Impostare la durata della sessione per i servizi Google Cloud

In qualità di amministratore, puoi specificare per quanto tempo diversi utenti possono accedere alla console Google Cloud e a Cloud SDK senza dover ripetere l'autenticazione. Ad esempio, potresti volere che gli utenti con privilegi più elevati, come i proprietari dei progetti, gli amministratori della fatturazione o altre persone con ruoli di amministratore, ripetano l'autenticazione con maggiore frequenza rispetto agli utenti normali.​​​​​​ Se imposti una durata di sessione, all'utente verrà chiesto di accedere di nuovo per avviare una nuova sessione.

L'impostazione relativa alla durata della sessione si applica a:

Nota: l'impostazione relativa alla durata della sessione Cloud non viene applicata all'app mobile della console e presenta limitazioni all'interno della console. Ti consigliamo di utilizzare questa funzionalità con il Controllo sessione di Google, che applica una durata di sessione a tutte le proprietà web di Google. 

Configurare il criterio di riautenticazione

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiAccesso e controllo dei datie poiControllo sessione Google Cloud.
  3. Sulla sinistra, seleziona l'unità organizzativa per cui vuoi impostare la durata della sessione. 
    Per applicare le impostazioni a tutti gli utenti, seleziona l'unità organizzativa di primo livello. Inizialmente, un'unità organizzativa eredita le impostazioni dell'organizzazione di livello superiore.
  4. Sotto Criterio di riautenticazione, seleziona Richiedi l'autenticazione e scegli la Frequenza di riautenticazione dall'elenco a discesa.

    La frequenza minima consentita è un'ora, quella massima è 24 ore. L'intervallo della frequenza non tiene conto del tempo di inattività dell'utente durante la sessione. È un intervallo di tempo fisso che trascorre prima che l'utente debba eseguire di nuovo l'accesso.

    Puoi anche selezionare la casella Escludi app attendibili per escludere le app attendibili dalla riautenticazione. Le app attendibili sono contrassegnate come tali nella pagina Controllo accesso app. Per saperne di più, vedi Preparare il lancio globale di seguito. Vedi anche Specificare quali app di terze parti e interne possono accedere ai dati di Google Workspace.
     
  5. Sotto Metodo di riautenticazione , seleziona Password o Token di sicurezza per specificare in che modo l'utente deve ripetere l'autenticazione.
  6. Se stai configurando il criterio di riautenticazione a livello di unità organizzativa, fai clic sul pulsante Ignora nell'angolo in basso a destra per fare in modo che l'impostazione resti invariata anche se quella di livello superiore viene modificata.
  7. Se lo stato dell'unità organizzativa è già impostato su Ignorato, scegli un'opzione:
    • Eredita: ripristina l'impostazione di livello superiore.
    • Salva: consente di salvare la nuova impostazione anche in caso di modifica dell'impostazione di livello superiore.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Preparare il lancio globale

Il criterio di riautenticazione che configuri qui si applica a tutte le app Google e di terze parti che accedono alle risorse di Google Cloud richiedendo l'ambito Google Cloud. Prima di procedere al lancio per una platea più ampia di utenti, ti consigliamo di sottoporre a test accurati il funzionamento del criterio per ciascuna delle app con un insieme ridotto di utenti, aggiungendoli all'elenco delle app attendibili.

Per istruzioni su come controllare le app attualmente in uso nella tua organizzazione, vedi Specificare quali app di terze parti e interne possono accedere ai dati di Google Workspace. Accertati di filtrare le app che richiedono il servizio Google Cloud.

Allo scadere della durata configurata per la sessione, l'applicazione chiederà all'utente di autenticarsi di nuovo per continuare a operare, analogamente a quanto accade se un amministratore revoca i token di aggiornamento dell'applicazione.

Alcune applicazioni hanno una gestione confusa dello scenario di riautenticazione, con conseguenti arresti anomali o analisi dello stack. Altre vengono implementate per casi d'uso server-to-server con credenziali utente invece di quelle dell'account di servizio, che sono consigliate; in questo caso non ci sono utenti da riautenticare periodicamente.

Se ti trovi in una situazione che corrisponde a uno di questi scenari, puoi aggiungere le app a una lista attendibile escludendole provvisoriamente dai vincoli di durata delle sessioni e implementando allo stesso tempo dei controlli per le sessioni di tutti gli altri spazi di amministrazione di Google Cloud. Aggiungi le app all'elenco delle app attendibili in Controllo accesso app e attiva la casella di controllo Escludi app attendibili nell'impostazione Controllo sessione cloud.

Errore relativo al ripristino dall'autenticazione

Potresti ricevere una risposta di errore relativo alla nuova autorizzazione da app di terze parti dopo la scadenza di una sessione. Per riprendere a utilizzare queste app, gli utenti possono accedere di nuovo all'app per avviare una nuova sessione.

Le app che utilizzano le credenziali predefinite dell'applicazione (ADC) con credenziali utente sono considerate app di terze parti. Queste credenziali sono valide solo per la durata della sessione configurata. Quando la sessione scade, le app che utilizzano ADC potrebbero anche restituire una risposta di errore relativo alla nuova autorizzazione. Gli sviluppatori possono autorizzare nuovamente l'app eseguendo il comando gcloud auth application-default login per ottenere nuove credenziali.

Considerazioni

Tempistiche e modalità di accesso degli utenti

Se alcuni utenti devono accedere più spesso di altri, inseriscili in unità organizzative diverse e applica durate di sessione differenti. In questo modo, verranno invitati a ripetere l'accesso solo quando è necessario.

Se è richiesto un token di sicurezza, gli utenti che non ne hanno uno non possono utilizzare la console o Cloud SDK finché non lo configurano. Quando avranno un token di sicurezza, potranno passare all'uso della password, se lo preferiscono.

Provider di identità di terze parti

  • Con la console: gli utenti che devono ripetere l'autenticazione utilizzando la propria password verranno reindirizzati al provider di identità (IdP). Se l'utente ha già una sessione attiva con l'IdP, è possibile che non gli venga richiesto di inserire nuovamente la password per avviare un'altra sessione della console perché sta utilizzando un'altra applicazione che fa rimanere attiva la sessione.

    Se un utente deve ripetere l'autenticazione toccando il token di sicurezza, può farlo mentre utilizza la console Non verrà reindirizzato all'IdP.

  • Con Cloud SDK: se per la riautenticazione è necessaria una password, gcloud richiederà all'utente di eseguire il comando gcloud auth login per rinnovare la sessione. In questo modo verrà aperta una finestra del browser e l'utente verrà reindirizzato all'IdP, che potrebbe richiedere le credenziali se non rileva una sessione attiva.

    Se un utente deve eseguire nuovamente l'autenticazione toccando il token di sicurezza, può farlo in Cloud SDK. e non verrà reindirizzato all'IdP.

Argomenti correlati

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
10928198495969329676
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false