Eseguire l'onboarding di un progetto GCP (Google Cloud Platform)

Questo articolo descrive come eseguire l'onboarding di un progetto GCP (Google Cloud Platform) in Gestione delle autorizzazioni di Microsoft Entra.

Nota

Per eseguire le attività descritte in questo articolo, è necessario essere un amministratore della gestione delle autorizzazioni.

Spiegazione

Per GCP, Gestione autorizzazioni ha come ambito un progetto GCP. Un progetto GCP è una raccolta logica delle risorse in GCP, ad esempio una sottoscrizione in Azure, ma con altre configurazioni che è possibile eseguire, ad esempio registrazioni dell'applicazione e configurazioni OIDC.

Esistono diverse parti in movimento tra GCP e Azure, che devono essere configurate prima dell'onboarding.

• Un'app Microsoft Entra OIDC
• Identità del carico di lavoro in GCP
• Concessioni client riservate OAuth2 usate
• Un account di servizio GCP con autorizzazioni per la raccolta

Eseguire l'onboarding di un progetto GCP

1. Se il dashboard Data Collectors non viene visualizzato all'avvio di Gestione autorizzazioni:

   • Nella home page Gestione autorizzazioni selezionare Impostazioni (icona a forma di ingranaggio) e quindi selezionare la sottoscheda Agenti di raccolta dati.

2. Nella scheda Agenti di raccolta dati selezionare GCP, quindi selezionare Crea configurazione.

1. Creare un'app Microsoft Entra OIDC.

1. Nella pagina Integrazione gestione autorizzazioni - Creazione app OIDC - Microsoft Entra, immettere il Nome app Azure OIDC.

   Questa app viene usata per configurare una connessione OpenID Connect (OIDC) al progetto GCP. OIDC è un protocollo di autenticazione interoperativa basato sulla famiglia di specifiche OAuth 2.0. Gli script generati creano l'app di questo nome specificato nel tenant di Microsoft Entra con la configurazione corretta.

2. Per creare la registrazione dell'app, copiare lo script ed eseguirlo nell'app da riga di comando.

   Nota

   1. Per verificare che l'app sia stata creata, aprire Registrazioni app in Azure e, nella scheda Tutte le applicazioni, individuare l'app.
   2. Selezionare il nome dell'app per aprire la pagina Esporre un'API . L'URI ID applicazione visualizzato nella pagina Panoramica è il valore destinatari usato durante la connessione OIDC con l'account GCP.
   3. Tornare alla finestra Gestione autorizzazioni e nella finestra Gestione autorizzazioni Onboarding - Microsoft Entra OIDC App Creation, selezionare Avanti.

2. Configurare un progetto OIDC GCP.

1. Nella pagina Permissions Management Onboarding - GCP OIDC Account Details & IDP Access, immettere il numero di progetto OIDC e l'ID progetto OIDC del progetto GCP in cui viene creato il provider e il pool OIDC. È possibile modificare il nome del ruolo in base ai requisiti.

   Nota

   È possibile trovare il numero di progetto e l'ID progetto del progetto GCP nella pagina GCP Dashboard del progetto nel pannello Informazioni progetto.

2. È possibile modificare l'ID del pool di identità del carico di lavoro OIDC, l'ID del provider del pool di identità del carico di lavoro OIDC e il nome dell'account del servizio OIDC per soddisfare i requisiti.

   Facoltativamente, specificare G-Suite IDP Secret Name e G-Suite IDP User Email per abilitare l'integrazione di G-Suite.

3. A questo punto è possibile scaricare ed eseguire lo script oppure farlo in Google Cloud Shell.

4. Selezionare Avanti dopo aver eseguito correttamente lo script di installazione.

Scegliere tra tre opzioni per gestire i progetti GCP.

Opzione 1: Gestire automaticamente

L'opzione di gestione automatica consente di rilevare e monitorare automaticamente i progetti senza una configurazione aggiuntiva. Procedura per rilevare un elenco di progetti ed eseguire l'onboarding per la raccolta:

1. Concedere ruoli Visualizzatore e Revisore della sicurezza a un account del servizio creato nel passaggio precedente a livello di progetto, cartella o organizzazione.

Per abilitare la modalità Controller On per qualsiasi progetto, aggiungere questi ruoli ai progetti specifici.

• Amministratori dei ruoli
• Amministrazione della protezione

I comandi necessari da eseguire in Google Cloud Shell sono elencati nella schermata Gestisci autorizzazione per ogni ambito di un progetto, di una cartella o di un'organizzazione. Questa operazione viene configurata anche nella console GCP.

3. Selezionare Avanti.

Opzione 2: Immettere i sistemi di autorizzazione

È possibile specificare solo determinati progetti membro GCP da gestire e monitorare con Gestione autorizzazioni (fino a 100 per agente di raccolta). Seguire la procedura per configurare questi progetti membro GCP da monitorare:

1. Nella pagina Permissions Management Onboarding - GCP Project IDs (Onboarding gestione autorizzazioni - ID di progetto GCP) immettere gli ID di progetto.

   È possibile immettere fino a 100 ID progetto GCP separati da virgole.

2. È possibile scegliere di scaricare ed eseguire lo script a questo punto oppure è possibile farlo tramite Google Cloud Shell.

   Per abilitare la modalità controller "Attivato" per tutti i progetti, aggiungere questi ruoli ai progetti specifici:

   • Amministratori dei ruoli
   • Amministrazione della protezione

3. Selezionare Avanti.

Opzione 3: Selezionare i sistemi di autorizzazione

Questa opzione rileva tutti i progetti accessibili dall'applicazione Cloud Infrastructure Entitlement Management.

1. Concedere ruoli Visualizzatore e Revisore della sicurezza a un account del servizio creato nel passaggio precedente a livello di progetto, cartella o organizzazione.

Per abilitare la modalità Controller Attiva per qualsiasi progetto, aggiungere questi ruoli ai progetti specifici.

• Amministratori dei ruoli
• Amministrazione della protezione

I comandi necessari da eseguire in Google Cloud Shell sono elencati nella schermata Gestisci autorizzazione per ogni ambito di un progetto, di una cartella o di un'organizzazione. Questa operazione viene configurata anche nella console GCP.

3. Selezionare Avanti.

3. Rivedere e salvare.

1. Nella pagina Gestione Autorizzazioni Inizializzazione - Riepilogo esaminare le informazioni aggiunte e quindi selezionare Verifica adesso e salva.

   Viene visualizzato il messaggio seguente: Configurazione creata correttamente.

   Nella scheda Agenti di raccolta dati la colonna Recentemente caricata su visualizza Raccolta. Nella colonna Recentemente Trasformata viene visualizzato Elaborazione.

   La colonna stato nell'interfaccia utente di Gestione autorizzazioni ti mostra a quale fase della raccolta dei dati ti trovi:

   • In sospeso: la Gestione delle autorizzazioni non ha ancora avviato il rilevamento o l'onboarding.
   • Individuazione: gestione delle autorizzazioni rileva i sistemi di autorizzazione.
   • In corso: La Gestione delle Autorizzazioni ha completato il rilevamento dei sistemi di autorizzazione ed è in fase di onboarding.
   • Integrati: la raccolta dei dati è completa e tutti i sistemi di autorizzazione rilevati sono stati integrati in Gestione autorizzazioni.

4. Visualizzare i dati.

1. Per visualizzare i dati, selezionare la scheda Sistemi di autorizzazione.

   Nella colonna Stato della tabella viene visualizzata la raccolta di dati.

   Il processo di raccolta dati richiede tempo e si verifica nella maggior parte dei casi in intervalli di circa 4-5 ore. L'intervallo di tempo dipende dalle dimensioni del sistema di autorizzazione e dalla quantità di dati disponibili per la raccolta.

Passaggi successivi

• Per abilitare o disabilitare il controller al termine dell'onboarding, vedere Abilitare o disabilitare il controller.
• Per aggiungere un account/sottoscrizione/progetto al termine dell'onboarding, vedere Aggiungere un account,una sottoscrizione o un progetto al termine dell'onboarding.