Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Google Cloud Identitätsanbieter konfigurieren

Unterstützt in:

Google SecOps SIEM

Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter wie Okta oder Azure AD verwenden, um Nutzer, Gruppen und die Authentifizierung zu verwalten.

Auf dieser Seite wird beschrieben, wie Sie Cloud Identity oder Google Workspace verwenden.

Wenn Sie Cloud Identity oder Google Workspace verwenden, erstellen Sie verwaltete Nutzerkonten, um den Zugriff auf Google Cloud Ressourcen und auf Google SecOps zu steuern.

Sie erstellen IAM-Richtlinien, in denen Sie festlegen, welche Nutzer und Gruppen Zugriff auf Google SecOps-Funktionen haben. Diese IAM-Richtlinien werden mit vordefinierten Rollen und Berechtigungen von Google SecOps oder mit benutzerdefinierten Rollen definiert, die Sie erstellen.

Wenn Sie eine Google SecOps-Instanz mit Google Cloud-Diensten verknüpfen, müssen Sie eine Verbindung zu einem Google Cloud IdP konfigurieren. Die Google SecOps-Instanz wird direkt in Cloud Identity oder Google Workspace eingebunden, um Nutzer zu authentifizieren und die Zugriffssteuerung basierend auf Ihren konfigurierten IAM-Richtlinien zu erzwingen.

Weitere Informationen zum Erstellen von Cloud Identity- oder Google Workspace-Konten

Gängige Anwendungsfälle

Für Google SecOps ist die Verwendung von Cloud Identity oder Google Workspace als SSO-Broker für eine Vielzahl von Anwendungsfällen erforderlich.

Strenge Sicherheitsstandards einhalten

Ziel: Strenge behördliche Standards für den System- und Cloudzugriff erfüllen.
Wert: Hilft bei der Einhaltung der Compliance-Anforderungen von FedRAMP High (oder höher), indem SSO sicher vermittelt wird.

Zugriffssteuerung für Unternehmen verwalten

Ziel: Funktionen- und Datenzugriff zentral in der gesamten Organisation steuern.
Wert: Ermöglicht RBAC auf Unternehmensniveau in Google SecOps durch Verwendung von IAM.

Programmatischen API-Zugriff automatisieren

Ziel: Selfservice-Methoden für die sichere Interaktion mit den Chronicle-APIs bereitstellen.
Wert: Reduziert den manuellen Verwaltungsaufwand, da Kunden ihre Anmeldedaten programmatisch verwalten können.

Rolle gewähren, um die Anmeldung bei Google SecOps zu ermöglichen

In den folgenden Schritten wird beschrieben, wie Sie mit IAM eine bestimmte Rolle zuweisen, damit sich ein Nutzer in Google SecOps anmelden kann. Führen Sie die Konfiguration mit dem zuvor erstellten Google Cloud -Projekt für Google SecOps durch.

Weisen Sie Nutzern oder Gruppen, die Zugriff auf die Google Security Operations-Anwendung haben sollen, die Rolle Chronicle API Viewer (roles/chronicle.viewer) zu.

Hinweis :In den folgenden Beispielen wird der Befehl gcloud verwendet. Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.
Wichtig :In den folgenden Beispielen wird keine Autorisierung für Google SecOps-Funktionen konfiguriert. Dies erfolgt über IAM für die Funktionszugriffssteuerung.
- Im folgenden Beispiel wird einer bestimmten Gruppe die Rolle „Chronicle API Viewer“ zugewiesen:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"
```
  Ersetzen Sie Folgendes:
  - PROJECT_ID: mit der Projekt-ID des Google Security Operations-gebundenen Projekts, das Sie in Google Cloud -Projekt für Google Security Operations konfigurieren konfiguriert haben. Eine Beschreibung der Felder, mit denen ein Projekt identifiziert wird, finden Sie unter Projekte erstellen und verwalten.
  - GROUP_EMAIL: Der E-Mail-Alias für die Gruppe, z. B. analyst-t1@example.com.
- Führen Sie den folgenden Befehl aus, um einem bestimmten Nutzer die Rolle „Chronicle API Viewer“ zuzuweisen:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "user:USER_EMAIL"
```
  Ersetzen Sie USER_EMAIL durch die E‑Mail-Adresse des Nutzers, z. B. alice@example.com.
- Beispiele dafür, wie Sie anderen Mitgliedern, z. B. einer Gruppe oder Domain, Rollen zuweisen, finden Sie in der Referenzdokumentation gcloud projects add-iam-policy-binding und Hauptkonto-IDs.
Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Zugriffs- und Sicherheitsanforderungen Ihrer Organisation zu erfüllen.

Nächste Schritte

Führen Sie nach Abschluss der Schritte in diesem Dokument Folgendes aus:

Führen Sie die Schritte aus, um eine Google Security Operations-Instanz mit Google Cloud Diensten zu verknüpfen.
Wenn Sie die Audit-Protokollierung noch nicht eingerichtet haben, aktivieren Sie die Audit-Protokollierung für Google Security Operations.
Wenn Sie die Konfiguration für Google Security Operations vornehmen, führen Sie zusätzliche Schritte unter Nutzer in Google Security Operations bereitstellen, authentifizieren und zuordnen aus.
Wenn Sie den Zugriff auf Funktionen konfigurieren möchten, führen Sie zusätzliche Schritte unter Funktionszugriffssteuerung mit IAM konfigurieren und Google Security Operations-Berechtigungen in IAM aus.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten