הגדרת זהות של צד שלישי
המדריך הזה מיועד לאדמינים של Google Security Operations שרוצים לאמת את כוח העבודה שלהם (משתמשים וקבוצות) ב-Google SecOps באמצעות ספק זהויות (IdP) של צד שלישי. התהליך הזה אפשרי באמצעותGoogle Cloud איחוד שירותי אימות הזהות של כוח העבודה.
איחוד שירותי אימות הזהות של כוח עבודה תומך בכל ספק זהויות שמשתמש ב-Security Assertion Markup Language (SAML 2.0) או ב-OpenID Connect (OIDC), כמו Okta, Microsoft Entra ID ו-Microsoft Active Directory Federation Services (AD FS).
במסמך הזה מוסבר איך להגדיר אימות באמצעות ספק זהויות מבוסס SAML באמצעות איחוד שירותי אימות הזהות של כוח עבודה.
- תכנון בהתאם למשאבים הנדרשים. מחליטים על הפרטים של מאגר הזהויות של כוח העבודה ושל הספק, ומזהים את מאפייני המשתמשים והקבוצות שנדרשים להגדרת גישה לתכונות ב-Google SecOps.
- מגדירים את האפליקציה של ספק הזהויות מצד שלישי. יצירת אפליקציית SAML של IdP לשילוב עם איחוד שירותי אימות הזהות של כוח העבודה ועם Google SecOps.
- הגדרה של איחוד שירותי אימות הזהות של כוח עבודה מגדירים את מאגר הזהויות של כוח העבודה ואת ספק הזהויות, ומעניקים תפקידים של ניהול זהויות והרשאות גישה (IAM) לקבוצות ולמשתמשים ב-IdP. Google Cloud
- מגדירים כניסה יחידה (SSO) באמצעות הספק החדש שנוצר.
אחרי שתשלימו את השלבים האלה, תוכלו להיכנס ל-Google SecOps באמצעות ספק הזהויות שלכם ולנהל את גישת המשתמשים באמצעות בקרת גישה מבוססת-תפקידים (RBAC) של התכונות באמצעות IAM.
תרחישים נפוצים לדוגמה
כדי להשתמש ב-Google SecOps, צריך להשתמש באיחוד שירותי אימות הזהות של כוח העבודה כברוקר של SSO למגוון רחב של תרחישי שימוש.
עמידה בתקני אבטחה מחמירים
- המטרה: עמידה בתקנים רגולטוריים מחמירים לגישה למערכת ולענן.
- ערך: עוזר לעמוד בדרישות התאימות של FedRAMP High (או גבוהות יותר) באמצעות תיווך מאובטח של כניסה יחידה (SSO).
ניהול בקרת גישה בארגון
- המטרה: שליטה מרכזית בגישה לתכונות ולנתונים בכל הארגון.
- Value: מאפשרת RBAC ברמת הארגון ב-Google SecOps באמצעות IAM.
אוטומציה של גישה פרוגרמטית ל-API
- המטרה: לספק שיטות בשירות עצמי לאינטראקציה מאובטחת עם ממשקי ה-API של Chronicle.
- ערך: הפחתת התקורה האדמיניסטרטיבית הידנית על ידי מתן אפשרות ללקוחות לנהל את פרטי הכניסה שלהם באופן פרוגרמטי.
מונחים חשובים
- מאגר כוח עבודה: משאב Google Cloud ייחודי ברמה הגלובלית שמוגדר ברמת הארגון ומעניק לכוח העבודה שלכם גישה ל-Google SecOps.
- ספק כוח עבודה: משאב משני של מאגר הזהויות של כוח העבודה שבו מאוחסנים פרטי ההגדרה של ספק זהויות חיצוני יחיד.
- מיפוי מאפיינים: תהליך התרגום של מאפייני טענת הנכוֹנוּת (assertion) שסופקו על ידי ספק ה-IdP למאפייני Google Cloud באמצעות Common Expression Language (CEL).
- כתובת URL של Assertion Consumer Service (ACS): כתובת URL ספציפית (לפעמים נקראת כתובת URL של כניסה יחידה, בהתאם לספק) שמשמשת להגדרת אפליקציית SAML כדי לתקשר עם Google SecOps.
- מזהה ישות ב-SAML: כתובת URL של מזהה ייחודי בעולם שמזהה אפליקציה או שירות ספציפיים, כמו Google SecOps, ומגדיר את אפליקציית SAML בתוך ספק הזהויות שלכם.
סקירה כללית על התהליך
Google SecOps תומך ב-SAML SSO ביוזמת ספק השירות (SP) עבור משתמשים. היכולת הזו מאפשרת למשתמשים לעבור ישירות אל Google SecOps. מערכת Google SecOps שולחת בקשה דרך איחוד שירותי אימות הזהות של כוח העבודה ב-IAM אל ספק הזהויות של צד שלישי.
אחרי שה-IdP מאמת את זהות המשתמש, המשתמש מוחזר אל Google SecOps עם הצהרת אימות. Google Cloud איחוד שירותי אימות הזהות של כוח העבודה פועל כמתווך בתהליך האימות.
תקשורת בין Google SecOps, איחוד שירותי אימות הזהות של כוח העבודה ב-IAM וספק הזהויות
באופן כללי, התקשורת מתבצעת באופן הבא:
- המשתמש עובר אל Google SecOps.
- Google SecOps מחפש מידע על ספק הזהויות ב Google Cloudמאגר הזהויות של כוח העבודה.
- בקשה נשלחת לספק הזהויות.
- טענת הנכונות (assertion) של SAML נשלחת אל Google Cloud מאגר הזהויות של כוח העבודה.
- אם האימות מצליח, Google SecOps מקבל רק את מאפייני ה-SAML שהוגדרו כשמגדירים את ספק הזהויות של כוח העבודה במאגר הזהויות של כוח העבודה.
אדמינים של Google SecOps יוצרים קבוצות בספק הזהויות שלהם, מגדירים את אפליקציית SAML כך שתעביר מידע על חברות בקבוצה בהצהרה, ומשייכים משתמשים וקבוצות לתפקידים מוגדרים מראש ב-IAM ב-Google SecOps או לתפקידים מותאמים אישית שהם יצרו.
לפני שמתחילים
- חשוב להכיר את Cloud Shell, את הפקודה
gcloudואת מסוף Google Cloud . - הגדרת פרויקט Google Cloud ל-Google SecOps כדי להגדיר פרויקט שמקושר ל-Google SecOps.
- מעיינים במאמר בנושא Google Cloud איחוד שירותי אימות הזהות של כוח עבודה.
- חשוב לוודא שיש לכם הרשאות לביצוע השלבים שמפורטים במסמך הזה. מידע על ההרשאות הנדרשות לכל שלב בתהליך ההצטרפות זמין במאמר תפקידים נדרשים.
תכנון ההטמעה
בקטע הזה מתוארות ההחלטות שצריך לקבל והמידע שצריך להגדיר לפני שמבצעים את השלבים שמתוארים במסמך הזה.
הגדרת מאגר זהויות של כוח העבודה וספק כוח העבודה
כדי להגדיר אימות דרך ספק זהויות, צריך להגדיר את איחוד שירותי אימות הזהות של כוח העבודה כמתווך בתהליך האימות. לפני שמגדירים את איחוד שירותי אימות הזהויות של כוח העבודה, צריך להגדיר אתGoogle Cloud המשאבים הבאים:
- מאגר כוח עבודה: מאגר זהויות של כוח עבודה מעניק לכוח העבודה שלכם (למשל, עובדים) גישה ל-Google SecOps.
- Workforce provider: משאב משני של מאגר הזהויות של כוח העבודה שבו מאוחסנים פרטים על IdP יחיד.
הקשר בין מאגר זהויות של כוח עבודה, ספקי כוח עבודה ומופע של Google SecOps, שמזוהה על ידי תת-דומיין יחיד של לקוח, הוא כדלקמן:
- מאגר זהויות של כוח עבודה מוגדר ברמת הארגון.
- לכל מופע של Google SecOps מוגדר מאגר זהויות של כוח עבודה שמשויך אליו.
- למאגר זהויות של כוח עבודה יכולים להיות כמה ספקים של כוח עבודה.
כל ספק זהויות של כוח עבודה משלב IdP של צד שלישי עם מאגר הזהויות של כוח העבודה.
מאגר הזהויות של כוח העבודה צריך להיות ייעודי ל-Google SecOps. אי אפשר לשתף את המאגר שנוצר עבור Google SecOps למטרות אחרות.
חובה שמאגר הזהויות של כוח העבודה יהיה באותוGoogle Cloud ארגון שמכיל את הפרויקט שמקושר ל-Google SecOps.
בהמשך מפורטות ההנחיות להגדרת הערכים של מזהי המפתח של מאגר כוח העבודה וספק כוח העבודה:
- המזהה של מאגר כוח העבודה (
WORKFORCE_POOL_ID): מגדירים ערך שמציין את ההיקף או המטרה של מאגר הזהויות של כוח העבודה. הערך צריך לעמוד בדרישות הבאות:- חייב להיות ייחודי באופן גלובלי.
- אפשר להשתמש רק באותיות קטנות [a-z], בספרות [0-9] ובמקפים [-].
- השם צריך להתחיל באות קטנה [a-z].
- חייב להסתיים בתו באות קטנה [a-z] או בספרה [0-9].
- אורך של בין 4 ל-61 תווים.
- השם המוצג של מאגר כוח העבודה (
WORKFORCE_POOL_DISPLAY_NAME): מגדירים שם ידידותי למשתמש עבור מאגר הזהויות של כוח העבודה. - תיאור מאגר כוח העבודה (
WORKFORCE_POOL_DESCRIPTION): מגדירים תיאור מפורט של מאגר הזהויות של כוח העבודה. - מזהה ספק כוח העבודה (
WORKFORCE_PROVIDER_ID): מגדירים ערך שמציין את ספק הזהויות שהוא מייצג. הערך צריך לעמוד בדרישות הבאות:- אפשר להשתמש רק באותיות קטנות [a-z], בספרות [0-9] ובמקף [-].
- האורך יכול להיות בין 4 ל-32 תווים.
- שם התצוגה של ספק כוח העבודה (
WORKFORCE_PROVIDER_DISPLAY_NAME): מגדירים שם ידידותי למשתמש בשביל ספק כוח העבודה. האורך המקסימלי הוא 32 תווים. - תיאור הספק של מאגר כוח העבודה (
WORKFORCE_PROVIDER_DESCRIPTION): מגדירים תיאור מפורט של הספק של מאגר כוח העבודה.
הגדרת מאפייני משתמש וקבוצות ב-IdP
לפני שיוצרים את אפליקציית ה-SAML ב-IdP, צריך לזהות את מאפייני המשתמשים והקבוצות שנדרשים להגדרת הגישה לתכונות ב-Google SecOps. מאפייני המשתמשים הנפוצים כוללים את המאפיינים הבאים:
- נושא
- אימייל
- שם פרטי
- שם משפחה
- השם המוצג
תצטרכו את המידע על קבוצות משתמשים ומאפיינים בשלבים הבאים של התהליך הזה:
כשמגדירים את אפליקציית SAML, יוצרים את הקבוצות שהוגדרו במהלך התכנון. מגדירים את אפליקציית ה-SAML של ספק הזהויות כך שתעביר את החברות בקבוצות בטענת הנכוֹנוּת.
כשיוצרים את ספק כוח העבודה, ממפים את מאפייני הטענה והקבוצות לGoogle Cloud מאפיינים. המידע הזה נשלח בהצהרת הטענה כחלק מהזהות של המשתמש.
הגדרת אפליקציית ספק הזהויות
בקטע הזה מתוארת רק ההגדרה הספציפית שנדרשת באפליקציית SAML של ספק הזהויות כדי לבצע אינטגרציה עם Google Cloud איחוד שירותי אימות הזהויות של כוח העבודה ועם Google SecOps. לקבלת הוראות מפורטות, אפשר לעיין במסמכי העזרה של ספק ה-IdP.
יוצרים קבוצות בספק הזהויות, אם עדיין לא נוצרו קבוצות.
מומלץ להשתמש בקבוצות ולא בחשבונות משתמשים פרטיים כדי לנהל את הגישה למופע של Google SecOps. Google ממליצה ליצור קבוצות בספק הזהויות שמתאימות ישירות לתפקידים שמוגדרים כברירת מחדל ב-Google SecOps.
דוגמה:
תפקיד ב-Google SecOps קבוצה בספק הזהויות (מומלץ) Chronicle API Admin chronicle_secops_admins Chronicle API Editor chronicle_secops_editor Chronicle API Viewer chronicle_secops_viewer יוצרים אפליקציית SAML חדשה ב-IdP.
מגדירים את האפליקציה עם הפרטים הבאים:
מציינים את כתובת ה-URL של Assertion Consumer Service (ACS), שנקראת גם כתובת URL של כניסה יחידה (SSO), בהתאם לספק השירות.
https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_IDמחליפים את מה שכתוב בשדות הבאים:
-
WORKFORCE_POOL_ID: המזהה שהגדרתם למאגר הזהויות של כוח העבודה. -
WORKFORCE_PROVIDER_ID: המזהה שהגדרתם לספק כוח העבודה.
תיאורים של הערכים מופיעים במאמר הגדרת מאגר זהויות של כוח עבודה וספק זהויות של כוח עבודה.
-
מציינים את מזהה הישות הבא (נקרא גם מזהה ישות של ספק שירות).
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_IDצריך להגדיר את מזהה השם ב-IdP כדי לוודא שהשדה
NameIDיוחזר בתשובה של SAML.אפשר להגדיר ערך שתומך במדיניות הארגון, כמו כתובת אימייל או שם משתמש. תוכלו להיעזר במסמכי התיעוד של ה-IdP כדי להבין איך להגדיר את הערך הזה. מידע נוסף על הדרישה הזו זמין במאמר פתרון בעיות באיחוד שירותי אימות הזהות של כוח עבודה.
מוסיפים את הצהרות המאפיינים שמאפשרות להעביר פרטי משתמש מ-IdP לשילובי האפליקציות. הגדרתם את המאפיינים כשתכננתם את ההטמעה של ספק הזהויות.
לדוגמה, בטבלה הבאה מפורטות הצהרות של מאפייני משתמש שאפשר להוסיף לספקי זהויות נפוצים, כמו Okta, Microsoft AD FS או Entra ID:
שם המאפיין ערך Okta (ביטוי) AD FS / Entra ID (מאפיין מקור) subjectuser.emailuser.mailאוuser.userprincipalnameemailaddressuser.emailuser.mailfirst_nameuser.firstNameuser.givennamelast_nameuser.lastNameuser.surnamedisplay_nameuser.displayNameuser.displaynameאם אתם מגדירים אפליקציית ספק זהויות (IdP) של Okta, חשוב לוודא שאתם בוחרים באפשרות לא צוין כפורמט כשאתם מוסיפים את המאפיינים. אם משתמשים ב-Microsoft AD FS או ב-Entra ID כספק הזהויות (IdP), צריך להשאיר את מרחב השמות ריק.
אפשר להוסיף את מאפייני הקבוצה, כמו
groups, באפליקציה של ספק הזהויות.מקצים את הקבוצות והמשתמשים המתאימים לאפליקציה בספק הזהויות.
הקבוצות והמשתמשים האלה יקבלו הרשאה לגשת ל-Google SecOps.
מורידים את קובץ ה-XML של המטא-נתונים של האפליקציה.
בקטע הבא תשתמשו בקובץ המטא-נתונים הזה כשתגדירו את ספק הזהויות של כוח העבודה. אם משתמשים ב-Google Cloud CLI, צריך להעלות את הקובץ הזה מהמערכת המקומית אל Google Cloud ספריית הבית באמצעות Cloud Shell.
הגדרת איחוד שירותי אימות הזהויות של כוח העבודה
בקטע הזה מוסבר רק איך להגדיר את איחוד שירותי אימות הזהויות של כוח עבודה באמצעות אפליקציית SAML של ספק הזהויות שיצרתם בקטע הקודם. מידע נוסף על ניהול מאגרי זהויות של כוח העבודה זמין במאמר ניהול ספקים של מאגרי זהויות של כוח העבודה
הגדרת פרויקט החיוב והמכסה
פותחים את Google Cloud המסוף כמשתמש עם ההרשאות הנדרשות בפרויקט שמקושר ל-Google SecOps. זיהיתם או יצרתם את המשתמש הזה קודם. פרטים נוספים זמינים בקטע לפני שמתחילים.
מפעילים סשן של Cloud Shell.
הגדרת Google Cloud הפרויקט שבו יחויבו המכסות על פעולות שבוצעו באמצעות ה-CLI של gcloud. לדוגמה, משתמשים בפקודה
gcloudהבאה:gcloud config set billing/quota_project PROJECT_IDמחליפים את הערך
PROJECT_IDבמזהה הפרויקט שמשויך ל-Google SecOps שיצרתם במאמר הגדרה של Google Cloud פרויקט ל-Google SecOps. במאמר יצירה וניהול של פרויקטים מופיע תיאור של השדות שמזהים פרויקט.מידע על מכסות זמין במאמרים הבאים:
אם נתקלתם בשגיאה, כדאי לעיין במאמר בנושא פתרון בעיות שקשורות למכסות.
יצירה והגדרה של מאגר זהויות של כוח העבודה
אתם יכולים להגדיר מאגר זהויות של כוח עבודה כדי לשלב אותו עם ספק זהויות חיצוני (IdP) או עם Google Workspace או Cloud Identity.
המסוף
כדי ליצור את מאגר הזהויות של כוח העבודה:
במסוף Google Cloud , עוברים לדף Workforce Identity Pools:
בוחרים את הארגון שרוצים ליצור בו מאגר זהויות של כוח העבודה. מאגרי זהויות של כוח עבודה זמינים בכל הפרויקטים והתיקיות בארגון.
לוחצים על יצירת מאגר ומבצעים את הפעולות הבאות:
בשדה Name, מזינים את שם התצוגה של המאגר. מזהה המאגר נוצר באופן אוטומטי מהשם בזמן ההקלדה, ומוצג מתחת לשדה שם. כדי לעדכן את מזהה המאגר, לוחצים על עריכה לצד מזהה המאגר.
אופציונלי: בשדה Description (תיאור), מזינים תיאור של המאגר.
לוחצים על הבא.
משך ברירת המחדל של משך הסשן במאגר הזהויות של כוח העבודה הוא שעה אחת. המשך הזה קובע את התוקף של אסימוני הגישה, של Google Cloud מסוף איחוד שירותי אימות הזהות של כוח העבודה ושל סשנים של כניסה ל-CLI של gcloud. Google Cloud אתם יכולים לעדכן את המאגר כדי להגדיר משך סשן מותאם אישית בין 15 דקות ל-12 שעות.
gcloud
יוצרים מאגר זהויות של כוח העבודה.
לדוגמה, משתמשים בפקודה
gcloudהבאה:gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization=ORGANIZATION_ID \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME" \ --session-duration=SESSION_DURATIONמחליפים את מה שכתוב בשדות הבאים:
-
WORKFORCE_POOL_ID: הערך שהגדרתם למזהה של מאגר הזהויות של כוח העבודה. -
ORGANIZATION_ID: מזהה הארגון (מספרי). -
WORKFORCE_POOL_DESCRIPTION: תיאור אופציונלי של מאגר הזהויות של כוח העבודה. -
WORKFORCE_POOL_DISPLAY_NAME: שם ידידותי למשתמש אופציונלי למאגר הזהויות של כוח העבודה. -
SESSION_DURATION: ערך אופציונלי של משך הזמן של הסשן, שמוצג כמספר עם התוספתs, לדוגמה,3600s. המשך הזה קובע את התוקף של Google Cloudאסימוני הגישה, Google Cloud המסוף של איחוד שירותי אימות הזהות של כוח העבודה והסשנים של הכניסה ל-CLI של gcloud. אתם יכולים לעדכן את המאגר כדי להגדיר משך סשן מותאם אישית בין 15 דקות ל-12 שעות.
כדי להשתמש ב-Google Workspace או ב-Cloud Identity כדי להיכנס ל-Google SecOps, מוסיפים את הדגלים
--allowed-services domain=backstory.chronicle.securityו---disable-programmatic-signinלפקודה.gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization="ORGANIZATION_ID" \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME" \ --session-duration=SESSION_DURATION \ --allowed-services domain=backstory.chronicle.security \ --disable-programmatic-signinהפקודה הזו יוצרת מאגר זהויות של כוח עבודה שלא תומך בכניסה ל- Google Cloud. כדי להפעיל את פונקציית הכניסה, צריך להשתמש בדגלים המתאימים לכל תרחיש.
-
אם מופיעה בקשה להפעיל את Chronicle API, מזינים
Yes.
יצירת ספק של מאגר זהויות של כוח עבודה
ספק מאגר זהויות של כוח עבודה מתאר קשר ביןGoogle Cloud הארגון שלכם לבין ספק הזהויות שלכם.
המסוף
כדי להגדיר את הספק של מאגר הזהויות של כוח העבודה:
במסוף Google Cloud , עוברים לדף Workforce Identity Pools:
בטבלה Workforce Identity Pools, בוחרים את המאגר שרוצים ליצור לו ספק.
בקטע ספקים, לוחצים על הוספת ספק.
בקטע Select a Provider vendor (בחירת ספק), בוחרים את ספק ה-IdP.
אם ספק הזהויות שלכם לא מופיע ברשימה, בוחרים באפשרות ספק זהויות כללי.
בקטע Select an authentication protocol, בוחרים באפשרות SAML.
בקטע Create a provider, מבצעים את הפעולות הבאות:
בשדה Name, מזינים שם לספק.
אופציונלי: בשדה Description, מזינים תיאור לספק.
בקטע IDP metadata file (XML) (קובץ מטא-נתונים של ספק הזהויות (XML)), בוחרים את קובץ ה-XML של המטא-נתונים שיצרתם קודם במדריך הזה.
מוודאים שהאפשרות הפעלת הספק מופעלת.
לוחצים על Continue.
בקטע Share your provider information, מעתיקים את כתובות ה-URL. ב-IdP, מגדירים את כתובת ה-URL הראשונה כמזהה הישות, שמזהה את האפליקציה שלכם ב-IdP. מגדירים את כתובת ה-URL השנייה ככתובת ה-URI להפניה אוטומטית, שמציינת ל-IdP לאן לשלוח את אסימון האישור אחרי הכניסה.
לוחצים על Continue.
בקטע Configure provider (הגדרת ספק), מבצעים את הפעולות הבאות:
בקטע מיפוי מאפיינים, מזינים את המיפויים בתיבות המתאימות. לדוגמה:
Google X (כאשר X הוא מספר) SAML X (כאשר X הוא מספר) google.subjectassertion.subjectgoogle.groupsassertion.attributes.groupsgoogle.display_nameassertion.attributes.display_name[0]attribute.first_nameassertion.attributes.first_name[0]attribute.last_nameassertion.attributes.last_name[0]attribute.user_emailassertion.attributes.emailaddress[0]אופציונלי: אם בחרתם באפשרות Microsoft Entra ID כספק הזהויות, אתם יכולים להגדיל את מספר הקבוצות באופן הבא:
- בוחרים באפשרות שימוש במאפיינים נוספים.
- בשדה Extra Attributes Issuer URI (מזהה URI של מנפיק מאפיינים נוספים), מזינים את כתובת ה-URL של המנפיק.
- בשדה מזהה לקוח של מאפיינים נוספים, מזינים את מזהה הלקוח.
- בשדה Extra Attributes Client Secret (סוד הלקוח של מאפיינים נוספים), מזינים את סוד הלקוח.
- ברשימה Extra Attributes Type, בוחרים סוג מאפיין למאפיינים נוספים.
- בשדה Extra Attributes Filter, מזינים ביטוי מסנן שמשמש לשליחת שאילתות ל-Microsoft Graph API לגבי קבוצות.
אופציונלי: כדי להוסיף תנאי של מאפיין, לוחצים על הוספת תנאי ומזינים ביטוי CEL שמייצג תנאי של מאפיין. לדוגמה, כדי להגביל את המאפיין
ipaddrלטווח מסוים של כתובות IP, אפשר ליצור את התנאיassertion.attributes.ipaddr.startsWith('98.11.12.'). התנאי הזה מבטיח שרק משתמשים עם כתובת IP שמתחילה ב-98.11.12.יוכלו להיכנס באמצעות ספק הזהויות הזה לכוח העבודה.כדי להפעיל רישום מפורט ביומן הביקורת, בקטע רישום מפורט, לוחצים על המתג הפעלת רישום ביומן הביקורת של ערכי מאפיינים.
כדי ליצור את הספק, לוחצים על שליחה.
gcloud
כדי להגדיר את הספק של מאגר הזהויות של כוח העבודה:
כדי להעלות את קובץ המטא-נתונים של אפליקציית SAML לספריית הבית של Cloud Shell, לוחצים על More >. אפשר להעלות קבצים רק לספריית הבית. אפשרויות נוספות להעברת קבצים בין Cloud Shell לבין תחנת העבודה המקומית זמינות במאמר העלאה והורדה של קבצים ותיקיות מ-Cloud Shell.
רושמים את נתיב הספרייה שבה העליתם את קובץ ה-XML של מטא-נתוני אפליקציית SAML ב-Cloud Shell. תצטרכו את הנתיב הזה בשלב הבא.
יוצרים ספק של מאגר זהויות של כוח עבודה ומציינים את פרטי ספק הזהויות.
לדוגמה, משתמשים בפקודה
gcloudהבאה:gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --location="global" \ --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \ --description="WORKFORCE_PROVIDER_DESCRIPTION" \ --idp-metadata-path=PATH_TO_METADATA_XML \ --attribute-mapping="ATTRIBUTE_MAPPINGS"תיאורי הערכים מופיעים בקטע תכנון ההטמעה.
מחליפים את מה שכתוב בשדות הבאים:
-
WORKFORCE_PROVIDER_ID: הערך שהגדרתם למזהה של ספק כוח העבודה. -
WORKFORCE_POOL_ID: הערך שהגדרתם למזהה של מאגר הזהויות של כוח העבודה. -
WORKFORCE_PROVIDER_DISPLAY_NAME: שם ידידותי למשתמש של ספק כוח העבודה (אופציונלי). האורך המקסימלי הוא 32 תווים. -
WORKFORCE_PROVIDER_DESCRIPTION: תיאור אופציונלי של ספק כוח העבודה. -
PATH_TO_METADATA_XML: מיקום הספרייה ב-Cloud Shell של קובץ ה-XML של המטא-נתונים של האפליקציה שהעליתם באמצעות Cloud Shell, לדוגמה:/path/to/sso_metadata.xml.
ATTRIBUTE_MAPPINGS: הגדרה של אופן המיפוי של מאפייני הצהרה לGoogle Cloud מאפיינים. Common Expression Language משמשת לפרשנות של המיפוי הזה. לדוגמה:google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups
בדוגמה הקודמת ממופים המאפיינים הבאים:
assertion.subjectעדgoogle.subject. זו דרישה מינימלית.assertion.attributes.name[0]עדgoogle.display_name.assertion.attributes.groupsלמאפייןgoogle.groups.
אם אתם מבצעים את ההגדרה הזו עבור Google Security Operations, שכולל את Google Security Operations SIEM ואת Google SecOps SOAR, אתם צריכים גם למפות את המאפיינים הבאים שנדרשים על ידי Google SecOps SOAR:
attribute.first_nameattribute.last_nameattribute.user_emailgoogle.groupsgoogle.display_name
לכן, המיפוי המלא הוא כזה:
google.subject=assertion.subject,google.groups=assertion.attributes.groups,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.emailaddress[0],google.display_name=assertion.attributes.display_name[0]מידע נוסף זמין במאמר הקצאת משתמשים ומיפוי שלהם ל-Google SecOps SOAR.
כברירת מחדל, Google SecOps קורא מידע על קבוצות משמות המאפיינים הבאים של טענות (assertion), שלא רגישים לאותיות רישיות:
_assertion.attributes.groups_, _assertion.attributes.idpGroup_ו-_assertion.attributes.memberOf_.כשמגדירים את אפליקציית SAML להעברת מידע על חברות בקבוצה בהצהרה, צריך להגדיר את שם מאפיין הקבוצה לאחת מהאפשרויות הבאות:
_group_,_idpGroup_או_memberOf_.בדוגמה של הפקודה, אפשר להחליף את
assertion.attributes.groupsב-assertion.attributes.idpGroupאו ב-assertion.attributes.memberOf, שמייצגים את השם של מאפיין הקבוצה שהגדרתם באפליקציית SAML של ספק הזהויות, ושמכיל מידע על חברות בקבוצה בהצהרה.בדוגמה הבאה ממופים כמה קבוצות למאפיין
google.groups:google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"בדוגמה הבאה, הקבוצה
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/groupשמכילה תווים מיוחדים ממופה לקבוצהgoogle.groups:google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"מידע נוסף על מיפוי מאפיינים זמין במאמר מיפוי מאפיינים.
-
הקצאת תפקיד כדי לאפשר כניסה ל-Google SecOps
בשלבים הבאים מוסבר איך להקצות תפקיד ספציפי באמצעות IAM כדי שקבוצות ומשתמשים במאגר הזהויות של כוח העבודה יוכלו להיכנס ל-Google SecOps. מבצעים את ההגדרה באמצעות פרויקט Google Cloud Google SecOps שיצרתם קודם.
המסוף
נכנסים לדף IAM במסוף Google Cloud .
בוחרים את הפרויקט Google Cloud שמקושר ל-Google SecOps.
בכרטיסייה View by principals, לוחצים על Grant Access.
בקטע Add principals, מזינים מזהה של חשבון ראשי בשדה New principals.
לדוגמה:
כדי להוסיף את כל הזהויות שמנוהלות באמצעות מאגר הזהויות של כוח העבודה וספק כוח העבודה שיצרתם קודם, מזינים את הפרטים הבאים:
principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_IDכדי להוסיף קבוצה ספציפית כחשבון ראשי, מזינים את הפקודה הבאה:
principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID
מחליפים את מה שכתוב בשדות הבאים:
-
WORKFORCE_POOL_ID: הערך שהגדרתם למזהה של מאגר הזהויות של כוח העבודה. -
GROUP_ID: קבוצה בהצהרה הממופהgoogle.groups. הקבוצה הזו צריכה להיות קיימת בספק הזהויות.
בקטע הקצאת תפקידים, בוחרים או מחפשים תפקיד מתאים ב-Chronicle API, כמו Chronicle API Viewer (
roles/chronicle.viewer).לוחצים על Save.
חוזרים על שלבים 3 עד 5 לכל חשבון משתמש שרוצים להעניק לו תפקידים.
gcloud
מקצים את התפקיד Chronicle API Viewer (
roles/chronicle.viewer) למשתמשים או לקבוצות שצריכים לקבל גישה לאפליקציית Google SecOps.- בדוגמה הבאה מוקצה התפקיד 'צפייה ב-Chronicle API' לזהויות שמנוהלות באמצעות מאגר הזהויות של כוח העבודה וספק כוח העבודה שיצרתם קודם.
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: עם מזהה הפרויקט של הפרויקט שמשויך ל-Google SecOps שהגדרתם במאמר הגדרת פרויקט ל-Google SecOps. Google Cloud תיאור של השדות שמזהים פרויקט זמין במאמר יצירה וניהול של פרויקטים.
WORKFORCE_POOL_ID: הערך שהגדרתם למזהה של מאגר הזהויות של כוח העבודה.כדי להעניק לקבוצה ספציפית את התפקיד Chronicle API Viewer, מריצים את הפקודה הבאה:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"החלפה של
GROUP_ID: קבוצה בהצהרה הממופהgoogle.groups. הקבוצה הזו צריכה להיות קיימת בספק הזהויות.מגדירים כללי מדיניות נוספים של IAM כדי לעמוד בדרישות של הארגון.
חובה: כדי להשלים את האימות ולאפשר למשתמשים גישה לפלטפורמת Google SecOps, צריך להגדיר גישת משתמשים בצד SOAR של Google SecOps. מידע נוסף זמין במאמר בנושא מיפוי משתמשים בפלטפורמת Google SecOps.
חוזרים על השלבים הקודמים כדי להעניק תפקידים אחרים.
הגדרת SSO למכונת Google SecOps
המשימה האחרונה בשילוב ספק הזהויות של צד שלישי עם Google SecOps היא הגדרת ה-SSO. אחרי השלמת השלב הזה, המשתמשים יוכלו להיכנס ל-Google SecOps באמצעות פרטי הכניסה שלהם ל-IdP.
כדי להגדיר SSO, פועלים לפי השלבים הבאים:
- במסוף Google Cloud , עוברים לדף Security > Google SecOps.
- לוחצים על הכרטיסייה Single Sign-On ואז בוחרים באפשרות Workforce Identity Federation.
- מהרשימה של הספקים הזמינים, בוחרים את הספק של איחוד שירותי אימות הזהות של כוח העבודה שיצרתם במאמר יצירת ספק של מאגר זהויות של כוח עבודה.
- לוחצים על Save.
ניהול ההגדרה של איחוד שירותי אימות הזהות של כוח העבודה
בקטע הזה מוסבר איך לעדכן את הגדרות הספק ולוודא שרמות הגישה של המשתמשים מוגדרות בצורה נכונה.
אימות או הגדרה של בקרת גישה לפיצ'רים של Google SecOps
אם הגדרתם איחוד שירותי אימות הזהות של כוח העבודה עם מאפיינים או קבוצות שממופים למאפיין google.groups, המידע הזה מועבר אל Google SecOps כדי שתוכלו להגדיר RBAC לתכונות של Google SecOps.
אם למופע Google SecOps יש הגדרת RBAC קיימת, צריך לוודא שההגדרה המקורית פועלת כמצופה.
אם לא הגדרתם בעבר בקרת גישה, במאמר הגדרת גישה לפיצ'רים באמצעות IAM מוסבר איך לשלוט בגישה לפיצ'רים.
שינוי ההגדרה של איחוד שירותי אימות הזהות של כוח העבודה
אם אתם צריכים לעדכן את מאגר הזהויות של כוח העבודה או את ספק הזהויות של כוח העבודה, תוכלו לקרוא את המאמר ניהול ספקים של מאגרי זהויות של כוח עבודה כדי לקבל מידע על עדכון ההגדרות.
בקטע ניהול מפתחות במאמר יצירת ספק של מאגר זהויות של כוח עבודה ב-SAML מוסבר איך לעדכן מפתחות חתימה של IdP, ואז לעדכן את ההגדרה של ספק כוח העבודה באמצעות קובץ ה-XML של המטא-נתונים העדכניים של האפליקציה.
המסוף
כדי לעדכן מאגר כוח עבודה ספציפי:
עוברים לדף Workforce Identity Pools:
בטבלה, בוחרים את המאגר.
מעדכנים את הפרמטרים של המאגר.
לוחצים על שמירת המאגר.
כדי לעדכן ספק:
עוברים לדף Workforce Identity Pools:
בטבלה, בוחרים את המאגר שרוצים לעדכן את הספק שלו.
בטבלה ספקים, לוחצים על עריכה.
מעדכנים את פרטי הספק.
כדי לשמור את פרטי הספק המעודכנים, לוחצים על שמירה.
gcloud
הדוגמה הבאה מציגה פקודת gcloud לעדכון ההגדרה של ספק כוח העבודה:
gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location="global" \
--display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
--description="WORKFORCE_PROVIDER_DESCRIPTION" \
--idp-metadata-path=PATH_TO_METADATA_XML \
--attribute-mapping="ATTRIBUTE_MAPPINGS"
מחליפים את מה שכתוב בשדות הבאים:
-
WORKFORCE_PROVIDER_ID: הערך שהגדרתם למזהה של ספק כוח העבודה. -
WORKFORCE_POOL_ID: הערך שהגדרתם למזהה של מאגר הזהויות של כוח העבודה. -
WORKFORCE_PROVIDER_DISPLAY_NAME: שם ידידותי למשתמש של ספק כוח העבודה. הערך צריך לכלול פחות מ-32 תווים. -
WORKFORCE_PROVIDER_DESCRIPTION: תיאור של ספק כוח העבודה. -
PATH_TO_METADATA_XML: המיקום של קובץ ה-XML של המטא-נתונים המעודכנים של האפליקציה, לדוגמה:/path/to/sso_metadata_updated.xml. -
ATTRIBUTE_MAPPINGS: מאפייני הטענה הממופים למאפיינים.Google Cloud לדוגמה:
google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf
פתרון בעיות בהגדרות
אם נתקלתם בשגיאות במהלך התהליך, כדאי לעיין במאמר פתרון בעיות באיחוד שירותי אימות הזהות של כוח העבודה כדי לפתור בעיות נפוצות. בקטע הבא מפורטות בעיות נפוצות שנתקלים בהן כשמבצעים את השלבים שמתוארים במאמר הזה.
אם הבעיות נמשכות, פנו לנציג Google SecOps שלכם ושלחו לו את קובץ יומני הרשת של Chrome.
הפקודה לא נמצאה
כשיוצרים ספק של מאגר זהויות של כוח עבודה ומציינים את פרטי ספק הזהויות, מתקבלת השגיאה הבאה:
Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found
בודקים שPATH_TO_METADATA_XML הוא המיקום שאליו העליתם את קובץ ה-XML של מטא-נתונים של אפליקציית SAML לספריית הבית של Cloud Shell.
למתקשר אין הרשאה
כשמריצים את הפקודה gcloud projects add-iam-policy-binding כדי להעניק תפקידים למשתמשים או לקבוצות, מתקבלת השגיאה הבאה:
ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission
בודקים שיש לכם את ההרשאות הנדרשות. מידע נוסף זמין במאמר בנושא התפקידים הנדרשים.
האימות נכשל: מזהה הסשן חסר בבקשה
כשמנסים לבצע אימות, מופיעה בדפדפן השגיאה הבאה:
Verification failure: missing session ID in request
בודקים שכתובות הבסיס של ACS ומזהה הישות נכונות. מידע נוסף מופיע במאמר בנושא הגדרת אפליקציית ספק הזהויות.
המאמרים הבאים
אחרי שמבצעים את השלבים במאמר הזה, צריך לבצע את הפעולות הבאות:
פועלים לפי השלבים לקישור מכונת Google SecOps לשירותי Google Cloud .
אם עדיין לא הגדרתם רישום ביומן ביקורת, צריך להמשיך להפעלת רישום ביומן ביקורת ב-Google SecOps.
אם אתם מגדירים את Google Security Operations, צריך לבצע שלבים נוספים במאמר הקצאת משתמשים, אימות ומיפוי משתמשים ב-Google Security Operations.
כדי להגדיר גישה לפיצ'רים, צריך לבצע שלבים נוספים במאמרים הגדרת בקרת גישה לתכונות באמצעות IAM והרשאות Google SecOps ב-IAM.
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.