Integração de um projeto da GCP (Google Cloud Platform)
Este artigo descreve como integrar um projeto do Google Cloud Platform (GCP) no Gerenciamento de Permissões do Microsoft Entra.
Observação
Você deverá ser um Administrador de Gerenciamento de Permissões para executar as tarefas neste artigo.
Explicação
Para o GCP, o Gerenciamento de Permissões tem o escopo de um projeto GCP. Um projeto do GCP é uma coleção lógica de seus recursos no GCP, como uma assinatura no Azure, mas com configurações adicionais que você pode executar, como registros de aplicativos e configurações de OIDC.
Há vários blocos móveis no GCP e no Azure, que devem ser configurados antes da integração.
- Um Aplicativo OIDC do Microsoft Entra
- Uma identidade de carga de trabalho no GCP
- Concessões de cliente confidenciais OAuth2 utilizadas
- Uma conta de serviço GCP com permissões para coletar
Integrar um projeto do GCP
Se o painel Coletores de Dados não for exibido quando o Permissions Management iniciar:
- Na home page do Permissions Management, selecione Configurações (o ícone de engrenagem) e escolha a subguia Coletores de Dados.
Na guia Coletores de Dados, selecione GCP e, em seguida, Criar Configuração.
1. Crie um Aplicativo OIDC do Microsoft Entra.
Na página Integração do Permissions Management – Criação de Aplicativo OIDC do Microsoft Entra, insira o nome do aplicativo OIDC do Azure.
Esse aplicativo é usado para configurar uma conexão do OIDC (OpenID Connect) com seu projeto da GCP. O OIDC é um protocolo de autenticação interoperável baseado na família de especificações OAuth 2.0. Os scripts gerados criam o aplicativo deste nome especificado no seu locatário do Microsoft Entra com a configuração correta.
Para criar o registro do aplicativo, copie o script e execute-o no seu aplicativo de linha de comando.
Observação
- Para confirmar que o aplicativo foi criado, abra o Registros de aplicativos no Azure e, na guia Todos os aplicativos, localize seu aplicativo.
- Selecione o nome do aplicativo para abrir a página Expor uma API. O URI da ID do Aplicativo exibido na página Visão Geral é o valor de público usado ao criar uma conexão do OIDC com sua conta da GCP.
- Retorne à janela Gerenciamento de Permissões e, em Integração de Gerenciamento de Permissões – Criação de Aplicativo OIDC do Microsoft Entra, selecione Avançar.
2. Configurar um projeto OIDC da GCP.
Na página Integração do Permissions Management – Detalhes da Conta OIDC da GCP Acesso IDP, insira o Número do Projeto OIDC e o ID do Projeto OIDC do projeto da GCP no qual o provedor e o pool OIDC são criados. Você pode alterar o nome da função para seus requisitos.
Observação
Você pode encontrar o Número e a ID do seu projeto da GCP na página do Painel da GCP, no painel Informações de Projeto.
Você pode alterar a ID do Pool de Identidade de Carga de Trabalho do OIDC, a ID do Provedor de Pool de Identidade de Carga de Trabalho do OIDC e o Nome da Conta de Serviço do OIDC para atender às suas necessidades.
Opcionalmente, especifique o Nome do Segredo do IDP do G-Suite e o Email de Usuário do IDP do G-Suite para habilitar a integração do G-Suite.
Você pode baixar e executar o script neste ponto ou fazer isso no Google Cloud Shell.
Selecione Avançar depois de executar com êxito o script de instalação.
Escolha entre três opções para gerenciar projetos GCP.
Opção 1: gerenciar automaticamente
A opção de gerenciamento automático permite que você detecte e monitore automaticamente os projetos sem configuração adicional. Etapas para detectar uma lista de projetos e integrar para coleção:
- Conceda as funções Visualizador e Revisor de Segurança a uma conta de serviço criada na etapa anterior em nível de projeto, pasta ou organização.
Para habilitar o modo Controlador Ativado em qualquer projeto, adicione essas funções aos projetos específicos:
- Administradores de função
- Administrador de Segurança
Os comandos requeridos para execução no Google Cloud Shell estão listados na tela Gerenciar autorização para cada escopo de um projeto, pasta ou organização. Isso também está configurado no console do GCP.
- Selecione Avançar.
Opção 2: inserir sistemas de autorização
Você tem a capacidade de especificar apenas determinados projetos de membro do GCP para gerenciar e monitorar com o Gerenciamento de Permissões (até 100 por coletor). Siga as etapas para configurar esses projetos de membro do GCP a serem monitorados:
Na página Integração do Permissions Management – IDs de Projeto da GCP, insira as IDs de Projeto.
Você pode inserir até 100 IDs de projeto do GCP separadas por vírgula.
Você pode optar por baixar e executar o script neste ponto ou pode fazer isso por meio do Google Cloud Shell.
Para habilitar o modo de controle "Ativado" para qualquer projeto, adicione essas funções aos projetos específicos:
- Administradores de função
- Administrador de Segurança
Selecione Avançar.
Opção 3: selecionar sistemas de autorização
Essa opção detecta todos os projetos acessíveis pelo aplicativo de Gerenciamento de Direitos de Infraestrutura de Nuvem.
- Conceda as funções Visualizador e Revisor de Segurança a uma conta de serviço criada na etapa anterior em nível de projeto, pasta ou organização.
Para habilitar o modo Controlador Ativado em qualquer projeto, adicione essas funções aos projetos específicos:
- Administradores de função
- Administrador de Segurança
Os comandos requeridos para execução no Google Cloud Shell estão listados na tela Gerenciar autorização para cada escopo de um projeto, pasta ou organização. Isso também está configurado no console do GCP.
- Selecione Avançar.
3. Revisar e salvar.
Na página Integração do Permissions Management – Resumo, examine as informações que você adicionou e selecione Verificar Agora e Salvar.
A seguinte mensagem é exibida: configuração criada com sucesso.
Na guia Coletores de Dados, a coluna Carregado Recentemente em exibe Coletando. A coluna Transformado recentemente em exibe Processando.
A coluna de status na IU de gerenciamento de permissões mostra em qual etapa da coleta de dados você está:
- Pendente: o Gerenciamento de permissões ainda não começou a detectar ou integrar.
- Descobrindo: o Permissions Management está detectando os sistemas de autorização.
- Em andamento: O Gerenciamento de Permissões concluiu a detecção dos sistemas de autorização e está em integração.
- Integrado: a coleta de dados foi concluída e todos os sistemas de autorização detectados foram integrados ao Gerenciamento de permissões.
4. Exibir os dados.
Para visualizar os dados, selecione a guia Sistemas de Autorização.
A coluna Status da tabela exibe Coletando Dados.
O processo de coleta de dados leva algum tempo e ocorre em intervalos de aproximadamente 4 a 5 horas na maioria dos casos. O período depende do tamanho do sistema de autorização que você tem e da quantidade de dados disponíveis para coleta.
Próximas etapas
- Para habilitar ou desabilitar o controlador após a conclusão da integração, confira Habilitar ou desabilitar o controlador.
- Para adicionar um(a) conta/assinatura/projeto após a conclusão da integração, confira Adicionar um(a) conta/assinatura/projeto após a conclusão da integração.