Rozpoczęcie korzystania z projektu Google Cloud Platform (GCP)

Uwaga

Od 1 kwietnia 2025 r. usługa Microsoft Entra Permissions Management nie będzie już dostępna do zakupu, a 1 października 2025 r. wycofamy i przestaniemy obsługiwać ten produkt. Więcej informacji można znaleźć tutaj.

W tym artykule opisano sposób dołączania projektu Google Cloud Platform (GCP) w Zarządzanie uprawnieniami Microsoft Entra.

Uwaga

Aby wykonać zadania w tym artykule, musisz być administratorem zarządzania uprawnieniami.

Wyjaśnienie

W przypadku platformy GCP zarządzanie uprawnieniami jest ograniczone do projektu GCP. Projekt GCP to logiczna kolekcja zasobów na platformie GCP, podobna do subskrypcji na platformie Azure, ale można wykonywać dalsze konfiguracje, takie jak rejestracje aplikacji i konfiguracje OIDC.

Istnieje kilka elementów wymagających konfiguracji w GCP i Azure, które należy skonfigurować przed rozpoczęciem.

• Aplikacja Microsoft Entra OIDC
• Tożsamość obciążenia w GCP
• Wykorzystanie poufnych uprawnień klienta OAuth2
• Konto usługi GCP z uprawnieniami do zbierania

Dołączanie projektu GCP

1. Jeśli pulpit nawigacyjny Zbieraczy danych nie jest wyświetlany po uruchomieniu Zarządzania uprawnieniami:

   • Na stronie głównej Zarządzania uprawnieniami wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz zakładkę Moduły zbierające dane.

2. Na karcie Moduły zbierające dane wybierz pozycję GCP, a następnie wybierz pozycję Utwórz konfigurację.

1. Utwórz aplikację Microsoft Entra OIDC.

1. Na stronie Wdrażanie zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wprowadź nazwę aplikacji OIDC Azure.

   Ta aplikacja służy do konfigurowania połączenia OpenID Connect (OIDC) z projektem GCP. OIDC to interoperowalny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0. Wygenerowane skrypty tworzą aplikację o określonej nazwie w dzierżawie Microsoft Entra z właściwą konfiguracją.

2. Aby utworzyć rejestrację aplikacji, skopiuj skrypt i uruchom go w aplikacji wiersza polecenia.

   Uwaga

   1. Aby potwierdzić, że aplikacja została utworzona, otwórz Rejestracje aplikacji na platformie Azure i na karcie Wszystkie aplikacje znajdź aplikację.
   2. Wybierz nazwę aplikacji, aby otworzyć stronę Uwidaczniaj interfejs API . Identyfikator URI aplikacji wyświetlany na stronie Przegląd jest wartością publiczności używaną podczas nawiązywania połączenia OIDC z kontem GCP.
   3. Wróć do okna Zarządzanie uprawnieniami, a następnie w Dołączaniu do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wybierz Dalej.

2. Konfigurowanie projektu GCP OIDC.

1. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta GCP OIDC i dostęp do IDP wprowadź numer projektu OIDC i ID projektu OIDC dla projektu GCP, w którym jest tworzony dostawca i pula OIDC. Możesz zmienić nazwę roli zgodnie ze swoimi potrzebami.

   Uwaga

   Numery projektu i identyfikator projektu GCP można znaleźć na stronie Pulpit nawigacyjny projektu GCP w panelu Informacje o projekcie.

2. Aby spełnić wymagania, możesz zmienić identyfikator puli tożsamości obciążenia OIDC, identyfikator dostawcy puli tożsamości obciążenia OIDC i nazwę konta usługi OIDC.

   Opcjonalnie określ nazwę sekretu IDP G-Suite i adres e-mail użytkownika IDP G-Suite, aby włączyć integrację z G-Suite.

3. Możesz pobrać i uruchomić skrypt w tym momencie lub wykonać go w usłudze Google Cloud Shell.

4. Wybierz pozycję Dalej po pomyślnym uruchomieniu skryptu instalacji.

Wybierz jedną z trzech opcji zarządzania projektami GCP.

Opcja 1. Automatyczne zarządzanie

Opcja automatycznego zarządzania umożliwia automatyczne wykrywanie i monitorowanie projektów bez dodatkowej konfiguracji. Kroki wykrywania listy projektów i dołączania do kolekcji:

1. Przyznaj role Przeglądającego i Recenzenta zabezpieczeń dla konta usługi utworzonego w poprzednim kroku na poziomie projektu, folderu lub organizacji.

Aby włączyć tryb kontrolera włączony dla dowolnych projektów, dodaj te role do konkretnych projektów:

• Administratorzy ról
• Administrator zabezpieczeń

Wymagane polecenia do uruchomienia w usłudze Google Cloud Shell są wyświetlane na ekranie Zarządzanie autoryzacją dla każdego zakresu projektu, folderu lub organizacji. Jest to również skonfigurowane w konsoli GCP.

3. Wybierz Dalej.

Opcja 2. Wprowadź systemy autoryzacji

Istnieje możliwość określenia tylko niektórych projektów członkowskich GCP do zarządzania i monitorowania za pomocą Permissions Management (do 100 na kolektor). Wykonaj kroki, aby skonfigurować te projekty członkowskie GCP do monitorowania:

1. Na stronie Dołączanie do zarządzania uprawnieniami - identyfikatory projektów GCP wprowadź identyfikatory projektów GCP.

   Można wprowadzić maksymalnie 100 identyfikatorów projektów GCP rozdzielonych przecinkami.

2. Możesz pobrać i uruchomić skrypt w tym momencie lub wykonać go za pośrednictwem usługi Google Cloud Shell.

   Aby włączyć tryb kontrolera "Włączone" dla wszystkich projektów, dodaj te role do określonych projektów:

   • Administratorzy ról
   • Administrator zabezpieczeń

3. Wybierz Dalej.

Opcja 3. Wybieranie systemów autoryzacji

Ta opcja wykrywa wszystkie projekty dostępne dla aplikacji do zarządzania upoważnieniami infrastruktury w chmurze.

1. Przyznaj role Przeglądającego i Recenzenta zabezpieczeń dla konta usługi utworzonego w poprzednim kroku na poziomie projektu, folderu lub organizacji.

Aby włączyć tryb kontrolera włączony dla dowolnych projektów, dodaj te role do konkretnych projektów:

• Administratorzy ról
• Administrator zabezpieczeń

Wymagane polecenia do uruchomienia w usłudze Google Cloud Shell są wyświetlane na ekranie Zarządzanie autoryzacją dla każdego zakresu projektu, folderu lub organizacji. Jest to również skonfigurowane w konsoli GCP.

3. Wybierz Dalej.

3. Przejrzyj i zapisz.

1. Na stronie Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj dodane informacje, a następnie wybierz pozycję Weryfikuj teraz i zapisz.

   Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.

   Na karcie Moduły zbierające dane w kolumnie Ostatnio wgrano wyświetla się Zbieranie. W kolumnie Ostatnio przekształcone jest wyświetlana kolumna Przetwarzanie.

   Kolumna statusu w interfejsie użytkownika zarządzania uprawnieniami pokazuje, na którym etapie zbierania danych się znajdujesz:

   • Oczekujące: Zarządzanie uprawnieniami nie rozpoczęło jeszcze wykrywania ani wprowadzania.
   • Odnajdywanie: Zarządzanie uprawnieniami wykrywa systemy autoryzacji.
   • W toku: Zarządzanie uprawnieniami zakończyło wykrywanie systemów autoryzacji i jest w trakcie wprowadzania.
   • Zintegrowano: Zbieranie danych zostało zakończone, a wszystkie wykryte systemy autoryzacji zostały zintegrowane z usługą Permissions Management.

4. Wyświetlanie danych.

1. Aby wyświetlić dane, wybierz kartę Systemy autoryzacji.

   W kolumnie Stan w tabeli zostanie wyświetlona kolumna Zbieranie danych.

   Proces zbierania danych zajmuje trochę czasu i występuje w około 4–5 godzinach w większości przypadków. Przedział czasu zależy od rozmiaru posiadanego systemu autoryzacji i ilości danych dostępnych dla kolekcji.

Następne kroki

• Aby włączyć lub wyłączyć kontroler po zakończeniu wdrażania, zobacz Włączanie lub wyłączanie kontrolera.
• Aby dodać konto/subskrypcję/projekt po zakończeniu dołączania, zobacz Dodawanie konta/subskrypcji/projektu po zakończeniu dołączania.