Поделиться через

Включение проекта Google Cloud Platform (GCP)

  • Статья

Примечание.

Начиная с 1 апреля 2025 г., управление разрешениями Microsoft Entra больше не будет доступно для покупки, а 1 октября 2025 г. мы отставим и прекратим поддержку этого продукта. Дополнительные сведения см. здесь.

В этой статье описывается, как подключить проект Google Cloud Platform (GCP) в Управление разрешениями Microsoft Entra.

Примечание.

Для выполнения задач в этой статье необходимо быть администратором управления разрешениями.

Описание

Для GCP управление разрешениями распространяется на проект GCP. Проект GCP — это логическая коллекция ресурсов в GCP, как подписка в Azure, но с дополнительными конфигурациями, которые можно настроить, такие как регистрации приложений и конфигурации OIDC.

Перед внедрением необходимо настроить несколько компонентов в GCP и Azure.

  • Приложение Microsoft Entra OIDC
  • Идентичность рабочей нагрузки в GCP
  • Конфиденциальные клиентские гранты OAuth2, используемые
  • Учетная запись службы GCP с разрешениями на сбор

Подключение проекта GCP

  1. Если панель мониторинга Сборщики данных не отображается при запуске Управления разрешениями, выполните указанные ниже действия:

    • На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.

  2. На вкладке "Сборщики данных" выберите GCP, а затем нажмите кнопку "Создать конфигурацию".

1. Создание приложения Microsoft Entra OIDC.

  1. На странице создания приложений Microsoft Entra OIDC введите имя приложение Azure OIDC.

    Это приложение используется для настройки подключения по протоколу OpenID Connect (OIDC) к проекту GCP. OIDC — это протокол проверки подлинности с возможностью взаимодействия на основе семейства спецификаций OAuth 2.0. Созданные скрипты создают приложение указанного имени в клиенте Microsoft Entra с правильной конфигурацией.

  2. Чтобы создать регистрацию приложения, скопируйте сценарий и запустите его в приложении командной строки.

    Примечание.

    1. Чтобы подтвердить создание приложения, откройте Регистрация приложений в Azure и на вкладке "Все приложения" найдите приложение.
    2. Выберите имя приложения, чтобы открыть страницу Предоставление API. URI идентификатора приложения, отображаемый на странице Обзор, — это значение аудитории, используемое при создании подключения OIDC к вашей учетной записи GCP.
    3. Вернитесь в окно "Управление разрешениями" и в разделе "Подключение управления разрешениями" — создание приложения Microsoft Entra OIDC нажмите кнопку "Далее".

2. Настройка проекта GCP по OIDC.

  1. На странице «Начало работы с управлением разрешениями - сведения об учетной записи GCP OIDC и доступ к поставщику удостоверений» введите номер проекта OIDC и идентификатор проекта GCP, в котором создаются поставщик и пул OIDC. Имя роли можно изменить в соответствии с вашими требованиями.

    Примечание.

    Номер проекта и Идентификатор проекта для проекта GCP можно найти на странице панели мониторинга проекта GCP на панели Сведения о проекте.

  2. Вы можете изменить Идентификатор пула удостоверений рабочей нагрузки OIDC, Идентификатор поставщика пула удостоверений рабочей нагрузки OIDC и Имя учетной записи службы OIDC в соответствии с вашими требованиями.

    При необходимости укажите секретное название IDP G-Suite и электронную почту пользователя IDP G-Suite, чтобы включить интеграцию с G-Suite.

  3. Вы можете скачать и запустить скрипт на этом этапе или сделать это в Google Cloud Shell.

  4. Нажмите кнопку "Далее" после успешного выполнения скрипта установки.

Выберите один из трех вариантов управления проектами GCP.

Вариант 1. Автоматическое управление

Параметр автоматического управления позволяет автоматически обнаруживать и отслеживать проекты без дополнительной настройки. Шаги по определению списка проектов и включению в коллекцию:

  1. Предоставьте роли Viewer и Security Reviewer учетной записи службы, созданной на предыдущем шаге, на уровне проекта, папки или организации.

Чтобы включить режим контроллера для любых проектов, добавьте эти роли в определенные проекты:

  • Администраторы ролей
  • администратор безопасности;

Необходимые команды для запуска в Google Cloud Shell перечислены на экране "Управление авторизацией" для каждой области проекта, папки или организации. Это также настраивается в консоли GCP.

  1. Выберите Далее.

Вариант 2. Ввод систем авторизации

У вас есть возможность указать только определенные проекты участников GCP для их управления и мониторинга с помощью Permissions Management (до 100 проектов на один коллектор). Выполните действия, чтобы настроить мониторинг этих проектов участников GCP:

  1. На странице Permissions Management Onboarding - GCP Project Ids введите Идентификаторы проекта.

    Можно ввести до 100 идентификаторов проектов GCP, разделённых запятыми.

  2. Вы можете скачать и запустить скрипт на этом этапе или сделать это с помощью Google Cloud Shell.

    Чтобы включить режим контроллера для всех проектов, добавьте эти роли в определенные проекты:

    • Администраторы ролей
    • администратор безопасности;

  3. Выберите Далее.

Вариант 3. Выбор систем авторизации

Этот параметр обнаруживает все проекты, доступные приложением управления правами облачной инфраструктуры.

  1. Предоставьте роли Viewer и Security Reviewer учетной записи службы, созданной на предыдущем шаге, на уровне проекта, папки или организации.

Чтобы включить режим контроллера On для любого проекта, добавьте эти роли в соответствующие проекты:

  • Администраторы ролей
  • администратор безопасности;

Необходимые команды для запуска в Google Cloud Shell перечислены на экране "Управление авторизацией" для каждой области проекта, папки или организации. Это также настраивается в консоли GCP.

  1. Выберите Далее.

3. Просмотр и сохранение.

  1. На странице "Подключение управления разрешениями" — сводка просмотрите добавленные сведения и нажмите кнопку "Проверить сейчас и сохранить".

    Появится следующее сообщение: Конфигурация успешно создана.

    На вкладке Сборщики данных в столбце Дата последней загрузки отображается Процесс сбора. В столбце Недавно преобразовано отображается Обработка.

    Столбец состояния в пользовательском интерфейсе управления разрешениями показывает, на каком этапе сбора данных вы находитесь:

    • В ожидании: Управление разрешениями еще не начало процесс обнаружения или внедрения.
    • Обнаружение. Управление разрешениями обнаруживает системы авторизации.
    • В процессе: Управление разрешениями завершило обнаружение систем авторизации и подключается.
    • Подключено: сбор данных завершен, и все обнаруженные системы авторизации подключены к управлению разрешениями.

4. Просмотр данных.

  1. Чтобы просмотреть данные, перейдите на вкладку Системы авторизации.

    В столбце Состояние в таблице отображается сообщение Сбор данных.

    Процесс сбора данных занимает некоторое время и в большинстве случаев выполняется примерно через 4–5 часов. Интервал времени зависит от размера используемой системы авторизации и объема данных, доступных для сбора.

Следующие шаги