管理員可以控管不同使用者每次使用 Google Cloud 控制台和 Cloud SDK 的時間,決定他們必須在使用多久後重新驗證。舉例來說,您可能會希望權限較高的使用者 (如專案擁有者、帳單管理員或其他具有管理員角色的使用者) 比一般使用者更頻繁地重新驗證。一旦您設定工作階段時間長度,系統就會提示他們重新登入,啟動新的工作階段。
工作階段長度設定會套用至:
- Google Cloud 控制台
- gcloud 指令列工具 (Cloud SDK)
- 所有需要使用者授權 Google Cloud 範圍的應用程式 (包括第三方應用程式和您自己的應用程式)。如要在應用程式存取權控管 UI 中,查看有哪些應用程式需要 Google Cloud 範圍,請參閱控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料。
注意:Cloud 工作階段長度設定不會套用至控制台行動應用程式,而且在控制台中也會受到限制。建議您搭配 Google 工作階段控制設定使用這項功能,將工作階段長度套用至所有 Google 網站資源。
設定重新驗證政策
-
-
在管理控制台中,依序點選「選單」圖示 「 安全性」「存取權與資料控管」「Google Cloud 工作階段控制設定」。
- 在左側選取您要設定工作階段時間長度的機構單位。
如要為所有使用者套用設定,請選取頂層機構單位。根據預設,機構單位會沿用上層機構的設定。 - 在 [重新驗證政策] 下方選取 [要求重新驗證],然後從下拉式清單中選擇 [重新驗證頻率]。
可選取的頻率最低為 1 小時,最高為 24 小時,不包含使用者在工作階段中閒置的時間。這個時間長度是指使用者必須重新登入的固定間隔時間。
您也可以勾選 [排除可信任的應用程式] 方塊,將信任的應用程式排除在重新驗證設定的適用範圍之外 (信任的應用程式在 [應用程式存取權控制項] 頁面上會標示為 [可信任]。詳情請參閱下方的「為大範圍套用做好準備」一節。另外也請參閱控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料)。
- 在 [重新驗證方式] 下方選取 [密碼] 或 [安全金鑰],指定使用者重新驗證的方式。
- 如要在機構單位層級設定重新驗證政策,請按一下右下方的 [覆寫] 按鈕,確保不會受到上層設定變更的影響。
- 如果該機構單位的狀態為 [已覆寫],請選擇下列其中一個選項:
- 沿用:還原成與上層機構相同的設定。
- 儲存:儲存您的新設定 (即使上層設定變更,仍會套用新設定)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
為大範圍套用做好準備
您在這裡設定的重新驗證政策,都會套用至存取 Google Cloud 資源時需要 Google Cloud 範圍的 Google 和第三方應用程式。建議您先在一小組使用者的範圍內仔細開展測試 (將這些使用者加入可信任的應用程式清單),以瞭解該政策對每個應用程式的實施效果,然後再進行大範圍套用。
如要瞭解如何查看貴機構目前使用的應用程式,請參閱控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料。請務必篩選出需要使用「Google Cloud」服務的應用程式。
超過您設定的工作階段時間長度後,應用程式會要求使用者重新驗證,以便繼續運作。當管理員撤銷該應用程式的更新權杖時,應用程式也會要求使用者重新驗證。
部分應用程式可能無法妥善處理重新驗證程序,導致應用程式莫名當機或產生堆疊追蹤。此外,某些應用程式是透過使用者憑證 (而不是建議的服務帳戶憑證) 完成部署,以用於伺服器對伺服器用途。在這種情況下,使用者就不必定期重新驗證。
如果您受到上述情況影響,可以將這些應用程式加入信任清單中,暫時免除應用程式的工作階段時間長度限制,並將工作階段控制項導入其他所有的 Google Cloud 管理員使用者介面。接著,請在「應用程式存取權控制項」頁面中,將應用程式加入「可信任的應用程式」清單,並在「Cloud 工作階段控制」設定中勾選 [排除信任的應用程式] 核取方塊。
排解重新驗證相關錯誤
在工作階段到期後,您可能會收到來自第三方應用程式的重新驗證相關錯誤回應。如要繼續使用這些應用程式,使用者可以再次登入應用程式,啟動新的工作階段。
如果應用程式使用含有使用者憑證的應用程式預設憑證 (ADC),會視為第三方應用程式。這些憑證僅在已設定的工作階段時間長度內有效。在該工作階段到期時,使用 ADC 的應用程式也可能傳回重新驗證相關錯誤回應。開發人員可以執行 gcloud auth application-default login
指令取得新憑證,藉此重新授權應用程式。
注意事項
使用者登入的頻率與方式
如果您認為部分使用者的登入頻率應該提高,請將他們加入其他機構單位,然後套用不同的工作階段時間長度。這樣一來,系統就只會在必要時中斷特定使用者的工作階段並要求重新登入。
如果您要求使用者必須使用安全金鑰,則未設定安全金鑰的使用者就必須先進行設定,才能使用控制台或 Cloud SDK。使用者擁有安全金鑰後,可以視需要改用自己的密碼登入。
第三方識別資訊提供者
- 使用控制台:如果您要求使用者必須使用密碼重新驗證,系統會將他們重新導向識別資訊提供者 (IdP)。不過,如果使用者在 IdP 已經有運作中的工作階段,由於正在使用的其他應用程式會讓工作階段維持運作,因此使用者啟動另一個控制台工作階段時,IdP 不一定會要求重新輸入密碼。
如果使用者必須觸碰安全金鑰才能重新驗證,可以直接在控制台中操作,系統不會將他們重新導向 IdP。
- 使用 Cloud SDK:如果您要求使用者必須使用密碼重新驗證,gcloud 會要求使用者執行 gcloud 驗證登入指令來更新工作階段。系統會開啟瀏覽器視窗,並將使用者導向 IdP。如果 IdP 沒有運作中的工作階段,系統會要求使用者輸入憑證。
如果使用者必須觸碰安全金鑰才能重新驗證,可以直接在 Cloud SDK 中操作,系統不會將他們重新導向 IdP。