作为管理员,您可以控制不同用户在使用 Google Cloud 控制台和 Cloud SDK 多长时间后必须重新进行身份验证。举例来说,对于拥有较高权限的用户(例如项目所有者和结算管理员)或是拥有管理员角色的其他用户,您可能希望让他们比普通用户更频繁地重新进行身份验证。如果您设置了会话时长,当会话时间达到该时长时,系统就会提示用户重新登录,以开始新的会话。
会话时长设置适用于:
- Google Cloud 控制台
- gcloud 命令行工具 (Cloud SDK)
- 所有需要用户授权 Google Cloud 范围的应用(包括第三方应用或您自己的应用)。要在应用访问权限控制界面中查看需要 Google Cloud 范围的应用,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据。
注意:Cloud 会话时长设置不适用于控制台移动应用,且在控制台中也会受到限制。我们建议您将此功能与 Google 会话控制功能搭配使用,为所有 Google 网站媒体资源应用会话时长。
设置关于重新进行身份验证的政策
-
-
在管理控制台中,依次点击“菜单”图标 安全性 访问权限和数据控件 Google Cloud 会话控制。
- 在左侧,选择需要设置会话时长的组织部门。
如要为所有用户设置,请选择顶级组织部门。在初始状态下,组织部门会沿用其上级组织的设置。 - 在重新身份验证政策下方,选择需要重新身份验证,然后从下拉列表中选择重新身份验证频率。
可设置的最低频率为 1 小时,最高频率为 24 小时。此频率不包含用户在会话中处于非活跃状态的时长。这是一个固定时长,用户在该时长结束后必须重新登录。
您还可以选中可信应用可免复选框,让受信任的应用不必重新进行身份验证(受信任的应用会在应用访问权限控制页面上标为“受信任”。有关详情,请参阅下文中的为大范围的部署做好准备。另请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据)。
- 在重新身份验证方法下方,选择密码或安全密钥以指定用户重新进行身份验证的方式。
- 如果您要为组织部门设置重新身份验证政策,请点击右下角的覆盖按钮,以保持设置不变,即使上级组织的设置发生变化也不受影响。
- 如果组织部门的状态已经为已覆盖,请从下列选项中选择一项:
- 继承:恢复为与上级组织相同的设置。
- 保存:保存新设置(即使上级组织的设置发生变化也应用新设置)。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
为大范围的部署做好准备
您在此处配置的重新验证身份政策适用于在访问 Google Cloud 资源时需要申请 Google Cloud 范围的所有 Google 应用和第三方应用。我们建议您先在一小组用户的范围内仔细开展测试(将这些用户添加到受信任的应用列表),以了解政策对每个应用的实施效果,然后再进行更大范围的部署。
如需了解如何查看贵组织目前使用的应用,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据。请务必过滤出需要 Google Cloud 服务的应用。
当配置的会话时长结束时,应用会要求用户重新进行身份验证才能继续操作。这与管理员撤销该应用的刷新令牌后出现的情况类似。
一些应用可能无法妥善处理重新进行身份验证的情况,造成应用意外崩溃或堆栈轨迹。还有一些应用专为服务器到服务器用例部署,所使用的是用户凭据而不是推荐的服务帐号凭据。在这种情况下,用户不需要定期重新进行身份验证。
如果您受到以上情况的影响,则可以将相应应用添加到受信任列表,暂时为这些应用解除会话时长限制,同时为所有其他 Google Cloud 管理员界面实施会话控制。您可以在应用访问权限控制页面中将应用添加到受信任的应用列表,然后在 Cloud 会话控制设置中勾选可信应用可免复选框。
从与重新验证身份相关的错误中恢复
会话过期后,您可能会收到来自第三方应用的与重新验证身份相关的错误响应。如要继续使用这些应用,用户可以重新登录相应应用以开始新的会话。
第三方应用是指将应用默认凭据 (ADC) 与用户凭据结合使用的应用。这些凭据仅在配置的会话时长内有效。会话过期后,使用 ADC 的应用可能也会返回与重新验证身份相关的错误响应。开发者可以运行 gcloud auth application-default login
命令来获取新的凭据,从而重新向相应应用授权。
注意事项
用户登录的时间和方式
如果您希望部分用户的登录频率高于其他用户,请将这两类用户分别划归到不同的组织部门中。然后,为他们应用不同的会话时长。这样一来,系统在非必要时便不会要求某些用户重新登录。
如果您要求用户使用安全密钥,则没有安全密钥的用户在设置安全密钥前,将无法使用控制台 或 Cloud SDK。待设置了安全密钥后,这类用户便可在需要时改为使用密码进行身份验证。
第三方身份提供商
- 对于 Google Cloud 控制台 - 如果您要求用户使用密码重新进行身份验证,系统就会将其重定向至身份提供商 (IdP)。如果用户在 IdP 中已有正在进行中的会话,那么 IdP 可能不会要求该用户重新输入密码来再开始一个 Google Cloud 控制台会话,这是因为该用户当前使用的另一个应用会让会话保持运行。
如果用户必须通过轻触安全密钥来重新进行身份验证,则可以在使用控制台时执行此操作。系统不会将用户重定向至 IdP。
- 对于 Cloud SDK - 如果您要求用户使用密码重新进行身份验证,gcloud 会要求用户执行 gcloud auth login 命令来为会话续期。系统会打开一个浏览器窗口,并将用户转到 IdP。如果用户在 IdP 中没有进行中的会话,则 IdP 可能会提示用户输入凭据。
如果用户必须通过轻触安全密钥来重新进行身份验证,则可以在 Cloud SDK 中执行此操作。系统不会将用户重定向至 IdP。