Incorporación de un proyecto de Google Cloud Platform (GCP)
En este artículo se describe cómo incorporar un proyecto de Google Cloud Platform (GCP) en la Administración de permisos de Microsoft Entra.
Nota:
Debe tener la asignación de roles de administrador global para realizar las tareas de este artículo.
Explicación
Para GCP, la administración de permisos se limita a un proyecto de GCP. Un proyecto de GCP es una colección lógica de los recursos de GCP, como una suscripción en Azure, pero con configuraciones adicionales que puede realizar, como registros de aplicaciones y configuraciones de OIDC.
Hay varias partes móviles en GCP y Azure, que se deben configurar antes de la incorporación.
- Una aplicación OIDC de Microsoft Entra
- Una identidad de carga de trabajo en GCP
- Concesiones de cliente confidenciales de OAuth2 utilizadas
- Una cuenta de servicio de GCP con permisos para recopilar
Incorporación de un proyecto de GCP
Si no se muestra el panel Data Collectors (Recopiladores de datos) al Permissions Management:
- En la página principal de Permissions Management, seleccione Settings (el icono de engranaje) y después la subpestaña Data Collectors (Recopiladores de datos).
En la pestaña Recopiladores de datos, seleccione GCP y, a continuación, seleccione Crear configuración.
1. Cree una aplicación de OIDC de Microsoft Entra.
En la página Incorporación a la Administración de permisos: creación de aplicaciones OIDC de Microsoft Entra, escriba el nombre de la aplicación de Azure de OIDC.
Esta aplicación se usa para configurar una conexión de OpenID Connect (OIDC) al proyecto de GCP. OIDC es un protocolo de autenticación interoperable basado en la familia de especificaciones de OAuth 2.0. Los scripts generados crean la aplicación de este nombre especificado en el inquilino de Microsoft Entra con la configuración correcta.
Para crear el registro de la aplicación, copie el script y ejecútelo en la aplicación de línea de comandos.
Nota:
- Para confirmar que la aplicación se ha creado, abra Registros de aplicaciones en Azure y, en la pestaña Todas las aplicaciones, busque la aplicación.
- Seleccione el nombre de la aplicación para abrir la página Exponer una API. El URI de id. de aplicación que se muestra en la página Información general es el valor de audiencia usado al realizar una conexión de OIDC con la cuenta de GCP.
- Vuelva a la ventana de Administración de permisos y, en la sección Incorporación a la Administración de permisos: creación de aplicaciones OIDC de Microsoft Entra, seleccione Siguiente.
2. Configurar un proyecto de OIDC de GCP
En la página Incorporación de la administración de permisos: detalles de la cuenta de OIDC de GCP y acceso de IDP, escriba el número de proyecto de OIDC y el identificador de proyecto de OIDC del proyecto de GCP en el que se crearán el grupo y el proveedor de OIDC. Puede cambiar el nombre del rol en función de sus requisitos.
Nota:
Puede encontrar el número y el identificador del proyecto de GCP en la página Dashboard (Panel) de GCP del proyecto, en el panel Project info (Información del proyecto).
Puede cambiar el identificador del grupo de identidades de la carga de trabajo de OIDC, el identificador del proveedor del grupo de identidades de la carga de trabajo de OIDC y el nombre de la cuenta de servicio de OIDC para que cumplan sus requisitos.
Opcionalmente, especifique el nombre del secreto de IDP de G-Suite y el correo electrónico de usuario de IDP de G-Suite para habilitar la integración de G-Suite.
Puede descargar y ejecutar el script en este momento o puede hacerlo en Google Cloud Shell.
Seleccione Siguiente después de ejecutar correctamente el script de instalación.
Elija entre tres opciones para administrar proyectos de GCP.
Opción 1: Administrar automáticamente
La opción de administración automática permite que los proyectos se detecten y supervisen automáticamente sin necesidad de configuración adicional. Pasos para detectar una lista de proyectos e incorporar para la recopilación:
- Conceda los roles Visor y Revisor de seguridad a una cuenta de servicio creada en el paso anterior en el nivel de organización, carpeta o proyecto.
Para habilitar el modo controlador Activadopara cualquier proyecto, agregue estos roles a los proyectos específicos:
- Administradores de roles
- Administrador de seguridad
Los comandos necesarios para ejecutarse en Google Cloud Shell se muestran en la pantalla Administrar autorización para cada ámbito de un proyecto, carpeta u organización. Esto también se configura en la consola de GPC.
- Seleccione Siguiente.
Opción 2: Especificar sistemas de autorización
Tiene la posibilidad de especificar solo ciertos proyectos miembros de GCP para administrar y supervisar con la Administración de permisos (hasta 100 por recopilador). Siga los pasos para configurar estos proyectos de GCP que se van a supervisar:
En la página Permissions Management Onboarding - GCP Project IDs (Incorporación de Permissions Management: Identificadores de proyecto de GCP), escriba los identificadores de proyecto.
Puede introducir hasta 100 id. de proyecto de GCP separados por comas.
Puede optar por descargar y ejecutar el script en este momento o puede hacerlo mediante Google Cloud Shell.
Para establecer el modo de controlador en “Activado” para cualquier proyecto, agregue estos roles a los proyectos específicos:
- Administradores de roles
- Administrador de seguridad
Seleccione Siguiente.
Opción 3: Seleccione los sistemas de autorización
Esta opción detecta todos los proyectos a los que puede acceder la aplicación de administración de derechos de infraestructura en la nube.
- Conceda los roles Visor y Revisor de seguridad a una cuenta de servicio creada en el paso anterior en el nivel de organización, carpeta o proyecto.
Para habilitar el modo controlador Activadopara cualquier proyecto, agregue estos roles a los proyectos específicos:
- Administradores de roles
- Administrador de seguridad
Los comandos necesarios para ejecutarse en Google Cloud Shell se muestran en la pantalla Administrar autorización para cada ámbito de un proyecto, carpeta u organización. Esto también se configura en la consola de GPC.
- Seleccione Siguiente.
3. Revisión y almacenamiento.
En la página Incorporación de Permissions Management: resumen, revise la información que ha agregado y seleccione Comprobar ahora y guardar.
Aparece el mensaje siguiente: Successfully Created Configuration (Configuración creada correctamente).
En la pestaña Data Collectors (Recopiladores de datos), en la columna Recently Uploaded On (Fecha de carga reciente) se muestra Collecting (Recopilando). En la columna Recently Transformed On (Fecha de transformación reciente), se muestra Processing (Procesando).
La columna de estado de la interfaz de usuario de administración de permisos muestra qué paso de recopilación de datos se encuentra en:
- Pendiente: La administración de permisos aún no se ha iniciado la detección o incorporación.
- Detección: La administración de permisos detecta los sistemas de autorización.
- En curso: La administración de permisos ha terminado de detectar los sistemas de autorización y está incorporando.
- Incorporado: la recopilación de datos está completa y todos los sistemas de autorización detectados se incorporaron a la Administración de permisos.
4. Visualización de los datos.
Para ver los datos, seleccione la pestaña Authorization Systems (Sistemas de autorización).
En la columna Status (Estado) de la tabla, se muestra Collecting Data (Recopilando datos).
El proceso de recopilación de datos tarda algún tiempo y se produce en intervalos de aproximadamente 4 a 5 horas en la mayoría de los casos. El período de tiempo depende del tamaño del sistema de autorización que tenga y de la cantidad de datos disponibles para la recopilación.
Pasos siguientes
- Para habilitar o deshabilitar el controlador tras completar la incorporación, consulte Habilitación o deshabilitación del controlador.
- Para agregar una cuenta, una suscripción o un proyecto una vez completada la incorporación, consulte Adición de una cuenta, suscripción o proyecto tras completar la incorporación.