Configurar la duración de las sesiones en servicios de Google Cloud Platform (beta)

Como administrador, puedes controlar durante cuánto tiempo se permite acceder a distintos tipos de usuarios a la consola de Google Cloud Platform (GCP) y el SDK de Google Cloud, sin necesidad de volver a autenticarse. Por ejemplo, quizá quieras que los usuarios con privilegios superiores, como propietarios de proyectos, administradores de facturación u otros usuarios con funciones de administrador, vuelvan a autenticarse con más frecuencia que los usuarios normales. Si defines una duración para las sesiones, tendrán que iniciar sesión de nuevo cuando transcurra el tiempo establecido.

El ajuste de duración de la sesión se aplica a los siguientes elementos:

Nota: Se recomienda usar esta función junto con una función relacionada, el control de sesión de Google, que aplica una duración de sesión a todas las propiedades web de Google. La función beta actual permite configurar una duración de sesión distinta específicamente para las sesiones de GCP, y también cubre las sesiones fuera de la Web del SDK de Google Cloud. El ajuste de duración de la sesión no se tiene en cuenta en la aplicación móvil de la consola de Cloud.

Configurar la duración de las sesiones

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Control de sesión de Google Cloud.
  3. En la parte izquierda, selecciona la unidad organizativa en la que quieres definir la duración de las sesiones. 
    Si quieres aplicar el ajuste a todos los usuarios, selecciona el nivel organizativo superior. Inicialmente, una unidad organizativa hereda la configuración de su unidad organizativa principal.
  4. En Duración de la sesión, selecciona Definir la duración de la sesión y elige la duración en la lista desplegable.

    La duración mínima permitida es de 1 hora, y la máxima, de 24 horas. Este ajuste no equivale al tiempo que un usuario ha estado inactivo en la sesión. Es el tiempo concreto que transcurre hasta que tiene que volver a iniciar sesión.

    También puedes marcar la casilla Exceptuar aplicaciones de confianza para que dichas aplicaciones queden exentas de la reautenticación. Las aplicaciones de confianza aparecen marcadas como tales en la página Control de acceso de aplicaciones. Para obtener más información, consulta la sección Cuándo y cómo utilizar la función "Exceptuar aplicaciones de confianza" que aparece más abajo. Consulta también el artículo Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.
     
  5. En Método de reautenticación, selecciona Contraseña o Llave de seguridad para especificar cómo se debe reautenticar el usuario.
  6. Haz clic en Anular para mantener el mismo ajuste, aunque cambie el del nivel organizativo inmediatamente superior.
  7. Si el estado de la unidad organizativa ya es Anulado, elige una de estas opciones:
    • Heredar: el ajuste pasa a ser el de la unidad organizativa superior.
    • Guardar: se guarda el nuevo ajuste (aunque el principal cambie).

La configuración puede tardar hasta 24 horas en aplicarse.

Cómo y cuándo utilizar la función "Exceptuar aplicaciones de confianza"

La política de reautenticación que configures aquí se aplicará a todas las aplicaciones de Google y de terceros que accedan a los recursos de GCP exigiendo el permiso Cloud Platform. Para obtener instrucciones sobre cómo revisar las aplicaciones que utiliza tu organización, consulta el artículo Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace. Recuerda filtrar las aplicaciones que requieren el servicio Cloud Platform.

Durante la revisión, es posible que encuentres algunas aplicaciones que no quieras interrumpir con el requisito de reautenticación. Por ejemplo, quizá haya una aplicación que se ejecute en el servidor, pero con credenciales de usuario en vez de una cuenta de servicio. Estas aplicaciones no podrán completar un proceso de reautenticación porque no hay ningún usuario en el servidor. Lo ideal es que estas aplicaciones utilicen credenciales de cuentas de servicio, pero, para permitir temporalmente que esas aplicaciones sigan funcionando sin volver a autenticarse, debes añadirlas a la lista de aplicaciones de confianza de Control de acceso de aplicaciones y marcar la casilla Exceptuar aplicaciones de confianza en el ajuste Control de sesiones de Google Cloud .

Cuestiones importantes

Cómo y cuándo inician sesión los usuarios

Si necesitas que algunos usuarios inicien sesión con más frecuencia que otros, colócalos en otras unidades organizativas. A continuación, configura una duración de sesión diferente para cada una. De esta forma, no tendrás que interrumpir a los usuarios para que vuelvan a iniciar sesión si no es necesario.

Si requieres que los usuarios utilicen una llave de seguridad, los que no tengan una no podrán utilizar la consola de GCP ni el SDK de Google Cloud hasta que la configuren. Una vez que tengan la llave de seguridad, podrán volver a iniciar sesión con su contraseña, si lo prefieren.

Proveedores de identidades externos

  • Con la consola de GCP: si requieres que un usuario vuelva a autenticarse con su contraseña, se le redirigirá al proveedor de identidades (IdP). Si el usuario ya tiene una sesión activa con el IdP, porque está utilizando otra aplicación que la mantiene activa, es posible que el IdP no pida a los usuarios que vuelvan a introducir su contraseña para iniciar otra sesión en la consola de GCP.

    Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo en la consola de GCP. En ese caso, no se le redirigirá al IdP.

  • Con el SDK de Google Cloud: si se requiere una contraseña para la reautenticación, gcloud requerirá que el usuario ejecute el comando gcloud auth login para renovar la sesión. Se mostrará una ventana del navegador y se dirigirá al usuario al IdP, donde tendrá que introducir las credenciales si no hay ninguna sesión activa con el IdP.

    Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo en el SDK de Google Cloud. En ese caso, no se le redirigirá al IdP.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.