Dołączanie projektu Google Cloud Platform (GCP)

W tym artykule opisano sposób dołączania projektu Google Cloud Platform (GCP) w Zarządzanie uprawnieniami Microsoft Entra.

Uwaga

Aby wykonać zadania w tym artykule, musisz być Administracja istratorem zarządzania uprawnieniami.

Wyjaśnienie

W przypadku platformy GCP zarządzanie uprawnieniami jest ograniczone do projektu GCP. Projekt GCP to logiczna kolekcja zasobów na platformie GCP, taka jak subskrypcja na platformie Azure, ale z dalszymi konfiguracjami można wykonywać, takie jak rejestracje aplikacji i konfiguracje OIDC.

Istnieje kilka ruchomych części na platformie GCP i na platformie Azure, które należy skonfigurować przed dołączaniem.

• Aplikacja Microsoft Entra OIDC
• Tożsamość obciążenia w GCP
• Wykorzystanie poufnych dotacji klienta OAuth2
• Konto usługi GCP z uprawnieniami do zbierania

Dołączanie projektu GCP

1. Jeśli pulpit nawigacyjny modułów zbierających dane nie jest wyświetlany, gdy zostanie uruchomione zarządzanie uprawnieniami:

   • Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz podtabę Moduły zbierające dane.

2. Na karcie Moduły zbierające dane wybierz pozycję GCP, a następnie wybierz pozycję Utwórz konfigurację.

1. Utwórz aplikację Microsoft Entra OIDC.

1. Na stronie Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wprowadź nazwę aplikacja systemu Azure OIDC.

   Ta aplikacja służy do konfigurowania połączenia openID Połączenie (OIDC) z projektem GCP. OIDC to interoperowalny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0. Wygenerowane skrypty tworzą aplikację tej określonej nazwy w dzierżawie firmy Microsoft Entra z właściwą konfiguracją.

2. Aby utworzyć rejestrację aplikacji, skopiuj skrypt i uruchom go w aplikacji wiersza polecenia.

   Uwaga

   1. Aby potwierdzić, że aplikacja została utworzona, otwórz Rejestracje aplikacji na platformie Azure i na karcie Wszystkie aplikacje znajdź aplikację.
   2. Wybierz nazwę aplikacji, aby otworzyć stronę Uwidaczniaj interfejs API . Identyfikator URI identyfikatora aplikacji wyświetlany na stronie Przegląd jest wartością odbiorców używaną podczas nawiązywania połączenia OIDC z kontem GCP.
   3. Wróć do okna Zarządzanie uprawnieniami, a następnie w obszarze Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wybierz przycisk Dalej.

2. Konfigurowanie projektu GCP OIDC.

1. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta GCP OIDC i dostęp do dostawcy tożsamości wprowadź identyfikator projektu OIDC i identyfikator projektu OIDC projektu GCP, w którym jest tworzony dostawca i pula OIDC. Możesz zmienić nazwę roli na wymagania.

   Uwaga

   Numer projektu i identyfikator projektu GCP można znaleźć na stronie Pulpit nawigacyjny GCP projektu w panelu Informacje o projekcie.

2. Aby spełnić wymagania, możesz zmienić identyfikator puli tożsamości obciążenia OIDC, identyfikator dostawcy puli tożsamości obciążenia OIDC i nazwę konta usługi OIDC.

   Opcjonalnie określ nazwę wpisu tajnego dostawcy tożsamości G-Suite i adres e-mail użytkownika dostawcy tożsamości G-Suite, aby włączyć integrację usługi G-Suite.

3. Możesz pobrać i uruchomić skrypt w tym momencie lub wykonać go w usłudze Google Cloud Shell.

4. Wybierz pozycję Dalej po pomyślnym uruchomieniu skryptu instalacji.

Wybierz jedną z trzech opcji zarządzania projektami GCP.

Opcja 1. Automatyczne zarządzanie

Opcja automatycznego zarządzania umożliwia automatyczne wykrywanie i monitorowanie projektów bez dodatkowej konfiguracji. Kroki wykrywania listy projektów i dołączania do kolekcji:

1. Udziel ról osoby przeglądającego i recenzenta zabezpieczeń do konta usługi utworzonego w poprzednim kroku na poziomie projektu, folderu lub organizacji.

Aby włączyć tryb kontrolera włączone dla wszystkich projektów, dodaj te role do określonych projektów:

• Administracja istratory ról
• Administrator zabezpieczeń

Wymagane polecenia do uruchomienia w usłudze Google Cloud Shell są wyświetlane na ekranie Zarządzanie autoryzacją dla każdego zakresu projektu, folderu lub organizacji. Jest to również skonfigurowane w konsoli GCP.

3. Wybierz Dalej.

Opcja 2. Wprowadź systemy autoryzacji

Istnieje możliwość określenia tylko niektórych projektów członkowskich GCP do zarządzania uprawnieniami i ich monitorowania (do 100 na moduł zbierający). Wykonaj kroki, aby skonfigurować te projekty członkowskie GCP do monitorowania:

1. Na stronie Dołączanie do zarządzania uprawnieniami — identyfikatory projektów GCP wprowadź identyfikatory projektów.

   Można wprowadzić maksymalnie 100 identyfikatorów projektów GCP rozdzielonych przecinkami.

2. Możesz pobrać i uruchomić skrypt w tym momencie lub wykonać go za pośrednictwem usługi Google Cloud Shell.

   Aby włączyć tryb kontrolera "Włączone" dla wszystkich projektów, dodaj te role do określonych projektów:

   • Administracja istratory ról
   • Administrator zabezpieczeń

3. Wybierz Dalej.

Opcja 3. Wybieranie systemów autoryzacji

Ta opcja wykrywa wszystkie projekty dostępne dla aplikacji do zarządzania upoważnieniami infrastruktury w chmurze.

1. Udziel ról osoby przeglądającego i recenzenta zabezpieczeń do konta usługi utworzonego w poprzednim kroku na poziomie projektu, folderu lub organizacji.

Aby włączyć tryb kontrolera włączone dla wszystkich projektów, dodaj te role do określonych projektów:

• Administracja istratory ról
• Administrator zabezpieczeń

Wymagane polecenia do uruchomienia w usłudze Google Cloud Shell są wyświetlane na ekranie Zarządzanie autoryzacją dla każdego zakresu projektu, folderu lub organizacji. Jest to również skonfigurowane w konsoli GCP.

3. Wybierz Dalej.

3. Przejrzyj i zapisz.

1. Na stronie Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj dodane informacje, a następnie wybierz pozycję Weryfikuj teraz i zapisz.

   Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.

   Na karcie Moduły zbierające dane w kolumnie Ostatnio przekazane w kolumnie Zbieranie. W kolumnie Ostatnio przekształcone w kolumnie Przetwarzanie jest wyświetlana wartość Przetwarzanie.

   Kolumna status w interfejsie użytkownika zarządzania uprawnieniami pokazuje, który krok zbierania danych znajduje się w:

   • Oczekujące: Zarządzanie uprawnieniami nie rozpoczęło jeszcze wykrywania ani dołączania.
   • Odnajdywanie: Zarządzanie uprawnieniami wykrywa systemy autoryzacji.
   • W toku: Zarządzanie uprawnieniami zakończyło wykrywanie systemów autoryzacji i dołączanie.
   • Dołączone: zbieranie danych zostało ukończone, a wszystkie wykryte systemy autoryzacji są dołączane do usługi Permissions Management.

4. Wyświetlanie danych.

1. Aby wyświetlić dane, wybierz kartę Systemy autoryzacji.

   W kolumnie Stan w tabeli zostanie wyświetlona kolumna Zbieranie danych.

   Proces zbierania danych zajmuje trochę czasu i występuje w około 4–5 godzinach w większości przypadków. Przedział czasu zależy od rozmiaru posiadanego systemu autoryzacji i ilości danych dostępnych dla kolekcji.

Następne kroki

• Aby włączyć lub wyłączyć kontroler po zakończeniu dołączania, zobacz Włączanie lub wyłączanie kontrolera.
• Aby dodać konto/subskrypcję/projekt po zakończeniu dołączania, zobacz Dodawanie konta/subskrypcji/projektu po zakończeniu dołączania.