ในฐานะผู้ดูแลระบบ คุณสามารถกำหนดระยะเวลาที่ผู้ใช้แต่ละคนจะเข้าถึงคอนโซล Google Cloud และ Cloud SDK โดยไม่ต้องตรวจสอบสิทธิ์อีกครั้งได้ เช่น คุณอาจต้องการให้ผู้ใช้ที่มีสิทธิ์ขั้นสูง เช่น เจ้าของโปรเจ็กต์ ผู้ดูแลระบบการเรียกเก็บเงิน หรือผู้ใช้อื่นๆ ที่มีบทบาทผู้ดูแลระบบได้รับการตรวจสอบสิทธิ์อีกครั้งบ่อยกว่าผู้ใช้ปกติ โดยผู้ใช้เหล่านี้จะได้รับแจ้งให้ลงชื่อเข้าใช้อีกครั้งเพื่อเริ่มเซสชันใหม่ หากตั้งระยะเวลาเซสชันไว้
การตั้งระยะเวลาเซสชันจะมีผลกับเครื่องมือต่อไปนี้
- คอนโซล Google Cloud
- เครื่องมือบรรทัดคำสั่ง gcloud (Cloud SDK)
- แอปพลิเคชัน (รวมถึงแอปพลิเคชันของบุคคลที่สามหรือแอปพลิเคชันของคุณเอง) ที่ต้องมีการให้สิทธิ์ผู้ใช้สำหรับขอบเขต Google Cloud โปรดดูแอปที่ต้องใช้ขอบเขต Google Cloud ใน UI การควบคุมการเข้าถึงของแอปที่หัวข้อควบคุมว่าจะให้แอปภายในและแอปของบุคคลที่สามรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง
หมายเหตุ: การตั้งค่าระยะเวลาเซสชันของ Cloud จะไม่มีผลกับแอปคอนโซลบนอุปกรณ์เคลื่อนที่และจะมีข้อจำกัดภายในคอนโซล เราขอแนะนําให้ใช้ฟีเจอร์นี้กับการควบคุมเซสชันของ Google ซึ่งจะนำระยะเวลาเซสชันไปใช้กับผลิตภัณฑ์และบริการบนอินเทอร์เน็ตทั้งหมดของ Google
กำหนดนโยบายการตรวจสอบสิทธิ์ซ้ำ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
ความปลอดภัย
สิทธิ์เข้าถึงและการควบคุมข้อมูล
- เลือกหน่วยขององค์กรที่ต้องการตั้งระยะเวลาเซสชันทางด้านซ้าย
เลือกหน่วยขององค์กรระดับบนสุดสำหรับผู้ใช้ทั้งหมด ในขั้นต้น หน่วยขององค์กรจะรับช่วงการตั้งค่ามาจากระดับบน - เลือกต้องตรวจสอบสิทธิ์ซ้ำในส่วนนโยบายการตรวจสอบสิทธิ์ซ้ำ จากนั้นเลือกความถี่ของการตรวจสอบสิทธิ์ซ้ำจากรายการแบบเลื่อนลง
ความถี่ต่ำสุดที่อนุญาตคือ 1 ชั่วโมงและสูงสุดคือ 24 ชั่วโมง โดยความถี่จะไม่คำนึงถึงระยะเวลาที่ผู้ใช้ไม่ได้ใช้งานในเซสชันนั้นๆ แต่เป็นเวลาที่กำหนดไว้ล่วงหน้าก่อนที่ผู้ใช้จะต้องลงชื่อเข้าใช้อีกครั้ง
คุณยังสามารถเลือกช่องยกเว้นแอปที่เชื่อถือได้เพื่อยกเว้นการตรวจสอบสิทธิ์อีกครั้งในแอปที่เชื่อถือได้ (ระบบจะทำเครื่องหมายแอปว่าเชื่อถือได้ในหน้าการควบคุมการเข้าถึงแอป โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการเตรียมเปิดตัวทั่วระบบด้านล่าง และดูหัวข้อควบคุมว่าจะให้แอปของบุคคลที่สามและแอปภายในรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง)
- เลือกรหัสผ่านหรือคีย์ความปลอดภัยในส่วนวิธีการตรวจสอบสิทธิ์อีกครั้ง เพื่อระบุวิธีที่ผู้ใช้ต้องตรวจสอบสิทธิ์อีกครั้ง
- หากกำหนดนโยบายการตรวจสอบสิทธิ์อีกครั้งในระดับหน่วยขององค์กร ให้คลิกปุ่มลบล้างด้านล่างขวาเพื่อคงการตั้งค่าเดิมไว้แม้หน่วยขององค์กรหลักจะเปลี่ยนการตั้งค่า
- หากหน่วยขององค์กรมีสถานะเป็นลบล้างอยู่แล้ว ให้เลือกตัวเลือกต่อไปนี้
- รับค่า - เปลี่ยนกลับไปใช้การตั้งค่าเดียวกันกับองค์กรระดับบน
- บันทึก บันทึกการตั้งค่าใหม่ของคุณ (แม้ว่าการตั้งค่าสำหรับหน่วยขององค์กรหลักจะเปลี่ยนไป)
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
การเตรียมเปิดตัวทั่วระบบ
นโยบายการตรวจสอบสิทธิ์อีกครั้งที่คุณกำหนดที่นี่จะมีผลกับแอปของ Google และบุคคลที่สามทั้งหมดที่เข้าถึงทรัพยากร Google Cloud โดยต้องใช้ขอบเขต Google Cloud เราขอแนะนำให้คุณทดสอบการทำงานของนโยบายต่อแอปแต่ละรายการกับผู้ใช้กลุ่มหนึ่งอย่างระมัดระวังก่อน โดยการเพิ่มผู้ใช้กลุ่มนี้ลงในรายการแอปที่เชื่อถือได้ จากนั้นจึงเปิดตัวกับผู้ใช้ในวงกว้างมากขึ้น
โปรดดูวิธีการตรวจสอบแอปที่องค์กรของคุณใช้งานอยู่ในขณะนี้ที่หัวข้อควบคุมว่าจะให้แอปภายในและแอปของบุคคลที่สามรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง คุณจะต้องกรองแอปที่ต้องใช้บริการของ Google Cloud แล้ว
เมื่อความยาวเซสชันที่กำหนดค่าไว้หมดอายุ แอปพลิเคชันจะแจ้งให้ผู้ใช้ทำการตรวจสอบสิทธิ์อีกครั้งเพื่อใช้งานต่อ เช่นเดียวกับกรณีที่ผู้ดูแลระบบเพิกถอนโทเค็นการรีเฟรชสำหรับแอปพลิเคชันดังกล่าว
แอปพลิเคชันบางแอปอาจไม่สามารถรับมือกับการตรวจสอบสิทธิ์ใหม่อีกครั้งได้ดีเท่าที่ควร ซึ่งจะก่อให้เกิดความขัดข้องของแอปพลิเคชันหรือสแต็กเทรซที่สับสน แอปพลิเคชันอื่นๆ จะนำไปใช้ใน Use Case แบบเซิร์ฟเวอร์ต่อเซิร์ฟเวอร์ ซึ่งจะใช้ข้อมูลเข้าสู่ระบบของผู้ใช้แทนที่จะเป็นข้อมูลเข้าสู่ระบบบัญชีบริการที่แนะนำ ซึ่งเป็นกรณีที่จะไม่มีผู้ใช้ที่ทำการตรวจสอบสิทธิ์ใหม่เป็นประจำ
หากคุณได้รับผลกระทบจากสถานการณ์เหล่านี้ คุณสามารถเพิ่มแอปลงในรายการที่เชื่อถือได้ ซึ่งจะเป็นการยกเว้นแอปจากการถูกจำกัดความยาวเซสซันไว้ชั่วคราว โดยที่ยังใช้การควบคุมเซสชันสำหรับแพลตฟอร์มผู้ดูแลระบบ Google Cloud อื่นๆ ทั้งหมดได้ เพิ่มแอปลงในรายการแอปที่เชื่อถือได้ในการควบคุมการเข้าถึงแอป แล้วเปิดใช้ช่องทำเครื่องหมายยกเว้นแอปที่เชื่อถือได้ในการตั้งค่าการควบคุมเซสชันระบบคลาวด์
กู้คืนจากข้อผิดพลาดเกี่ยวกับการตรวจสอบสิทธิ์ซ้ำ
คุณอาจได้รับการตอบกลับเป็นข้อผิดพลาดเกี่ยวกับการตรวจสอบสิทธิ์ซ้ำจากแอปของบุคคลที่สามหลังจากที่เซสชันหมดอายุ หากต้องการกลับมาใช้แอปเหล่านี้อีกครั้ง ผู้ใช้สามารถลงชื่อเข้าใช้แอปอีกครั้งเพื่อเริ่มเซสชันใหม่
แอปที่ใช้ข้อมูลรับรองเริ่มต้นของแอปพลิเคชัน (ADC) ที่มีข้อมูลเข้าสู่ระบบของผู้ใช้จะถือว่าเป็นแอปของบุคคลที่สาม ซึ่งข้อมูลเข้าสู่ระบบเหล่านี้ใช้ได้ในช่วงระยะเวลาเซสชันที่กำหนดค่าไว้เท่านั้น เมื่อเซสชันนั้นหมดอายุ แอปที่ใช้ ADC อาจแสดงการตอบกลับเป็นข้อผิดพลาดเกี่ยวกับการตรวจสอบสิทธิ์ซ้ำ นักพัฒนาแอปสามารถให้สิทธิ์แอปอีกครั้งโดยเรียกใช้คำสั่ง gcloud auth application-default login เพื่อรับข้อมูลเข้าสู่ระบบใหม่
ข้อควรพิจารณา
ผู้ใช้ควรลงชื่อเข้าใช้เมื่อใดและอย่างไร
หากคุณต้องการให้ผู้ใช้บางรายลงชื่อเข้าใช้บ่อยกว่าคนอื่นๆ ให้วางผู้ใช้ดังกล่าวไว้ในหน่วยขององค์กรที่แตกต่างกัน จากนั้นกำหนดใช้ระยะเวลาที่แตกต่างกันไป วิธีนี้จะทำให้ผู้ใช้บางรายไม่ถูกขัดจังหวะให้ลงชื่อเข้าใช้เมื่อไม่จำเป็น
หากกำหนดให้ใช้คีย์ความปลอดภัย ผู้ใช้ที่ไม่มีคีย์ความปลอดภัยจะใช้คอนโซล หรือ Cloud SDK ไม่ได้จนกว่าจะตั้งค่า โดยเมื่อมีคีย์ความปลอดภัยแล้ว ผู้ใช้จะเปลี่ยนไปใช้รหัสผ่านแทนได้หากต้องการ
ผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม
- ด้วยคอนโซล - หากคุณต้องการให้ผู้ใช้ตรวจสอบสิทธิ์อีกครั้งโดยใช้รหัสผ่าน ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังผู้ให้บริการข้อมูลประจำตัว (IdP) โดย IdP อาจไม่กำหนดให้ผู้ใช้ป้อนรหัสผ่านอีกครั้งเพื่อเริ่มต้นเซสชันคอนโซลเพิ่มเติมหากผู้ใช้มีเซสชันที่ใช้งานอยู่กับ IdP แล้ว เนื่องจากผู้ใช้กำลังใช้แอปพลิเคชันอื่นที่ทำให้เซสชันทำงานต่อไป
หากผู้ใช้ต้องตรวจสอบสิทธิ์อีกครั้งด้วยการแตะคีย์ความปลอดภัย ก็สามารถดำเนินการนี้ได้ในขณะที่ใช้คอนโซล โดยระบบจะไม่เปลี่ยนเส้นทางไปยัง IdP
- ด้วย Cloud SDK - หากต้องใช้รหัสผ่านเพื่อการตรวจสอบสิทธิ์อีกครั้ง gcloud จะกำหนดให้ผู้ใช้ต้องเรียกใช้คำสั่ง gcloud auth login เพื่อต่ออายุเซสชัน โดยระบบจะเปิดหน้าต่างเบราว์เซอร์ขึ้นมาและนำผู้ใช้ไปยัง IdP ซึ่งผู้ใช้อาจได้รับแจ้งให้กรอกข้อมูลเข้าสู่ระบบหากไม่มีเซสชันที่ใช้งานอยู่กับ IdP
หากผู้ใช้ต้องตรวจสอบสิทธิ์อีกครั้งโดยการแตะคีย์ความปลอดภัย ผู้ใช้ก็จะดำเนินการนี้ได้ใน Cloud SDK โดยระบบจะไม่เปลี่ยนเส้นทางไปยัง IdP