Esta página foi traduzida pela API Cloud Translation.

Configurar um Google Cloud provedor de identidade

Compatível com:

Google SecOps SIEM

É possível usar o Cloud Identity, o Google Workspace ou um provedor de identidade de terceiros (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.

Esta página descreve como usar o Cloud Identity ou o Google Workspace.

Ao usar o Cloud Identity ou o Google Workspace, você cria contas de usuário gerenciadas para controlar o acesso aos recursos do Google Cloud e ao Google SecOps.

Você cria políticas do IAM que definem quais usuários e grupos têm acesso aos recursos do Google SecOps. Essas políticas do IAM são definidas usando papéis e permissões predefinidos fornecidos pelo Google SecOps ou papéis personalizados criados por você.

Ao vincular uma instância do Google SecOps aos serviços do Google Cloud, configure uma conexão com um IdP do Google Cloud . A instância do Google SecOps se integra diretamente ao Cloud Identity ou ao Google Workspace para autenticar usuários e aplicar o controle de acesso com base nas políticas do IAM configuradas.

Consulte Identidades para usuários para informações detalhadas sobre como criar contas do Cloud Identity ou do Google Workspace.

Conceder uma função para ativar o login no Google SecOps

As etapas a seguir descrevem como conceder uma função específica usando o IAM para que um usuário possa fazer login no Google SecOps. Faça a configuração usando o projeto Google Cloud vinculado ao Google SecOps que você criou antes.

Conceda o papel Leitor da API Chronicle (roles/chronicle.viewer) a usuários ou grupos que precisam ter acesso ao aplicativo Google Security Operations.

Observação: os exemplos a seguir usam o comando gcloud. Para usar o console Google Cloud , consulte Conceder um único papel.
Importante: os exemplos a seguir não configuram a autorização para recursos do Google SecOps. Isso é feito usando o IAM para controle de acesso a recursos.
- O exemplo a seguir concede o papel de leitor da API Chronicle a um grupo específico:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"
```
  Substitua:
  - PROJECT_ID: com o ID do projeto vinculado ao Google Security Operations que você configurou em Configurar um projeto Google Cloud para o Google Security Operations. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.
  - GROUP_EMAIL: o alias de e-mail do grupo, como analyst-t1@example.com.
- Para conceder o papel de leitor da API Chronicle a um usuário específico, execute o seguinte comando:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principal:USER_EMAIL"
```
  Substitua USER_EMAIL pelo endereço de e-mail do usuário, como alice@example.com.
- Para exemplos de como conceder papéis a outros membros, como um grupo ou domínio, consulte a documentação de referência gcloud projects add-iam-policy-binding e Identificadores principais.
Configure outras políticas do IAM para atender aos requisitos de acesso e segurança da sua organização.

A seguir

Depois de concluir as etapas deste documento, faça o seguinte:

Siga as etapas para vincular uma instância do Google Security Operations aos Google Cloud serviços.
Se você ainda não configurou o registro de auditoria, continue com a ativação do registro de auditoria do Google Security Operations.
Se você estiver configurando para o Google Security Operations, siga as etapas adicionais em Provisionar, autenticar e mapear usuários no Google Security Operations.
Para configurar o acesso a recursos, siga as etapas adicionais em Configurar o controle de acesso a recursos usando o IAM e Permissões do Google Security Operations no IAM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.