Intégrer un projet Google Cloud Platform (GCP)
Cet article décrit l’intégration d’un projet Google Cloud Platform (GCP) dans Gestion des autorisations Microsoft Entra.
Remarque
Vous devez être un administrateur de gestion des autorisations pour effectuer les tâches décrites dans cet article.
Explication
Pour GCP, la gestion des autorisations est limitée à un projet GCP. Un projet GCP est une collection logique de vos ressources dans GCP, comme un abonnement dans Azure, mais avec d’autres configurations que vous pouvez effectuer, telles que les inscriptions d’applications et les configurations OIDC.
Il existe plusieurs parties mobiles dans GCP et Azure qui doivent être configurées avant l’intégration.
- Une application OIDC Microsoft Entra
- Une identité de charge de travail dans GCP
- Les octrois utilisés du client confidentiel OAuth2
- Un compte de service GCP avec des autorisations de collecte
Intégrer un projet GCP
Si le tableau de bord Data Collectors ne s’affiche pas au lancement de Permissions Management :
- Dans la page d’accueil Permissions Management, sélectionnez Settings (icône en forme d’engrenage), puis le sous-onglet Data Collectors.
Sous l’onglet Collecteurs de données, sélectionnez GCP, puis Créer une configuration.
1. Créer une application OIDC Microsoft Entra.
Dans la page Intégration à la Gestion des autorisations - Création d’application OIDC Microsoft Entra, entrez le nom de l’application OIDC Azure.
Cette application est utilisée pour configurer une connexion OpenID Connecter (OIDC) à votre projet GCP. OIDC est un protocole d’authentification interopérable basé sur la famille de spécifications OAuth 2.0. Les scripts générés créent l’application sous ce nom spécifié dans votre locataire Microsoft Entra à l’aide de la configuration appropriée.
Pour créer l’inscription de l’application, copiez le script et exécutez-le dans votre application de ligne de commande.
Remarque
- Pour vérifier que l’application a été créée, ouvrez Inscriptions d’applications dans Azure et, sous l’onglet Toutes les applications, recherchez votre application.
- Sélectionnez le nom de l’application pour ouvrir la page Exposer une API. L’URI d’ID d’application affiché dans la page Vue d’ensemble correspond à la valeur d’audience utilisée lors de l’établissement d’une connexion OIDC avec votre compte GCP.
- Retournez dans la fenêtre de la Gestion des autorisations, puis dans Intégration à la Gestion des autorisations - Création d’application OIDC Microsoft Entra, sélectionnez Suivant.
2. Configurer un projet OIDC GCP
Dans la page Intégration de la gestion des autorisations : détails du compte GCP OIDC et accès IDP, entrez le Numéro de projet OIDC et l’ID du projet OIDC du projet GCP dans lequel le fournisseur et le pool OIDC sont créés. Vous pouvez changer le nom de rôle en fonction de vos exigences.
Notes
Vous pouvez trouver le numéro de projet et l’ID de projet de votre projet GCP dans la page Dashboard GCP de votre projet dans le panneau Project info.
Vous pouvez changer l’ID (OIDC Workload Identity Pool Id) et l’ID du fournisseur (OIDC Workload Identity Pool Provider Id) du pool d’identités des charges de travail OIDC ainsi que le nom du compte de service OIDC (OIDC Service Account Name) en fonction de vos exigences.
Si vous le souhaitez, spécifiez G-Suite IDP Secret Name et G-Suite IDP User Email pour activer l’intégration G-Suite.
Vous pouvez télécharger et exécuter le script à ce stade ou vous pouvez le faire dans Google Cloud Shell.
Sélectionnez Suivant une fois le script d’installation correctement exécuté.
Choisissez l’une des trois options ci-dessous pour gérer des projets GCP.
Option 1 : Gérer automatiquement
L’option de gestion automatique vous permet de détecter et de surveiller automatiquement des projets sans aucune autre configuration. Étapes de détection d’une liste de projets et de son intégration pour la collecte :
- Octroyez les rôles Viewer et Réviseur de sécurité à un compte de service créé à l’étape précédente au niveau du projet, du dossier ou de l’organisation.
Pour activer le mode Contrôleur pour tous les projets, ajoutez les rôles suivants aux projets spécifiques :
- Administrateurs de rôle
- Administrateur de la sécurité
Les commandes requises à exécuter dans Google Cloud Shell sont répertoriées dans l’écran Gérer les autorisations pour chaque étendue d’un projet, d’un dossier ou d’une organisation. Cela est également configuré dans la console GCP.
- Cliquez sur Suivant.
Option 2 : Entrer les systèmes d’autorisation
Vous pouvez spécifier que certains projets membres GCP doivent faire l’objet d’une gestion et d’une supervision avec la gestion des autorisations (jusqu’à 100 par collecteur). Suivez les étapes pour configurer ces projets membres GCP devant faire l’objet d’une surveillance :
Dans la page Permissions Management Onboarding - GCP Project Ids, entrez les ID de projets.
Vous pouvez entrer jusqu’à 100 ID de projet GCP séparés par une virgule.
Vous pouvez choisir de télécharger et d’exécuter le script à ce stade ou vous pouvez le faire via Google Cloud Shell.
Pour activer l’option « Activé » du mode Contrôleur pour tous les projets, ajoutez ces rôles aux projets spécifiques :
- Administrateurs de rôle
- Administrateur de la sécurité
Sélectionnez Suivant.
Option 3 : Sélectionner les systèmes d’autorisation
Cette option détecte tous les projets accessibles par l’application CIEM (Cloud Infrastructure Entitlement Management).
- Octroyez les rôles Viewer et Réviseur de sécurité à un compte de service créé à l’étape précédente au niveau du projet, du dossier ou de l’organisation.
Pour activer le mode Contrôleur pour tous les projets, ajoutez les rôles suivants aux projets spécifiques :
- Administrateurs de rôle
- Administrateur de la sécurité
Les commandes requises à exécuter dans Google Cloud Shell sont répertoriées dans l’écran Gérer les autorisations pour chaque étendue d’un projet, d’un dossier ou d’une organisation. Cela est également configuré dans la console GCP.
- Cliquez sur Suivant.
3. Passez en revue et enregistrez.
Dans la page Intégration de la gestion des autorisations : résumé, passez en revue les informations que vous avez ajoutées, puis sélectionnez Vérifier maintenant et enregistrer.
Le message suivant s’affiche : Successfully created configuration (Création réussie de la configuration).
Sous l’onglet Data Collectors, la colonne Recently Uploaded On affiche Collecting. La colonne Recently Transformed On affiche Processing.
La colonne état de votre interface utilisateur Gestion des autorisations vous indique à quelles étape de collecte des données vous vous trouvez :
- En attente : Gestion des autorisations n’a pas encore démarré la détection ou l’intégration.
- Découverte : Gestion des autorisations détecte les systèmes d’autorisation.
- En cours : Gestion des autorisations a terminé la détection des systèmes d’autorisation et est en cours d’intégration.
- Intégration : La collecte des données est terminée et tous les systèmes d’autorisation détectés sont intégrés à Gestion des Autorisations.
4. Affichez les données.
Pour afficher les données, sélectionnez l’onglet Authorization Systems.
La colonne Status du tableau affiche Collecting Data.
Le processus de collecte de données prend un certain temps et se produit dans environ quatre à cinq heures dans la plupart des cas. Le délai d’exécution dépend de la taille du système d’autorisation dont vous disposez et de la quantité de données disponibles pour la collecte.
Étapes suivantes
- Pour activer ou désactiver le contrôleur une fois l’intégration terminée, consultez Activer ou désactiver le contrôleur.
- Pour ajouter un compte/abonnement/projet une fois l’intégration terminée, consultez Ajouter un compte/abonnement/projet une fois l’intégration terminée.