Configurar la duración de las sesiones en servicios de Google Cloud Platform (beta)

Como administrador, puedes controlar durante cuánto tiempo se permite acceder a distintos tipos de usuarios a la consola de Google Cloud Platform (GCP) y el SDK de Google Cloud, sin necesidad de volver a autenticarse. Por ejemplo, quizá quieras que los usuarios con privilegios superiores, como propietarios de proyectos, administradores de facturación u otros usuarios con funciones de administrador, vuelvan a autenticarse con más frecuencia que los usuarios normales. Si defines una duración para las sesiones, tendrán que iniciar sesión de nuevo cuando transcurra el tiempo establecido.

El ajuste de duración de la sesión se aplica a los siguientes elementos:

Nota: Se recomienda usar esta función junto con una función relacionada, el control de sesión de Google, que aplica una duración de sesión a todas las propiedades web de Google. La función beta actual permite configurar una duración de sesión distinta específicamente para las sesiones de GCP, y también cubre las sesiones fuera de la Web del SDK de Google Cloud. El ajuste de duración de la sesión no se tiene en cuenta en la aplicación móvil de la consola de Cloud.

Configurar la duración de las sesiones

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Control de sesión de Google Cloud.
  3. En la parte izquierda, selecciona la unidad organizativa en la que quieres definir la duración de las sesiones. 
    Si quieres aplicar el ajuste a todos los usuarios, selecciona el nivel organizativo superior. Inicialmente, una unidad organizativa hereda la configuración de su unidad organizativa principal.
  4. En Duración de la sesión, selecciona Definir la duración de la sesión y elige la duración en la lista desplegable.

    La duración mínima permitida es de 1 hora, y la máxima, de 24 horas. Este ajuste no equivale al tiempo que un usuario ha estado inactivo en la sesión. Es el tiempo concreto que transcurre hasta que tiene que volver a iniciar sesión.

    También puedes marcar la casilla Exceptuar aplicaciones de confianza para que dichas aplicaciones queden exentas de la reautenticación. Las aplicaciones de confianza aparecen marcadas como tales en la página Control de acceso de aplicaciones. Para obtener más información, consulta la sección Cuándo y cómo utilizar la función "Exceptuar aplicaciones de confianza" que aparece más abajo. Consulta también el artículo Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.
     
  5. En Método de reautenticación, selecciona Contraseña o Llave de seguridad para especificar cómo se debe reautenticar el usuario.
  6. Haz clic en Anular para mantener el mismo ajuste, aunque cambie el del nivel organizativo inmediatamente superior.
  7. Si el estado de la unidad organizativa ya es Anulado, elige una de estas opciones:
    • Heredar: el ajuste pasa a ser el de la unidad organizativa superior.
    • Guardar: se guarda el nuevo ajuste (aunque el principal cambie).

La configuración puede tardar hasta 24 horas en aplicarse.

Cómo y cuándo utilizar la función "Exceptuar aplicaciones de confianza"

La política de reautenticación que configures aquí se aplicará a todas las aplicaciones de Google y de terceros que accedan a los recursos de GCP exigiendo el permiso Cloud Platform. Para obtener instrucciones sobre cómo revisar las aplicaciones que utiliza tu organización, consulta el artículo Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace. Recuerda filtrar las aplicaciones que requieren el servicio Cloud Platform.

Cuando caduque la duración de la sesión configurada, la aplicación pedirá al usuario que vuelva a autenticarse para seguir funcionando; es lo mismo que pasaría si un administrador revocara los tokens de actualización de esa aplicación.

Es posible que algunas aplicaciones no gestionen de forma fluida las situaciones de reautenticación, y eso causa bloqueos en las aplicaciones o rastreos de la pila que resultan confusos. Algunas otras aplicaciones se implementan para casos prácticos de servidor a servidor usando las credenciales de usuario en lugar de las credenciales de la cuenta de servicio recomendada, en cuyo caso no hay ningún usuario que responda a las solicitudes periódicas de reautenticación.

Si te afectan estas situaciones, puedes añadir esas aplicaciones a una lista de confianza; esto las librará temporalmente de limitaciones en la duración de las sesiones y, al mismo tiempo, implementará controles de sesión en el resto de las áreas de administración de GCP. Añade las aplicaciones a la lista de aplicaciones de confianza de Control de acceso de aplicaciones y marca la casilla Exceptuar aplicaciones de confianza en el ajuste Control de sesiones de Google Cloud.

Cuestiones importantes

Cómo y cuándo inician sesión los usuarios

Si necesitas que algunos usuarios inicien sesión con más frecuencia que otros, colócalos en otras unidades organizativas. A continuación, configura una duración de sesión diferente para cada una. De esta forma, no tendrás que interrumpir a los usuarios para que vuelvan a iniciar sesión si no es necesario.

Si requieres que los usuarios utilicen una llave de seguridad, los que no tengan una no podrán utilizar la consola de GCP ni el SDK de Google Cloud hasta que la configuren. Una vez que tengan la llave de seguridad, podrán volver a iniciar sesión con su contraseña, si lo prefieren.

Proveedores de identidades externos

  • Con la consola de GCP: si requieres que un usuario vuelva a autenticarse con su contraseña, se le redirigirá al proveedor de identidades (IdP). Si el usuario ya tiene una sesión activa con el IdP, porque está utilizando otra aplicación que la mantiene activa, es posible que el IdP no pida a los usuarios que vuelvan a introducir su contraseña para iniciar otra sesión en la consola de GCP.

    Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo en la consola de GCP. En ese caso, no se le redirigirá al IdP.

  • Con el SDK de Google Cloud: si se requiere una contraseña para la reautenticación, gcloud requerirá que el usuario ejecute el comando gcloud auth login para renovar la sesión. Se mostrará una ventana del navegador y se dirigirá al usuario al IdP, donde tendrá que introducir las credenciales si no hay ninguna sesión activa con el IdP.

    Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo en el SDK de Google Cloud. En ese caso, no se le redirigirá al IdP.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.