Configurer un fournisseur d'identité tiers

Compatible avec:

Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.

Cette page explique comment utiliser un fournisseur d'identité tiers en configurant la fédération des identités des employés. Pour en savoir plus sur l'utilisation de Cloud Identity ou de Google Workspace, consultez Configurer un fournisseur d'identité Google Cloud.

La fédération des identités des employés de Google vous permet d'accorder aux charges de travail sur site ou multicloud un accès aux ressources Google Cloud sans avoir à utiliser de clé de compte de service. Vous pouvez utiliser la fédération d'identité des employés avec n'importe quel fournisseur d'identité (IdP) tiers compatible avec OpenID Connect (OIDC), y compris Microsoft Azure, Okta ou SAML 2.0.

Google Security Operations nécessite d'utiliser la fédération des identités des employés de Google comme courtier SSO pour les éléments suivants:

  • Clients soumis à des exigences de conformité FedRAMP (niveau d'impact élevé ou supérieur)
  • Clients accédant à des commandes d'entreprise dans Google Security Operations activées par Google Cloud, y compris le contrôle des accès basé sur les rôles (RBAC) des données et des fonctionnalités à l'aide d'Identity and Access Management (IAM).
  • Clients qui utilisent la gestion des identifiants en libre-service pour un accès programmatique à l'API Chronicle

Google Security Operations est compatible avec l'authentification unique SAML initiée par le fournisseur de services (SP) pour les utilisateurs. Grâce à cette fonctionnalité, les utilisateurs accèdent directement à Google Security Operations. Google Security Operations envoie une demande au fournisseur d'identité tiers (IdP) via la fédération des identités des employés Google Cloud Identity and Access Management (IAM).

Une fois que le fournisseur d'identité a authentifié l'identité de l'utilisateur, celui-ci est redirigé vers Google Security Operations avec une assertion d'authentification. La fédération des identités des employés Google Cloud joue le rôle d'intermédiaire dans le flux d'authentification.

Communication entre Google Security Operations, la fédération d'identités des employés Google Cloud IAM et l'IDP

Communication entre Google Security Operations, la fédération d'identité de personnel IAM et l'IDP

De manière générale, la communication se présente comme suit:

  1. L'utilisateur accède à Google Security Operations.
  2. Google Security Operations recherche les informations sur les fournisseurs d'identité dans le pool d'identités de la main-d'œuvre Google Cloud.
  3. Une requête est envoyée à l'IDP.
  4. L'assertion SAML est envoyée au pool d'identités de personnel Google Cloud.
  5. Si l'authentification réussit, Google Security Operations ne reçoit que les attributs SAML définis lorsque vous avez configuré le fournisseur de la main-d'œuvre dans le pool d'identités des employés.

Les administrateurs Google Security Operations créent des groupes dans leur fournisseur d'identité, configurent l'application SAML pour transmettre les informations d'appartenance au groupe dans l'assertion, puis associent les utilisateurs et les groupes aux rôles prédéfinis de Google Security Operations dans IAM ou aux rôles personnalisés qu'ils ont créés.

La connexion initiée par le fournisseur d'identité (à partir de votre tableau de bord du fournisseur d'identité) n'est pas prise en charge. Si votre organisation a besoin de cette fonctionnalité, contactez votre représentant Google Security Operations pour la demander.

Ce document décrit les étapes générales à suivre pour configurer l'authentification via un fournisseur d'identité (IdP) tiers à l'aide de la fédération d'identité de personnel Google Cloud. Après avoir suivi les étapes de ce document, vous pourrez accéder à Google Security Operations à l'aide de votre fournisseur d'identité tiers et gérer l'accès à Google Security Operations à l'aide de l'authentification unique SAML via la fédération d'identité du personnel.

Avant de commencer

Les étapes suivantes décrivent comment effectuer la configuration à l'aide de commandes gcloud. Si une étape peut être effectuée dans la console Google Cloud, un lien vers la documentation IAM correspondante est fourni.

Planifier l'implémentation

La section suivante décrit les décisions que vous devez prendre et les informations que vous devez définir avant d'effectuer les étapes de ce document.

Définir le pool d'identités de personnel et le fournisseur de personnel

Dans le cadre de ce processus, vous allez configurer la fédération d'identité de personnel Google Cloud en tant qu'intermédiaire dans le flux d'authentification. Pour ce faire, vous devez créer les ressources Google Cloud suivantes:

  • Pool d'employés : un pool d'identités d'employés vous permet d'accorder à votre personnel (par exemple, vos employés) un accès à Google Security Operations.
  • Fournisseur de personnel : un fournisseur de personnel est une sous-ressource du pool d'identités de personnel. Il stocke des informations sur un seul fournisseur d'identité.

La relation entre le pool d'identités des employés, les fournisseurs de personnel et une instance Google Security Operations, identifiée par un seul sous-domaine client, est la suivante:

  • Un pool d'identités de personnel est défini au niveau de l'organisation.
  • Un pool d'identités du personnel est configuré et associé à chaque instance Google Security Operations.
  • Un pool d'identités de personnel peut avoir plusieurs fournisseurs de personnel.
  • Chaque fournisseur de pool d'identités des employés intègre un fournisseur d'identité tiers au pool.
  • Le pool d'identités du personnel que vous créez en suivant cette procédure doit être dédié à Google SecOps. Bien que vous puissiez gérer plusieurs pools d'identités des employés à d'autres fins, le pool d'identités des employés créé pour Google SecOps ne peut pas être partagé.
  • Nous vous recommandons de créer le pool d'identités de personnel dans la même organisation Google Cloud que le projet associé à Google SecOps.

Vous gagnerez du temps si vous prédéfinissez des informations sur le pool d'identités de personnel et le fournisseur de personnel. Vous utilisez ces informations lorsque vous configurez à la fois l'application SAML de l'IdP et la fédération d'identité de personnel.

Choisissez les valeurs des identifiants suivants:

  • ID du pool d'employés (WORKFORCE_POOL_ID): sélectionnez une valeur qui indique la portée ou l'objectif du pool d'identités de personnel. La valeur doit répondre aux exigences suivantes :
    • Doit être unique.
    • Il doit contenir uniquement des lettres minuscules [a-z], des chiffres [0-9] et des tirets [-].
    • Doit commencer par une lettre minuscule [a-z].
    • Doit se terminer par une lettre minuscule [a-z] ou un chiffre [0-9].
    • Le nom doit comprendre entre 4 et 61 caractères.
  • Nom à afficher du pool d'employés (WORKFORCE_POOL_DISPLAY_NAME): définissez un nom convivial pour le pool d'identités de personnel.
  • Description du pool de personnel (WORKFORCE_POOL_DESCRIPTION): définissez une description détaillée du pool d'identités de personnel.
  • ID du fournisseur de personnel (WORKFORCE_PROVIDER_ID): choisissez une valeur qui indique le fournisseur d'identité qu'il représente. La valeur doit répondre aux exigences suivantes :
    • Vous ne devez utiliser que des caractères minuscules [a-z], des chiffres [0-9] et des tirets [-].
    • Le nom doit comprendre entre 4 et 32 caractères.
  • Nom à afficher du fournisseur de personnel (WORKFORCE_PROVIDER_DISPLAY_NAME): définissez un nom facile à utiliser pour le fournisseur de personnel. Il ne doit pas comporter plus de 32 caractères.
  • Description du fournisseur de personnel (WORKFORCE_PROVIDER_DESCRIPTION): définissez une description détaillée du fournisseur de personnel.

Définir des attributs et des groupes utilisateur dans l'IDP

Avant de créer l'application SAML dans l'IdP, identifiez les attributs et groupes utilisateur nécessaires pour configurer l'accès aux fonctionnalités de Google Security Operations. Pour en savoir plus, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM et Autorisations Google Security Operations dans IAM.

Vous aurez besoin de ces informations lors des phases suivantes de ce processus:

  • Lorsque vous configurez l'application SAML, vous créez les groupes définis lors de la planification. Vous configurez l'application SAML du fournisseur d'identité pour transmettre les appartenances aux groupes dans l'assertion.

  • Lorsque vous créez le fournisseur de main-d'œuvre, vous mappez les attributs et les groupes d'assertions sur des attributs Google Cloud. Ces informations sont envoyées dans la revendication d'assertion dans le cadre de l'identité d'un utilisateur.

  • Lorsque vous configurez le contrôle des accès basé sur les rôles dans Google Security Operations, vous utilisez les attributs utilisateur et les informations de groupe pour configurer l'accès aux fonctionnalités Google Security Operations.

    Google Security Operations fournit plusieurs rôles prédéfinis, chacun permettant d'accéder à des fonctionnalités spécifiques. Vous pouvez mapper les groupes définis dans l'application SAML de l'IDP sur ces rôles prédéfinis.

Assurez-vous de créer un groupe d'IDP pour les administrateurs qui configurent les utilisateurs et les groupes autorisés à accéder aux fonctionnalités liées à SOAR. Au cours du processus d'intégration, vous fournirez ce nom de groupe afin que les utilisateurs de ce groupe puissent configurer le contrôle des accès aux fonctionnalités liées à SOAR.

Configurer l'IdP

Cette section ne décrit que la configuration spécifique requise dans une application SAML d'IDP pour l'intégration à la fédération d'identité de personnel Google Cloud et à Google Security Operations.

  1. Créez une application SAML dans votre IDP.

  2. Configurez l'application avec l'URL du service ACS (Assertion Consumer Service) suivante, également appelée URL d'authentification unique selon le fournisseur de services.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Remplacez les éléments suivants :

    • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.

    • WORKFORCE_PROVIDER_ID: identifiant que vous avez défini pour le fournisseur de personnel.

      Pour en savoir plus sur ces valeurs, consultez la section Planifier l'implémentation.

  3. Configurez l'application avec l'ID d'entité (également appelé ID d'entité du fournisseur de services) suivant.

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Remplacez les éléments suivants :

    • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.
    • WORKFORCE_PROVIDER_ID: identifiant que vous avez défini pour le fournisseur de personnel.

  4. Configurez l'identifiant de nom dans votre IdP pour vous assurer que le champ NameID est renvoyé dans la réponse SAML.

    Vous pouvez définir cette valeur sur une valeur compatible avec les règles de votre organisation, comme une adresse e-mail ou un nom d'utilisateur. Pour en savoir plus sur la configuration de cette valeur, consultez la documentation de votre IdP. Pour en savoir plus sur cette exigence, consultez Résoudre les problèmes liés à la fédération des identités des employés.

  5. Vous pouvez éventuellement créer les attributs de groupe dans l'application SAML. Vous les avez définis lorsque vous avez planifié l'implémentation de l'IDP.

  6. Téléchargez le fichier XML de métadonnées de l'application. Dans la section suivante, vous allez importer ce fichier depuis votre système local vers votre répertoire d'accueil Google Cloud à l'aide de Cloud Shell.

Configurer la fédération d'identité de personnel

Cette section ne décrit que les étapes spécifiques nécessaires pour configurer la fédération d'identité des employés avec l'application SAML de l'IdP que vous avez créée dans la section précédente. Pour en savoir plus sur la gestion des pools d'identités de personnel, consultez Gérer les fournisseurs de pools d'identités de personnel.

  1. Ouvrez la console Google Cloud en tant qu'utilisateur disposant des autorisations requises sur le projet associé à Google Security Operations. Vous avez identifié ou créé cet utilisateur précédemment. Consultez la section Avant de commencer.

  2. Lancez une session Cloud Shell.

  3. Définissez le projet Google Cloud de facturation/quotas pour les opérations effectuées à l'aide de la gcloud CLI. Utilisez la commande gcloud suivante comme exemple:

    gcloud config set billing/quota_project PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet Google Security Operations que vous avez créé dans Configurer un projet Google Cloud pour Google Security Operations. Consultez la section Créer et gérer des projets pour obtenir une description des champs qui identifient un projet.

    Pour en savoir plus sur les quotas, consultez les documents suivants:

    Si une erreur se produit, consultez Erreurs de quota.

Créer et configurer un pool d'identités de personnel

Vous pouvez configurer un pool d'identités d'employés pour l'intégrer à un fournisseur d'identité (IdP) externe, ou à Google Workspace ou Cloud Identity.

  1. Créez un pool d'identités de personnel.

    • Créez un pool d'identités de personnel pour un fournisseur d'identité tiers:

      Utilisez la commande gcloud suivante comme exemple:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Remplacez les éléments suivants :

      • WORKFORCE_POOL_ID: identifiant que vous avez défini pour le pool d'identités des employés.
      • ORGANIZATION_ID: ID numérique de l'organisation.
      • WORKFORCE_POOL_DESCRIPTION: spécifiez une description du pool d'identités des employés.
      • WORKFORCE_POOL_DISPLAY_NAME: spécifiez un nom convivial pour le pool d'identités de personnel.

      Pour effectuer cette configuration à l'aide de la console Google Cloud, consultez la section Créer un pool.

      Si vous souhaitez utiliser Google Workspace ou Cloud Identity pour vous connecter à Google SecOps, ajoutez les indicateurs --allowed-services domain=backstory.chronicle.security et --disable-programmatic-signin à la commande:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Cette commande crée un pool de personnel qui ne peut pas être utilisé pour se connecter à Google Cloud, mais vous devez utiliser ces indicateurs pour répondre à ces scénarios.

  2. Si vous êtes invité à activer l'API Chronicle sur la ligne de commande, saisissez Yes.

Créer un fournisseur d'identités de personnel

  1. Importez le fichier de métadonnées de l'application SAML dans votre répertoire d'accueil Cloud Shell en cliquant sur Plus >. Les fichiers ne peuvent être importés que dans votre répertoire d'accueil. Pour découvrir d'autres options de transfert de fichiers entre Cloud Shell et votre poste de travail local, consultez Importer et télécharger des fichiers et des dossiers depuis Cloud Shell.

  2. Notez le chemin d'accès au répertoire dans lequel vous avez importé le fichier XML des métadonnées de l'application SAML dans Cloud Shell. Vous aurez besoin de ce chemin à l'étape suivante.

  3. Créez un fournisseur de pool d'identités de personnel et spécifiez les informations sur le fournisseur d'identité.

    Utilisez la commande gcloud suivante comme exemple:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Pour en savoir plus sur ces valeurs, consultez la section Planifier l'implémentation.

    Remplacez les éléments suivants :

    • WORKFORCE_PROVIDER_ID: valeur que vous avez définie pour l'ID du fournisseur de personnel.
    • WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités des employés.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: nom convivial pour le fournisseur de personnel. Il ne doit pas comporter plus de 32 caractères.
    • WORKFORCE_PROVIDER_DESCRIPTION: description du fournisseur de personnel
    • PATH_TO_METADATA_XML: emplacement du répertoire Cloud Shell du fichier XML de métadonnées de l'application que vous avez importé à l'aide de Cloud Shell, par exemple: /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: définition de la façon de mapper les attributs d'assertion sur les attributs Google Cloud. Le Common Expression Language est utilisé pour interpréter ces mappages. Exemple :

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      L'exemple précédent mappe les attributs suivants:

      • assertion.subject à google.subject. Il s'agit d'une condition minimale requise.
      • assertion.attributes.name[0] à google.display_name.
      • assertion.attributes.groups à l'attribut google.groups.

      Si vous effectuez cette configuration pour Google Security Operations, qui inclut Google Security Operations SIEM et Google Security Operations SOAR, vous devez également mapper les attributs suivants requis par Google Security Operations SOAR:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Pour en savoir plus sur le provisionnement et le mappage des utilisateurs pour Google Security Operations SOAR, consultez cette page.

      Par défaut, Google Security Operations lit les informations de groupe à partir des noms d'attributs d'assertion suivants, qui ne sont pas sensibles à la casse: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ et _assertion.attributes.memberOf_.

      Lorsque vous configurez l'application SAML pour transmettre des informations d'appartenance à un groupe dans l'assertion, définissez le nom de l'attribut de groupe sur _group_, _idpGroup_ ou _memberOf_.

      Dans l'exemple de commande, vous pouvez remplacer assertion.attributes.groups par assertion.attributes.idpGroup ou assertion.attributes.memberOf, qui représente le nom de l'attribut de groupe que vous avez configuré dans l'application SAML de l'IDP et qui contient des informations sur l'appartenance au groupe dans l'assertion.

      L'exemple suivant mappe plusieurs groupes sur l'attribut google.groups:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      L'exemple suivant mappe le groupe http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group contenant des caractères spéciaux sur google.groups:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Pour en savoir plus sur le mappage d'attributs, consultez la section Mappages d'attributs.

      Pour effectuer cette configuration à l'aide de la console Google Cloud, consultez Créer un fournisseur SAML.

Attribuer un rôle pour activer la connexion à Google Security Operations

Les étapes suivantes décrivent comment accorder un rôle spécifique à l'aide d'IAM afin que les utilisateurs puissent se connecter à Google Security Operations. Effectuez la configuration à l'aide du projet Google Cloud associé à Google Security Operations que vous avez créé précédemment.

Cet exemple utilise la commande gcloud. Pour utiliser la console Google Cloud, consultez Attribuer un seul rôle.

  1. Attribuez le rôle Lecteur de l'API Chronicle (roles/chronicle.viewer) aux utilisateurs ou aux groupes qui doivent avoir accès à l'application Google Security Operations.

    L'exemple suivant accorde le rôle de lecteur de l'API Chronicle aux identités gérées à l'aide du pool d'identités de personnel et du fournisseur de personnel que vous avez créés précédemment.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Remplacez les éléments suivants :

    Pour attribuer le rôle de lecteur de l'API Chronicle à un groupe spécifique, exécutez la commande suivante:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Remplacez GROUP_ID: groupe de la revendication google.groups mappée.

  2. Configurez des règles IAM supplémentaires pour répondre aux exigences de votre organisation.

Valider ou configurer le contrôle des accès aux fonctionnalités Google Security Operations

Si vous avez configuré la fédération d'identités de personnel avec des attributs ou des groupes mappés sur l'attribut google.groups, ces informations sont transmises à Google Security Operations afin que vous puissiez configurer le contrôle des accès basé sur les rôles (RBAC) pour les fonctionnalités Google Security Operations.

Si l'instance Google Security Operations dispose d'une configuration RBAC existante, vérifiez que la configuration d'origine fonctionne comme prévu.

Si vous n'avez pas encore configuré le contrôle des accès, consultez la section Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM pour en savoir plus sur le contrôle des accès aux fonctionnalités.

Modifier la configuration de la fédération d'identité des employés

Si vous devez mettre à jour le pool d'identités de personnel ou le fournisseur de personnel, consultez Gérer les fournisseurs de pools d'identités de personnel pour savoir comment mettre à jour la configuration.

La section Gestion des clés de Créer un fournisseur de pools d'identités des employés SAML explique comment mettre à jour les clés de signature de l'IDP, puis mettre à jour la configuration du fournisseur de personnel avec le dernier fichier XML de métadonnées de l'application.

Voici un exemple de commande gcloud qui met à jour la configuration du fournisseur de main-d'œuvre:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Remplacez les éléments suivants :

  • WORKFORCE_PROVIDER_ID: valeur que vous avez définie pour l'ID du fournisseur de personnel.
  • WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités des employés.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: nom convivial pour le fournisseur de personnel. La valeur doit comporter moins de 32 caractères.
  • WORKFORCE_PROVIDER_DESCRIPTION: description du fournisseur de personnel
  • PATH_TO_METADATA_XML: emplacement du fichier XML de métadonnées de l'application mis à jour, par exemple: /path/to/sso_metadata_updated.xml.

  • ATTRIBUTE_MAPPINGS: attributs d'assertion mappés sur des attributs Google Cloud. Exemple :

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Pour vous assurer que le RBAC Google SecOps continue de fonctionner comme prévu, mappez également l'attribut google.groups à tous les groupes utilisés pour définir des rôles dans Google SecOps.

Résoudre les problèmes de configuration

Si vous rencontrez des erreurs au cours de ce processus, consultez la page Résoudre les problèmes liés à la fédération des identités des employés pour résoudre les problèmes courants. La section suivante fournit des informations sur les problèmes courants rencontrés lors de la réalisation des étapes de ce document.

Si le problème persiste, contactez votre représentant Google SecOps et fournissez votre fichier de journaux réseau Chrome.

Erreur command not found lors de la création d'un fournisseur de pools d'identités de personnel

Lorsque vous créez un fournisseur de pool d'identités des employés et que vous spécifiez les informations sur l'IDP, l'erreur suivante s'affiche:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Vérifiez que PATH_TO_METADATA_XML correspond à l'emplacement où vous avez importé le fichier XML des métadonnées de l'application SAML dans votre répertoire d'accueil Cloud Shell.

The caller does not have permission erreur

Lorsque vous exécutez la commande gcloud projects add-iam-policy-binding pour attribuer des rôles à des utilisateurs ou à des groupes, l'erreur suivante s'affiche:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Vérifiez que vous disposez des autorisations requises. Pour en savoir plus, consultez la section Rôles requis.

Étape suivante

Une fois que vous avez suivi la procédure décrite dans ce document, procédez comme suit: