Als Administrator können Sie festlegen, wie lange verschiedene Nutzer auf die Google Cloud Console und das Cloud SDK zugreifen können, bevor sie sich mit ihrem Passwort erneut authentifizieren müssen. Beispielsweise ist es möglich, für Nutzer mit umfassenderen Berechtigungen wie Projektinhaber, Abrechnungsadministratoren oder andere Administratoren kürzere Intervalle für die Neuanmeldung vorzuschreiben als für normale Nutzer. Wenn Sie eine Sitzungsdauer festlegen, werden die jeweiligen Nutzer aufgefordert, sich noch einmal anzumelden, um eine neue Sitzung zu starten.
Die eingestellte Sitzungsdauer gilt für:
- Die Google Cloud Console
- Das gcloud-Befehlszeilentool (Cloud SDK)
- Alle Anwendungen (einschließlich Ihrer eigenen Anwendungen und Anwendungen von Drittanbietern), die eine Nutzerautorisierung für Google Cloud-Bereiche erfordern Wie Sie über die App-Zugriffssteuerung herausfinden können, welche Anwendungen Google Cloud-Bereiche erfordern, erfahren Sie im Hilfeartikel Zugriff externer und interner Apps auf Google Workspace-Daten verwalten.
Hinweis: Die Einstellung für die Cloud-Sitzungsdauer gilt nicht für die mobile App der Konsole und hat Einschränkungen in der Konsole. Wir empfehlen, diese Funktion mit der Google-Sitzungssteuerung zu verwenden, die eine Sitzungslänge auf alle Google-Web-Properties anwendet.
Richtlinie für die erneute Authentifizierung festlegen
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriffs- und DatenkontrolleGoogle Cloud-Sitzungssteuerung.
- Wählen Sie links die Organisationseinheit aus, für die Sie die Sitzungsdauer festlegen möchten.
Wenn die Einstellungen für alle Nutzer in der Organisation gelten sollen, wählen Sie die oberste Organisationseinheit aus. Dabei gehen Einstellungen erst einmal von der übergeordneten Organisationseinheit auf die anderen über. - Aktivieren Sie unter Richtlinie für die erneute Authentifizierung die Option Erneute Authentifizierung erforderlich und wählen Sie die Häufigkeit der erneuten Authentifizierung aus der Drop-down-Liste aus.
Die Mindestdauer beträgt eine Stunde, die Höchstdauer 24 Stunden. Dabei spielt es keine Rolle, wie lange ein Nutzer in der Sitzung inaktiv ist. Es ist lediglich die Zeit, die verstreicht, bevor sich der Nutzer wieder anmelden muss.
Sie können auch das Häkchen bei Vertrauenswürdige Apps ausgenommen setzen, damit für vertrauenswürdige Apps keine erneute Authentifizierung erfordert wird. Vertrauenswürdige Apps werden auf der Seite App-Zugriffssteuerung als vertrauenswürdig markiert. Weitere Informationen finden Sie unten im Abschnitt Vorbereitung auf die allgemeine Einführung sowie im Hilfeartikel Zugriff externer und interner Apps auf Google Workspace-Daten verwalten.
- Wählen Sie unter Methode zur erneuten Authentifizierung die Option Passwort oder Sicherheitsschlüssel aus, um festzulegen, wie der Nutzer sich erneut authentifizieren muss.
- Wenn Sie die Richtlinie zur erneuten Authentifizierung auf Ebene der Organisationseinheit festlegen, klicken Sie rechts unten auf die Schaltfläche Überschreiben. Somit gilt diese Einstellung auch dann, wenn die übergeordneten Einstellungen geändert werden.
- Wenn der Status der Organisationseinheit bereits Überschrieben lautet, wählen Sie eine der folgenden Optionen aus:
- Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
- Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Vorbereitung auf den allgemeinen Roll-out
Die Richtlinie zur erneuten Authentifizierung, die Sie hier konfigurieren, gilt für alle Apps von Google und Drittanbietern, die für den Zugriff auf Google Cloud-Ressourcen den Bereich „Google Cloud“ erfordern. Wir empfehlen Ihnen, diese Richtlinie zuerst mit einer kleinen Nutzergruppe für jede der Apps zu testen. Fügen sie diese Nutzer der Liste vertrauenswürdiger Apps hinzu, bevor Sie die Richtlinie allgemein einführen.
Wie Sie die aktuell von Ihrer Organisation genutzten Apps einsehen können, erfahren Sie im Hilfeartikel „Zugriff externer und interner Apps auf Google Workspace-Daten verwalten“ im ersten Punkt unter App-Zugriffssteuerung verwenden. Filtern Sie dabei nach Apps, die den Dienst Google Cloud benötigen.
Wenn die konfigurierte Sitzungsdauer abläuft, fordert die Anwendung den Nutzer auf, sich noch einmal zu authentifizieren, um den Vorgang fortzusetzen – analog zu dem, was passieren würde, wenn ein Administrator die Aktualisierungstokens für diese Anwendung entziehen würde.
Einige Anwendungen können die erneute Authentifizierung nicht ordnungsgemäß verarbeiten, was zu verwirrenden Anwendungsabstürzen oder Stacktraces führt. Einige andere Anwendungen werden für Server-zu-Server-Anwendungsfälle mit Nutzer-Anmeldedaten anstelle der empfohlenen Dienstkonto-Anmeldedaten bereitgestellt. In diesem Fall gibt es keinen Nutzer, der sich regelmäßig erneut authentifizieren muss.
Wenn Sie von diesen Szenarien betroffen sind, können Sie diese Apps zu einer vertrauenswürdigen Liste hinzufügen. Dadurch werden die Apps vorübergehend von den Beschränkungen der Sitzungslänge ausgenommen, während Sie Sitzungssteuerungen für alle anderen Google Cloud-Administratoroberflächen implementieren. Setzen Sie die Apps unter App-Zugriffssteuerung auf die Liste der vertrauenswürdigen Apps und machen Sie in der Sitzungssteuerung für Google Cloud das Häkchen bei Vertrauenswürdige Apps ausgenommen.
Wiederherstellung nach Fehler "reauth related error"
Möglicherweise erhalten Sie nach Ablauf einer Sitzung von Drittanbieter-Apps die Antwort reauth related error. Wenn Sie diese Apps weiterhin verwenden möchten, können sich Nutzer wieder in der App anmelden und eine neue Sitzung starten.
Apps, die Standardanmeldedaten für Anwendungen mit Anmeldedaten des Nutzers verwenden, werden als Drittanbieter-Apps eingestuft. Diese Anmeldedaten sind nur für die konfigurierte Sitzungsdauer gültig. Wenn diese Sitzung abläuft, geben Apps, die Standardanmeldedaten für Anwendungen verwenden, möglicherweise auch den Fehler reauth related error zurück. Entwickler können die App mit dem Befehl gcloud auth application-default login
noch einmal autorisieren, um neue Anmeldedaten abzurufen.
Hinweise
An- und Abmeldung der Nutzer
Wenn Sie möchten, dass einige Nutzer sich häufiger als andere anmelden, ordnen Sie sie unterschiedlichen Organisationseinheiten zu. Für jede können Sie dann eine eigene Sitzungsdauer festlegen. So vermeiden Sie, dass sich alle Nutzer nach einer bestimmten Zeitspanne wieder anmelden müssen, obwohl dies nicht bei allen notwendig ist.
Wenn ein Sicherheitsschlüssel erforderlich ist, können Nutzer, die keinen solchen Schlüssel haben, die Console oder das Cloud SDK erst verwenden, wenn sie diesen eingerichtet haben. Anschließend können sie nach Wunsch auch ihr Passwort verwenden.
Externe Identitätsanbieter
- Google Cloud Console: Wenn Sie festgelegt haben, dass sich ein Nutzer noch einmal mit seinem Passwort authentifizieren muss, wird er an den Identitätsanbieter (IdP) weitergeleitet. Wenn der Nutzer eine andere Anwendung verwendet, die dazu führt, dass die Sitzung beim IdP aktiv bleibt, erfordert dieser möglicherweise nicht, dass der Nutzer sein Passwort noch einmal eingibt, um eine weitere GCP Console-Sitzung zu starten.
Wenn ein Nutzer sich noch einmal durch Berühren seines Sicherheitsschlüssels anmelden muss, kann er dies über die Console tun. Er wird nicht zum Identitätsanbieter weitergeleitet.
- Cloud SDK: Wenn Sie festgelegt haben, dass ein Nutzer sich erneut mit seinem Passwort authentifizieren muss, erfordert gcloud, dass er für die erneute Anmeldung den Befehl gcloud auth login eingibt, um die Sitzung zu erneuern. Daraufhin wird ein Browserfenster geöffnet, das den Nutzer zum Identitätsanbieter weiterleitet. Wenn dort keine aktive Sitzung besteht, muss er möglicherweise seine Anmeldedaten erneut eingeben.
Wenn ein Nutzer sich durch Berühren seines Sicherheitsschlüssels erneut authentifizieren muss, kann er dies über das Cloud SDK tun. Er wird nicht zum Identitätsanbieter weitergeleitet.