Eseguire l'onboarding di un progetto GCP (Google Cloud Platform)
Questo articolo descrive come eseguire l'onboarding di un progetto GCP (Google Cloud Platform) in Gestione delle autorizzazioni di Microsoft Entra.
Nota
Per eseguire le attività descritte in questo articolo, è necessario essere un Amministrazione istrator di gestione delle autorizzazioni.
Spiegazione
Per GCP, Gestione autorizzazioni ha come ambito un progetto GCP. Un progetto GCP è una raccolta logica delle risorse in GCP, ad esempio una sottoscrizione in Azure, ma con altre configurazioni che è possibile eseguire, ad esempio registrazioni dell'applicazione e configurazioni OIDC.
Esistono diverse parti in movimento tra GCP e Azure, che devono essere configurate prima dell'onboarding.
- Un'app Microsoft Entra OIDC
- Identità del carico di lavoro in GCP
- Concessioni client riservate OAuth2 usate
- Un account del servizio GCP con autorizzazioni da raccogliere
Eseguire l'onboarding di un progetto GCP
Se il dashboard agenti di raccolta dati non viene visualizzato all'avvio di Gestione autorizzazioni:
- Nella home page Gestione autorizzazioni selezionare Impostazioni (icona a forma di ingranaggio) e quindi selezionare la sottoscheda Agenti di raccolta dati.
Nella scheda Agenti di raccolta dati selezionare GCP, quindi selezionare Crea configurazione.
1. Creare un'app Microsoft Entra OIDC.
Nella pagina Permissions Management Onboarding - Microsoft Entra OIDC App Creation (Onboarding di gestione delle autorizzazioni - Creazione di app OIDC - Microsoft Entra OIDC) immettere il nome dell'app Azure OIDC.
Questa app viene usata per configurare una connessione OpenID Connessione (OIDC) al progetto GCP. OIDC è un protocollo di autenticazione interoperativa basato sulla famiglia di specifiche OAuth 2.0. Gli script generati creano l'app di questo nome specificato nel tenant di Microsoft Entra con la configurazione corretta.
Per creare la registrazione dell'app, copiare lo script ed eseguirlo nell'app da riga di comando.
Nota
- Per verificare che l'app sia stata creata, aprire Registrazioni app in Azure e, nella scheda Tutte le applicazioni, individuare l'app.
- Selezionare il nome dell'app per aprire la pagina Esporre un'API . L'URI ID applicazione visualizzato nella pagina Panoramica è il valore del gruppo di destinatari usato durante la connessione OIDC con l'account GCP.
- Tornare alla finestra Gestione autorizzazioni e nella finestra Autorizzazioni Management Onboarding - Microsoft Entra OIDC App Creation (Onboarding gestione autorizzazioni - Creazione dell'app OIDC Di Microsoft Entra) selezionare Avanti.
2. Configurare un progetto OIDC GCP.
Nella pagina Permissions Management Onboarding - GCP OIDC Account Details & IDP Access (Dettagli account OIDC ) immettere il numero di progetto OIDC e l'ID progetto OIDC del progetto GCP in cui viene creato il provider e il pool OIDC. È possibile modificare il nome del ruolo in base ai requisiti.
Nota
È possibile trovare il numero di progetto e l'ID progetto del progetto GCP nella pagina GCP Dashboard del progetto nel pannello Informazioni progetto.
È possibile modificare l'ID del pool di identità del carico di lavoro OIDC, l'ID provider del pool di identità del carico di lavoro OIDC e il nome dell'account del servizio OIDC per soddisfare i requisiti.
Facoltativamente, specificare G-Suite IDP Secret Name e G-Suite IDP User Email per abilitare l'integrazione di G-Suite.
A questo punto è possibile scaricare ed eseguire lo script oppure farlo in Google Cloud Shell.
Selezionare Avanti dopo aver eseguito correttamente lo script di installazione.
Scegliere tra tre opzioni per gestire i progetti GCP.
Opzione 1: Gestire automaticamente
L'opzione di gestione automatica consente di rilevare e monitorare automaticamente i progetti senza una configurazione aggiuntiva. Procedura per rilevare un elenco di progetti ed eseguire l'onboarding per la raccolta:
- Concedere ruoli Visualizzatore e Revisore della sicurezza a un account del servizio creato nel passaggio precedente a livello di progetto, cartella o organizzazione.
Per abilitare la modalità controller attivata per tutti i progetti, aggiungere questi ruoli ai progetti specifici:
- Ruoli Amministrazione istratori
- Amministrazione della protezione
I comandi necessari da eseguire in Google Cloud Shell sono elencati nella schermata Gestisci autorizzazione per ogni ambito di un progetto, di una cartella o di un'organizzazione. Questa operazione viene configurata anche nella console GCP.
- Selezionare Avanti.
Opzione 2: Immettere i sistemi di autorizzazione
È possibile specificare solo determinati progetti membro GCP da gestire e monitorare con Gestione autorizzazioni (fino a 100 per agente di raccolta). Seguire la procedura per configurare questi progetti membro GCP da monitorare:
Nella pagina Permissions Management Onboarding - GCP Project IDs (Onboarding gestione autorizzazioni - ID progetto GCP) immettere gli ID progetto.
È possibile immettere fino a 100 ID progetto GCP separati da virgole.
È possibile scegliere di scaricare ed eseguire lo script a questo punto oppure è possibile farlo tramite Google Cloud Shell.
Per abilitare la modalità controller "Attivato" per tutti i progetti, aggiungere questi ruoli ai progetti specifici:
- Ruoli Amministrazione istratori
- Amministrazione della protezione
Selezionare Avanti.
Opzione 3: Selezionare i sistemi di autorizzazione
Questa opzione rileva tutti i progetti accessibili dall'applicazione Cloud Infrastructure Entitlement Management.
- Concedere ruoli Visualizzatore e Revisore della sicurezza a un account del servizio creato nel passaggio precedente a livello di progetto, cartella o organizzazione.
Per abilitare la modalità controller attivata per tutti i progetti, aggiungere questi ruoli ai progetti specifici:
- Ruoli Amministrazione istratori
- Amministrazione della protezione
I comandi necessari da eseguire in Google Cloud Shell sono elencati nella schermata Gestisci autorizzazione per ogni ambito di un progetto, di una cartella o di un'organizzazione. Questa operazione viene configurata anche nella console GCP.
- Selezionare Avanti.
3. Rivedere e salvare.
Nella pagina Caricamento gestione autorizzazioni - Riepilogo esaminare le informazioni aggiunte e quindi selezionare Verifica ora e salva.
Viene visualizzato il messaggio seguente: Configurazione creata correttamente.
Nella scheda Agenti di raccolta dati la colonna Recentemente caricata su visualizza Raccolta. Nella colonna Trasformazione di recente viene visualizzata l'elaborazione.
La colonna stato nell'interfaccia utente di Gestione autorizzazioni mostra il passaggio della raccolta dei dati in:
- In sospeso: gestione delle autorizzazioni non ha ancora avviato il rilevamento o l'onboarding.
- Individuazione: gestione delle autorizzazioni rileva i sistemi di autorizzazione.
- In corso: gestione delle autorizzazioni ha completato il rilevamento dei sistemi di autorizzazione ed è in corso l'onboarding.
- Onboarding: la raccolta dei dati è completa e tutti i sistemi di autorizzazione rilevati vengono distribuiti in Gestione autorizzazioni.
4. Visualizzare i dati.
Per visualizzare i dati, selezionare la scheda Sistemi di autorizzazione.
Nella colonna Stato della tabella viene visualizzata la raccolta di dati.
Il processo di raccolta dati richiede tempo e si verifica nella maggior parte dei casi in intervalli di circa 4-5 ore. L'intervallo di tempo dipende dalle dimensioni del sistema di autorizzazione e dalla quantità di dati disponibili per la raccolta.
Passaggi successivi
- Per abilitare o disabilitare il controller al termine dell'onboarding, vedere Abilitare o disabilitare il controller.
- Per aggiungere un account/sottoscrizione/progetto al termine dell'onboarding, vedere Aggiungere un account,una sottoscrizione o un progetto al termine dell'onboarding.