Sebagai administrator, Anda dapat mengontrol durasi akses konsol Google Cloud dan Cloud SDK bagi masing-masing pengguna tanpa harus melakukan autentikasi ulang. Sebagai contoh, Anda mungkin ingin pengguna yang memiliki hak istimewa yang lebih tinggi, seperti pemilik project, administrator penagihan, atau pengguna lainnya dengan peran administrator, untuk lebih sering melakukan autentikasi ulang dibandingkan pengguna reguler. Jika Anda menetapkan durasi sesi, mereka akan diminta login lagi untuk memulai sesi baru.
Setelan durasi sesi berlaku untuk:
- Konsol Google Cloud
- Alat command line gcloud (Cloud SDK)
- Aplikasi apa pun (termasuk aplikasi pihak ketiga, atau aplikasi Anda sendiri) yang mewajibkan otorisasi pengguna untuk cakupan Google Cloud. Untuk meninjau aplikasi yang mewajibkan cakupan Google Cloud di UI kontrol akses Aplikasi, lihat Mengontrol aplikasi pihak ketiga & internal yang mengakses data Google Workspace.
Catatan: Setelan durasi sesi Cloud tidak berlaku untuk aplikasi seluler konsol, dan memiliki batasan dalam konsol. Sebaiknya Anda menggunakan fitur ini dengan kontrol sesi Google, yang menerapkan durasi sesi untuk semua properti web Google.
Menetapkan kebijakan autentikasi ulang
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu KeamananKontrol data dan aksesKontrol sesi Google Cloud.
- Di sebelah kiri, pilih unit organisasi tempat Anda ingin menetapkan durasi sesi.
Untuk semua pengguna, pilih unit organisasi tingkat teratas. Awalnya, unit organisasi mewarisi setelan induknya. - Pada bagian Kebijakan autentikasi ulang, pilih Wajibkan autentikasi ulang, dan pilih Frekuensi autentikasi ulang dari menu drop-down.
Frekuensi minimum yang diizinkan adalah 1 jam dan frekuensi maksimumnya adalah 24 jam. Frekuensi tidak mencakup berapa lama pengguna tidak aktif dalam sesi tersebut. Frekuensi ini merupakan waktu tetap yang terlewati sebelum pengguna harus login lagi.
Anda juga dapat mencentang kotak Kecualikan aplikasi tepercaya untuk mengecualikan aplikasi tepercaya dari autentikasi ulang. (Aplikasi tepercaya ditandai sebagai Tepercaya di halaman Kontrol akses aplikasi. Untuk mengetahui detail selengkapnya, lihat Menyiapkan peluncuran luas di bawah. Lihat juga Mengontrol aplikasi pihak ketiga & internal yang mengakses data Google Workspace.)
- Di bagian Metode autentikasi ulang, pilih Sandi atau Kunci keamanan untuk menetapkan cara pengguna harus melakukan autentikasi ulang.
- Jika Anda menetapkan kebijakan Autentikasi ulang di tingkat unit organisasi, klik tombol Ganti di kanan bawah agar setelan tetap sama meskipun setelan induk berubah.
- Jika status unit organisasi telah Diganti, pilih salah satu opsi:
- Warisi—Mengembalikan ke setelan yang sama dengan induknya.
- Simpan—Menyimpan setelan baru (meskipun jika setelan induk berubah).
Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut
Mempersiapkan peluncuran luas
Kebijakan autentikasi ulang yang dikonfigurasi di sini berlaku untuk semua aplikasi Google dan pihak ketiga yang mengakses resource Google Cloud dengan mewajibkan cakupan Google Cloud. Sebaiknya Anda menguji dengan cermat cara kerja kebijakan untuk setiap aplikasi dengan sekelompok kecil pengguna—menambahkan pengguna tersebut ke daftar aplikasi tepercaya sebelum melanjutkan ke peluncuran yang lebih luas.
Untuk mengetahui petunjuk tentang cara meninjau aplikasi yang saat ini digunakan oleh organisasi Anda, lihat Mengontrol aplikasi pihak ketiga & internal yang mengakses data Google Workspace. Pastikan Anda memfilter aplikasi yang memerlukan layanan Google Cloud.
Saat durasi sesi yang dikonfigurasi berakhir, aplikasi akan meminta pengguna untuk mengautentikasi ulang agar sesi dapat terus aktif—seperti yang terjadi jika admin mencabut token refresh untuk aplikasi tersebut.
Beberapa aplikasi mungkin tidak menangani skenario autentikasi ulang dengan baik, menyebabkan adanya pelacakan tumpukan atau error pada aplikasi yang membingungkan. Beberapa aplikasi lain di-deploy untuk kasus penggunaan server-ke-server dengan kredensial pengguna dan bukan kredensial akun layanan yang disarankan, sehingga tidak ada pengguna yang mengautentikasi ulang secara berkala.
Jika terpengaruh oleh skenario tersebut, Anda dapat menambahkan aplikasi ini ke daftar tepercaya, mengecualikan aplikasi dari batasan durasi sesi untuk sementara waktu, serta menerapkan kontrol sesi untuk semua platform admin Google Cloud lainnya. Tambahkan ke daftar Aplikasi tepercaya di Kontrol akses aplikasi, dan centang kotak Kecualikan aplikasi tepercaya di setelan Kontrol sesi Cloud.
Memulihkan dari error terkait autentikasi ulang
Anda mungkin mendapatkan respons error terkait autentikasi dari aplikasi pihak ketiga setelah sesi berakhir. Untuk melanjutkan penggunaan aplikasi tersebut, pengguna dapat login ke aplikasi lagi untuk memulai sesi baru.
Aplikasi yang menggunakan Kredensial Default Aplikasi (ADC) dengan kredensial pengguna dianggap sebagai aplikasi pihak ketiga. Kredensial ini hanya valid untuk durasi sesi yang dikonfigurasi. Saat sesi tersebut berakhir, aplikasi yang menggunakan ADC mungkin juga menampilkan respons error terkait autentikasi. Developer dapat mengizinkan ulang aplikasi dengan menjalankan perintah gcloud auth application-default login
untuk mendapatkan kredensial baru.
Pertimbangan
Waktu dan cara pengguna login
Jika Anda mengharuskan beberapa pengguna untuk login lebih sering dibandingkan pengguna lainnya, tempatkan mereka di unit organisasi yang berbeda. Kemudian, terapkan durasi sesi yang berbeda untuk mereka. Dengan demikian, pengguna tertentu tidak akan terganggu dengan permintaan login ulang saat tidak diperlukan.
Jika Anda mewajibkan kunci keamanan, pengguna yang tidak memilikinya tidak dapat menggunakan konsol Google Cloud atau Cloud SDK hingga mereka menyiapkannya. Setelah memiliki kunci keamanan, mereka dapat beralih menggunakan sandi mereka jika diinginkan.
Penyedia identitas pihak ketiga
- Dengan konsol—Jika Anda mewajibkan pengguna untuk melakukan autentikasi ulang menggunakan sandinya, pengguna akan dialihkan ke penyedia identitas (IdP). IdP mungkin tidak mewajibkan pengguna memasukkan ulang sandi untuk memulai sesi konsol lainnya, jika pengguna sudah memiliki sesi yang aktif dengan IdP—karena mereka menggunakan aplikasi lain yang menyebabkan sesi tersebut tetap aktif.
Jika harus melakukan autentikasi ulang dengan menyentuh kunci keamanannya, pengguna dapat melakukannya saat menggunakan konsol. Pengguna tidak akan dialihkan ke IdP.
- Dengan Cloud SDK—Jika sandi diperlukan untuk autentikasi ulang, gcloud akan mewajibkan pengguna untuk mengeksekusi perintah gcloud auth login untuk memperpanjang sesi. Tindakan ini akan memunculkan jendela browser, dan pengguna akan diarahkan ke IdP, tempat dia mungkin diminta untuk memasukkan kredensial jika tidak ada sesi yang aktif dengan IdP.
Jika pengguna harus melakukan autentikasi ulang dengan menyentuh kunci keamanannya, dia dapat melakukannya di Cloud SDK. Dia tidak akan dialihkan ke IdP.