Integre um projeto do Google Cloud Platform (GCP)

Este artigo descreve como integrar um projeto do Google Cloud Platform (GCP) no Microsoft Entra Permissions Management.

Nota

Você deve ter a atribuição da função Administrador Global para executar as tarefas neste artigo.

Explicação

Para o GCP, o Gerenciamento de Permissões tem como escopo um projeto GCP. Um projeto GCP é uma coleção lógica de seus recursos no GCP, como uma assinatura no Azure, mas com outras configurações que você pode executar, como registros de aplicativos e configurações OIDC.

Há várias partes móveis no GCP e no Azure, que devem ser configuradas antes da integração.

• Um aplicativo Microsoft Entra OIDC
• Uma identidade de carga de trabalho no GCP
• Subsídios de clientes confidenciais OAuth2 utilizados
• Uma conta de serviço GCP com permissões para coletar

Integrar um projeto GCP

1. Se o painel Coletores de Dados não for exibido quando o Gerenciamento de Permissões for iniciado:

   • Na home page do Gerenciamento de Permissões, selecione Configurações (o ícone de engrenagem) e selecione a subguia Coletores de Dados.

2. Na guia Coletores de Dados, selecione GCP e, em seguida, selecione Criar Configuração.

1. Crie um aplicativo Microsoft Entra OIDC.

1. Na página Integração de Gerenciamento de Permissões - Criação de Aplicativo OIDC do Microsoft Entra, insira o Nome do Aplicativo doAzure OIDC.

   Este aplicativo é usado para configurar uma conexão OpenID Connect (OIDC) para o seu projeto GCP. OIDC é um protocolo de autenticação interoperável baseado na família OAuth 2.0 de especificações. Os scripts gerados criam o aplicativo desse nome especificado em seu locatário do Microsoft Entra com a configuração correta.

2. Para criar o registro do aplicativo, copie o script e execute-o em seu aplicativo de linha de comando.

   Nota

   1. Para confirmar que o aplicativo foi criado, abra Registros de aplicativo no Azure e, na guia Todos os aplicativos , localize seu aplicativo.
   2. Selecione o nome do aplicativo para abrir a página Expor uma API . O URI de ID do Aplicativo exibido na página Visão geral é o valor de audiência usado ao fazer uma conexão OIDC com sua conta GCP.
   3. Retorne à janela Gerenciamento de permissões e, na integração do gerenciamento de permissões - Criação de aplicativo OIDC do Microsoft Entra, selecione Avançar.

2. Configure um projeto GCP OIDC.

1. Na página Permissions Management Onboarding - GCP OIDC Account Details & IDP Access, insira o Número do Projeto OIDC e a ID do Projeto OIDC do projeto GCP no qual o provedor e o pool OIDC são criados. Você pode alterar o nome da função de acordo com seus requisitos.

   Nota

   Você pode encontrar o número do projeto e a ID do projeto do seu projeto GCP na página Painel do GCP do seu projeto no painel Informações do projeto.

2. Você pode alterar o ID do Pool de Identidades da Carga de Trabalho do OIDC, o ID do Provedor do Pool de Identidades da Carga de Trabalho do OIDC e o Nome da Conta de Serviço do OIDC para atender às suas necessidades.

   Opcionalmente, especifique o Nome Secreto do IDP do G-Suite e o Email do Usuário do IDP do G-Suite para habilitar a integração do G-Suite.

3. Você pode fazer o download e executar o script neste momento ou pode fazê-lo no Google Cloud Shell.

4. Selecione Avançar depois de executar com êxito o script de instalação.

Escolha entre três opções para gerenciar projetos GCP.

Opção 1: Gerir automaticamente

A opção de gerenciamento automático permite que você detete e monitore projetos automaticamente sem configuração extra. Etapas para detetar uma lista de projetos e integrar para coleta:

1. Conceda funções de Visualizador e Revisor de Segurança a uma conta de serviço criada na etapa anterior em um nível de projeto, pasta ou organização.

Para habilitar o modo Controller On para quaisquer projetos, adicione estas funções aos projetos específicos:

• Administradores de funções
• Administrador de Segurança

Os comandos necessários para serem executados no Google Cloud Shell estão listados na tela Gerenciar autorização para cada escopo de um projeto, pasta ou organização. Isso também é configurado no console do GCP.

3. Selecione Seguinte.

Opção 2: Introduzir sistemas de autorização

Você tem a capacidade de especificar apenas determinados projetos membros do GCP para gerenciar e monitorar com o Gerenciamento de Permissões (até 100 por coletor). Siga as etapas para configurar esses projetos membros do GCP a serem monitorados:

1. Na página Integração de Gerenciamento de Permissões - IDs de Projeto do GCP, insira as IDs doProjeto.

   Você pode inserir até 100 IDs de projeto GCP separados por vírgula.

2. Você pode optar por baixar e executar o script neste momento, ou pode fazê-lo por meio do Google Cloud Shell.

   Para habilitar o modo de controlador 'Ativado' para quaisquer projetos, adicione estas funções aos projetos específicos:

   • Administradores de funções
   • Administrador de Segurança

3. Selecione Seguinte.

Opção 3: Selecionar sistemas de autorização

Esta opção deteta todos os projetos acessíveis pelo aplicativo Cloud Infrastructure Entitlement Management.

1. Conceda funções de Visualizador e Revisor de Segurança a uma conta de serviço criada na etapa anterior em um nível de projeto, pasta ou organização.

Para habilitar o modo Controller On para quaisquer projetos, adicione estas funções aos projetos específicos:

• Administradores de funções
• Administrador de Segurança

Os comandos necessários para serem executados no Google Cloud Shell estão listados na tela Gerenciar autorização para cada escopo de um projeto, pasta ou organização. Isso também é configurado no console do GCP.

3. Selecione Seguinte.

3. Reveja e guarde.

1. Na página Integração do Gerenciamento de Permissões – Resumo, revise as informações adicionadas e selecione Verificar Agora & Salvar.

   A seguinte mensagem é exibida: Configuração criada com êxito.

   Na guia Coletores de dados, a coluna Carregado recentemente em exibe Coletando. A coluna Recentemente transformado em exibe Processamento.

   A coluna de status na interface do usuário do Gerenciamento de Permissões mostra em qual etapa da coleta de dados você está:

   • Pendente: o Gerenciamento de permissões ainda não começou a ser detetado ou integrado.
   • Descubra: O Gerenciamento de Permissões está detetando os sistemas de autorização.
   • Em andamento: o Gerenciamento de Permissões concluiu de detetar os sistemas de autorização e está integrado.
   • Integrado: a coleta de dados está concluída e todos os sistemas de autorização detetados são integrados ao Gerenciamento de Permissões.

4. Veja os dados.

1. Para visualizar os dados, selecione a guia Sistemas de autorização .

   A coluna Status na tabela exibe Coletando dados.

   O processo de coleta de dados leva algum tempo e ocorre em intervalos de aproximadamente 4-5 horas na maioria dos casos. O período de tempo depende do tamanho do sistema de autorização que você tem e da quantidade de dados disponíveis para coleta.

Próximos passos

• Para habilitar ou desabilitar o controlador após a conclusão da integração, consulte Habilitar ou desabilitar o controlador.
• Para adicionar uma conta/assinatura/projeto após a conclusão da integração, consulte Adicionar uma conta/assinatura/projeto após a conclusão da integração.