configurar el proveedor de grupos de identidades de personal, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página Grupos de identidades de personal:

    Ir a Grupos de identidades de personal

  2. En la tabla grupos de identidad del personal, selecciona el grupo para el que deseas crear el proveedor.

  3. En la sección Proveedores, haz clic en Agregar proveedor.

  4. En Selecciona un proveedor, elige tu IdP.

    Si tu IdP no aparece en la lista, selecciona Generic Identity Provider.

  5. En Selecciona un protocolo de autenticación, selecciona SAML.

  6. En la sección Crea un proveedor, haz lo siguiente:

    1. En Nombre del proveedor, ingresa un nombre para el proveedor.

    2. Opcional: En Descripción, ingresa una descripción para el proveedor.

    3. En Archivo de metadatos de IdP (XML), selecciona el archivo XML de metadatos que generaste antes en esta guía.

    4. Asegúrate de que la opción Habilitar proveedor esté activada.

    5. Haz clic en Continuar.

  7. En la sección Comparte la información de tu proveedor, copia las URLs. En tu IdP, configura la primera URL como el ID de la entidad, que identifica tu aplicación ante el IdP. Configura la otra URL como el URI de redireccionamiento, que le informa a tu IdP dónde enviar el token de aserción después de acceder.

  8. Haz clic en Continuar.

  9. En la sección Configurar proveedor, haz lo siguiente:

    1. En Asignación de atributos, ingresa las asignaciones en los cuadros correspondientes. Por ejemplo:

      Google X (donde X es un número) SAML X (donde X es un número)
      google.subject assertion.subject
      google.groups assertion.attributes.groups
      google.display_name assertion.attributes.display_name[0]
      attribute.first_name assertion.attributes.first_name[0]
      attribute.last_name assertion.attributes.last_name[0]
      attribute.user_email assertion.attributes.emailaddress[0]

    2. Opcional: Si seleccionaste Microsoft Entra ID como tu IdP, puedes aumentar la cantidad de grupos de la siguiente manera:

      1. Selecciona Usar atributos adicionales.
      2. En el campo URI de la entidad emisora de atributos adicionales, ingresa la URL de la entidad emisora.
      3. En el campo ID de cliente de atributos adicionales, ingresa el ID de cliente.
      4. En el campo Secreto del cliente de atributos adicionales, ingresa el secreto del cliente.
      5. En la lista Tipo de atributo adicional, selecciona un tipo de atributo para los atributos adicionales.
      6. En el campo Filtro de atributos adicionales, ingresa una expresión de filtro que se use cuando se consulte la API de Microsoft Graph para grupos.

    3. Opcional: Para agregar una condición de atributo, haz clic en Agregar condición y, luego, ingresa una expresión de CEL que represente una condición de atributo. Por ejemplo, para limitar el atributo ipaddr a un rango de IP determinado, puedes establecer la condición assertion.attributes.ipaddr.startsWith('98.11.12.'). Esta condición de ejemplo garantiza que solo los usuarios con una dirección IP que comienza con 98.11.12. puedan acceder con este proveedor de personal.

    4. Para activar el registro de auditoría detallado, en Registro detallado, haz clic en el botón de activación Habilitar el registro de auditoría del valor de atributos.

  10. Para crear el proveedor, haz clic en Enviar.

gcloud

Para configurar el proveedor del grupo de identidades de personal, haz lo siguiente:

  1. Haz clic en Más > para subir el archivo de metadatos de la aplicación SAML a tu directorio principal de Cloud Shell. Los archivos solo se pueden subir a tu directorio principal. Para obtener más opciones para transferir archivos entre Cloud Shell y tu estación de trabajo local, consulta Cómo subir y descargar archivos y carpetas desde Cloud Shell.

  2. Toma nota de la ruta de acceso al directorio en el que subiste el archivo en formato XML de metadatos de la aplicación SAML en Cloud Shell. Necesitarás esta ruta de acceso en el siguiente paso.

  3. Crea un proveedor de grupos de identidades de personal y especifica los detalles del IdP.

    Usa el siguiente comando gcloud como ejemplo:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Revisa Planifica la implementación para obtener descripciones de los valores.

    Reemplaza lo siguiente:

    • WORKFORCE_PROVIDER_ID: Es el valor que definiste para el ID del proveedor de personal.
    • WORKFORCE_POOL_ID: Es el valor que definiste para el ID del grupo de identidades de personal.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: Un nombre opcional fácil de usar para el proveedor de personal. Debe tener menos de 32 caracteres.
    • WORKFORCE_PROVIDER_DESCRIPTION: Es una descripción opcional del proveedor de personal.
    • PATH_TO_METADATA_XML: Es la ubicación del directorio de Cloud Shell del archivo en formato XML de metadatos de la aplicación que subiste con Cloud Shell, por ejemplo, /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: Es la definición de cómo asignar atributos de aserción a atributos deGoogle Cloud . Se usa Common Expression Language para interpretar estas asignaciones. Por ejemplo:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

    En el ejemplo anterior, se asignan los siguientes atributos:

    • assertion.subject a google.subject. Este es un requisito mínimo.
    • assertion.attributes.name[0] a google.display_name.
    • assertion.attributes.groups al atributo google.groups

    Si realizas esta configuración para Google Security Operations, que incluye Google Security Operations SIEM y Google SecOps SOAR, también debes asignar los siguientes atributos requeridos por Google SecOps SOAR:

    • attribute.first_name
    • attribute.last_name
    • attribute.user_email
    • google.groups
    • google.display_name

    Por lo tanto, la asignación completa es la siguiente:

    google.subject=assertion.subject,google.groups=assertion.attributes.groups,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.emailaddress[0],google.display_name=assertion.attributes.display_name[0]

    Para obtener más información, consulta Cómo aprovisionar y asignar usuarios para Google SecOps SOAR.

    De forma predeterminada, Google SecOps lee la información de los grupos de los siguientes nombres de atributos de aserción que no distinguen mayúsculas de minúsculas: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ y _assertion.attributes.memberOf_.

    Cuando configures la aplicación de SAML para que pase información sobre la pertenencia a un grupo en la aserción, establece el nombre del atributo de grupo en _group_, _idpGroup_ o _memberOf_.

    En el comando de ejemplo, puedes reemplazar assertion.attributes.groups por assertion.attributes.idpGroup o assertion.attributes.memberOf, que representan el nombre del atributo de grupo que configuraste en la aplicación SAML del IdP y que contiene información de la pertenencia a un grupo en la aserción.

    En el siguiente ejemplo, se asignan varios grupos al atributo google.groups:

    google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

    En el siguiente ejemplo, se asigna el grupo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group que contiene caracteres especiales a google.groups:

    google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

    Para obtener más información sobre la asignación de atributos, consulta Asignaciones de atributos.

Cómo otorgar un rol para habilitar el acceso a Google SecOps

En los siguientes pasos, se describe cómo otorgar un rol específico con IAM para que los grupos y los usuarios de tu grupo de identidades de personal puedan acceder a Google SecOps. Realiza la configuración con el proyecto Google Cloud vinculado a Google SecOps que creaste antes.

Console

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM

  2. Selecciona el proyecto Google Cloud vinculado a Google SecOps.

  3. En la pestaña Ver por entidades, haz clic en Otorgar acceso.

  4. En la sección Agregar principales, ingresa un identificador de principal en el campo Principales nuevas.

    Por ejemplo:

    • Para agregar todas las identidades administradas con el grupo de identidades de personal y el proveedor de personal que creaste anteriormente, ingresa lo siguiente:

      principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID

    • Para agregar un grupo específico como principal, ingresa lo siguiente:

      principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID

    Reemplaza lo siguiente:

    • WORKFORCE_POOL_ID: Es el valor que definiste para el ID del grupo de identidades de personal.
    • GROUP_ID: Un grupo en la reclamación google.groups asignada. Debes tener este grupo creado en tu IdP.

  5. En la sección Asignar roles, selecciona o busca un rol aplicable de la API de Chronicle, como Visualizador de la API de Chronicle (roles/chronicle.viewer).

  6. Haz clic en Guardar.

  7. Repite los pasos del 3 al 5 para cada principal al que quieras otorgar roles.

gcloud

  1. Otorga el rol de Visualizador de la API de Chronicle (roles/chronicle.viewer) a los usuarios o grupos que deben tener acceso a la aplicación de Google SecOps.

    • En el siguiente ejemplo, se otorga el rol de visualizador de la API de Chronicle a las identidades administradas con el grupo de identidades de personal y el proveedor de personal que creaste anteriormente.
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Reemplaza lo siguiente:

    • PROJECT_ID: con el ID del proyecto vinculado a Google SecOps que configuraste en Cómo configurar un proyecto de Google Cloud para Google SecOps Para obtener una descripción de los campos que identifican un proyecto, consulta Crea y administra proyectos.

    • WORKFORCE_POOL_ID: Es el valor que definiste para el ID del grupo de identidades de personal.

    • Para otorgar el rol de visualizador de la API de Chronicle a un grupo específico, ejecuta el siguiente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Reemplaza GROUP_ID: un grupo en la reclamación google.groups asignada. Debes tener este grupo creado en tu IdP.

  2. Configura políticas de IAM adicionales para satisfacer los requisitos de tu organización.

  3. Obligatorio: Para completar la autenticación y habilitar el acceso del usuario a la plataforma de Google SecOps, debes configurar el acceso del usuario desde el lado de SOAR de Google SecOps. Para obtener más información, consulta Asigna usuarios en la plataforma de Google SecOps.

Repite los pasos anteriores para otorgar otros roles.

Configura el SSO en tu instancia de Google SecOps

La tarea final para integrar tu IdP externo con Google SecOps es configurar el SSO. Después de completar este paso, los usuarios podrán acceder a Google SecOps con sus credenciales del IdP.

A continuación, se indican los pasos para configurar el SSO:

  1. En la consola de Google Cloud , navega a la página Seguridad > Google SecOps.
  2. Haz clic en la pestaña Inicio de sesión único y, luego, selecciona Federación de identidades del personal.
  3. En la lista de proveedores disponibles, selecciona el proveedor de federación de identidades de personal que creaste en Crea un proveedor de grupos de Workforce Identity.
  4. Haz clic en Guardar.

Administra la configuración de la federación de identidades de personal

En esta sección, se explica cómo actualizar la configuración del proveedor y verificar que los niveles de acceso del usuario estén configurados correctamente.

Verifica o configura el control de acceso a las funciones de Google SecOps

Si configuraste la federación de identidades de personal con atributos o grupos asignados al atributo google.groups, esta información se pasa a Google SecOps para que puedas configurar el RBAC en las funciones de Google SecOps.

Si la instancia de Google SecOps tiene una configuración de RBAC existente, verifica que la configuración original funcione según lo previsto.

Si no configuraste el control de acceso anteriormente, consulta Configura el control de acceso a funciones con IAM para obtener información sobre cómo controlar el acceso a las funciones.

Modifica la configuración de la federación de identidades de personal

Si necesitas actualizar el grupo de identidades para trabajadores o el proveedor de personal, consulta Administra proveedores de grupos de identidad de trabajadores para obtener información sobre cómo actualizar la configuración.

En la sección Administración de claves de Crea un proveedor de grupo de identidades de personal de SAML, se describe cómo actualizar las claves de firma del IdP y, luego, actualizar la configuración del proveedor de personal con el archivo XML de metadatos de la aplicación más reciente.

Console

Para actualizar un grupo de personal específico, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

    Ir a Grupos de identidades de personal

  2. En la tabla, elige el grupo.

  3. Actualiza los parámetros del grupo.

  4. Haz clic en Guardar grupo.

Para actualizar un proveedor, haz lo siguiente:

  1. Ve a la página federación de identidades de personal.

    Ir a Grupos de identidades de personal

  2. En la tabla, selecciona el grupo para el que deseas actualizar el proveedor.

  3. En la tabla Proveedores, haz clic en Editar.

  4. Actualiza los detalles del proveedor.

  5. Para guardar los detalles del proveedor actualizados, haz clic en Guardar.

gcloud

A continuación, se muestra un ejemplo del comando gcloud que actualiza la configuración del proveedor de personal:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Reemplaza lo siguiente:

  • WORKFORCE_PROVIDER_ID: Es el valor que definiste para el ID del proveedor de personal.
  • WORKFORCE_POOL_ID: Es el valor que definiste para el ID del grupo de identidades de personal.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: Es un nombre descriptivo para el proveedor de personal. El valor debe tener menos de 32 caracteres.
  • WORKFORCE_PROVIDER_DESCRIPTION: Es la descripción del proveedor de personal.
  • PATH_TO_METADATA_XML: Es la ubicación del archivo XML de metadatos de la aplicación actualizado, por ejemplo, /path/to/sso_metadata_updated.xml.
  • ATTRIBUTE_MAPPINGS: Son los atributos de la aserción asignados a los atributos deGoogle Cloud . Por ejemplo:

google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Soluciona problemas de configuración

Si encuentras errores durante este proceso, consulta Soluciona problemas de la federación de identidades de personal para resolver problemas habituales. En la siguiente sección, se proporciona información sobre los problemas comunes que se producen cuando se realizan los pasos de este documento.

Si los problemas persisten, comunícate con tu representante de SecOps de Google y proporciona tu archivo de registros de red de Chrome.

No se encontró el comando

Cuando creas un proveedor de grupo de identidades de personal y especificas los detalles del IdP, recibes el siguiente error:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Verifica que PATH_TO_METADATA_XML sea la ubicación en la que subiste el archivo en formato XML de metadatos de la aplicación SAML al directorio principal de Cloud Shell.

El emisor no tiene permiso

Cuando ejecutas el comando gcloud projects add-iam-policy-binding para otorgar roles a usuarios o grupos, recibes el siguiente error:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Verifica que tengas los permisos necesarios. Para obtener más información, consulta las Funciones requeridas.

Error de verificación: Falta el ID de sesión en la solicitud

Cuando intentas autenticarte, recibes el siguiente error en el navegador:

Verification failure: missing session ID in request

Verifica que las URLs base de ACS y del ID de la entidad sean correctas. Para obtener más información, consulta Cómo configurar la aplicación del IdP.

¿Qué sigue?

Después de completar los pasos de este documento, haz lo siguiente:

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.