Configurer un fournisseur d'identité Google Cloud

Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.

Cette page explique comment utiliser Cloud Identity ou Google Workspace. Pour en savoir plus sur la configuration d'un fournisseur d'identité tiers, consultez Configurer un fournisseur d'identité tiers pour Google Security Operations.

Lorsque vous utilisez Cloud Identity ou Google Workspace, vous créez des comptes utilisateur gérés pour contrôler l'accès aux ressources Google Cloud et à Google SecOps.

Vous créez des stratégies IAM qui définissent les utilisateurs et les groupes autorisés à accéder aux fonctionnalités Google SecOps. Ces règles IAM sont définies à l'aide de rôles et d'autorisations prédéfinis fournis par Google SecOps ou de rôles personnalisés que vous créez.

Lors des étapes permettant d'associer Google SecOps aux services Google Cloud, vous configurez une connexion à l'identité Google Cloud. Une fois cette configuration effectuée, Google SecOps s'intègre directement à Cloud Identity ou Google Workspace pour authentifier les utilisateurs et autoriser ou refuser l'accès aux fonctionnalités en fonction des stratégies IAM que vous créez.

Pour en savoir plus sur la création de comptes Cloud Identity ou Google Workspace, consultez Identités pour les utilisateurs.

Attribuer un rôle pour activer la connexion à Google SecOps

Les étapes suivantes décrivent comment accorder un rôle spécifique à l'aide d'IAM afin qu'un utilisateur puisse se connecter à Google SecOps. Effectuez la configuration à l'aide du projet Google Cloud associé à Google SecOps que vous avez créé précédemment.

Cet exemple utilise la commande gcloud. Pour utiliser la console Google Cloud, consultez Attribuer un seul rôle.

1. Attribuez le rôle Lecteur de l'API Chronicle (roles/chronicle.viewer) aux utilisateurs ou aux groupes qui doivent avoir accès à l'application Google Security Operations.

   L'exemple suivant attribue le rôle de lecteur de l'API Chronicle à un groupe spécifique:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "group:GROUP_EMAIL"
   

   Remplacez les éléments suivants :

   • PROJECT_ID: avec l'ID du projet lié à Google Security Operations que vous avez configuré dans Configurer un projet Google Cloud pour Google Security Operations. Pour en savoir plus sur les champs qui identifient un projet, consultez Créer et gérer des projets.
   • GROUP_EMAIL: alias d'adresse e-mail du groupe, par exemple analyst-t1@example.com.

   Pour attribuer le rôle de lecteur de l'API Chronicle à un utilisateur spécifique, exécutez la commande suivante:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "principal:USER_EMAIL"
   

   Remplacez USER_EMAIL: adresse e-mail de l'utilisateur, par exemple alice@example.com.

   Pour savoir comment attribuer des rôles à d'autres membres, tels qu'un groupe ou un domaine, consultez la documentation de référence gcloud projects add-iam-policy-binding et Identifiants principaux.

2. Configurez des règles IAM supplémentaires pour répondre aux exigences de votre organisation.

Étape suivante

Une fois que vous avez suivi la procédure décrite dans ce document, procédez comme suit:

• Suivez la procédure pour associer une instance Google Security Operations aux services Google Cloud.

• Si vous n'avez pas encore configuré la journalisation des audits, passez à l'étape Activer la journalisation des audits Google Security Operations.

• Si vous configurez pour Google Security Operations, suivez les étapes supplémentaires dans la section Provisionner, authentifier et mapper des utilisateurs dans Google Security Operations.

• Pour configurer l'accès aux fonctionnalités, suivez les étapes supplémentaires dans Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM et Autorisations Google Security Operations dans IAM.