Correggi l'accesso negato con Policy Remediator

Questa pagina mostra come abilitare e utilizzare Policy Remediator.

Quando gli utenti tentano di accedere a una Google Cloud risorsa, ma non rispettano la policy di accesso per la risorsa, l'accesso viene negato e viene visualizzato un messaggio di errore 403 generico. Puoi utilizzare Policy Remediator per fornire agli utenti passaggi pratici che possono intraprendere per risolvere il problema prima di contattare un amministratore per ulteriore assistenza. Le azioni di correzione specifiche dipendono dalle policy di accesso, ma possono includere operazioni come l'attivazione del blocco schermo, l'aggiornamento della versione del sistema operativo o l'accesso a un'app da una rete consentita dalla tua azienda.

Abilitare Policy Remediator

  1. Concedi all'amministratore dell'organizzazione il ruolo roles/policyremediatormanager.policyRemediatorAdmin a livello di organizzazione eseguendo i seguenti comandi in Google Cloud CLI:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l' Google Cloud ID organizzazione.
    • PRINCIPAL: l'identificatore dell'entità o del membro, che in genere ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com.

  2. Abilita l'API Policy Remediator Manager eseguendo il seguente comando:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Chiama Policy Remediator Manager per abilitare Policy Remediator per i progetti di un'organizzazione. In questo modo viene creato un service agent.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l' Google Cloud ID organizzazione.
    • ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso. 
      gcloud auth print-access-token
    • PROJECT_ID: l' Google Cloud ID progetto.

    Di seguito è riportata una risposta di esempio, che contiene i dettagli dell'agente di servizio:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    Dove ORGANIZATION_ID è l' Google Cloud ID organizzazione.

  4. In Google Cloud CLI, esegui il seguente comando per accedere all'agente di servizio che hai creato:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l' Google Cloud ID organizzazione.
    • ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso. 
      gcloud auth print-access-token
    • PROJECT_ID: l' Google Cloud ID progetto.

    Dovresti ricevere l'email del service agent nel seguente formato:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    Dove ORGANIZATION_ID è l' Google Cloud ID organizzazione.

Assegnare il ruolo dell'agente di servizio nella Console di amministrazione Google

  1. Accedi alla Console di amministrazione Google.

    Vai alla Console di amministrazione Google

  2. Vai a Account > Ruoli amministratore e fai clic su Crea nuovo ruolo.

    • Inserisci un nome e una descrizione (facoltativa) per il ruolo e fai clic su Continua.

    • In Privilegi della Console di amministrazione, vai a Servizi > Gestione di dispositivi mobili e dispositivi e seleziona l'autorizzazione Gestisce dispositivi e impostazioni.

    • In Privilegi delle API Admin, vai a Gruppi e seleziona l'autorizzazione Lettura.

    • Fai clic su Continua, conferma le voci e completa la creazione del ruolo.

    • Vai ad Assegna service account e inserisci l'indirizzo email dell'agente di servizio appena creato service account.

    • Fai clic su Aggiungi > Assegna ruolo.

  3. In Google Cloud CLI, esegui i seguenti comandi per concedere il ruolo di agente di servizio (policyremediator.serviceAgent) all'agente di servizio a livello di organizzazione. In questo modo, l'agente di servizio ha l'autorizzazione a leggere Identity and Access Management e altre policy di accesso per la tua organizzazione.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Sostituisci ORGANIZATION_ID con l' Google Cloud ID organizzazione.

Abilitare Policy Remediator per una risorsa IAP

  1. Vai alla pagina Identity-Aware Proxy (IAP).
    Vai a IAP

  2. Seleziona una risorsa e fai clic su Impostazioni.

  3. Vai a Correggi accesso e seleziona Genera azioni di correzione.

Concedere il ruolo di correttore

Per concedere agli utenti l'autorizzazione a correggere l'accesso negato alle risorse IAP, esegui il seguente comando in Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Sostituisci PRINCIPAL con un identificatore dell'entità o del membro, che in genere ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com.

Per ulteriori informazioni, vedi gcloud IAP web add-iam-policy-binding.

Per concedere agli utenti l'autorizzazione a correggere l'accesso alle risorse IAP a livello di progetto, esegui il seguente comando in Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Sostituisci quanto segue:

  • PROJECT_ID: l' Google Cloud ID progetto.
  • PRINCIPAL: l'identificatore dell'entità o del membro, che in genere ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio, user:my-user@example.com.

Correggere con l'help desk

Quando agli utenti finali viene negato l'accesso, vengono reindirizzati a una pagina di Chrome Enterprise Premium che contiene informazioni per la risoluzione dei problemi, tra cui un URL per la risoluzione dei problemi e un token di correzione. Se gli utenti non hanno l'autorizzazione ad aprire il token di correzione, possono copiarlo e inviarlo all'help desk per ulteriore assistenza.

Attributi delle policy e messaggi associati

La tabella seguente fornisce l'elenco degli attributi supportati da Policy Remediator.

Attributo Messaggio predefinito
ip_address Stai accedendo all'app da una rete
non consentita dalla tua azienda.
region_code Accedi a questa app da una regione
consentita dalla tua azienda.
is_secured_with_screenlock Imposta una password di blocco dello schermo sul tuo dispositivo.
Disattiva la password di blocco dello schermo sul tuo dispositivo.
verified_chrome_os Utilizza un dispositivo con [tipo di sistema operativo] verificato.
Utilizza un dispositivo senza [tipo di sistema operativo] verificato.
is_admin_approved_device Utilizza un dispositivo approvato dall'amministratore dell'organizzazione.
Utilizza un dispositivo non approvato dall'amministratore dell'organizzazione.
is_corp_owned_device Utilizza un dispositivo di proprietà della tua organizzazione.
Utilizza un dispositivo non di proprietà della tua organizzazione.
encryption_status Utilizza un dispositivo criptato.
Utilizza un dispositivo non criptato.
os_type Passa a un dispositivo [tipo di sistema operativo].
I dispositivi [tipo di sistema operativo] non possono accedere a questa app.
os_version Esegui l'aggiornamento a una versione del sistema operativo che sia almeno [versione].
Esegui il downgrade del sistema operativo a una versione precedente a [versione].

Risoluzione dei problemi

Policy Remediator non può generare correzioni quando si verifica una delle seguenti condizioni:

  • Una risorsa ha policy in conflitto, ad esempio un utente deve connettersi utilizzando Windows e macOS.
  • L'attributo non è supportato da Policy Remediator.
  • L'agente di servizio non ha l'autorizzazione a correggere.