Tingkat Akses Kontekstual menggabungkan kondisi dan nilai yang menentukan konteks pengguna atau perangkat. Tingkat akses ini menentukan konteks akses aplikasi bagi pengguna.
Misalnya, Anda dapat membuat tingkat akses untuk mengakses Gmail yang mengharuskan pengguna terhubung dari rentang alamat IP tertentu dan mengharuskan perangkat mereka untuk dienkripsi.
Catatan: Sebelum membuat tingkat akses, Anda harus men-deploy verifikasi endpoint dan mengaktifkan Akses Kontekstual. Buka Menyiapkan verifikasi endpoint dan Mengaktifkan Akses Kontekstual di Men-deploy Akses Kontekstual untuk mengetahui detailnya.
Membuat tingkat akses
Tingkat akses terdiri dari satu atau beberapa kondisi yang Anda tentukan. Untuk mengakses aplikasi, pengguna harus memenuhi kondisi tersebut. Kondisi tingkat akses berisi atribut yang dapat Anda pilih, seperti kebijakan perangkat, subnet IP, atau tingkat akses lainnya.
Anda dapat membuat tingkat akses dalam 2 mode berbeda, Dasar dan Lanjutan. Mode dasar memberi Anda daftar atribut yang telah ditetapkan yang dapat dipilih. Jika Anda perlu menggunakan atribut yang tidak ada di antarmuka, buat tingkat akses kustom di Mode lanjutan.
Catatan: Ketika Anda mengubah tingkat akses, perubahan tersebut akan langsung diterapkan. Perhatikan bahwa perubahan pada tingkat akses akan memengaruhi pengguna segera setelah Anda membuat perubahan. Pastikan perubahannya sesuai dengan keinginan Anda.
Buka bagian | Ciutkan semua & ke bagian atas
- Pilih Tingkat akses.
Anda akan melihat daftar tingkat akses yang ditentukan. Tingkat akses adalah resource bersama antara Google Workspace dan Google Cloud, sehingga Anda mungkin melihat tingkat akses yang tidak Anda buat dalam daftar. Untuk menunjukkan tim mana yang membuat tingkat akses, pertimbangkan untuk memasukkan platform ke dalam nama tingkat akses. - Di kanan atas, pilih Buat tingkat akses.
Mode dasar dipilih secara default. Anda akan menentukan tingkat akses dengan menambahkan satu atau beberapa kondisi ke tingkat akses. Lalu, tentukan setiap kondisi dengan menetapkan satu atau beberapa atribut.Catatan: Sebaiknya jangan gunakan antarmuka Google Cloud Platform (GCP) untuk menambahkan atau mengubah tingkat Akses Kontekstual jika Anda adalah pelanggan khusus Workspace. Jika Anda menambahkan atau mengubah tingkat akses menggunakan metode selain antarmuka Akses Kontekstual, pesan error ini dapat muncul: Atribut yang tidak didukung digunakan di Google Workspace, dan pengguna dapat diblokir.
- Tambahkan nama tingkat akses dan deskripsi opsional.
- Untuk kondisi tingkat akses yang ditambahkan, tetapkan apakah kondisi tersebut akan berlaku saat pengguna:
- Memenuhi atribut—Pengguna harus memenuhi semua atribut dalam kondisi.
- Tidak memenuhi atribut—Pengguna tidak memenuhi atribut mana pun dalam kondisi. Opsi ini menentukan kebalikan dari kondisi dan paling sering digunakan untuk atribut subnet IP. Misalnya, jika Anda menentukan subnet IP dan "tidak memenuhi", yang akan cocok dengan kondisi tersebut hanyalah pengguna dengan alamat IP di luar rentang yang ditentukan.
- Klik Tambahkan Atribut untuk menambahkan satu atau beberapa atribut ke kondisi tingkat akses. Atribut yang dapat Anda tambahkan adalah:
- Subnet IP—Alamat IPv4 atau IPv6, atau prefiks pemilihan rute dalam notasi blok CIDR.
- Alamat IP pribadi tidak didukung (termasuk jaringan rumah milik pengguna).
- Alamat IP statis didukung.
- Untuk menggunakan alamat IP dinamis, Anda harus menentukan subnet IP statis untuk tingkat akses. Akses akan diberikan jika Anda mengetahui rentang alamat IP dinamis dan alamat IP statis yang ditentukan di tingkat akses mencakup rentang tersebut. Akses ditolak jika alamat IP dinamis tidak ada dalam subnet IP statis yang ditentukan.
- Lokasi—Negara/wilayah tempat pengguna mengakses layanan Google Workspace. Perangkat dengan alamat IP internal tidak didukung karena alamat IP tersebut tidak unik secara global.
- Kebijakan perangkat (hanya pilih kebijakan perangkat yang perlu Anda terapkan)—
- Persetujuan admin diperlukan (jika diperlukan, perangkat harus disetujui).
- Perangkat milik perusahaan diwajibkan.
- Kunci layar diwajibkan.
- Enkripsi perangkat (Tidak didukung, Tidak dienkripsi, Dienkripsi).
- OS Perangkat (pengguna hanya dapat mengakses Google Workspace dengan sistem operasi yang Anda pilih. Tetapkan versi sistem operasi minimum, atau izinkan versi apa pun. Gunakan format major.minor.patch untuk versi sistem operasi)—
- macOS
- Windows
- Linux
- Chrome OS
- iOS
- Android
- Tingkat akses (harus memenuhi persyaratan tingkat akses yang ada).
- Subnet IP—Alamat IPv4 atau IPv6, atau prefiks pemilihan rute dalam notasi blok CIDR.
- Untuk menambahkan kondisi lainnya ke tingkat akses, klik Tambahkan kondisi, lalu tambahkan atribut ke kondisi.
- Tentukan kondisi yang harus dipenuhi pengguna:
- Dan—Pengguna harus memenuhi kondisi utama dan kondisi tambahan.
- Atau—Pengguna harus memenuhi salah satu kondisi saja.
- Setelah Anda selesai menambahkan kondisi tingkat akses, simpan definisi tingkat akses dengan mengklik Simpan.
- Pilih tindakan untuk tingkat akses:
- Tetapkan tingkat akses ini ke aplikasi.
- Buat aturan perlindungan data dengan tingkat akses ini. Jika memilih opsi ini, Anda akan memulai wizard pembuatan aturan. Pelajari lebih lanjut cara menggabungkan aturan perlindungan data dengan tingkat Akses Kontekstual.
Contoh tingkat akses—dibuat dalam Mode dasar
Contoh ini menampilkan tingkat akses yang disebut “corp_access”. Jika “corp_access” diterapkan ke Gmail, pengguna dapat mengakses Gmail hanya dari perangkat yang dienkripsi dan milik perusahaan, dan hanya dari AS atau Kanada.
Nama tingkat akses | corp_access |
Pengguna mendapatkan akses jika | Memenuhi semua atribut dalam kondisi |
Atribut kondisi 1 |
Kebijakan perangkat |
Gabungkan kondisi 1 dan kondisi 2 dengan | DAN |
Pengguna mendapatkan akses jika | Memenuhi semua atribut dalam kondisi |
Atribut Kondisi 2 |
Asal geografis
|
Untuk mengetahui contoh lainnya, lihat Contoh Akses Kontekstual untuk Mode dasar.
Mode ini memungkinkan Anda membuat tingkat akses yang tidak dapat dibuat di pembuat kondisi antarmuka Akses Kontekstual. Contoh:
- Administrator mungkin perlu membuat tingkat akses yang menyertakan kondisi vendor untuk integrasi pihak ketiga.
- Beberapa atribut lanjutan tidak dapat diakses dari antarmuka kondisi Mode dasar, seperti kemampuan untuk menggunakan autentikasi berbasis sertifikat.
Dalam mode ini, Anda membuat tingkat akses kustom di jendela pengeditan menggunakan Common Expression Language (CEL).
Untuk menentukan tingkat akses menggunakan Mode lanjutan:
- Pilih Tingkat akses.
Anda akan melihat daftar tingkat akses yang ditentukan. Tingkat akses adalah resource bersama antara Google Workspace, Cloud Identity, dan Google Cloud, sehingga Anda mungkin melihat tingkat akses yang tidak Anda buat dalam daftar. Untuk menunjukkan tim mana yang membuat tingkat akses, pertimbangkan untuk memasukkan platform ke dalam nama tingkat akses. - Pilih Buat tingkat akses.
- Pilih Mode Lanjutan.
- Tambahkan nama tingkat akses dan deskripsi opsional.
Anda menentukan tingkat akses dengan menulis ekspresi CEL. - Buat tingkat akses kustom Anda di editor ekspresi CEL.
Untuk melakukannya, Anda memerlukan pengalaman menggunakan CEL. Untuk mengetahui panduan dan contoh ekspresi yang didukung dalam membuat tingkat akses kustom, buka Spesifikasi tingkat akses kustom . - Klik Simpan.
Ekspresi dikompilasi dan semua error sintaksis dilaporkan.- Jika tidak ada error sintaksis, tingkat akses kustom Anda akan disimpan, dan Anda dapat menetapkannya ke aplikasi.
- Jika ada error sintaksis, Anda akan melihat pesan Perbaiki error untuk melanjutkan dengan error compiler (hanya dalam bahasa Inggris) khusus untuk ekspresi yang baru saja Anda buat. Anda dapat memperbaiki error dan menyimpannya lagi. Jika tingkat akses kustom tidak berisi error dan telah disimpan, Anda dapat menetapkan tingkat akses ini ke aplikasi.
Contoh tingkat akses—dibuat dalam Mode lanjutan
Contoh ini menunjukkan tingkat akses yang mengharuskan ketentuan berikut terpenuhi untuk mengizinkan permintaan:
- Perangkat asal dienkripsi.
- Satu atau beberapa hal berikut berlaku:
- Permintaan ini berasal dari Amerika Serikat.
- Perangkat tempat permintaan berasal disetujui oleh administrator domain.
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
Untuk mengetahui contoh lainnya, lihat Contoh Akses Kontekstual untuk Mode lanjutan.
Langkah berikutnya: tetapkan tingkat akses ke aplikasi
Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.