Registrera ett GCP-projekt (Google Cloud Platform)
I den här artikeln beskrivs hur du registrerar ett GCP-projekt (Google Cloud Platform) i Microsoft Entra – behörighetshantering.
Kommentar
Du måste vara administratör för behörighetshantering för att kunna utföra uppgifterna i den här artikeln.
Förklaring
För GCP är behörighetshantering begränsad till ett GCP-projekt. Ett GCP-projekt är en logisk samling av dina resurser i GCP, som en prenumeration i Azure, men med ytterligare konfigurationer kan du utföra till exempel programregistreringar och OIDC-konfigurationer.
Det finns flera rörliga delar i GCP och Azure, som bör konfigureras innan du registrerar dig.
- En Microsoft Entra OIDC-app
- En arbetsbelastningsidentitet i GCP
- OAuth2-konfidentiella klientbidrag används
- Ett GCP-tjänstkonto med behörighet att samla in
Registrera ett GCP-projekt
Om instrumentpanelen datainsamlare inte visas när Behörighetshantering startas:
- På startsidan Behörighetshantering väljer du Inställningar (kugghjulsikonen) och sedan underfliken Datainsamlare.
På fliken Datainsamlare väljer du GCP och sedan Skapa konfiguration.
1. Skapa en Microsoft Entra OIDC-app.
På sidan Behörighetshanteringsregistrering – Skapa Microsoft Entra OIDC-app anger du OIDC Azure-appnamnet.
Den här appen används för att konfigurera en OpenID Connect-anslutning (OIDC) till ditt GCP-projekt. OIDC är ett kompatibelt autentiseringsprotokoll baserat på OAuth 2.0-serien med specifikationer. Skripten som genereras skapar appen med det angivna namnet i din Microsoft Entra-klientorganisation med rätt konfiguration.
Om du vill skapa appregistreringen kopierar du skriptet och kör det i kommandoradsappen.
Kommentar
- Bekräfta att appen har skapats genom att öppna Appregistreringar i Azure och leta upp din app på fliken Alla program.
- Välj appnamnet för att öppna sidan Exponera ett API . Program-ID-URI:n som visas på sidan Översikt är det målgruppsvärde som används när du skapar en OIDC-anslutning med ditt GCP-konto.
- Gå tillbaka till fönstret Behörighetshantering och välj Nästa i Onboarding för behörighetshantering – Microsoft Entra OIDC-app.
2. Konfigurera ett GCP OIDC-projekt.
På sidan Behörighetshanteringsregistrering – GCP OIDC-kontoinformation och IDP-åtkomst anger du OIDC-projektnumret och OIDC-projekt-ID:t för GCP-projektet där OIDC-providern och poolen skapas. Du kan ändra rollnamnet till dina krav.
Kommentar
Du hittar projektnumret och projekt-ID:t för ditt GCP-projekt på sidan GCP-instrumentpanel i projektet i projektinformationspanelen.
Du kan ändra identitetspools-ID för OIDC-arbetsbelastning, OIDC-arbetsbelastningsproviderns ID och OIDC-tjänstkontots namn så att de uppfyller dina krav.
Du kan också ange G-Suite IDP Secret Name och G-Suite IDP User Email för att aktivera G-Suite-integrering.
Du kan antingen ladda ned och köra skriptet nu eller så kan du göra det i Google Cloud Shell.
Välj Nästa när installationsskriptet har körts.
Välj mellan tre alternativ för att hantera GCP-projekt.
Alternativ 1: Hantera automatiskt
Med alternativet Hantera automatiskt kan du automatiskt identifiera och övervaka projekt utan extra konfiguration. Steg för att identifiera en lista över projekt och registrera för samling:
- Bevilja roller för visningsprogram och säkerhetsgranskare till ett tjänstkonto som skapades i föregående steg på projekt-, mapp- eller organisationsnivå.
Om du vill aktivera Styrenhetsläge På för alla projekt lägger du till dessa roller i de specifika projekten:
- Rolladministratörer
- Säkerhetsadministratör
De kommandon som krävs för att köras i Google Cloud Shell visas på skärmen Hantera auktorisering för varje omfång för ett projekt, en mapp eller en organisation. Detta konfigureras också i GCP-konsolen.
- Välj Nästa.
Alternativ 2: Ange auktoriseringssystem
Du kan bara ange vissa GCP-medlemsprojekt som ska hanteras och övervakas med Behörighetshantering (upp till 100 per insamlare). Följ stegen för att konfigurera dessa GCP-medlemsprojekt som ska övervakas:
På sidan Behörighetshanteringsregistrering – GCP-projekt-ID anger du projekt-ID:t.
Du kan ange upp till kommaavgränsade 100 GCP-projekt-ID:er.
Du kan välja att ladda ned och köra skriptet just nu, eller så kan du göra det via Google Cloud Shell.
Om du vill aktivera kontrollantläget "På" för alla projekt lägger du till dessa roller i de specifika projekten:
- Rolladministratörer
- Säkerhetsadministratör
Välj Nästa.
Alternativ 3: Välj auktoriseringssystem
Det här alternativet identifierar alla projekt som är tillgängliga för programmet Berättigandehantering för molninfrastruktur.
- Bevilja roller för visningsprogram och säkerhetsgranskare till ett tjänstkonto som skapades i föregående steg på projekt-, mapp- eller organisationsnivå.
Om du vill aktivera Styrenhetsläge På för alla projekt lägger du till dessa roller i de specifika projekten:
- Rolladministratörer
- Säkerhetsadministratör
De kommandon som krävs för att köras i Google Cloud Shell visas på skärmen Hantera auktorisering för varje omfång för ett projekt, en mapp eller en organisation. Detta konfigureras också i GCP-konsolen.
- Välj Nästa.
3. Granska och spara.
På sidan Behörighetshanteringsregistrering – sammanfattning granskar du den information som du har lagt till och väljer sedan Verifiera nu och spara.
Följande meddelande visas: Konfigurationen har skapats.
I kolumnen Nyligen uppladdad på på fliken Datainsamlare visas Insamling. Kolumnen Nyligen transformerad på visar Bearbetning.
Statuskolumnen i användargränssnittet för behörighetshantering visar vilket steg i datainsamlingen du befinner dig på:
- Väntar: Behörighetshantering har inte börjat identifiera eller registrera ännu.
- Identifiering: Behörighetshantering identifierar auktoriseringssystemen.
- Pågår: Behörighetshantering har slutfört identifieringen av auktoriseringssystemen och registreras.
- Registrerad: Datainsamlingen är klar och alla identifierade auktoriseringssystem registreras i Behörighetshantering.
4. Visa data.
Om du vill visa data väljer du fliken Auktoriseringssystem .
Kolumnen Status i tabellen visar Insamling av data.
Datainsamlingsprocessen tar lite tid och inträffar i ungefär 4–5 timmars intervall i de flesta fall. Tidsramen beror på storleken på det auktoriseringssystem du har och hur mycket data som är tillgängliga för insamling.
Nästa steg
- Information om hur du aktiverar eller inaktiverar kontrollanten när registreringen är klar finns i Aktivera eller inaktivera styrenheten.
- Information om hur du lägger till ett konto/prenumeration/projekt när registreringen är klar finns i Lägga till ett konto/prenumeration/projekt när registreringen är klar.