ベータ版: Google Cloud Platform サービスのセッション継続時間を設定する

管理者は、各ユーザーが再認証を行わずに Google Cloud Platform(GCP)Console および Cloud SDK に継続してアクセスできる時間を管理できます。たとえば、高度な権限を持つユーザー(プロジェクト オーナー、課金管理者、管理者ロールが付与されたその他のユーザーなど)には、通常のユーザーよりも頻繁に再認証を行うように設定することができます。セッション継続時間を設定すると、該当するユーザーには、ログインし直して新しいセッションを開始するよう求めるメッセージが表示されます。

セッション継続時間の設定は、次に適用されます。

: この機能は、セッション継続時間を Google のすべてのウェブ プロパティに適用する Google セッションの管理という関連機能と併せて使用することをおすすめします。現在のベータ版機能では、GCP セッション専用に異なるセッション継続時間を設定できるほか、ウェブ以外の Cloud SDK セッションにも対応しています。セッション継続時間の設定は、Cloud Console モバイルアプリには適用されません

セッション継続時間を設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [ Google Cloud セッション管理] にアクセスします。
  3. 左側で、セッション継続時間を設定する組織部門を選択します。 
    全ユーザーを対象とする場合は、最上位階層の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。
  4. [セッション継続時間] で [セッション継続時間を設定] を選択し、プルダウン リストから時間を選択します。

    最短は 1 時間、最長は 24 時間です。この時間には、ユーザーがセッションで非アクティブになっていた時間は含まれません。これは固定の値で、この時間を経過するとユーザーはログインし直す必要があります。

    [信頼できるアプリは免除する] チェックボックスをオンにして、信頼できるアプリを再認証の対象から除外することもできます(信頼できるアプリは、[アプリのアクセス制御] ページで [信頼できる] とマークされています。詳しくは、後述の「[信頼できるアプリは免除する] 機能を使用するタイミングと方法」をご覧ください。Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するもご覧ください)。
     
  5. [再認証方法] で [パスワード] または [セキュリティ キー] を選択して、ユーザーの再認証方法を指定します。
  6. [オーバーライド] をクリックすると、親組織の設定が変更された場合でも、設定がそのまま維持されます。
  7. 組織部門のステータスがすでに [上書きされました] になっている場合は、次のいずれかを選択します。
    • 継承 - 親組織と同じ設定に戻します。
    • 保存 - 親の設定が変更された場合でも、新しい設定を保存します。

設定が適用されるまで最長で 24 時間ほどかかる場合があります。

[信頼できるアプリは免除する] 機能を使用するタイミングと方法

ここで設定した再認証ポリシーは、Cloud Platform スコープを要求することにより、GCP リソースにアクセスするすべての Google アプリとサードパーティ製アプリに適用されます。組織で現在使用されているアプリを確認する手順については、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。Cloud Platform サービスを必要とするアプリを必ずフィルタしてください。

セッション継続時間が指定の時間に達した場合、そのアプリを使用し続けるには再認証が必要です(管理者がアプリの更新トークンを取り消した場合と同様です)。

アプリによっては再認証プロセスを円滑に行えず、アプリがクラッシュしたり、スタック トレースが表示されたりする事象が発生することがあります。また、サーバー間のユースケース向けに導入され、推奨されているサービス アカウントの認証情報ではなくユーザー認証情報を使用しているアプリでは、定期的に再認証を行うユーザーが存在しません。

このような状況の影響を受ける場合は、それらのアプリを信頼できるアプリのリストに追加してセッション継続時間制限の適用対象から一時的に外し、他の GCP 管理サーフェスにセッション管理を実装したままにします。[アプリのアクセス制御] で、信頼できるアプリのリストにそれらのアプリを追加し、[Google Cloud セッション管理] の設定で [信頼できるアプリは免除する] チェックボックスをオンにします。

考慮事項

ユーザーがログインするタイミングと方法

一部のユーザーが他のユーザーよりも頻繁にログインする必要がある場合は、ユーザーをログイン頻度ごとに組織部門に配置し、それぞれ異なるセッション継続時間を適用します。こうすることで、特定のユーザーが必要のない再ログインのために作業を中断されることがなくなります。

セキュリティ キーを必須とする場合、セキュリティ キーを持っていないユーザーは、セキュリティ キーを設定するまで GCP Console または Cloud SDK を使用できません。セキュリティ キーを取得したユーザーは、パスワードの代わりにセキュリティ キーを使用するように切り替えることができます。

サードパーティの ID プロバイダ

  • GCP Console での挙動 - パスワードを使用した再認証を必須とした場合、ユーザーは ID プロバイダ(IdP)にリダイレクトされます。ユーザーにすでに IdP でアクティブなセッションがある場合、IdP では別の GCP Console セッションを開始するためにパスワードを再入力する必要がありません。これは、使用中の別のアプリケーションにより、セッションのアクティブな状態が維持されているためです。

    ユーザーがセキュリティ キーにタッチして再認証を行う必要がある場合は、GCP Console の使用中に行います。IdP にはリダイレクトされません。

  • Cloud SDK での挙動 - 再認証にパスワードを使用する場合、gcloud ではユーザーが gcloud auth login コマンドを実行してセッションを更新する必要があります。これによりブラウザ ウィンドウが開き、ユーザーは IdP にリダイレクトされます。IdP で有効なセッションがない場合は、認証情報の入力を求められることがあります。

    ユーザーがセキュリティ キーにタッチして再認証を行う必要がある場合は、Cloud SDK で行うことができます。IdP にはリダイレクトされません。

関連トピック

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。