Version bêta : Définir la durée de session pour les services Google Cloud

En tant qu'administrateur, vous pouvez contrôler la durée pendant laquelle les différents utilisateurs peuvent accéder à Google Cloud Console et au SDK Cloud sans avoir à s'authentifier à nouveau. Par exemple, vous souhaiterez peut-être que les utilisateurs disposant de droits élevés (propriétaires de projet, administrateurs de compte de facturation ou autres utilisateurs disposant de rôles administrateur) puissent s'authentifier à nouveau plus souvent que les utilisateurs standards. En configurant une durée de session, ils seront invités à se reconnecter pour démarrer une nouvelle session.

Le paramètre de durée de session s'applique aux éléments suivants :

Remarque : Nous recommandons cette fonctionnalité ainsi que la fonctionnalité associée Contrôle de session Google qui permet d'appliquer une durée de session à toutes les propriétés Web Google. La fonctionnalité en version bêta actuelle vous permet de configurer une durée de session différente pour les sessions Google Cloud. Elle couvre également les sessions SDK Cloud hors connexion Web. Le paramètre de durée de session n'est pas applicable à l'application mobile Cloud Console.

Configurer les règles de réauthentification

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Contrôle des sessions Google Cloud.
  3. Sur la gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez définir une durée de session. 
    Pour la définir pour tous les utilisateurs, sélectionnez l'unité organisationnelle racine. Par défaut, une unité organisationnelle hérite des paramètres de son organisation parente.
  4. Sous Règles de réauthentification, sélectionnez Demander une nouvelle authentification et sélectionnez Fréquence de réauthentification dans le menu déroulant.

    La fréquence doit être comprise entre 1 et 24 heures. La fréquence n'inclut pas la période pendant laquelle un utilisateur a été inactif au cours de la session. Il s'agit du temps qui s'écoule avant que l'utilisateur ne doive se reconnecter.

    Vous pouvez également cocher l'option Sauf pour les applications de confiance pour éviter aux applications de confiance de devoir s'authentifier à nouveau. Les applications de confiance sont signalées comme "Approuvées" sur la page Contrôle d'accès des applications. Pour en savoir plus, consultez Quand et comment utiliser la fonctionnalité "Sauf pour les applications de confiance" ci-dessous. Consultez également Contrôler l'accès des applications tierces et internes aux données Google Workspace.
     
  5. Sous Méthode de réauthentification, sélectionnez Mot de passe ou Clé de sécurité pour indiquer la manière dont l'utilisateur doit s'authentifier à nouveau.
  6. Si vous configurez les règles de réauthentification au niveau de l'unité organisationnelle, cliquez sur le bouton Ignorer en bas à droite pour conserver la même configuration en cas de changement de la configuration parente.
  7. Si l'état de l'unité organisationnelle affiche déjà Remplacé, sélectionnez l'une des options suivantes :
    • L'option Hériter rétablit le paramètre du parent.
    • L'option Enregistrer permet de conserver votre nouveau paramètre, même si celui du parent est modifié.

L'application des paramètres peut prendre jusqu'à 24 heures.

Préparer un déploiement de grande envergure

Les règles de réauthentification que vous configurez ici s'appliquent à toutes les applications Google et applications tierces pouvant accéder aux ressources Google Cloud sur demande du champ d'application Google Cloud. Nous vous recommandons de tester soigneusement le fonctionnement des règles pour chacune des applications sur un nombre restreint d'utilisateurs en les ajoutant à la liste d'applications approuvées avant de passer à un déploiement plus étendu.

Pour savoir comment vérifier des applications actuellement utilisées par votre organisation, consultez Contrôler l'accès des applications tierces et internes aux données Google Workspace. Assurez-vous d'appliquer un filtre pour les applications nécessitant le service Google Cloud.

Lorsque la session arrive à expiration, l'utilisateur est invité à s'authentifier une nouvelle fois pour continuer à se servir de l'application. Le principe est le même que si un administrateur avait révoqué les jetons d'actualisation associés à cette application.

Quand certaines applications gèrent mal la réauthentification, la fonctionnalité entraîne leur plantage ou des traces de pile prêtant à confusion. D'autres applications, déployées dans le cadre d'une authentification serveur à serveur, utilisent des identifiants utilisateur à la place des identifiants de compte de service recommandés, si bien qu'aucun utilisateur ne peut procéder à la réauthentification périodique.

Si vous êtes affecté par ces scénarios, vous pouvez ajouter ces applications à une liste d'applications approuvées et ainsi les exclure temporairement des contrôles de session, tout en continuant à appliquer ces contrôles à toutes les autres applications d'administration Google Cloud. Ajoutez les applications à la liste des applications approuvées dans Contrôle d'accès des applications, puis cochez l'option Sauf pour les applications de confiance dans les paramètres Contrôle des sessions cloud.

Remarques :

Contrôler quand et comment les utilisateurs se connectent

Si vous souhaitez que certains utilisateurs se reconnectent plus souvent que d'autres, placez-les dans unités organisationnelles distinctes, auxquelles vous appliquez ensuite des durées de session différentes. Ainsi, certains utilisateurs ne seront pas interrompus dans leur travail et invités à se reconnecter.

Si vous imposez l'utilisation d'une clé de sécurité, les utilisateurs qui n'en disposent pas ne peuvent pas utiliser Google Cloud Console ni le SDK Cloud tant qu'ils ne l'ont pas configurée. Une fois la configuration effectuée, ils peuvent choisir de se connecter à l'aide de leur mot de passe s'ils le souhaitent.

Fournisseurs d'identité tiers

  • Avec la Google Cloud Console : si vous demandez à un utilisateur de s'authentifier à nouveau à l'aide de son mot de passe, il est redirigé vers le fournisseur d'identité. Si l'utilisateur dispose déjà d'une session active auprès du fournisseur d'identité, il est possible que celui-ci n'impose pas à l'utilisateur de saisir à nouveau son mot de passe pour démarrer une autre session de Google Cloud Console, puisqu'il utilise une autre application qui permet à la session de rester active.

    Si un utilisateur doit s'authentifier à nouveau en appuyant sur sa clé de sécurité, il peut le faire tout en utilisant Google Cloud Console. Il ne sera pas redirigé vers le fournisseur d'identité.

  • Avec le SDK Cloud : si un mot de passe est requis pour la réauthentification, gcloud demandera à l'utilisateur d'exécuter la commande gcloud auth login pour renouveler la session. Ce processus permet d'ouvrir une fenêtre de navigateur qui redirige l'utilisateur vers le fournisseur d'identité. L'utilisateur peut alors être invité à saisir ses identifiants s'il ne dispose d'aucune session active auprès du fournisseur d'identité.

    Si un utilisateur doit s'authentifier à nouveau en appuyant sur sa clé de sécurité, il peut le faire dans le SDK Cloud. Il ne sera pas redirigé vers le fournisseur d'identité.

Articles associés

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
73010
false