Mengonfigurasi penyedia identitas pihak ketiga

Didukung di:

Anda dapat menggunakan Cloud Identity, Google Workspace, atau penyedia identitas pihak ketiga (seperti Okta atau Azure AD) untuk mengelola pengguna, grup, dan autentikasi.

Halaman ini menjelaskan cara menggunakan penyedia identitas pihak ketiga dengan mengonfigurasi workforce identity federation. Untuk informasi tentang cara menggunakan Cloud Identity atau Google Workspace, lihat Mengonfigurasi penyedia identitas Google Cloud.

Dengan workforce identity federation Google, Anda dapat memberikan akses beban kerja lokal atau multi-cloud ke resource Google Cloud, tanpa harus menggunakan kunci akun layanan. Anda dapat menggunakan workforce identity federation dengan penyedia identitas (IdP) pihak ketiga apa pun yang mendukung OpenID Connect (OIDC), termasuk Microsoft Azure, Okta, atau SAML 2.0.

Google Security Operations mewajibkan penggunaan workforce identity federation Google sebagai broker SSO untuk hal berikut:

  • Pelanggan dengan persyaratan kepatuhan FedRAMP High (atau yang lebih tinggi).
  • Pelanggan yang mengakses kontrol tingkat perusahaan di Google Security Operations yang diaktifkan oleh Google Cloud, termasuk kontrol akses berbasis peran (RBAC) data dan fitur menggunakan Identity and Access Management (IAM).
  • Pelanggan yang menggunakan pengelolaan kredensial layanan mandiri untuk akses terprogram Chronicle API.

Google Security Operations mendukung SSO SAML yang Dimulai Penyedia Layanan (SP) untuk pengguna. Dengan kemampuan ini, pengguna dapat langsung membuka Google Security Operations. Google Security Operations mengirimkan permintaan melalui federasi identitas tenaga kerja Identity and Access Management (IAM) Google Cloud ke penyedia identitas pihak ketiga (IdP).

Setelah IdP mengautentikasi identitas pengguna, pengguna akan dikembalikan ke Google Security Operations dengan pernyataan autentikasi. Federasi identitas tenaga kerja Google Cloud bertindak sebagai perantara dalam alur autentikasi.

Komunikasi antara Google Security Operations, federasi identitas tenaga kerja Google Cloud IAM, dan IdP

Komunikasi antara Google Security Operations, federasi identitas tenaga kerja IAM, dan IdP

Pada tingkat tinggi, komunikasinya adalah sebagai berikut:

  1. Pengguna membuka Google Security Operations.
  2. Google Security Operations mencari informasi IdP di kumpulan identitas tenaga kerja Google Cloud.
  3. Permintaan dikirim ke IdP.
  4. Pernyataan SAML dikirim ke kumpulan identitas tenaga kerja Google Cloud.
  5. Jika autentikasi berhasil, Google Security Operations hanya akan menerima atribut SAML yang ditentukan saat Anda mengonfigurasi penyedia tenaga kerja di kumpulan identitas tenaga kerja.

Administrator Google Security Operations membuat grup di penyedia identitas mereka, mengonfigurasi aplikasi SAML untuk meneruskan informasi keanggotaan grup dalam pernyataan, lalu mengaitkan pengguna dan grup ke peran bawaan di IAM Google Security Operations atau ke peran kustom yang mereka buat.

Login yang dimulai IdP (memulai login dari dasbor IdP) tidak didukung. Hubungi perwakilan Google Security Operations Anda untuk meminta fitur ini jika organisasi Anda memerlukan kemampuan tersebut.

Dokumen ini menjelaskan langkah-langkah umum untuk menyiapkan autentikasi melalui penyedia identitas (IdP) pihak ketiga menggunakan workforce identity federation Google Cloud. Setelah melakukan langkah-langkah dalam dokumen ini, Anda akan dapat mengakses Google Security Operations menggunakan IdP pihak ketiga dan mengelola akses ke Google Security Operations menggunakan SSO SAML melalui federasi identitas tenaga kerja.

Sebelum memulai

Langkah-langkah berikut menjelaskan cara melakukan konfigurasi menggunakan perintah gcloud. Jika langkah dapat dilakukan di konsol Google Cloud, link ke dokumentasi IAM terkait akan diberikan.

Merencanakan penerapan

Bagian berikut menjelaskan keputusan yang harus Anda buat dan informasi yang Anda tentukan sebelum melakukan langkah-langkah dalam dokumen ini.

Menentukan workforce identity pool dan penyedia tenaga kerja

Sebagai bagian dari proses ini, Anda akan mengonfigurasi federasi identitas tenaga kerja Google Cloud sebagai perantara dalam alur autentikasi. Untuk melakukannya, Anda akan membuat resource Google Cloud berikut:

  • Kumpulan tenaga kerja: Kumpulan identitas tenaga kerja memungkinkan Anda memberikan akses ke Google Security Operations kepada tenaga kerja (misalnya, karyawan).
  • Penyedia tenaga kerja: Penyedia tenaga kerja adalah sub-resource dari workforce identity pool. File ini menyimpan detail tentang satu IdP.

Hubungan antara kumpulan identitas tenaga kerja, penyedia tenaga kerja, dan instance Google Security Operations, yang diidentifikasi oleh satu subdomain pelanggan, adalah sebagai berikut:

  • Workforce identity pool ditentukan di tingkat organisasi.
  • Setiap instance Google Security Operations memiliki kumpulan identitas tenaga kerja yang dikonfigurasi dan dikaitkan dengannya.
  • Workforce identity pool dapat memiliki beberapa penyedia tenaga kerja.
  • Setiap penyedia tenaga kerja mengintegrasikan IdP pihak ketiga dengan kumpulan identitas tenaga kerja.
  • Kumpulan identitas tenaga kerja yang Anda buat menggunakan langkah-langkah ini harus dikhususkan untuk Google SecOps. Meskipun Anda dapat mengelola beberapa kumpulan identitas tenaga kerja untuk tujuan lain, kumpulan identitas tenaga kerja yang dibuat untuk Google SecOps tidak dapat dibagikan.
  • Sebaiknya buat kumpulan identitas tenaga kerja di organisasi Google Cloud yang sama dengan yang berisi project yang terikat dengan Google SecOps.

Hal ini membantu menghemat waktu jika Anda menentukan informasi tentang kumpulan identitas tenaga kerja dan penyedia tenaga kerja terlebih dahulu. Anda menggunakan informasi ini saat mengonfigurasi aplikasi SAML IdP dan workforce identity federation.

Pilih nilai untuk ID berikut:

  • ID kumpulan tenaga kerja (WORKFORCE_POOL_ID): pilih nilai yang menunjukkan cakupan atau tujuan kumpulan identitas tenaga kerja. Nilai harus memenuhi persyaratan berikut:
    • Harus unik secara global.
    • Hanya boleh menggunakan karakter huruf kecil [a-z], angka [0-9], dan tanda hubung [-].
    • Harus diawali dengan karakter huruf kecil [a-z].
    • Harus diakhiri dengan karakter huruf kecil [a-z] atau angka [0-9].
    • Panjangnya antara 4 hingga 61 karakter.
  • Nama tampilan kumpulan tenaga kerja (WORKFORCE_POOL_DISPLAY_NAME): tentukan nama yang mudah digunakan untuk kumpulan identitas tenaga kerja.
  • Deskripsi kumpulan tenaga kerja (WORKFORCE_POOL_DESCRIPTION): tentukan deskripsi mendetail tentang kumpulan identitas tenaga kerja.
  • ID penyedia tenaga kerja (WORKFORCE_PROVIDER_ID): pilih nilai yang menunjukkan IdP yang diwakilinya. Nilai harus memenuhi persyaratan berikut:
    • Hanya boleh menggunakan karakter huruf kecil [a-z], angka [0-9], dan tanda hubung [-].
    • Panjangnya dapat antara 4 hingga 32 karakter.
  • Nama tampilan penyedia tenaga kerja (WORKFORCE_PROVIDER_DISPLAY_NAME): tentukan nama yang mudah digunakan untuk penyedia tenaga kerja. Panjangnya harus kurang dari 32 karakter.
  • Deskripsi penyedia tenaga kerja (WORKFORCE_PROVIDER_DESCRIPTION): tentukan deskripsi mendetail tentang penyedia tenaga kerja.

Menentukan atribut dan grup pengguna di IdP

Sebelum membuat aplikasi SAML di IdP, identifikasi atribut dan grup pengguna yang diperlukan untuk mengonfigurasi akses ke fitur di Google Security Operations. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM dan Izin Google Security Operations di IAM.

Anda memerlukan informasi ini selama fase berikut dalam proses ini:

  • Saat mengonfigurasi aplikasi SAML, Anda membuat grup yang ditentukan selama perencanaan. Anda mengonfigurasi aplikasi SAML IdP untuk meneruskan keanggotaan grup dalam pernyataan.

  • Saat membuat penyedia tenaga kerja, Anda memetakan atribut dan grup pernyataan ke atribut Google Cloud. Informasi ini dikirim dalam klaim pernyataan sebagai bagian dari identitas pengguna.

  • Saat menyiapkan kontrol akses berbasis peran di Google Security Operations, Anda menggunakan atribut pengguna dan informasi grup untuk mengonfigurasi akses ke fitur Google Security Operations.

    Google Security Operations menyediakan beberapa peran bawaan yang masing-masing mengizinkan akses ke fitur tertentu. Anda dapat memetakan grup yang ditentukan di aplikasi SAML IdP ke peran bawaan ini.

Pastikan untuk membuat grup IdP bagi administrator yang mengonfigurasi pengguna dan grup yang dapat mengakses fitur terkait SOAR. Selama proses aktivasi, Anda akan memberikan nama grup ini sehingga pengguna dalam grup ini dapat menyiapkan kontrol akses ke fitur terkait SOAR.

Mengonfigurasi IdP

Bagian ini hanya menjelaskan konfigurasi spesifik yang diperlukan dalam aplikasi SAML IdP untuk berintegrasi dengan workforce identity federation Google Cloud dan Google Security Operations.

  1. Buat aplikasi SAML baru di IdP Anda.

  2. Konfigurasikan aplikasi dengan URL Assertion Consumer Service (ACS) berikut, yang juga disebut sebagai URL single sign-on, bergantung pada penyedia layanan.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Ganti kode berikut:

    • WORKFORCE_POOL_ID: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.

    • WORKFORCE_PROVIDER_ID: ID yang Anda tentukan untuk penyedia tenaga kerja.

      Lihat Merencanakan penerapan untuk mengetahui deskripsi nilai ini.

  3. Konfigurasikan aplikasi dengan ID Entitas berikut (juga disebut, ID Entitas SP).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Ganti kode berikut:

    • WORKFORCE_POOL_ID: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.
    • WORKFORCE_PROVIDER_ID: ID yang Anda tentukan untuk penyedia tenaga kerja.

  4. Konfigurasikan ID nama di IdP Anda untuk memastikan kolom NameID ditampilkan dalam respons SAML.

    Anda dapat menetapkannya ke nilai yang mendukung kebijakan organisasi, seperti alamat email atau nama pengguna. Lihat dokumentasi IdP Anda untuk mengetahui informasi tentang cara mengonfigurasi nilai ini. Untuk informasi selengkapnya tentang persyaratan ini, lihat Memecahkan masalah federasi identitas tenaga kerja.

  5. Anda juga dapat membuat atribut grup di aplikasi SAML. Anda menentukannya saat merencanakan penerapan IdP.

  6. Download file XML metadata aplikasi. Di bagian berikutnya, Anda akan mengupload file ini dari sistem lokal ke direktori utama Google Cloud menggunakan Cloud Shell.

Mengonfigurasi workforce identity federation

Bagian ini hanya menjelaskan langkah-langkah spesifik yang diperlukan untuk mengonfigurasi federasi identitas tenaga kerja dengan aplikasi SAML IdP yang Anda buat di bagian sebelumnya. Untuk informasi selengkapnya tentang cara mengelola workforce identity pool, lihat Mengelola penyedia workforce identity pool

  1. Buka konsol Google Cloud sebagai pengguna dengan izin yang diperlukan di project yang terikat dengan Google Security Operations. Anda mengidentifikasi atau membuat pengguna ini sebelumnya. Lihat bagian Sebelum memulai.

  2. Luncurkan sesi Cloud Shell.

  3. Tetapkan project Google Cloud yang ditagih dan dikenai kuota untuk operasi yang dilakukan menggunakan gcloud CLI. Gunakan perintah gcloud berikut sebagai contoh:

    gcloud config set billing/quota_project PROJECT_ID

    Ganti PROJECT_ID dengan project ID project yang terikat dengan Google Security Operations yang Anda buat di Mengonfigurasi project Google Cloud untuk Google Security Operations. Lihat Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.

    Untuk mengetahui informasi tentang kuota, lihat dokumen berikut:

    Jika Anda mengalami error, lihat Error kuota

Membuat dan mengonfigurasi workforce identity pool

Anda dapat mengonfigurasi kumpulan identitas tenaga kerja untuk berintegrasi dengan penyedia identitas (IdP) eksternal atau dengan Google Workspace atau Cloud Identity.

  1. Buat workforce identity pool.

    • Buat workforce identity pool untuk IdP pihak ketiga:

      Gunakan perintah gcloud berikut sebagai contoh:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Ganti kode berikut:

      • WORKFORCE_POOL_ID: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.
      • ORGANIZATION_ID: ID organisasi numerik.
      • WORKFORCE_POOL_DESCRIPTION: menentukan deskripsi workforce identity pool.
      • WORKFORCE_POOL_DISPLAY_NAME: tentukan nama yang mudah digunakan untuk workforce identity pool.

      Untuk melakukan konfigurasi ini menggunakan konsol Google Cloud, lihat Membuat kumpulan.

      Jika Anda ingin menggunakan Google Workspace atau Cloud Identity untuk login ke Google SecOps, tambahkan flag --allowed-services domain=backstory.chronicle.security dan --disable-programmatic-signin ke perintah:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Perintah ini membuat workforce pool yang tidak dapat digunakan untuk login ke Google Cloud, tetapi Anda harus menggunakan flag ini untuk mengatasi skenario ini.

  2. Jika Anda diminta di command line untuk mengaktifkan Chronicle API, ketik Yes.

Membuat penyedia identitas tenaga kerja

  1. Upload file metadata aplikasi SAML ke direktori utama Cloud Shell dengan mengklik Lainnya >. File hanya dapat diupload ke direktori utama Anda. Untuk opsi lain guna mentransfer file antara Cloud Shell dan workstation lokal, lihat Mengupload dan mendownload file dan folder dari Cloud Shell.

  2. Catat jalur direktori tempat Anda mengupload file XML metadata aplikasi SAML di Cloud Shell. Anda akan memerlukan jalur ini di langkah berikutnya.

  3. Buat penyedia workforce identity pool dan tentukan detail IdP.

    Gunakan perintah gcloud berikut sebagai contoh:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Lihat Merencanakan penerapan untuk mengetahui informasi selengkapnya tentang nilai ini.

    Ganti kode berikut:

    • WORKFORCE_PROVIDER_ID: nilai yang Anda tentukan untuk ID penyedia tenaga kerja.
    • WORKFORCE_POOL_ID: nilai yang Anda tentukan untuk ID kumpulan identitas tenaga kerja.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: nama yang mudah digunakan untuk penyedia tenaga kerja. Panjangnya harus kurang dari 32 karakter.
    • WORKFORCE_PROVIDER_DESCRIPTION: deskripsi penyedia tenaga kerja.
    • PATH_TO_METADATA_XML: lokasi direktori Cloud Shell file XML metadata aplikasi yang Anda upload menggunakan Cloud Shell, misalnya: /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: definisi cara memetakan atribut pernyataan ke atribut Google Cloud. Common Expression Language digunakan untuk menafsirkan pemetaan ini. Contoh:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      Contoh sebelumnya memetakan atribut berikut:

      • assertion.subject ke google.subject. Ini adalah persyaratan minimum.
      • assertion.attributes.name[0] ke google.display_name.
      • assertion.attributes.groups ke atribut google.groups.

      Jika Anda melakukan konfigurasi ini untuk Google Security Operations, yang mencakup Google Security Operations SIEM dan Google Security Operations SOAR, Anda juga harus memetakan atribut berikut yang diperlukan oleh Google Security Operations SOAR:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Lihat informasi selengkapnya tentang menyediakan dan memetakan pengguna untuk Google Security Operations SOAR.

      Secara default, Google Security Operations membaca informasi grup dari nama atribut pernyataan berikut yang tidak peka huruf besar/kecil: _assertion.attributes.groups_, _assertion.attributes.idpGroup_, dan _assertion.attributes.memberOf_.

      Saat mengonfigurasi aplikasi SAML untuk meneruskan informasi keanggotaan grup dalam pernyataan, tetapkan nama atribut grup ke _group_, _idpGroup_, atau _memberOf_.

      Dalam contoh perintah, Anda dapat mengganti assertion.attributes.groups dengan assertion.attributes.idpGroup atau assertion.attributes.memberOf, yang mewakili nama atribut grup yang Anda konfigurasikan di aplikasi SAML IdP dan yang berisi informasi keanggotaan grup dalam pernyataan.

      Contoh berikut memetakan beberapa grup ke atribut google.groups:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      Contoh berikut memetakan grup http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group yang berisi karakter khusus ke google.groups:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Untuk informasi selengkapnya tentang pemetaan atribut, lihat Pemetaan Atribut.

      Untuk melakukan konfigurasi ini menggunakan konsol Google Cloud, lihat Membuat penyedia SAML.

Memberikan peran untuk mengaktifkan login ke Google Security Operations

Langkah-langkah berikut menjelaskan cara memberikan peran tertentu menggunakan IAM sehingga pengguna dapat login ke Google Security Operations. Lakukan konfigurasi menggunakan project Google Cloud yang terikat dengan Google Security Operations yang Anda buat sebelumnya.

Contoh ini menggunakan perintah gcloud. Untuk menggunakan konsol Google Cloud, lihat Memberikan satu peran.

  1. Berikan peran Chronicle API Viewer (roles/chronicle.viewer) kepada pengguna atau grup yang harus memiliki akses ke aplikasi Google Security Operations.

    Contoh berikut memberikan peran Chronicle API Viewer ke identitas yang dikelola menggunakan kumpulan identitas tenaga kerja dan penyedia tenaga kerja yang Anda buat sebelumnya.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Ganti kode berikut:

    Untuk memberikan peran Chronicle API Viewer ke grup tertentu, jalankan perintah berikut:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Ganti GROUP_ID: grup dalam klaim google.groups yang dipetakan.

  2. Konfigurasikan kebijakan IAM tambahan untuk memenuhi persyaratan organisasi Anda.

Memverifikasi atau mengonfigurasi kontrol akses fitur Google Security Operations

Jika Anda mengonfigurasi federasi identitas tenaga kerja dengan atribut atau grup yang dipetakan ke atribut google.groups, informasi ini akan diteruskan ke Google Security Operations sehingga Anda dapat mengonfigurasi kontrol akses berbasis peran (RBAC) ke fitur Google Security Operations.

Jika instance Google Security Operations memiliki konfigurasi RBAC yang sudah ada, pastikan konfigurasi asli berfungsi seperti yang diharapkan.

Jika Anda belum pernah mengonfigurasi kontrol akses, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM untuk mengetahui informasi tentang cara mengontrol akses ke fitur.

Mengubah konfigurasi workforce identity federation

Jika Anda perlu memperbarui workforce identity pool atau penyedia tenaga kerja, lihat Mengelola penyedia workforce identity pool untuk mengetahui informasi tentang cara memperbarui konfigurasi.

Bagian Pengelolaan kunci di Membuat penyedia kumpulan tenaga kerja SAML menjelaskan cara memperbarui kunci penandatanganan IdP, lalu memperbarui konfigurasi penyedia tenaga kerja dengan file XML metadata aplikasi terbaru.

Berikut adalah contoh perintah gcloud yang memperbarui konfigurasi penyedia tenaga kerja:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Ganti kode berikut:

  • WORKFORCE_PROVIDER_ID: nilai yang Anda tentukan untuk ID penyedia tenaga kerja.
  • WORKFORCE_POOL_ID: nilai yang Anda tentukan untuk ID kumpulan identitas tenaga kerja.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: nama yang mudah digunakan untuk penyedia tenaga kerja. Nilai harus kurang dari 32 karakter.
  • WORKFORCE_PROVIDER_DESCRIPTION: deskripsi penyedia tenaga kerja.
  • PATH_TO_METADATA_XML: lokasi file XML metadata aplikasi yang diperbarui, misalnya: /path/to/sso_metadata_updated.xml.

  • ATTRIBUTE_MAPPINGS: atribut pernyataan yang dipetakan ke atribut Google Cloud. Contoh:

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Untuk memastikan bahwa RBAC Google SecOps terus berfungsi seperti yang diharapkan, petakan juga atribut google.groups ke semua grup yang digunakan untuk menentukan peran di Google SecOps.

Memecahkan masalah terkait konfigurasi

Jika Anda mengalami error selama proses ini, tinjau Memecahkan masalah workforce identity federation untuk mengatasi masalah umum. Bagian berikut memberikan informasi tentang masalah umum yang dihadapi saat melakukan langkah-langkah dalam dokumen ini.

Jika Anda masih mengalami masalah, hubungi perwakilan Google SecOps Anda dan berikan File Log Jaringan Chrome.

Error command not found saat membuat penyedia workforce identity pool

Saat membuat penyedia workforce identity pool dan menentukan detail IdP, Anda akan mendapatkan error berikut:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Pastikan PATH_TO_METADATA_XML adalah lokasi tempat Anda mengupload file XML metadata aplikasi SAML ke direktori beranda Cloud Shell.

The caller does not have permission error

Saat menjalankan perintah gcloud projects add-iam-policy-binding untuk memberikan peran kepada pengguna atau grup, Anda akan mendapatkan error berikut:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Pastikan Anda memiliki izin yang diperlukan. Lihat Peran yang diperlukan untuk mengetahui informasi selengkapnya.

Langkah selanjutnya

Setelah menyelesaikan langkah-langkah dalam dokumen ini, lakukan hal berikut: