Configurar um provedor de identidade terceirizado
Este guia é para administradores do Google Security Operations que querem autenticar a força de trabalho (usuários e grupos) no Google SecOps usando um provedor de identidade (IdP) de terceiros. Esse processo é possível usando a Google Cloud federação de identidade de colaboradores.
A federação de identidade de colaboradores é compatível com qualquer IdP que use a linguagem de marcação para autorização de segurança (SAML 2.0) ou o OpenID Connect (OIDC), como o Okta, o ID do Microsoft Entra e os Serviços de Federação do Active Directory (AD FS) da Microsoft.
Este documento descreve as etapas gerais para configurar a autenticação por um IdP baseado em SAML usando a federação de identidade de colaboradores.
- Planeje os recursos necessários. Decida os detalhes do pool e do provedor de identidade da força de trabalho e identifique os atributos e grupos de usuários necessários para configurar o acesso aos recursos do Google SecOps.
- Configure o aplicativo IdP de terceiros. Crie um aplicativo SAML do IdP para integrar com a federação de identidade de colaboradores e o Google SecOps.
- Configure a federação de identidade de colaboradores. Configure seu pool e provedor de identidade de colaboradores e conceda papéis do Google Cloud Identity and Access Management (IAM) a grupos e usuários do IdP.
- Configure o Logon único (SSO) usando o provedor recém-criado.
Depois de concluir essas etapas, faça login no Google SecOps com seu provedor de identidade e gerencie o acesso do usuário usando o controle de acesso baseado em papéis (RBAC) de recursos com o IAM.
Casos de uso comuns
O Google SecOps exige o uso da Federação de identidade de colaboradores como o corretor de SSO para um conjunto variado de casos de uso.
Obedeça a padrões de segurança rigorosos
- Objetivo: atender a padrões regulatórios rigorosos para acesso ao sistema e à nuvem.
- Valor: ajuda a atender aos requisitos de conformidade do FedRAMP de nível alto (ou superior) ao intermediar o SSO com segurança.
Gerenciar o controle de acesso empresarial
- Objetivo: controlar o acesso aos dados e recursos de maneira centralizada em toda a organização.
- Valor: permite o RBAC de nível empresarial no Google SecOps usando o IAM.
Automatizar o acesso programático à API
- Objetivo: fornecer métodos de autoatendimento para interagir com segurança com as APIs do Chronicle.
- Valor: reduz a sobrecarga administrativa manual, permitindo que os clientes gerenciem as credenciais de forma programática.
Terminologia importante
- Pool de colaboradores:um recurso Google Cloud globalmente exclusivo definido no nível da organização que concede à sua força de trabalho acesso ao Google SecOps.
- Provedor de colaboradores:um sub-recurso do pool de identidade de colaboradores que armazena detalhes de configuração para um único IdP externo.
- Mapeamento de atributos:o processo de traduzir atributos de declaração fornecidos pelo IdP em atributos do Google Cloud usando a Common Expression Language (CEL).
- URL do serviço de declaração do consumidor (ACS):um URL específico (às vezes chamado de URL de Logon único, dependendo do provedor) usado para configurar um aplicativo SAML para se comunicar com o Google SecOps.
- ID da entidade:um URL de identificador globalmente exclusivo que identifica um aplicativo ou serviço específico, como o Google SecOps, e configura o aplicativo SAML no seu IdP.
Visão geral do processo
O Google SecOps oferece suporte ao SSO SAML iniciado pelo provedor de serviços (SP) para usuários. Com esse recurso, os usuários navegam diretamente para o Google SecOps. O Google SecOps emite uma solicitação pela federação de identidade de colaboradores do IAM para o IdP de terceiros.
Depois que o IdP autentica a identidade do usuário, ele é retornado ao Google SecOps com uma declaração de autenticação. Google Cloud A Federação de Identidade de Colaboradores atua como intermediária no fluxo de autenticação.
Comunicação entre o Google SecOps, a federação de identidade de colaboradores do IAM e o IdP
De modo geral, a comunicação é a seguinte:
- O usuário acessa o Google SecOps.
- O Google SecOps pesquisa informações do IdP no pool de identidades de colaboradores Google Cloud.
- Uma solicitação é enviada ao IdP.
- A declaração SAML é enviada ao pool de identidades da força de trabalho Google Cloud .
- Se a autenticação for bem-sucedida, o Google SecOps vai receber apenas os atributos SAML definidos quando você configurou o provedor de força de trabalho no pool de identidade da força de trabalho.
Os administradores do Google SecOps criam grupos no provedor de identidade, configuram o aplicativo SAML para transmitir informações de associação a grupos na declaração e associam usuários e grupos a papéis predefinidos do IAM ou a funções personalizadas que eles criaram.
Antes de começar
- Familiarize-se com o Cloud Shell, o comando
gcloude o console Google Cloud . - Configure um projeto Google Cloud para o Google SecOps e crie um projeto vinculado ao Google SecOps.
- Analise a Google Cloud federação de identidade de colaboradores.
- Confira se você tem as permissões para realizar as etapas deste documento. Para informações sobre as permissões necessárias em cada fase do processo de integração, consulte Papéis necessários.
Planejar a implementação
Esta seção descreve as decisões que você precisa tomar e as informações que você define antes de realizar as etapas neste documento.
Definir o pool de identidades e o provedor da força de trabalho
Para configurar a autenticação por um IdP, configure a federação de identidade de colaboradores como um intermediário no fluxo de autenticação. Antes de configurar a federação de identidade de colaboradores, defina os seguintes recursos doGoogle Cloud :
- Pool de força de trabalho: um pool de identidade de colaboradores concede acesso ao Google SecOps para sua força de trabalho (como funcionários).
- Provedor de força de trabalho: um sub-recurso do pool de identidades de força de trabalho que armazena detalhes sobre um único IdP.
A relação entre o pool de identidade da força de trabalho, os provedores da força de trabalho e uma instância do Google SecOps, identificada por um único subdomínio do cliente, é a seguinte:
- Um pool de identidade da força de trabalho é definido no nível da organização.
- Cada instância do Google SecOps tem um pool de identidades da força de trabalho configurado e associado a ela.
- Um pool de identidade de colaboradores pode ter vários provedores de colaboradores.
Cada provedor de força de trabalho integra um IdP de terceiros ao pool de identidades da força de trabalho.
O pool de identidade de colaboradores precisa ser dedicado ao Google SecOps. Não é possível compartilhar o pool criado para o Google SecOps com outras finalidades.
Você precisa ter o pool de identidade da força de trabalho na mesma organizaçãoGoogle Cloud que contém o projeto vinculado ao Google SecOps.
Confira as diretrizes para definir os valores dos identificadores de chave do pool e do provedor de força de trabalho:
- ID do pool de funcionários (
WORKFORCE_POOL_ID): define um valor que indica o escopo ou a finalidade do pool de identidade da força de trabalho. O valor precisa atender aos seguintes requisitos:- Precisa ser globalmente exclusivo.
- Use apenas caracteres minúsculos [a-z], dígitos [0-9] e traços [-].
- Precisa começar com uma letra minúscula [a-z].
- Precisa terminar com um caractere minúsculo [a-z] ou um dígito [0-9].
- Pode ter entre 4 e 61 caracteres.
- Nome de exibição do pool de força de trabalho (
WORKFORCE_POOL_DISPLAY_NAME): define um nome fácil de usar para o pool de identidades da força de trabalho. - Descrição do pool de força de trabalho (
WORKFORCE_POOL_DESCRIPTION): define uma descrição detalhada do pool de identidade da força de trabalho. - ID do provedor de força de trabalho (
WORKFORCE_PROVIDER_ID): define um valor que indica o IdP que ele representa. O valor precisa atender aos seguintes requisitos:- Use apenas caracteres minúsculos [a-z], dígitos [0-9] e traços [-].
- Pode ter entre 4 e 32 caracteres.
- Nome de exibição do provedor de força de trabalho (
WORKFORCE_PROVIDER_DISPLAY_NAME): defina um nome fácil de usar para o provedor de força de trabalho. Precisa ter menos de 32 caracteres. - Descrição do provedor de colaboradores (
WORKFORCE_PROVIDER_DESCRIPTION): define uma descrição detalhada do provedor de colaboradores.
Definir atributos e grupos de usuários no IdP
Antes de criar o aplicativo SAML no IdP, identifique os atributos e grupos de usuários necessários para configurar o acesso aos recursos no Google SecOps. Os atributos típicos do usuário incluem:
- Assunto
- Nome
- Sobrenome
- Nome de exibição
Você precisa das informações sobre grupos e atributos de usuários durante as seguintes fases deste processo:
Ao configurar o aplicativo SAML, você cria os grupos definidos durante o planejamento. Configure o aplicativo SAML do IdP para transmitir associações a grupos na declaração.
Ao criar o provedor de força de trabalho, você mapeia atributos e grupos de declaração para Google Cloud atributos. Essas informações são enviadas na declaração de asserção como parte da identidade de um usuário.
Configurar o aplicativo do IdP
Esta seção descreve apenas a configuração específica necessária em um aplicativo SAML do IdP para integrar com a federação de identidade de colaboradores do Google Cloud e o Google SecOps. Consulte a documentação do IdP para conferir as etapas detalhadas.
Crie grupos no seu IdP, se ainda não tiver feito isso.
Como prática recomendada, use grupos em vez de contas de usuário individuais para gerenciar o acesso à sua instância do Google SecOps. O Google recomenda criar grupos no seu IdP que correspondam diretamente às funções padrão do Google SecOps.
Consulte o exemplo a seguir:
Função do Google SecOps Grupo do IdP (sugerido) Administrador da API Chronicle chronicle_secops_admins Editor da API Chronicle chronicle_secops_editor Leitor da API Chronicle chronicle_secops_viewer Crie um novo aplicativo SAML no seu IdP.
Configure o aplicativo com o seguinte:
Especifique o URL do serviço de declaração do consumidor (ACS), que também é chamado de URL de logon único, dependendo do provedor de serviços.
https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_IDSubstitua:
WORKFORCE_POOL_ID: o identificador que você definiu para o pool de identidades da força de trabalho.WORKFORCE_PROVIDER_ID: o identificador que você definiu para o provedor de força de trabalho.
Para descrições de valores, consulte Definir o pool de identidade de colaboradores e o provedor de força de trabalho.
Especifique o seguinte ID da entidade (também chamado de ID da entidade do SP).
https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_IDConfigure o identificador de nome no IdP para garantir que o campo
NameIDseja retornado na resposta SAML.Você pode definir um valor que seja compatível com as políticas da sua organização, como endereço de e-mail ou nome de usuário. Consulte a documentação do IdP para informações sobre como configurar esse valor. Para mais informações sobre esse requisito, consulte Resolver problemas da federação de identidade de colaboradores.
Adicione as declarações de atributo que permitem transmitir informações do usuário do IdP para as integrações de aplicativos. Você definiu os atributos ao planejar a implementação do IdP.
Por exemplo, a tabela a seguir lista as declarações de atributos do usuário que você pode adicionar nos IdPs usados com frequência, como Okta, Microsoft AD FS ou Entra ID:
Nome do atributo Valor do Okta (expressão) AD FS / Entra ID (atributo de origem) subjectuser.emailuser.mailouuser.userprincipalnameemailaddressuser.emailuser.mailfirst_nameuser.firstNameuser.givennamelast_nameuser.lastNameuser.surnamedisplay_nameuser.displayNameuser.displaynameSe você estiver configurando um aplicativo IdP do Okta, selecione Não especificado como formato ao adicionar os atributos. Deixe o namespace em branco ao usar o Microsoft AD FS ou o Entra ID como IdP.
Se quiser, adicione os atributos do grupo, como
groups, no aplicativo do IdP.Atribua os grupos e usuários adequados ao aplicativo no IdP.
Esses grupos e usuários terão autorização para acessar o Google SecOps.
Faça o download do arquivo XML de metadados do aplicativo.
Na próxima seção, você vai usar esse arquivo de metadados ao configurar seu provedor de identidade da força de trabalho. Se você usa a Google Cloud CLI, faça upload desse arquivo do sistema local para o diretório inicial do Google Cloud usando o Cloud Shell.
Configurar a federação de identidade de colaboradores
Esta seção descreve apenas as etapas específicas necessárias para configurar a federação de identidade de colaboradores com o aplicativo IdP SAML criado na seção anterior. Para mais informações sobre como gerenciar pools de identidade de colaboradores, consulte Gerenciar provedores de pools de identidade de colaboradores
Definir o projeto de faturamento e cota
Abra o console Google Cloud como o usuário com as permissões necessárias no projeto vinculado ao Google SecOps. Você identificou ou criou esse usuário antes. Consulte a seção Antes de começar.
Inicie uma sessão do Cloud Shell.
Defina o projeto Google Cloud que é faturado e cobrado pela cota para operações realizadas usando a CLI gcloud. Use o seguinte comando
gcloudcomo exemplo:gcloud config set billing/quota_project PROJECT_IDSubstitua
PROJECT_IDpelo ID do projeto vinculado ao Google SecOps que você criou em Configurar um projeto Google Cloud para o Google SecOps. Para uma descrição dos campos que identificam um projeto, consulte Como criar e gerenciar projetos.Para informações sobre cotas, consulte os seguintes documentos:
Se você encontrar um erro, consulte Resolver problemas de erros de cota.
Criar e configurar um pool de identidades da força de trabalho
É possível configurar um pool de identidade da força de trabalho para integrar com um provedor de identidade (IdP) externo ou com o Google Workspace ou o Cloud Identity.
Console
Para criar o pool de identidades de colaboradores, faça o seguinte:
No console Google Cloud , acesse a página Pools de identidade da força de trabalho:
Selecione a organização do pool de identidade da força de trabalho. Os pools de identidades da força de trabalho estão disponíveis em todos os projetos e pastas de uma organização.
Clique em Criar pool e faça o seguinte:
No campo Nome, digite o nome de exibição do pool. O ID do pool é derivado automaticamente do nome à medida que você digita e é exibido no campo Nome. Para atualizar o ID do pool, clique em Editar ao lado dele.
Opcional: em Descrição, insira uma descrição do pool.
Clique em Próxima.
A duração da sessão do pool de identidades da força de trabalho é de uma hora por padrão. Essa duração determina a validade dos tokens de acesso Google Cloud , do console da federação de identidade de colaboradoresGoogle Cloud e das sessões de login da CLI gcloud. É possível atualizar o pool para definir uma duração da sessão personalizada entre 15 minutos e 12 horas.
gcloud
Crie um pool de identidades da força de trabalho.
Use o seguinte comando
gcloudcomo exemplo:gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization=ORGANIZATION_ID \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME" \ --session-duration=SESSION_DURATIONSubstitua:
WORKFORCE_POOL_ID: o valor que você definiu para o ID do pool de identidade da força de trabalho.ORGANIZATION_ID: o ID numérico da organização.WORKFORCE_POOL_DESCRIPTION: uma descrição opcional do pool de identidades da força de trabalho.WORKFORCE_POOL_DISPLAY_NAME: um nome opcional e fácil de usar para o pool de identidade da força de trabalho.SESSION_DURATION: um valor opcional para a duração da sessão, expresso como um número anexado coms. Por exemplo,3600s. Essa duração determina a validade dos tokens de acesso do Google Cloud, do console de federação de identidade de colaboradores doGoogle Cloud e das sessões de login da CLI gcloud. É possível atualizar o pool para definir uma duração da sessão personalizada entre 15 minutos e 12 horas.
Para usar o Google Workspace ou o Cloud Identity para fazer login no Google SecOps, adicione as flags
--allowed-services domain=backstory.chronicle.securitye--disable-programmatic-signinao comando.gcloud iam workforce-pools create WORKFORCE_POOL_ID\ --location="global" \ --organization="ORGANIZATION_ID" \ --description="WORKFORCE_POOL_DESCRIPTION" \ --display-name="WORKFORCE_POOL_DISPLAY_NAME" \ --session-duration=SESSION_DURATION \ --allowed-services domain=backstory.chronicle.security \ --disable-programmatic-signinEsse comando cria um pool de identidades de colaboradores que não é compatível com o login no Google Cloud. Para ativar a funcionalidade de login, use as flags adequadas para cada cenário.
Se for solicitado que você ative a API Chronicle, digite
Yes.
Criar um provedor de pool de identidade de força de trabalho
Um provedor de pool de identidade da força de trabalho descreve uma relação entre sua organizaçãoGoogle Cloud e seu IdP.
Console
Para configurar o provedor de pool de identidade de colaboradores, faça o seguinte:
No console Google Cloud , acesse a página Pools de identidade da força de trabalho:
Na tabela Pools de identidade de colaboradores, selecione o pool em que você quer criar o provedor.
Na seção Provedores, clique em Adicionar provedor.
Em Selecionar um fornecedor do provedor, escolha seu IdP.
Se o IdP não estiver listado, selecione Provedor de identidade genérico.
Em Selecionar um protocolo de autenticação, escolha SAML.
Na seção Criar um provedor, faça o seguinte:
Em Nome, digite um nome para o provedor.
Opcional: em Descrição, digite uma descrição para o provedor.
Em Arquivo de metadados do IdP (XML), selecione o arquivo XML de metadados gerado anteriormente neste guia.
Verifique se a opção Ativar provedor está ativada.
Clique em Continuar.
Na seção Compartilhe as informações do provedor, copie os URLs. No IdP, configure o primeiro URL como o ID da entidade, que identifica seu aplicativo para o IdP. Configure o outro URL como o URI de redirecionamento, que informa ao IdP para onde enviar o token de declaração após o login.
Clique em Continuar.
Na seção Configurar provedor, faça o seguinte:
Em Mapeamento de atributos, insira os mapeamentos nas caixas correspondentes. Exemplo:
Google X (em que X é um número) SAML X (em que X é um número) google.subjectassertion.subjectgoogle.groupsassertion.attributes.groupsgoogle.display_nameassertion.attributes.display_name[0]attribute.first_nameassertion.attributes.first_name[0]attribute.last_nameassertion.attributes.last_name[0]attribute.user_emailassertion.attributes.emailaddress[0]Opcional: se você selecionou Microsoft Entra ID como seu IdP, é possível aumentar o número de grupos fazendo o seguinte:
- Selecione Usar atributos extras.
- No campo URI do emissor de atributos extras, insira o URL do emissor.
- No campo ID do cliente de atributos extras, insira o ID do cliente.
- No campo Chave secreta do cliente para atributos extras, insira a chave secreta do cliente.
- Na lista Tipo de atributos extras, selecione um tipo de atributo para atributos extras.
- No campo Filtro de atributos extras, insira uma expressão de filtro usada ao consultar a API Microsoft Graph para grupos.
Opcional: para adicionar uma condição de atributo, clique em Adicionar condição e insira uma expressão CEL que represente uma condição de atributo. Por exemplo, para limitar o atributo
ipaddra um determinado intervalo de IP, defina a condiçãoassertion.attributes.ipaddr.startsWith('98.11.12.'). Este exemplo de condição garante que apenas os usuários com um endereço IP que comece com98.11.12.possam fazer login usando esse provedor de força de trabalho.Para ativar o registro de auditoria detalhado, em Registro detalhado, clique no botão Ativar a geração de registros de auditoria do valor do atributo.
Para criar o provedor, clique em Enviar.
gcloud
Para configurar o provedor do pool de identidade de colaboradores:
Faça upload do arquivo de metadados do aplicativo SAML para o diretório inicial do Cloud Shell clicando em Mais >. Os arquivos só podem ser enviados para o diretório inicial. Para mais opções de transferência de arquivos entre o Cloud Shell e sua estação de trabalho local, consulte Fazer upload e download de arquivos e pastas do Cloud Shell.
Anote o caminho do diretório em que você fez upload do arquivo XML de metadados do aplicativo SAML no Cloud Shell. Você vai precisar desse caminho na próxima etapa.
Crie um provedor de pool de identidade de força de trabalho e especifique os detalhes do IdP.
Use o seguinte comando
gcloudcomo exemplo:gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool="WORKFORCE_POOL_ID" \ --location="global" \ --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \ --description="WORKFORCE_PROVIDER_DESCRIPTION" \ --idp-metadata-path=PATH_TO_METADATA_XML \ --attribute-mapping="ATTRIBUTE_MAPPINGS"Consulte Planejar a implementação para ver descrições de valores.
Substitua:
WORKFORCE_PROVIDER_ID: o valor definido para o ID do provedor de colaboradores.WORKFORCE_POOL_ID: o valor que você definiu para o ID do pool de identidade da força de trabalho.WORKFORCE_PROVIDER_DISPLAY_NAME: um nome opcional fácil de usar para o provedor de força de trabalho. Precisa ter menos de 32 caracteres.WORKFORCE_PROVIDER_DESCRIPTION: uma descrição opcional do provedor de força de trabalho.PATH_TO_METADATA_XML: o local do diretório do Cloud Shell do arquivo XML de metadados do aplicativo que você enviou usando o Cloud Shell, por exemplo:/path/to/sso_metadata.xml.ATTRIBUTE_MAPPINGS: definição de como mapear atributos de declaração para atributosGoogle Cloud . A Common Expression Language é usada para interpretar esse mapeamento. Exemplo:google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups
O exemplo anterior mapeia os seguintes atributos:
assertion.subjectparagoogle.subject. Esse é um requisito mínimo.assertion.attributes.name[0]paragoogle.display_name.assertion.attributes.groupsao atributogoogle.groups.
Se você estiver fazendo essa configuração para o Google Security Operations, que inclui o Google Security Operations SIEM e o Google SecOps SOAR, também precisará mapear os seguintes atributos exigidos pelo Google SecOps SOAR:
attribute.first_nameattribute.last_nameattribute.user_emailgoogle.groupsgoogle.display_name
Portanto, o mapeamento completo é o seguinte:
google.subject=assertion.subject,google.groups=assertion.attributes.groups,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.emailaddress[0],google.display_name=assertion.attributes.display_name[0]Para mais informações, consulte Provisionar e mapear usuários para o Google SecOps SOAR.
Por padrão, o Google SecOps lê informações de grupo dos seguintes nomes de atributos de declaração que não diferenciam maiúsculas de minúsculas:
_assertion.attributes.groups_,_assertion.attributes.idpGroup_e_assertion.attributes.memberOf_.Ao configurar o aplicativo SAML para transmitir informações de associação ao grupo na declaração, defina o nome do atributo de grupo como
_group_,_idpGroup_ou_memberOf_.No comando de exemplo, substitua
assertion.attributes.groupsporassertion.attributes.idpGroupouassertion.attributes.memberOf, que representa o nome do atributo de grupo configurado no aplicativo SAML do IdP e que contém informações de associação a grupo na declaração.O exemplo a seguir mapeia vários grupos para o atributo
google.groups:google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"O exemplo a seguir mapeia o grupo
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group, que contém caracteres especiais, paragoogle.groups:google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"Para mais informações sobre o mapeamento de atributos, consulte Mapeamentos de atributos.
Conceder uma função para ativar o login no Google SecOps
As etapas a seguir descrevem como conceder um papel específico usando o IAM para que grupos e usuários no seu pool de identidades da força de trabalho possam fazer login no Google SecOps. Faça a configuração usando o projeto Google Cloud vinculado ao Google SecOps que você criou antes.
Console
No console do Google Cloud , acesse a página IAM.
Selecione o projeto Google Cloud vinculado ao Google SecOps.
Na guia Visualizar por principais, clique em Conceder acesso.
Na seção Adicionar principais, insira um identificador principal no campo Novos principais.
Exemplo:
Para adicionar todas as identidades gerenciadas usando o pool de identidades de colaboradores e o provedor de força de trabalho que você criou anteriormente, insira o seguinte:
principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_IDPara adicionar um grupo específico como principal, digite o seguinte:
principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID
Substitua:
WORKFORCE_POOL_ID: o valor que você definiu para o ID do pool de identidade da força de trabalho.GROUP_ID: um grupo na declaraçãogoogle.groupsmapeada. Você precisa ter esse grupo criado no seu IdP.
Na seção Atribuir papéis, selecione ou pesquise um papel aplicável da API Chronicle, como Leitor da API Chronicle (
roles/chronicle.viewer).Clique em Salvar.
Repita as etapas de 3 a 5 para cada principal a quem você quer conceder papéis.
gcloud
Conceda o papel Leitor da API Chronicle (
roles/chronicle.viewer) a usuários ou grupos que precisam ter acesso ao aplicativo Google SecOps.- O exemplo a seguir concede o papel de leitor da API Chronicle a identidades gerenciadas usando o pool de identidade de colaboradores e o provedor de força de trabalho que você criou anteriormente.
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"Substitua:
PROJECT_ID: com o ID do projeto vinculado ao Google SecOps que você configurou em Configurar um projeto do Google Cloud para o Google SecOps. Para uma descrição dos campos que identificam um projeto, consulte Como criar e gerenciar projetos.WORKFORCE_POOL_ID: o valor que você definiu para o ID do pool de identidade da força de trabalho.Para conceder o papel de leitor da API Chronicle a um grupo específico, execute o seguinte comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"Substitua
GROUP_ID: um grupo na declaraçãogoogle.groupsmapeada. Você precisa ter esse grupo criado no seu IdP.Configure outras políticas do IAM para atender aos requisitos da sua organização.
Obrigatório: para concluir a autenticação e ativar o acesso do usuário à plataforma Google SecOps, configure o acesso do usuário no SOAR do Google SecOps. Para mais informações, consulte Mapear usuários na plataforma Google SecOps.
Repita as etapas anteriores para conceder outros papéis.
Configurar o SSO na sua instância do Google SecOps
A tarefa final de integrar seu IdP de terceiros ao Google SecOps é configurar o SSO. Depois de concluir essa etapa, os usuários poderão fazer login no Google SecOps usando as credenciais do IdP.
Confira as etapas para configurar o SSO:
- No console Google Cloud , acesse a página Segurança > Google SecOps.
- Clique na guia Logon único e selecione Federação de identidade de colaboradores.
- Na lista de provedores disponíveis, selecione o provedor de federação de identidade de colaboradores que você criou em Criar um provedor de pool de identidade de colaboradores.
- Clique em Salvar.
Gerenciar a configuração da federação de identidade de colaboradores
Nesta seção, explicamos como atualizar as configurações do provedor e verificar se os níveis de acesso do usuário estão configurados corretamente.
Verificar ou configurar o controle de acesso aos recursos do Google SecOps
Se você configurou a federação de identidade de colaboradores com atributos ou grupos mapeados
para o atributo google.groups, essas informações são transmitidas ao Google SecOps
para que você possa configurar o controle de acesso baseado em função (RBAC) nos recursos do Google SecOps.
Se a instância do Google SecOps tiver uma configuração de RBAC, verifique se ela funciona conforme o esperado.
Se você ainda não configurou o controle de acesso, consulte Configurar o controle de acesso a recursos usando o IAM para informações sobre como controlar o acesso a recursos.
Modificar a configuração da federação de identidade de colaboradores
Se você precisar atualizar o pool de identidades ou o provedor da força de trabalho, consulte Gerenciar provedores de pool de identidades da força de trabalho para informações sobre como atualizar a configuração.
A seção Gerenciamento de chaves em Criar um provedor de pool de colaboradores SAML descreve como atualizar as chaves de assinatura do IdP e, em seguida, atualizar a configuração do provedor de colaboradores com o arquivo XML de metadados do aplicativo mais recente.
Console
Para atualizar um pool de força de trabalho específico:
Acesse a página Pools de identidade da força de trabalho:
Na tabela, selecione o pool.
Atualize os parâmetros do pool.
Clique em Salvar pool.
Para atualizar um provedor:
Acesse a página Pools de identidade da força de trabalho:
Na tabela, selecione o pool em que você quer atualizar o provedor.
Na tabela Provedores, clique em Editar.
Atualize os detalhes do provedor.
Para salvar os detalhes atualizados do provedor, clique em Salvar.
gcloud
Confira a seguir um exemplo de comando gcloud que atualiza a configuração do provedor de força de trabalho:
gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
--workforce-pool=WORKFORCE_POOL_ID \
--location="global" \
--display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
--description="WORKFORCE_PROVIDER_DESCRIPTION" \
--idp-metadata-path=PATH_TO_METADATA_XML \
--attribute-mapping="ATTRIBUTE_MAPPINGS"
Substitua:
WORKFORCE_PROVIDER_ID: o valor definido para o ID do provedor de colaboradores.WORKFORCE_POOL_ID: o valor que você definiu para o ID do pool de identidade da força de trabalho.WORKFORCE_PROVIDER_DISPLAY_NAME: um nome fácil de usar para o provedor de colaboradores. O valor precisa ter menos de 32 caracteres.WORKFORCE_PROVIDER_DESCRIPTION: a descrição do provedor de colaboradores.PATH_TO_METADATA_XML: o local do arquivo XML de metadados do aplicativo atualizado, por exemplo,/path/to/sso_metadata_updated.xml.ATTRIBUTE_MAPPINGS: os atributos de declaração mapeados para atributosGoogle Cloud . Exemplo:
google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf
Resolver problemas de configuração
Se você encontrar erros durante esse processo, consulte Resolver problemas da federação de identidade de colaboradores para resolver problemas comuns. A seção a seguir fornece informações sobre problemas comuns encontrados ao realizar as etapas deste documento.
Se você ainda encontrar problemas, entre em contato com seu representante do Google SecOps e forneça o arquivo de registros de rede do Chrome.
Comando não encontrado
Ao criar um provedor de pool de identidade de colaboradores e especificar os detalhes do IdP, você recebe o seguinte erro:
Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found
Verifique se PATH_TO_METADATA_XML é o local em que você fez upload do arquivo XML de metadados do aplicativo SAML para o diretório principal do Cloud Shell.
O autor da chamada não tem permissão
Ao executar o comando gcloud projects add-iam-policy-binding para conceder papéis a usuários ou grupos, você recebe o seguinte erro:
ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission
Verifique se você tem as permissões necessárias. Para mais informações, consulte Papéis necessários.
Falha na verificação: ID da sessão ausente na solicitação
Ao tentar autenticar, você recebe o seguinte erro no navegador:
Verification failure: missing session ID in request
Verifique se os URLs base do ACS e do ID da entidade estão corretos. Para mais informações, consulte Configurar o aplicativo do IdP.
A seguir
Depois de concluir as etapas deste documento, faça o seguinte:
Siga as etapas para vincular uma instância do Google SecOps aos serviços Google Cloud .
Se você ainda não configurou o registro de auditoria, continue com a ativação do registro de auditoria do Google SecOps.
Se você estiver configurando para o Google Security Operations, siga as etapas adicionais em Provisionar, autenticar e mapear usuários no Google Security Operations.
Para configurar o acesso aos recursos, siga as etapas adicionais em Configurar o controle de acesso a recursos usando o IAM e Permissões do Google SecOps no IAM.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.