Google Cloud サービスのセッション継続時間を設定する

サポート対象エディション: Business Plus、EnterpriseEducation Fundamentals、Standard、Teaching and Learning Upgrade、Plus、G Suite Business。 エディションの比較

管理者は、各ユーザーが再認証を行わずに Google Cloud Console および Cloud SDK に継続してアクセスできる時間を管理できます。たとえば、高度な権限を持つユーザー(プロジェクト オーナー、課金管理者、管理者ロールが付与されたその他のユーザーなど)には、通常のユーザーよりも頻繁に再認証を行うように設定することができます。セッション継続時間を設定すると、該当するユーザーには、ログインし直して新しいセッションを開始するよう求めるメッセージが表示されます。

セッション継続時間の設定は、次に適用されます。

: この機能は、セッション継続時間を Google のすべてのウェブ プロパティに適用する Google セッションの管理という関連機能と併せて使用することをおすすめします。ここで説明する機能を使用すると、Google Cloud セッション専用に異なるセッション継続時間を設定できるほか、ウェブ以外の Cloud SDK セッションにも対応できます。セッション継続時間の設定は、Cloud Console モバイルアプリには適用されません

再認証ポリシーを設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [ Google Cloud セッション管理] にアクセスします。
  3. 左側で、セッション継続時間を設定する組織部門を選択します。 
    全ユーザーを対象とする場合は、最上位階層の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。
  4. [再認証ポリシー] で [再認証を要求する] をオンにし、[再認証を要求する間隔] のプルダウン リストから間隔を選択します。

    指定できる間隔は、最短で 1 時間、最長で 24 時間です。この間隔には、ユーザーがセッションで非アクティブになっていた時間は含まれません。これは固定の値で、この時間を経過するとユーザーはログインし直す必要があります。

    [信頼できるアプリは免除する] チェックボックスをオンにして、信頼できるアプリを再認証の対象から除外することもできます(信頼できるアプリは、[アプリのアクセス制御] ページで [信頼できる] とマークされています。詳しくは、後述の「広範囲への展開に備える」をご確認ください。また、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するも併せてご覧ください)。
     
  5. [再認証方法] で [パスワード] または [セキュリティ キー] をオンにして、ユーザーの再認証方法を指定します。
  6. [再認証ポリシー] を組織部門ごとに設定する場合は、親組織の設定が変更された場合でも組織部門の設定がそのまま維持されるように、右下にある [オーバーライド] をクリックします。
  7. 組織部門のステータスがすでに [上書きされました] になっている場合は、次のいずれかを選択します。
    • 継承 - 親組織と同じ設定に戻します。
    • 保存 - 親の設定が変更された場合でも、組織部門の新しい設定を保存します。

設定が適用されるまで最長で 24 時間ほどかかる場合があります。

広範囲への展開に備える

ここで設定した再認証ポリシーは、Google Cloud スコープを要求することにより、Google Cloud リソースにアクセスするすべての Google アプリとサードパーティ製アプリに適用されます。ポリシーを広範囲に展開する前に、一部のユーザー(信頼できるアプリのリストに追加したユーザー)を対象に、ポリシーが各アプリでどのように動作するかを慎重にテストすることをおすすめします。

組織で現在使用されているアプリを確認する手順については、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。Google Cloud サービスを必要とするアプリを必ずフィルタしてください。

セッション継続時間が指定の時間に達した場合、そのアプリを使用し続けるには再認証が必要です(管理者がアプリの更新トークンを取り消した場合と同様です)。

アプリによっては再認証プロセスを円滑に行えず、アプリがクラッシュしたり、スタック トレースが表示されたりする事象が発生することがあります。また、サーバー間のユースケース向けに導入され、推奨されているサービス アカウントの認証情報ではなくユーザー認証情報を使用しているアプリでは、定期的に再認証を行うユーザーが存在しません。

このような状況の影響を受ける場合は、そうしたアプリを信頼できるアプリのリストに追加してセッション継続時間制限の適用対象から一時的に外し、他の Google Cloud 管理サーフェスにセッション管理を実装してください。[アプリのアクセス制御] で、該当するアプリを信頼できるアプリのリストに追加し、[Google Cloud セッションの管理] の設定で [信頼できるアプリは免除する] チェックボックスをオンにします。

考慮事項

ユーザーがログインするタイミングと方法

一部のユーザーが他のユーザーよりも頻繁にログインする必要がある場合は、ユーザーをログイン頻度ごとに組織部門に配置し、それぞれ異なるセッション継続時間を適用します。こうすることで、特定のユーザーが必要のない再ログインのために作業を中断されることがなくなります。

セキュリティ キーを必須とする場合、セキュリティ キーを持っていないユーザーは、セキュリティ キーを設定するまで Google Cloud Console または Cloud SDK を使用できません。セキュリティ キーを取得したユーザーは、セキュリティ キーの代わりにパスワードを使用するように切り替えることができます。

サードパーティの ID プロバイダ

  • Google Cloud Console での挙動 - パスワードを使用した再認証を必須とした場合、ユーザーは ID プロバイダ(IdP)にリダイレクトされます。ユーザーにすでに IdP でアクティブなセッションがある場合、IdP では別の Google Cloud Console セッションを開始するためにパスワードを再入力する必要がありません。これは、使用中の別のアプリケーションにより、セッションのアクティブな状態が維持されているためです。

    ユーザーがセキュリティ キーにタッチして再認証を行う必要がある場合は、Google Cloud Console の使用中に行います。IdP にはリダイレクトされません。

  • Cloud SDK での挙動 - 再認証にパスワードを使用する場合、gcloud ではユーザーが gcloud auth login コマンドを実行してセッションを更新する必要があります。これによりブラウザ ウィンドウが開き、ユーザーは IdP にリダイレクトされます。IdP で有効なセッションがない場合は、認証情報の入力を求められることがあります。

    ユーザーがセキュリティ キーにタッチして再認証を行う必要がある場合は、Cloud SDK で行うことができます。IdP にはリダイレクトされません。

関連トピック

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false