Udostępnij za pośrednictwem


Dołączanie projektu Google Cloud Platform (GCP)

W tym artykule opisano sposób dołączania projektu Google Cloud Platform (GCP) w Zarządzanie uprawnieniami Microsoft Entra.

Uwaga

Aby wykonać zadania w tym artykule, musisz być administratorem zarządzania uprawnieniami.

Wyjaśnienie

W przypadku platformy GCP zarządzanie uprawnieniami jest ograniczone do projektu GCP. Projekt GCP to logiczna kolekcja zasobów na platformie GCP, taka jak subskrypcja na platformie Azure, ale z dalszymi konfiguracjami można wykonywać, takie jak rejestracje aplikacji i konfiguracje OIDC.

Istnieje kilka ruchomych części na platformie GCP i na platformie Azure, które należy skonfigurować przed dołączaniem.

  • Aplikacja Microsoft Entra OIDC
  • Tożsamość obciążenia w GCP
  • Wykorzystanie poufnych dotacji klienta OAuth2
  • Konto usługi GCP z uprawnieniami do zbierania

Dołączanie projektu GCP

  1. Jeśli pulpit nawigacyjny modułów zbierających dane nie jest wyświetlany, gdy zostanie uruchomione zarządzanie uprawnieniami:

    • Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz podtabę Moduły zbierające dane.
  2. Na karcie Moduły zbierające dane wybierz pozycję GCP, a następnie wybierz pozycję Utwórz konfigurację.

1. Utwórz aplikację Microsoft Entra OIDC.

  1. Na stronie Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wprowadź nazwę aplikacja systemu Azure OIDC.

    Ta aplikacja służy do konfigurowania połączenia OpenID Connect (OIDC) z projektem GCP. OIDC to interoperowalny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0. Wygenerowane skrypty tworzą aplikację tej określonej nazwy w dzierżawie firmy Microsoft Entra z właściwą konfiguracją.

  2. Aby utworzyć rejestrację aplikacji, skopiuj skrypt i uruchom go w aplikacji wiersza polecenia.

    Uwaga

    1. Aby potwierdzić, że aplikacja została utworzona, otwórz Rejestracje aplikacji na platformie Azure i na karcie Wszystkie aplikacje znajdź aplikację.
    2. Wybierz nazwę aplikacji, aby otworzyć stronę Uwidaczniaj interfejs API . Identyfikator URI identyfikatora aplikacji wyświetlany na stronie Przegląd jest wartością odbiorców używaną podczas nawiązywania połączenia OIDC z kontem GCP.
    3. Wróć do okna Zarządzanie uprawnieniami, a następnie w obszarze Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wybierz przycisk Dalej.

2. Konfigurowanie projektu GCP OIDC.

  1. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta GCP OIDC i dostęp do dostawcy tożsamości wprowadź identyfikator projektu OIDC i identyfikator projektu OIDC projektu GCP, w którym jest tworzony dostawca i pula OIDC. Możesz zmienić nazwę roli na wymagania.

    Uwaga

    Numer projektu i identyfikator projektu GCP można znaleźć na stronie Pulpit nawigacyjny GCP projektu w panelu Informacje o projekcie.

  2. Aby spełnić wymagania, możesz zmienić identyfikator puli tożsamości obciążenia OIDC, identyfikator dostawcy puli tożsamości obciążenia OIDC i nazwę konta usługi OIDC.

    Opcjonalnie określ nazwę wpisu tajnego dostawcy tożsamości G-Suite i adres e-mail użytkownika dostawcy tożsamości G-Suite, aby włączyć integrację usługi G-Suite.

  3. Możesz pobrać i uruchomić skrypt w tym momencie lub wykonać go w usłudze Google Cloud Shell.

  4. Wybierz pozycję Dalej po pomyślnym uruchomieniu skryptu instalacji.

Wybierz jedną z trzech opcji zarządzania projektami GCP.

Opcja 1. Automatyczne zarządzanie

Opcja automatycznego zarządzania umożliwia automatyczne wykrywanie i monitorowanie projektów bez dodatkowej konfiguracji. Kroki wykrywania listy projektów i dołączania do kolekcji:

  1. Udziel ról osoby przeglądającego i recenzenta zabezpieczeń do konta usługi utworzonego w poprzednim kroku na poziomie projektu, folderu lub organizacji.

Aby włączyć tryb kontrolera włączone dla wszystkich projektów, dodaj te role do określonych projektów:

  • Administratorzy ról
  • Administrator zabezpieczeń

Wymagane polecenia do uruchomienia w usłudze Google Cloud Shell są wyświetlane na ekranie Zarządzanie autoryzacją dla każdego zakresu projektu, folderu lub organizacji. Jest to również skonfigurowane w konsoli GCP.

  1. Wybierz Dalej.

Opcja 2. Wprowadź systemy autoryzacji

Istnieje możliwość określenia tylko niektórych projektów członkowskich GCP do zarządzania uprawnieniami i ich monitorowania (do 100 na moduł zbierający). Wykonaj kroki, aby skonfigurować te projekty członkowskie GCP do monitorowania:

  1. Na stronie Dołączanie do zarządzania uprawnieniami — identyfikatory projektów GCP wprowadź identyfikatory projektów.

    Można wprowadzić maksymalnie 100 identyfikatorów projektów GCP rozdzielonych przecinkami.

  2. Możesz pobrać i uruchomić skrypt w tym momencie lub wykonać go za pośrednictwem usługi Google Cloud Shell.

    Aby włączyć tryb kontrolera "Włączone" dla wszystkich projektów, dodaj te role do określonych projektów:

    • Administratorzy ról
    • Administrator zabezpieczeń
  3. Wybierz Dalej.

Opcja 3. Wybieranie systemów autoryzacji

Ta opcja wykrywa wszystkie projekty dostępne dla aplikacji do zarządzania upoważnieniami infrastruktury w chmurze.

  1. Udziel ról osoby przeglądającego i recenzenta zabezpieczeń do konta usługi utworzonego w poprzednim kroku na poziomie projektu, folderu lub organizacji.

Aby włączyć tryb kontrolera włączone dla wszystkich projektów, dodaj te role do określonych projektów:

  • Administratorzy ról
  • Administrator zabezpieczeń

Wymagane polecenia do uruchomienia w usłudze Google Cloud Shell są wyświetlane na ekranie Zarządzanie autoryzacją dla każdego zakresu projektu, folderu lub organizacji. Jest to również skonfigurowane w konsoli GCP.

  1. Wybierz Dalej.

3. Przejrzyj i zapisz.

  1. Na stronie Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj dodane informacje, a następnie wybierz pozycję Weryfikuj teraz i zapisz.

    Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.

    Na karcie Moduły zbierające dane w kolumnie Ostatnio przekazane w kolumnie Zbieranie. W kolumnie Ostatnio przekształcone w kolumnie Przetwarzanie jest wyświetlana wartość Przetwarzanie.

    Kolumna status w interfejsie użytkownika zarządzania uprawnieniami pokazuje, który krok zbierania danych znajduje się w:

    • Oczekujące: Zarządzanie uprawnieniami nie rozpoczęło jeszcze wykrywania ani dołączania.
    • Odnajdywanie: Zarządzanie uprawnieniami wykrywa systemy autoryzacji.
    • W toku: Zarządzanie uprawnieniami zakończyło wykrywanie systemów autoryzacji i dołączanie.
    • Dołączone: zbieranie danych zostało ukończone, a wszystkie wykryte systemy autoryzacji są dołączane do usługi Permissions Management.

4. Wyświetlanie danych.

  1. Aby wyświetlić dane, wybierz kartę Systemy autoryzacji.

    W kolumnie Stan w tabeli zostanie wyświetlona kolumna Zbieranie danych.

    Proces zbierania danych zajmuje trochę czasu i występuje w około 4–5 godzinach w większości przypadków. Przedział czasu zależy od rozmiaru posiadanego systemu autoryzacji i ilości danych dostępnych dla kolekcji.

Następne kroki