Sdílet prostřednictvím


Onboarding projektu Google Cloud Platform (GCP)

Tento článek popisuje, jak připojit projekt GCP (Google Cloud Platform) v Správa oprávnění Microsoft Entra.

Poznámka:

Abyste mohli provádět úlohy v tomto článku, musíte být správcem správy oprávnění.

Vysvětlení

V případě GCP je správa oprávnění vymezena na projekt GCP. Projekt GCP je logická kolekce vašich prostředků v GCP, jako je předplatné v Azure, ale s dalšími konfiguracemi, které můžete provádět, jako jsou registrace aplikací a konfigurace OIDC.

Existuje několik pohyblivých částí mezi GCP a Azure, které by se měly nakonfigurovat před onboardingem.

  • Aplikace Microsoft Entra OIDC
  • Identita úlohy v GCP
  • Využití důvěrných klientů OAuth2
  • Účet služby GCP s oprávněními ke shromažďování

Onboarding projektu GCP

  1. Pokud se při spuštění správy oprávnění nezobrazí řídicí panel Kolektory dat:

    • Na domovské stránce Správa oprávnění vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabuť Kolekce dat.
  2. Na kartě Kolektory dat vyberte GCP a pak vyberte Vytvořit konfiguraci.

1. Vytvořte aplikaci Microsoft Entra OIDC.

  1. Na stránce Pro onboarding správy oprávnění – Vytvoření aplikace Microsoft Entra OIDC zadejte název Aplikace Azure OIDC.

    Tato aplikace slouží k nastavení připojení OpenID Connect (OIDC) k vašemu projektu GCP. OIDC je interoperabilní ověřovací protokol založený na skupině specifikací OAuth 2.0. Skripty vygenerované vytvoří aplikaci tohoto zadaného názvu ve vašem tenantovi Microsoft Entra se správnou konfigurací.

  2. Pokud chcete vytvořit registraci aplikace, zkopírujte skript a spusťte ho v aplikaci příkazového řádku.

    Poznámka:

    1. Pokud chcete ověřit, že byla aplikace vytvořená, otevřete Registrace aplikací v Azure a na kartě Všechny aplikace vyhledejte aplikaci.
    2. Výběrem názvu aplikace otevřete stránku Zveřejnit rozhraní API . Identifikátor URI ID aplikace zobrazený na stránce Přehled je hodnota cílové skupiny použitá při vytváření připojení OIDC k vašemu účtu GCP.
    3. Vraťte se do okna Správa oprávnění a v onboardingu Správa oprávnění – Vytvoření aplikace Microsoft Entra OIDC vyberte Další.

2. Nastavte projekt GCP OIDC.

  1. Na stránce Podrobnosti o účtu GCP OIDC a přístupové stránce správy oprávnění zadejte ID projektu OIDC a ID projektu OIDC projektu GCP, ve kterém je vytvořen zprostředkovatel OIDC a fond. Název role můžete změnit na vaše požadavky.

    Poznámka:

    Číslo projektu a ID projektu GCP najdete na stránce Řídicí panel GCP projektu na informačním panelu Projektu.

  2. Můžete změnit ID fondu identit úloh OIDC, ID zprostředkovatele fondu identit úloh OIDC a název účtu služby OIDC tak, aby splňovaly vaše požadavky.

    Volitelně můžete zadat název tajného klíče G-Suite IDP a e-mail uživatele G-Suite IDP pro povolení integrace G-Suite.

  3. Skript si můžete stáhnout a spustit v tuto chvíli, nebo ho můžete udělat v Google Cloud Shellu.

  4. Po úspěšném spuštění instalačního skriptu vyberte Další .

Vyberte si ze tří možností pro správu projektů GCP.

Možnost 1: Automatická správa

Možnost automatické správy umožňuje automaticky zjišťovat a monitorovat projekty bez další konfigurace. Postup zjištění seznamu projektů a onboardingu pro kolekci:

  1. Udělte čtenáři a revidujícímu zabezpečení role účtu služby vytvořenému v předchozím kroku na úrovni projektu, složky nebo organizace.

Pokud chcete povolit režim kontroleru pro všechny projekty, přidejte do konkrétních projektů tyto role:

  • Správci rolí
  • Správce zabezpečení

Požadované příkazy ke spuštění v Google Cloud Shellu jsou uvedené na obrazovce Spravovat autorizaci pro každý obor projektu, složky nebo organizace. To je také nakonfigurováno v konzole GCP.

  1. Vyberte Další.

Možnost 2: Zadání autorizačních systémů

Ke správě a monitorování pomocí správy oprávnění (až 100 na kolekci) máte možnost určit pouze určité členské projekty GCP. Podle pokynů nakonfigurujte tyto členské projekty GCP, které se mají monitorovat:

  1. Na stránce Pro onboarding správy oprávnění – ID projektu GCP zadejte ID projektu.

    Můžete zadat až čárkami oddělené 100 ID projektu GCP.

  2. V tuto chvíli si můžete skript stáhnout a spustit nebo ho můžete provést přes Google Cloud Shell.

    Pokud chcete u všech projektů povolit režim kontroleru Zapnuto, přidejte do konkrétních projektů tyto role:

    • Správci rolí
    • Správce zabezpečení
  3. Vyberte Další.

Možnost 3: Výběr systémů autorizace

Tato možnost detekuje všechny projekty přístupné aplikací správy nároků na cloudovou infrastrukturu.

  1. Udělte čtenáři a revidujícímu zabezpečení role účtu služby vytvořenému v předchozím kroku na úrovni projektu, složky nebo organizace.

Pokud chcete povolit režim kontroleru pro všechny projekty, přidejte do konkrétních projektů tyto role:

  • Správci rolí
  • Správce zabezpečení

Požadované příkazy ke spuštění v Google Cloud Shellu jsou uvedené na obrazovce Spravovat autorizaci pro každý obor projektu, složky nebo organizace. To je také nakonfigurováno v konzole GCP.

  1. Vyberte Další.

3. Zkontrolujte a uložte.

  1. Na stránce Onboarding Správa oprávnění – Souhrn zkontrolujte informace, které jste přidali, a pak vyberte Ověřit a uložit.

    Zobrazí se následující zpráva: Konfigurace byla úspěšně vytvořena.

    Na kartě Kolektory dat se ve sloupci Naposledy nahrané položky zobrazí shromažďování. Ve sloupci Nedávno transformováno na obrazovce Zpracování.

    Sloupec stavu v uživatelském rozhraní pro správu oprávnění ukazuje, ve kterém kroku shromažďování dat jste:

    • Čekající: Správa oprávnění ještě nezačala zjišťovat ani onboarding.
    • Zjišťování: Správa oprávnění zjišťuje autorizační systémy.
    • Probíhá: Správa oprávnění dokončila detekci autorizačních systémů a je onboarding.
    • Onboarded: Shromažďování dat je hotové a všechny zjištěné autorizační systémy se připojují ke správě oprávnění.

4. Prohlédněte si data.

  1. Pokud chcete zobrazit data, vyberte kartu Autorizační systémy .

    Sloupec Stav v tabulce zobrazuje shromažďování dat.

    Proces shromažďování dat nějakou dobu trvá a ve většině případů se vyskytuje přibližně v 4–5hodinovém intervalu. Časový rámec závisí na velikosti autorizačního systému, který máte, a na množství dat, která jsou k dispozici pro shromažďování.

Další kroky