Dołączanie projektu Google Cloud Platform (GCP)
W tym artykule opisano sposób dołączania projektu Google Cloud Platform (GCP) w Zarządzanie uprawnieniami Microsoft Entra.
Wyjaśnienie
W przypadku platformy GCP zarządzanie uprawnieniami jest ograniczone do projektu GCP. Projekt GCP to logiczna kolekcja zasobów na platformie GCP, taka jak subskrypcja na platformie Azure, ale z dalszymi konfiguracjami można wykonywać, takie jak rejestracje aplikacji i konfiguracje OIDC.
Istnieje kilka ruchomych części na platformie GCP i na platformie Azure, które należy skonfigurować przed dołączaniem.
- Aplikacja Microsoft Entra OIDC
- Tożsamość obciążenia w GCP
- Wykorzystanie poufnych dotacji klienta OAuth2
- Konto usługi GCP z uprawnieniami do zbierania
Dołączanie projektu GCP
Jeśli pulpit nawigacyjny modułów zbierających dane nie jest wyświetlany, gdy zostanie uruchomione zarządzanie uprawnieniami:
- Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz podtabę Moduły zbierające dane.
Na karcie Moduły zbierające dane wybierz pozycję GCP, a następnie wybierz pozycję Utwórz konfigurację.
1. Utwórz aplikację Microsoft Entra OIDC.
Na stronie Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wprowadź nazwę aplikacja systemu Azure OIDC.
Ta aplikacja służy do konfigurowania połączenia OpenID Connect (OIDC) z projektem GCP. OIDC to interoperowalny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0. Wygenerowane skrypty tworzą aplikację tej określonej nazwy w dzierżawie firmy Microsoft Entra z właściwą konfiguracją.
Aby utworzyć rejestrację aplikacji, skopiuj skrypt i uruchom go w aplikacji wiersza polecenia.
Uwaga
- Aby potwierdzić, że aplikacja została utworzona, otwórz Rejestracje aplikacji na platformie Azure i na karcie Wszystkie aplikacje znajdź aplikację.
- Wybierz nazwę aplikacji, aby otworzyć stronę Uwidaczniaj interfejs API . Identyfikator URI identyfikatora aplikacji wyświetlany na stronie Przegląd jest wartością odbiorców używaną podczas nawiązywania połączenia OIDC z kontem GCP.
- Wróć do okna Zarządzanie uprawnieniami, a następnie w obszarze Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wybierz przycisk Dalej.
2. Konfigurowanie projektu GCP OIDC.
Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta GCP OIDC i dostęp do dostawcy tożsamości wprowadź identyfikator projektu OIDC i identyfikator projektu OIDC projektu GCP, w którym jest tworzony dostawca i pula OIDC. Możesz zmienić nazwę roli na wymagania.
Uwaga
Numer projektu i identyfikator projektu GCP można znaleźć na stronie Pulpit nawigacyjny GCP projektu w panelu Informacje o projekcie.
Aby spełnić wymagania, możesz zmienić identyfikator puli tożsamości obciążenia OIDC, identyfikator dostawcy puli tożsamości obciążenia OIDC i nazwę konta usługi OIDC.
Opcjonalnie określ nazwę wpisu tajnego dostawcy tożsamości G-Suite i adres e-mail użytkownika dostawcy tożsamości G-Suite, aby włączyć integrację usługi G-Suite.
Możesz pobrać i uruchomić skrypt w tym momencie lub wykonać go w usłudze Google Cloud Shell.
Wybierz pozycję Dalej po pomyślnym uruchomieniu skryptu instalacji.
Wybierz jedną z trzech opcji zarządzania projektami GCP.
Opcja 1. Automatyczne zarządzanie
Opcja automatycznego zarządzania umożliwia automatyczne wykrywanie i monitorowanie projektów bez dodatkowej konfiguracji. Kroki wykrywania listy projektów i dołączania do kolekcji:
- Udziel ról osoby przeglądającego i recenzenta zabezpieczeń do konta usługi utworzonego w poprzednim kroku na poziomie projektu, folderu lub organizacji.
Aby włączyć tryb kontrolera włączone dla wszystkich projektów, dodaj te role do określonych projektów:
- Administratorzy ról
- Administrator zabezpieczeń
Wymagane polecenia do uruchomienia w usłudze Google Cloud Shell są wyświetlane na ekranie Zarządzanie autoryzacją dla każdego zakresu projektu, folderu lub organizacji. Jest to również skonfigurowane w konsoli GCP.
- Wybierz Dalej.
Opcja 2. Wprowadź systemy autoryzacji
Istnieje możliwość określenia tylko niektórych projektów członkowskich GCP do zarządzania uprawnieniami i ich monitorowania (do 100 na moduł zbierający). Wykonaj kroki, aby skonfigurować te projekty członkowskie GCP do monitorowania:
Na stronie Dołączanie do zarządzania uprawnieniami — identyfikatory projektów GCP wprowadź identyfikatory projektów.
Można wprowadzić maksymalnie 100 identyfikatorów projektów GCP rozdzielonych przecinkami.
Możesz pobrać i uruchomić skrypt w tym momencie lub wykonać go za pośrednictwem usługi Google Cloud Shell.
Aby włączyć tryb kontrolera "Włączone" dla wszystkich projektów, dodaj te role do określonych projektów:
- Administratorzy ról
- Administrator zabezpieczeń
Wybierz Dalej.
Opcja 3. Wybieranie systemów autoryzacji
Ta opcja wykrywa wszystkie projekty dostępne dla aplikacji do zarządzania upoważnieniami infrastruktury w chmurze.
- Udziel ról osoby przeglądającego i recenzenta zabezpieczeń do konta usługi utworzonego w poprzednim kroku na poziomie projektu, folderu lub organizacji.
Aby włączyć tryb kontrolera włączone dla wszystkich projektów, dodaj te role do określonych projektów:
- Administratorzy ról
- Administrator zabezpieczeń
Wymagane polecenia do uruchomienia w usłudze Google Cloud Shell są wyświetlane na ekranie Zarządzanie autoryzacją dla każdego zakresu projektu, folderu lub organizacji. Jest to również skonfigurowane w konsoli GCP.
- Wybierz Dalej.
3. Przejrzyj i zapisz.
Na stronie Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj dodane informacje, a następnie wybierz pozycję Weryfikuj teraz i zapisz.
Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.
Na karcie Moduły zbierające dane w kolumnie Ostatnio przekazane w kolumnie Zbieranie. W kolumnie Ostatnio przekształcone w kolumnie Przetwarzanie jest wyświetlana wartość Przetwarzanie.
Kolumna status w interfejsie użytkownika zarządzania uprawnieniami pokazuje, który krok zbierania danych znajduje się w:
- Oczekujące: Zarządzanie uprawnieniami nie rozpoczęło jeszcze wykrywania ani dołączania.
- Odnajdywanie: Zarządzanie uprawnieniami wykrywa systemy autoryzacji.
- W toku: Zarządzanie uprawnieniami zakończyło wykrywanie systemów autoryzacji i dołączanie.
- Dołączone: zbieranie danych zostało ukończone, a wszystkie wykryte systemy autoryzacji są dołączane do usługi Permissions Management.
4. Wyświetlanie danych.
Aby wyświetlić dane, wybierz kartę Systemy autoryzacji.
W kolumnie Stan w tabeli zostanie wyświetlona kolumna Zbieranie danych.
Proces zbierania danych zajmuje trochę czasu i występuje w około 4–5 godzinach w większości przypadków. Przedział czasu zależy od rozmiaru posiadanego systemu autoryzacji i ilości danych dostępnych dla kolekcji.
Następne kroki
- Aby włączyć lub wyłączyć kontroler po zakończeniu dołączania, zobacz Włączanie lub wyłączanie kontrolera.
- Aby dodać konto/subskrypcję/projekt po zakończeniu dołączania, zobacz Dodawanie konta/subskrypcji/projektu po zakończeniu dołączania.