Yönetici olarak, farklı kullanıcıların yeniden kimlik doğrulaması yapmadan Google Cloud konsoluna ve Google Cloud SDK'sına ne süreyle erişebileceğini denetleyebilirsiniz. Örneğin proje sahipleri, faturalandırma yöneticileri veya yönetici rollerine sahip diğer kullanıcılar gibi yüksek ayrıcalıklı kullanıcıların, normal kullanıcılardan daha sık bir şekilde yeniden kimlik doğrulaması yapmasını isteyebilirsiniz. Bir oturum süresi ayarlarsanız yeni bir oturum başlatmak için kullanıcılardan tekrar oturum açmaları istenir.
Oturum süresi ayarı şunlarda geçerlidir:
- Google Cloud konsolu
- gcloud komut satırı aracı (Google Cloud SDK)
- Google Cloud scopes için kullanıcı yetkilendirmesi gerektiren tüm uygulamalar (üçüncü taraf uygulamaları veya kendi uygulamalarınız dahil). Uygulama erişimi denetimi kullanıcı arayüzünde Google Cloud kapsamları gerektiren uygulamaları incelemek için Google Workspace verilerine erişebilecek üçüncü taraf uygulamalarını ve dahili uygulamaları denetleme başlıklı makaleyi inceleyin.
Not: Cloud oturum süresi ayarı, mobil konsol uygulaması için geçerli değildir ve konsolda sınırlamalar vardır. Bu özelliği, tüm Google web mülklerine oturum süresi uygulayan Google oturumu denetimi ile kullanmanızı öneririz.
Yeniden kimlik doğrulama politikasını ayarlama
-
Google Yönetici konsolu hesabınızda oturum açın.
Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.
-
Yönetici konsolunda Menü GüvenlikErişim ve veri denetimiGoogle Cloud oturum denetimi'ne gidin.
- Sol tarafta, oturum süresini ayarlamak istediğiniz kuruluş birimini seçin.
Tüm kullanıcılar için en üst düzey kuruluş birimini seçin. Başlangıçta bir kuruluş birimi kendi üst kuruluşunun ayarlarını devralır. - Yeniden kimlik doğrulama politikası bölümünde, Yeniden kimlik doğrulama gereksin'i seçip açılır listeden Yeniden kimlik doğrulama sıklığı'nı belirleyin.
İzin verilen minimum sıklık 1 saat, maksimum sıklık ise 24 saattir. Kullanıcının oturumda etkin olmadığı zamanlar sıklığa dahil edilmez. Bu, kullanıcının kaç saat sonra tekrar oturum açması gerektiğini belirten sabit bir süredir.
Güvenilir uygulamaları yeniden kimlik doğrulama işleminden muaf tutmak için Güvenilir uygulamaları muaf tut kutusunu da işaretleyebilirsiniz. (Güvenilir uygulamalar, Uygulama erişimi denetimi sayfasında Güvenilir olarak işaretlenir. Daha fazla bilgi için aşağıdaki Geniş kapsamlı kullanıma sunma hazırlıkları bölümünü inceleyin. Google Workspace verilerine erişebilecek üçüncü taraf uygulamalarını ve dahili uygulamaları denetleme başlıklı makaleyi de inceleyin.)
- Yeniden kimlik doğrulama yöntemi bölümünde, kullanıcının yeniden kimlik doğrulaması yapmak için kullanması gereken yöntemi belirtmek üzere Şifre veya Güvenlik anahtarı seçeneğini belirleyin.
- Yeniden kimlik doğrulama politikasını kuruluş düzeyinde kullanıyorsanız ebeveyn ayarları değişse bile ayarı aynı tutmak için sağ alttaki Geçersiz kıl düğmesini tıklayın.
- Kuruluş biriminin durumu zaten Geçersiz kılındı ise bir seçenek belirleyin:
- Devral: Üst kuruluşun ayarına dönülmesini sağlar.
- Kaydet: Yeni ayarınızı kaydeder (üst kuruluştaki ayar değişse bile).
Değişikliklerin geçerlilik kazanması 24 saati bulabilir ancak genellikle daha kısa sürer. Daha fazla bilgi
Geniş kapsamlı kullanıma sunmaya hazırlık
Burada yapılandırdığınız ve bulut platformu kapsamını gerektiren yeniden kimlik doğrulama politikası, Google Cloud kaynaklarına erişen tüm Google ve üçüncü taraf uygulamaları için geçerlidir. Geniş kapsamlı kullanıma sunma öncesinde politikanın her bir uygulama için nasıl çalıştığını küçük bir kullanıcı grubuyla, kullanıcıları güvenilir uygulama listesine ekleyerek test etmenizi öneriyoruz.
Kuruluşunuzda kullanılmakta olan uygulamaları incelemeyle ilgili talimatlar için Google Workspace verilerine erişebilecek üçüncü taraf uygulamalarını ve dahili uygulamaları denetleme başlıklı makaleyi inceleyin. Google Cloud hizmetinin kullanılmasını gerektiren uygulamaları filtrelediğinizden emin olun.
Yapılandırılmış oturum süresi sona erdiğinde uygulama, kullanıcıdan işlem yapmaya devam etmesi için kimliğini yeniden doğrulamasını ister. Bu durum, bir yöneticinin söz konusu uygulama için yenileme jetonunu iptal etmesine benzer.
Bazı uygulamalar, kimlik doğrulamanın yeniden yapıldığı senaryolarla sorunsuz şekilde başa çıkamayıp kafa karıştırıcı uygulama kilitlenmelerine ve yığın izlemelerine neden olabilir. Bazı uygulamalar ise önerilen hizmet hesabı kimlik bilgileri yerine kullanıcı kimlik bilgileriyle sunucudan sunucuya kullanım için dağıtılır. Bu durumda, düzenli olarak yeniden kimlik doğrulaması yapacak bir kullanıcı yoktur.
Bu senaryolardan etkileniyorsanız söz konusu uygulamaları güvenilir uygulamalar listesine ekleyerek oturum süresi kısıtlamalarından muaf tutabilir ve oturum denetimlerini kalan tüm Google Cloud yönetici yüzeylerinde uygulayabilirsiniz. Uygulamaları Uygulama erişimi kontrolü bölümündeki Güvenilir uygulamalar listesine ekleyin ve Cloud oturum denetimi ayarındaki Güvenilir uygulamalar hariç onay kutusunu işaretleyin.
Yeniden kimlik doğrulamayla ilgili hataları düzeltme
Oturumunuz sona erdikten sonra üçüncü taraf uygulamaları, yeniden kimlik doğrulamayla ilgili hatalar verebilir. Kullanıcılar, uygulamada tekrar oturum açarak yeni bir oturum başlatabilir ve uygulamayı kullanmaya devam edebilir.
Kullanıcı kimlik bilgileri ve Uygulama Varsayılan Kimlik Bilgileri'ni (ADC) birlikte kullanan uygulamalar, üçüncü taraf uygulamaları olarak kabul edilir. Bu kimlik bilgileri yalnızca yapılandırılmış oturum süresince geçerlidir. Oturum sona erdiğinde ADC kullanan uygulamalar yeniden kimlik doğrulamayla ilgili hatalar verebilir. Geliştiriciler, gcloud auth application-default login
komutunu çalıştırarak uygulamayı yeniden yetkilendirebilir ve yeni kimlik bilgileri alabilir.
Dikkat edilmesi gereken noktalar
Kullanıcıların oturum açma zamanı ve şekli
Bazı kullanıcıların diğerlerine göre daha sık oturum açmasını gerekli görüyorsanız, söz konusu kullanıcıları farklı kuruluş birimlerine yerleştirin. Ardından, bu kullanıcılara farklı oturum süreleri uygulayın. Bunu yaptığınızda, gerekli olmayan durumlarda tekrar oturum açmaları istenmeyeceğinden bazı kullanıcıların dikkatinin dağılmasını engellemiş olursunuz.
Güvenlik anahtarı kullanımını zorunlu kıldıysanız güvenlik anahtarı olmayan kullanıcılar, gerekli ayarları yapana kadar konsolu veya Cloud SDK'sını kullanamaz. Güvenlik anahtarları olduğunda, isterlerse güvenlik anahtarı yerine şifrelerini kullanmayı tercih edebilirler.
Üçüncü taraf kimlik sağlayıcıları
- Konsolu kullanarak: Bir kullanıcının kendi şifresini kullanarak yeniden kimlik doğrulama yapmasını zorunlu tutuyorsanız kullanıcı, Kimlik Sağlayıcı'ya (IdP) yönlendirilir. Kullanıcının IdP ile etkin bir oturumu zaten varsa IdP, başka bir konsol oturumu başlatmak için kullanıcının şifresini yeniden girmesini zorunlu tutmayabilir. Bunun nedeni kullanıcının, oturumun etkin kalmasına neden olan başka bir uygulama kullanıyor olmasıdır.
Bir kullanıcının güvenlik anahtarına dokunarak yeniden kimlik doğrulaması yapması gerekiyorsa konsolu kullanırken yapabilir. Kullanıcı IdP'ye yönlendirilmez.
- Google Cloud SDK ile - Yeniden kimlik doğrulama için şifre kullanılması gerekiyorsa gcloud, oturumu yenilemek üzere kullanıcının gcloud auth login komutunu çalıştırmasını gerektirir. Bu işlemle bir tarayıcı penceresi açılır ve kullanıcı IdP'ye yönlendirilir. Burada, IdP ile etkin bir oturum yoksa kullanıcıdan kimlik bilgilerini girmesi istenebilir.
Kullanıcının güvenlik anahtarına dokunarak yeniden kimlik doğrulaması yapması gerekiyorsa bunu Google Cloud SDK'da yapabilir. Kullanıcı IdP'ye yönlendirilmez.