Als beheerder kunt u bepalen hoelang verschillende gebruikers toegang hebben tot de Google Cloud-console en de Cloud SDK zonder dat ze hun identiteit opnieuw hoeven te bevestigen. U kunt bijvoorbeeld instellen dat gebruikers met verhoogde rechten, zoals projecteigenaren, factureringsbeheerders of anderen met een beheerdersrol, hun identiteit vaker moeten bevestigen dan reguliere gebruikers. Als u de sessieduur instelt, worden gebruikers gevraagd opnieuw in te loggen om een nieuwe sessie te starten.
De ingestelde sessieduur geldt voor:
- De Google Cloud Console
- De gcloud-opdrachtregeltool (Cloud SDK)
- Alle apps (inclusief apps van derden of uw eigen apps) waarvoor gebruikersautorisatie is vereist voor Google Cloud-bereiken. Zie Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens om te zien welke apps Google Cloud-bereiken vereisen in de UI van App-toegangscontrole.
Opmerking: De instelling voor de Cloud-sessieduur geldt niet voor de mobiele console-app en geldt beperkt binnen de console. We raden u aan deze functie te gebruiken met Google-sessiebeheer, waarmee de sessieduur wordt toegepast op alle Google-webproperty's.
Beleid voor opnieuw verifiëren instellen
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingToegangs- en gegevenscontroleGoogle Cloud-sessiebeheer.
- Selecteer links de organisatie-eenheid waarvoor u de sessieduur wilt instellen.
Selecteer de organisatie op het hoogste niveau als u wilt dat de instellingen gelden voor alle gebruikers. Een organisatie-eenheid neemt in eerste instantie de instellingen over van de bovenliggende organisatie-eenheid. - Selecteer onder Beleid voor opnieuw verifiëren de optie Opnieuw verifiëren afdwingen en kies de Frequentie van opnieuw verifiëren in het dropdownmenu.
De toegestane frequentie is minimaal 1 uur en maximaal 24 uur. De frequentie heeft niets te maken met hoelang een gebruiker inactief is geweest in de sessie. De frequentie is een vaste periode waarna gebruikers opnieuw moeten inloggen.
U kunt ook het vakje aanvinken voor Vertrouwde apps uitsluiten als u wilt instellen dat vertrouwde apps niet opnieuw hoeven te worden geverifieerd. (Vertrouwde apps zijn gemarkeerd als Vertrouwd op de pagina App-toegangscontrole. Zie Voorbereiden op algemene uitrol hieronder voor meer informatie. Zie ook Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens.)
- Selecteer onder Methode voor opnieuw verifiëren de optie Wachtwoord of Beveiligingssleutel om op te geven hoe gebruikers hun identiteit opnieuw moeten bevestigen.
- Als u het beleid voor opnieuw verifiëren instelt op organisatie-eenheidniveau, klikt u rechtsonder op de knop Overschrijven als u wilt dat de instelling hetzelfde blijft, zelfs als deze in de bovenliggende organisatie-eenheid wordt gewijzigd.
- Als de organisatie-eenheid al de status Overschrijven heeft, kiest u een van de volgende opties:
- Overnemen: de instelling wordt teruggezet op dezelfde instelling als in de bovenliggende organisatie-eenheid.
- Opslaan: de nieuwe instelling wordt opgeslagen (zelfs als de instelling wordt gewijzigd in de bovenliggende organisatie-eenheid).
Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie
Voorbereiden op algemene uitrol
Het beleid voor opnieuw verifiëren dat u hier instelt, geldt voor alle Google-apps en apps van derden die toegang hebben tot Google Cloud-resources door het Google Cloud-bereik te vereisen. We raden u aan zorgvuldig te testen hoe het beleid werkt voor elke app met een kleine groep gebruikers (door de lijst met vertrouwde apps toe te wijzen aan deze gebruikers) voordat u het beleid algemeen uitrolt.
Zie Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens voor instructies om te bekijken welke apps momenteel in uw organisatie worden gebruikt. Zorg dat u filtert op apps waarvoor de Google Cloud-service is vereist.
Als de ingestelde sessieduur is verlopen, moeten gebruikers hun identiteit opnieuw bevestigen bij de app om deze te kunnen blijven gebruiken. Dit is net als wanneer een beheerder de vernieuwingstokens intrekt voor die app.
Bij sommige apps werkt opnieuw verifiëren niet goed. De app crasht dan of er worden verwarrende stacktraces uitgevoerd. Andere apps worden geïmplementeerd om te worden gebruikt van server naar server met inloggegevens van gebruikers in plaats van de aanbevolen inloggegevens van een serviceaccount. In dat geval zijn er geen gebruikers die regelmatig hun identiteit opnieuw kunnen bevestigen.
Als een van deze situaties op u van toepassing is, kunt u deze apps op een lijst met vertrouwde apps zetten. De apps worden dan tijdelijk uitgesloten van de beperkende sessieduur, maar de sessieduur en andere instellingen worden wel geïmplementeerd voor andere Google Cloud-beheerdersfuncties. Zet de app op de lijst met vertrouwde apps in App-toegangsbeheer en vink het vakje aan voor Vertrouwde apps uitsluiten in de instelling Cloud-sessiebeheer.
Herstellen na een reauth-gerelateerde fout
U ziet misschien een reauth-gerelateerde fout van apps van derden nadat een sessie is verlopen. Als gebruikers deze apps weer willen gebruiken, kunnen ze opnieuw inloggen bij de app om een nieuwe sessie te starten.
Apps die Application Default Credentials (ADC) gebruiken met inloggegevens van gebruikers, worden beschouwd als apps van derden. Deze inloggegevens zijn alleen geldig voor de ingestelde sessieduur. Als die sessie verloopt, kunnen apps die ADC gebruiken ook een reauth-gerelateerde fout retourneren. Ontwikkelaars kunnen de app opnieuw autoriseren door de opdracht gcloud auth application-default login
uit te voeren om nieuwe inloggegevens te krijgen.
Aandachtspunten
Wanneer en hoe gebruikers inloggen
Als u wilt dat sommige gebruikers vaker moeten inloggen dan anderen, plaatst u de gebruikers in verschillende organisatie-eenheden. Stel vervolgens verschillende sessieduren in voor de organisatie-eenheden. Zo worden bepaalde gebruikers niet gestoord doordat ze opnieuw moeten inloggen wanneer dit niet nodig is.
Als u het gebruik van een beveiligingssleutel afdwingt, kunnen gebruikers die geen beveiligingssleutel hebben de console of Cloud SDK pas gebruiken nadat ze er een hebben ingesteld. Nadat ze een beveiligingssleutel hebben ingesteld, kunnen ze overschakelen naar het gebruik van hun wachtwoord als ze dat willen.
Identiteitsproviders van derden
- Met de console: Als u vereist dat gebruikers hun identiteit opnieuw moeten bevestigen met hun wachtwoord, worden ze doorgestuurd naar de identiteitsprovider (IdP). De IdP vereist mogelijk niet dat gebruikers hun wachtwoord opnieuw invoeren om een nieuwe sessie in de console te starten als ze al een actieve sessie hebben bij de IdP, omdat de gebruikers een andere app gebruiken waardoor de sessie actief blijft.
Als gebruikers hun identiteit opnieuw moeten bevestigen door hun beveiligingssleutel aan te raken, kunnen ze dit doen vanuit de console. Ze worden niet doorgestuurd naar de IdP.
- Met de Cloud-SDK: Als een wachtwoord is vereist voor opnieuw verifiëren, vereist gcloud dat de gebruiker de opdracht gcloud auth login uitvoert om de sessie te verlengen. Er wordt dan een browservenster geopend waarin de gebruiker naar de IdP wordt omgeleid. Daar kan de gebruiker om inloggegevens worden gevraagd als er geen actieve sessie is bij de IdP.
Als een gebruiker opnieuw moet verifiëren door de beveiligingssleutel aan te raken, kan deze dit doen in de Cloud-SDK. Ze worden niet doorgestuurd naar de IdP.