En tant qu'administrateur, vous pouvez contrôler la durée pendant laquelle les différents utilisateurs peuvent accéder à la console Google Cloud et à Cloud SDK sans avoir à s'authentifier à nouveau. Par exemple, vous souhaiterez peut-être que les utilisateurs disposant de droits élevés (propriétaires de projet, administrateurs de compte de facturation ou autres utilisateurs disposant de rôles administrateur) puissent s'authentifier à nouveau plus souvent que les utilisateurs standards. En configurant une durée de session, ils seront invités à se reconnecter pour démarrer une nouvelle session.
Le paramètre de durée de session s'applique aux éléments suivants :
- La console Google Cloud
- L'outil de ligne de commande gcloud (SDK Cloud)
- Toutes les applications (y compris les applications tierces, ou vos propres applications) nécessitant une autorisation utilisateur pour les champs d'application Google Cloud. Pour savoir quelles applications nécessitent des champs d'application Google Cloud dans l'interface utilisateur du contrôle d'accès des applications, consultez Contrôler l'accès des applications tierces et internes aux données Google Workspace.
Remarque : Le paramètre de durée de session Cloud ne s'applique pas à l'application mobile de la console et présente des limites au niveau de la console. Nous vous recommandons d'utiliser cette fonctionnalité avec le contrôle de session Google, qui applique une durée de session à toutes les propriétés Web Google.
Configurer les règles de réauthentification
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Sécurité Contrôle des accès et des données Contrôle des sessions Google Cloud.
- Sur la gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez définir une durée de session.
Pour la définir pour tous les utilisateurs, sélectionnez l'unité organisationnelle racine. Par défaut, une unité organisationnelle hérite des paramètres de son organisation parente. - Sous Règles de réauthentification, sélectionnez Demander une nouvelle authentification et sélectionnez Fréquence de réauthentification dans le menu déroulant.
La fréquence doit être comprise entre 1 et 24 heures. La fréquence n'inclut pas la période pendant laquelle un utilisateur a été inactif au cours de la session. Il s'agit du temps qui s'écoule avant que l'utilisateur ne doive se reconnecter.
Vous pouvez également cocher l'option Sauf pour les applications de confiance pour éviter aux applications de confiance de devoir s'authentifier à nouveau. Les applications de confiance sont signalées comme "Approuvées" sur la page Contrôle d'accès des applications. Pour en savoir plus, consultez Préparer le déploiement à grande échelle ci-dessous. Consultez également Contrôler l'accès des applications tierces et internes aux données Google Workspace.
- Sous Méthode de réauthentification, sélectionnez Mot de passe ou Clé de sécurité pour indiquer la manière dont l'utilisateur doit s'authentifier à nouveau.
- Si vous configurez les règles de réauthentification au niveau de l'unité organisationnelle, cliquez sur le bouton Ignorer en bas à droite pour conserver la même configuration en cas de changement de la configuration parente.
- Si l'état de l'unité organisationnelle affiche déjà Remplacé, sélectionnez l'une des options suivantes :
- L'option Hériter rétablit le paramètre du parent.
- L'option Enregistrer permet de conserver votre nouveau paramètre (même si celui du parent est modifié).
Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus
Préparer un déploiement de grande envergure
Les règles de réauthentification que vous configurez ici s'appliquent à toutes les applications Google et applications tierces pouvant accéder aux ressources Google Cloud sur demande du champ d'application Google Cloud. Nous vous recommandons de tester soigneusement le fonctionnement des règles pour chacune des applications sur un nombre restreint d'utilisateurs en les ajoutant à la liste d'applications approuvées avant de passer à un déploiement plus étendu.
Pour savoir comment vérifier des applications actuellement utilisées par votre organisation, consultez Contrôler l'accès des applications tierces et internes aux données Google Workspace. Assurez-vous d'appliquer un filtre pour les applications nécessitant le service Google Cloud.
Lorsque la session arrive à expiration, l'utilisateur est invité à s'authentifier une nouvelle fois pour continuer à se servir de l'application. Le principe est le même que si un administrateur avait révoqué les jetons d'actualisation associés à cette application.
Quand certaines applications gèrent mal la réauthentification, la fonctionnalité entraîne leur plantage ou des traces de pile prêtant à confusion. D'autres applications, déployées dans le cadre d'une authentification serveur à serveur, utilisent des identifiants utilisateur à la place des identifiants de compte de service recommandés, si bien qu'aucun utilisateur ne peut procéder à la réauthentification périodique.
Si vous êtes affecté par ces scénarios, vous pouvez ajouter ces applications à une liste d'applications approuvées et ainsi les exclure temporairement des contrôles de session, tout en continuant à appliquer ces contrôles à toutes les autres applications d'administration Google Cloud. Ajouter les applications à la liste des applications approuvées dans Contrôle d'accès des applications, puis cochez l'option Sauf pour les applications de confiance dans les paramètres Contrôle des sessions cloud.
Erreur lors de la récupération à partir de la réauthentification
Il est possible que vous receviez une erreur de réauthentification de la part d'applications tierces après l'expiration d'une session. Pour continuer à utiliser ces applications, les utilisateurs peuvent s'y reconnecter afin de démarrer une nouvelle session.
Les applications qui utilisent des identifiants par défaut de l'application avec des identifiants utilisateur sont considérées comme des applications tierces. Ces identifiants ne sont valides que pour la durée de session configurée. Lorsque cette session expire, les applications qui utilisent les identifiants par défaut de l'application peuvent également renvoyer une erreur de réauthentification. Les développeurs peuvent réautoriser l'application en exécutant la commande gcloud auth application-default login
pour obtenir de nouveaux identifiants.
Points à prendre en compte
Contrôler quand et comment les utilisateurs se connectent
Si vous souhaitez que certains utilisateurs se reconnectent plus souvent que d'autres, placez-les dans unités organisationnelles distinctes, auxquelles vous appliquez ensuite des durées de session différentes. Ainsi, certains utilisateurs ne seront pas interrompus dans leur travail et invités à se reconnecter.
Si vous imposez l'utilisation d'une clé de sécurité, les utilisateurs qui n'en disposent pas ne peuvent pas utiliser la console ni Cloud SDK tant qu'ils ne l'ont pas configurée. Une fois la configuration effectuée, ils peuvent choisir de se connecter à l'aide de leur mot de passe s'ils le souhaitent.
Fournisseurs d'identité tiers
- Avec la console : si vous demandez à un utilisateur de s'authentifier à nouveau à l'aide de son mot de passe, il est redirigé vers le fournisseur d'identité (IdP). Si l'utilisateur dispose déjà d'une session active auprès de l'IdP, il est possible que celui-ci n'impose pas à l'utilisateur de saisir à nouveau son mot de passe pour démarrer une autre session de la console, puisqu'il utilise une autre application qui permet à la session de rester active.
Si un utilisateur doit s'authentifier à nouveau en appuyant sur sa clé de sécurité, il peut le faire tout en utilisant la console. Il ne sera pas redirigé vers le fournisseur d'identité.
- Avec le SDK Cloud : si un mot de passe est requis pour la réauthentification, gcloud demandera à l'utilisateur d'exécuter la commande gcloud auth login pour renouveler la session. Ce processus permet d'ouvrir une fenêtre de navigateur qui redirige l'utilisateur vers le fournisseur d'identité. L'utilisateur peut alors être invité à saisir ses identifiants s'il ne dispose d'aucune session active auprès du fournisseur d'identité.
Si un utilisateur doit s'authentifier à nouveau en appuyant sur sa clé de sécurité, il peut le faire dans le SDK Cloud. Il ne sera pas redirigé vers le fournisseur d'identité.