Integrieren eines GCP-Projekts (Google Cloud Platform)

In diesem Artikel erfahren Sie, wie Sie ein GCP-Projekt (Google Cloud Platform) in Microsoft Entra Permissions Management integrieren.

Hinweis

Sie benötigen die Rollenzuweisung „Globaler Administrator“, um die Aufgaben in diesem Artikel ausführen zu können.

Erklärung

Bei GCP wird die Verwaltung von Berechtigungen auf ein GCP-Projekt festgelegt. Ein GCP-Projekt ist eine logische Sammlung Ihrer Ressourcen in GCP, wie ein Abonnement in Azure, allerdings mit weiteren Konfigurationen, die Sie vornehmen können, z. B. Anwendungsregistrierungen und OIDC-Konfigurationen.

Es gibt mehrere variable Bestandteile in GCP und Azure, die vor dem Onboarding konfiguriert werden müssen.

• Eine Microsoft Entra-OIDC-App
• Eine Workload-Identität in GCP
• Vertrauliche OAuth2-Clientzuweisungen, die verwendet werden
• Ein GCP-Dienstkonto mit Berechtigungen zum Sammeln

Integrieren eines GCP-Projekts

1. Sollte das Dashboard Data Collectors (Datensammler) beim Start von Permissions Management nicht angezeigt werden, gehen Sie wie folgt vor:

   • Wählen Sie auf der Permissions Management-Startseite die Option Einstellungen (Zahnradsymbol) und anschließend die Unterregisterkarte Data Collectors (Datensammler) aus.

2. Wählen Sie auf der Registerkarte Datencollectors die Option GCP und anschließend Konfiguration erstellen aus.

1. Erstellen Sie eine Microsoft Entra-OIDC-App.

1. Geben Sie auf der Seite Permissions Management-Onboarding: Microsoft Entra-OIDC-App erstellen den Namen der OIDC-Azure-App ein.

   Diese App wird verwendet, um eine OIDC-Verbindung (OpenID Connect) mit Ihrem GCP-Projekt einzurichten. OIDC ist ein interoperables Authentifizierungsprotokoll auf Basis der OAuth 2.0-Spezifikationsfamilie. Durch die generierten Skripts wird die App mit dem angegebenen Namen in Ihrem Microsoft Entra-Mandanten mit der richtigen Konfiguration erstellt.

2. Kopieren Sie das Skript, und führen Sie es in Ihrer Befehlszeilen-App aus, um die App-Registrierung zu erstellen.

   Hinweis

   1. Vergewissern Sie sich, dass die App erstellt wurde. Öffnen Sie hierzu App-Registrierungen in Azure, und suchen Sie auf der Registerkarte Alle Anwendungen nach Ihrer App.
   2. Wählen Sie den App-Namen aus, um die Seite Eine API verfügbar machen zu öffnen. Der auf der Seite Übersicht angezeigte Anwendungs-ID-URI ist der Zielgruppenwert, der beim Herstellen einer OIDC-Verbindung mit Ihrem GCP-Konto verwendet wird.
   3. Navigieren Sie zurück zum Fenster der Berechtigungsverwaltung, und wählen Sie auf der Seite Permissions Management-Onboarding: Microsoft Entra-OIDC-App erstellen die Option Weiter aus.

2. Richten Sie ein GCP-OIDC-Projekt ein.

1. Geben Sie auf der Seite Berechtigungs-Management-Onboarding – GCP OIDC Kontodetails und IDP-Zugriff die OIDC-Projektnummer und die OIDC-Projekt-ID des GCP-Projekts ein, in dem der OIDC-Anbieter und der Pool erstellt wird. Sie können den Rollennamen gemäß Ihren Anforderungen anpassen.

   Hinweis

   Die Projektnummer und die Projekt-ID Ihres GCP-Projekts finden Sie auf der GCP-Seite Dashboard Ihres Projekts im Bereich Project info (Projektinformationen).

2. Sie können die ID des OIDC-Workloadidentitätspools, die Anbieter-ID des OIDC-Workloadidentitätspools und den Namen des OIDC-Dienstkontos gemäß Ihren Anforderungen ändern.

   Geben Sie optional G-Suite IDP Secret Name (IDP-Geheimnisname für G Suite) und G-Suite IDP User Email (IDP-Benutzer-E-Mail-Adresse für G Suite) an, um die G Suite-Integration zu aktivieren.

3. Sie können das Skript entweder an diesem Punkt herunterladen und ausführen oder Sie können dies die der Google Cloud Shell tun.

4. Wählen Sie Weiter aus, nachdem Sie das Setupskript erfolgreich ausgeführt haben.

Wählen Sie aus drei Optionen zum Verwalten von GCP-Projekten aus.

Option 1: Automatisch verwalten

Diese Option zur automatischen Verwaltung ermöglicht Ihnen die automatische Erkennung und Überwachung von Projekten ohne zusätzliche Konfiguration. Schritte zum Erkennen einer Liste der Projekte und zum Aktivieren der Datensammlung:

1. Gewähren Sie dem im vorherigen Schritt erstellten Dienstkonto die Rollen Viewer und Sicherheitsreviewer auf Projekt-, Ordner- oder Organisationsebene.

Um den Controllermodus für alle Projekte auf Ein festzulegen, fügen Sie den jeweiligen Projekten diese Rollen hinzu:

• Rollenadministratoren
• Sicherheitsadministrator

Die erforderlichen Befehle zum Ausführen in Google Cloud Shell sind auf dem Bildschirm „Autorisierung verwalten“ für jeden Bereich eines Projekts, Ordners oder einer Organisation aufgeführt. Dies wird auch in der GPC-Konsole konfiguriert.

3. Wählen Sie Weiter aus.

Option 2: Autorisierungssysteme eingeben

Sie haben die Möglichkeit, nur bestimmte GCP-Mitgliederprojekte anzugeben, die mit MEPM (bis zu 100 pro Collector) verwaltet und überwacht werden sollen. Führen Sie die Schritte aus, um diese zu überwachenden GCPÖ-Mitgliederprojekte zu konfigurieren:

1. Geben Sie auf der Seite Permissions Management-Onboarding: GCP-Projekt-IDs die Projekt-IDs ein.

   Sie können bis zu 100 durch Kommas getrennte GCP-Projekt-IDs eingeben.

2. Sie können das Skript entweder an diesem Punkt herunterladen und ausführen oder dafür die Google Cloud Shell verwenden.

   Um den Controllermodus für alle Projekte auf „Ein“ festzulegen, fügen Sie den jeweiligen Projekten diese Rollen hinzu:

   • Rollenadministratoren
   • Sicherheitsadministrator

3. Wählen Sie Weiter aus.

Option 3: Autorisierungssysteme auswählen

Diese Option erkennt alle Projekte, auf die die Anwendung zur Berechtigungsverwaltung für die Cloudinfrastruktur zugreifen kann.

1. Gewähren Sie dem im vorherigen Schritt erstellten Dienstkonto die Rollen Viewer und Sicherheitsreviewer auf Projekt-, Ordner- oder Organisationsebene.

Um den Controllermodus für alle Projekte auf Ein festzulegen, fügen Sie den jeweiligen Projekten diese Rollen hinzu:

• Rollenadministratoren
• Sicherheitsadministrator

Die erforderlichen Befehle zum Ausführen in Google Cloud Shell sind auf dem Bildschirm „Autorisierung verwalten“ für jeden Bereich eines Projekts, Ordners oder einer Organisation aufgeführt. Dies wird auch in der GPC-Konsole konfiguriert.

3. Wählen Sie Weiter aus.

3. Überprüfen und Speichern.

1. Überprüfen Sie auf der Seite Berechtigungs-Management-Onboarding – Zusammenfassung Ihre Angaben, und wählen Sie anschließend Jetzt überprüfen und speichern aus.

   Die folgende Meldung wird angezeigt: Successfully Created Configuration. (Die Konfiguration wurde erfolgreich erstellt.)

   Auf der Registerkarte Data Collectors (Datensammler) wird in der Spalte Recently Uploaded On (Zuletzt hochgeladen am) der Text Collecting (Sammeln) angezeigt. In der Spalte Recently Transformed On (Zuletzt transformiert am) wird Processing (Verarbeitung läuft) angezeigt.

   In der Statusspalte auf der Benutzeroberfläche für die Berechtigungsverwaltung wird angezeigt, in welchem Schritt der Datensammlung Sie sich befinden:

   • Ausstehend: Die Berechtigungsverwaltung hat noch nicht mit der Ermittlung oder dem Onboarding begonnen.
   • Entdecken: Die Berechtigungsverwaltung befindet sich im Prozess der Ermittlung der Autorisierungssysteme.
   • In Bearbeitung: Die Berechtigungsverwaltung hat die Ermittlung der Autorisierungssysteme abgeschlossen und führt das Onboarding durch.
   • Integriert: Die Datensammlung ist abgeschlossen, und alle ermittelten Autorisierungssysteme wurden in die Berechtigungsverwaltung integriert.

4. Anzeigen der Daten.

1. Wählen Sie zum Anzeigen der Daten die Registerkarte Authorization Systems (Autorisierungssysteme) aus.

   In der Spalte Status der Tabelle wird Collecting Data (Daten werden gesammelt...) angezeigt.

   Die Datenerfassung nimmt einige Zeit in Anspruch und erfolgt in den meisten Fällen in Intervallen von etwa 4–5 Stunden. Der Zeitrahmen hängt davon ab, wie groß Ihr Autorisierungssystem ist und wie viele Daten für die Erfassung zur Verfügung stehen.

Nächste Schritte

• Informationen zum Aktivieren oder Deaktivieren des Controllers nach Abschluss der Integration finden Sie unter Aktivieren oder Deaktivieren des Controllers nach Abschluss der Integration.
• Informationen zum Hinzufügen eines Kontos/Abonnements/Projekts nach Abschluss der Integration finden Sie unter Hinzufügen eines Kontos/Abonnements/Projekts nach Abschluss des Onboardings.