Definir a duração da sessão para os serviços do Google Cloud

Como administrador, você controla por quanto tempo diversos usuários podem acessar o console do Google Cloud e o SDK Cloud sem precisar fazer uma nova autenticação. Por exemplo, talvez você queira que os usuários com mais privilégios, como proprietários de projetos, administradores de faturamento ou outros com funções de administrador, façam uma nova autenticação com mais frequência do que os outros usuários.​​​​​​ Quando você define a duração de sessão, esses usuários precisam fazer login novamente depois de do tempo determinado.

A configuração de duração da sessão é válida para estes itens:

Observação: a configuração de duração da sessão do Cloud não se aplica ao app para dispositivos móveis do console e tem limitações no console. Recomendamos que você use esse recurso com o controle da sessão do Google, que aplica uma duração de sessão a todas as propriedades da Web do Google. 

Definir a política de reautenticação

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de acessoe depoisControle de sessão do Google Cloud.
  3. À esquerda, selecione a unidade organizacional em que você quer definir a duração da sessão. 
    Para incluir todos os usuários, selecione a unidade organizacional de nível superior. Geralmente as unidades organizacionais herdam as configurações da unidade mãe.
  4. Em Política de reautenticação, selecione Exigir a reautenticação e escolha Frequência de reautenticação na lista suspensa.

    A duração mínima permitida é de uma hora, e a máxima é de 24 horas. A frequência não inclui o período de inatividade de um usuário na sessão. A duração é o tempo fixo que decorre antes que o usuário precise fazer login de novo.

    Também é possível marcar a caixa Apps confiáveis isentos para que esses apps não sejam incluídos na nova autenticação. Os apps em que você confia são marcados como "Confiáveis" na página Controle de acesso de apps. Veja mais detalhes abaixo em Preparar o lançamento para todos os usuários. Consulte também Controlar quais apps internos e de terceiros acessam os dados do Google Workspace.
     
  5. Em Método de reautenticação, selecione Senha ou Chave de segurança para especificar como o usuário precisa fazer a autenticação novamente.
  6. Se você estiver configurando a política de reautenticação na unidade organizacional, clique no botão Modificar no canto inferior direito para manter a configuração mesmo quando a configuração principal for alterada.
  7. Se o status da unidade organizacional já for Modificado, escolha uma destas opções:
    • Herdar: reverte para a configuração mãe.
    • Salvar: salva a nova configuração (mesmo se a configuração mestre for alterada).

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Preparar o lançamento para todos os usuários

A política de reautenticação configurada aqui é válida para todos os apps do Google e de terceiros que acessam os recursos do Google Cloud exigindo o escopo desse produto. Recomendamos que você teste o funcionamento da política em cada app com um pequeno grupo de usuários. Para fazer isso, adicione esses usuários à lista de apps confiáveis antes do lançamento para todos os usuários.

Veja instruções sobre como ver os apps usados atualmente pela sua organização em Controlar quais apps internos e de terceiros acessam os dados do Google Workspace. Filtre os apps que exigem o serviço do Google Cloud.

Quando a duração de sessão configurada expira, o app exige a reautenticação do usuário. Isso também acontece quando um administrador revoga os tokens de atualização do app.

Em alguns apps, a reautenticação pode causar falhas ou stack traces. Outros apps são usados entre servidores com credenciais de usuário, em vez de usar a credencial de conta de serviço recomendada, e não têm um usuário para fazer a reautenticação periodicamente.

Se você tiver esses problemas, poderá criar uma lista de apps confiáveis, isentando esses apps temporariamente das limitações de duração de sessão, e implementar controles de sessão em todas as outras superfícies de administração do Google Cloud. Adicione os apps à lista de apps confiáveis em Controle de acesso aos apps e ative Apps confiáveis isentos na configuração Controle da sessão do Google Cloud.

Recuperar do erro relacionado à reautenticação

Você poderá receber uma resposta de erro relacionado à reautenticação de apps de terceiros após a expiração de uma sessão. Para retomar o uso desses apps, os usuários podem fazer login no app novamente e iniciar uma nova sessão.

Os apps que usam o Application Default Credentials (ADC) com credenciais de usuário são considerados de terceiros. Essas credenciais são válidas somente para a duração da sessão configurada. Quando essa sessão expirar, os apps que usam o ADC também poderão retornar uma resposta de erro relacionado à reautenticação. Os desenvolvedores podem autorizar o app novamente executando o comando gcloud auth application-default login para extrair novas credenciais.

Considerações

Quando e como os usuários fazem login

Se alguns usuários precisarem fazer login com mais frequência do que outros, separe-os em unidades organizacionais distintas. Depois, defina durações de sessão diferentes para eles. Dessa forma, usuários determinados não precisam ser interrompidos com a solicitação de um novo login.

Se você exige uma chave de segurança, os usuários só podem acessar o console e o SDK Cloud com uma chave configurada. Depois disso, eles podem passar a usar uma senha em vez da chave de segurança, se quiserem.

Provedores de identidade de terceiros

  • No console: quando você exige que o usuário faça uma nova autenticação usando senha, ele é redirecionado para o provedor de identidade (IdP). Se o usuário já tem uma sessão ativa no IdP, talvez não precise digitar a senha para iniciar outra sessão do console. Isso acontece porque outro app que deixa a sessão permanecer ativa está sendo usado.

    Se um usuário precisar fazer uma nova autenticação tocando na chave de segurança, ele pode fazer isso no console. Neste caso, ele não é redirecionado para o IdP.

  • No SDK do Cloud: se for necessária uma senha para fazer a reautenticação, o gcloud vai pedir que o usuário execute o comando gcloud auth login para renovar a sessão. Isso abre uma janela do navegador, e o usuário é direcionado para o IdP, que pode exigir credenciais, se não houver uma sessão ativa.

    Se um usuário precisar se autenticar novamente tocando na chave de segurança, ele pode fazer isso no SDK do Cloud. Neste caso, ele não é redirecionado para o IdP.

Temas relacionados

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
15953958267539554876
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false