Guide de l'utilisateur du contrôle des accès basé sur les rôles (RBAC)
Le contrôle des accès basé sur les rôles (RBAC) permet à un administrateur d'adapter l'accès aux fonctionnalités Google Security Operations en fonction du rôle d'un employé dans votre organisation.
Avant de commencer
Le RBAC lit les informations de groupe à partir de la réponse SAML à partir des noms d'attributs par défaut suivants, qui ne sont pas sensibles à la casse:
group
idpgroup group
memberof
Si vous utilisez un nom d'attribut personnalisé, vous devez d'abord le fournir à votre équipe Google Security Operations pour pouvoir modifier vos paramètres RBAC.
Modifier les paramètres RBAC
Pour accéder aux pages de profil et de paramètres RBAC, cliquez sur Paramètres dans la barre de navigation.
Profil
La page Profil affiche les informations du profil de l'utilisateur (ID utilisateur, ID de groupe, rôles attribués) ainsi que des informations supplémentaires sur son organisation (ID client, numéro de projet Google Cloud, ID de projet Google Cloud).
ID client
Votre numéro client se trouve dans la section Informations sur l'organisation de la page Profil.
Fuseau horaire
Pour modifier le fuseau horaire associé à votre profil, cliquez sur Modifier à côté de "Paramètres de l'heure". Sélectionnez le fuseau horaire approprié, puis cliquez sur Enregistrer. L'heure affichée dans la majeure partie de l'interface utilisateur est alors modifiée pour correspondre au fuseau horaire sélectionné.
Utilisateurs et groupes
La page Utilisateurs et groupes permet à un administrateur de configurer RBAC.
Cliquez sur le lien Utilisateurs et groupes dans le volet de navigation de gauche. La page Utilisateurs et groupes affiche une liste d'utilisateurs et de groupes, avec les colonnes Utilisateur/Groupe, Type et Rôle attribué.
Cliquez sur Attribuer pour ouvrir la boîte de dialogue Attribuer un rôle. Dans cette boîte de dialogue, vous pouvez effectuer les tâches suivantes:
- Attribuez un rôle à un ou plusieurs utilisateurs.
- Attribuez un ou plusieurs groupes à un rôle.
Les rôles disponibles sont les suivants:
- Par défaut
- ViewerWithNoDetectAccess
- Lecteur
- Éditeur
- Administrateur
Une fois que vous avez ajouté vos ID utilisateur ou de groupe et sélectionné le rôle approprié dans le menu déroulant ATTRIBUER UN RÔLE, cliquez sur ATTRIBUER.
Lorsque vous attribuez des rôles, tenez compte des points suivants:
- Lorsque vous ajoutez des utilisateurs ou des groupes, assurez-vous qu'ils existent dans votre fournisseur d'identité (IdP). Lorsque vous supprimez des utilisateurs ou des groupes, assurez-vous de conserver au moins un utilisateur ou un groupe disposant du rôle Administrateur et appartenant à votre IdP. Sinon, vous perdrez l'accès administrateur.
- Les ID de fournisseur d'identité utilisateur et de groupe sont sensibles à la casse.
- Vous ne pouvez pas modifier le rôle attribué à un utilisateur ou à un groupe existant à l'aide de cette boîte de dialogue. Suivez les étapes ci-dessous pour modifier les rôles et supprimer des utilisateurs et des groupes.
- Google Security Operations gère le mappage entre les utilisateurs, les groupes et les rôles.
- Faites preuve de prudence si l'ID utilisateur ou de groupe contient des caractères spéciaux qui, selon la source de texte, peuvent utiliser l'encodage UTF-8. Une fois que vous avez cliqué sur Attribuer, Google vous recommande de vérifier que le nouvel exercice a bien été enregistré.
Vous pouvez modifier le rôle d'un utilisateur ou d'un groupe existant en sélectionnant un nouveau rôle dans le menu déroulant correspondant à cet utilisateur ou à ce groupe dans la colonne Rôle attribué.
Vous pouvez modifier le rôle par défaut attribué aux nouveaux utilisateurs et groupes dans le menu déroulant des rôles en haut à droite.
Pour supprimer un utilisateur ou un groupe, cliquez sur l'icône en forme de corbeille qui s'affiche tout à droite de la ligne de l'utilisateur ou du groupe lorsque vous pointez dessus.
Si vous supprimez des utilisateurs et des groupes qui sont administrateurs, et que les seuls administrateurs restants ne figurent pas dans votre IDP, vous perdrez l'accès administrateur.
Rôles et autorisations
Rôles
Les rôles sont associés à un ensemble d'autorisations de produit. Lorsque vous attribuez un rôle à un utilisateur, celui-ci bénéficie des autorisations associées à ce rôle.
Google Security Operations inclut les rôles prédéfinis suivants:
- Administrateur : gère les règles de contrôle des accès basé sur les rôles de votre entreprise. Peut également modifier ou afficher n'importe quelle page Google Security Operations.
- Éditeur : peut modifier les pages Google Security Operations, y compris créer et modifier des règles pour le moteur de détection.
- Lecteur : peut consulter n'importe quelle page de Google Security Operations, mais ne peut rien modifier.
- ViewerWithNoDetectAccess : permet d'afficher toutes les pages Google Security Operations qui n'incluent pas de détections (principalement les pages "Rules" (Règles) et "Reference Lists" (Listes de référence)).
Les applications RBAC incluent les éléments suivants:
- Créez et attribuez des rôles en fonction des responsabilités.
- créer et attribuer des rôles en fonction des espaces de travail ou des organisations ;
- Attribuez des rôles temporaires aux analystes pour qu'ils puissent examiner un problème.
Autorisations
Les autorisations fournissent l'autorisation nécessaire pour effectuer une seule action contrôlée dans Google Security Operations, y compris (voir l'interface utilisateur pour obtenir la liste complète des autorisations):
- Afficher la règle
- Modifier la règle
- Modifier les commentaires
- Modifier la liste de références
- Afficher les autorisations RBAC
Si un utilisateur ne dispose pas des autorisations nécessaires pour une action, la fonctionnalité associée est désactivée. Par exemple, si l'utilisateur dispose du rôle de lecteur, il ne peut pas créer de règle (le bouton Nouveau est désactivé dans l'éditeur de règles), dupliquer une règle (l'option Dupliquer est désactivée) ni modifier une règle existante.
Pour afficher les rôles et les autorisations disponibles pour les utilisateurs et les groupes, procédez comme suit:
Cliquez sur le lien Rôles dans le volet de navigation de gauche.
Sélectionnez un rôle dans la colonne "Rôles" pour afficher les autorisations accordées à ce rôle. Les autorisations associées à chaque rôle ne peuvent pas être modifiées.
Le rôle par défaut des utilisateurs et des groupes nouvellement ajoutés est "Lecteur". Si vous sélectionnez l'un des autres rôles (par exemple, "Éditeur"), le bouton Définir comme par défaut devient disponible. Vous pouvez ainsi définir ce rôle comme rôle par défaut.