Jako administrator masz kontrolę nad tym, jak długo różni użytkownicy mogą korzystać z konsoli Google Cloud i pakietu SDK Cloud bez konieczności ponownego uwierzytelnienia. Możesz na przykład wymagać od użytkowników z podwyższonymi uprawnieniami – takich jak właściciele projektu, administratorzy rozliczeń czy inni użytkownicy pełniący rolę administratora – aby dokonywali ponownego uwierzytelniania częściej niż zwykli użytkownicy. Jeśli ustawisz długość sesji, po jej wygaśnięciu użytkownik zobaczy prośbę o ponowne zalogowanie się w celu rozpoczęcia nowej sesji.
Ustawienie długości sesji ma zastosowanie w przypadku tych usług:
- konsola Google Cloud,
- Narzędzie wiersza poleceń gcloud (pakiet SDK Cloud).
- Wszystkie aplikacje (w tym aplikacje innych firm lub Twoje własne) wymagające autoryzacji użytkownika do korzystania z zakresów Google Cloud. Aby dowiedzieć się, jak sprawdzić, które aplikacje wymagają zakresów Google Cloud w interfejsie kontroli dostępu aplikacji, zapoznaj się z artykułem Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace.
Uwaga: ustawienie długości sesji w Google Cloud nie ma zastosowania w przypadku aplikacji mobilnej konsoli i jest ograniczone w konsoli. Zalecamy korzystanie z tej funkcji w połączeniu z kontrolą sesji Google, która stosuje długość sesji do wszystkich usług internetowych Google.
Określanie zasad ponownego uwierzytelniania
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz menu Bezpieczeństwo Dostęp do danych i kontrola nad nimi Kontrola sesji Google Cloud.
- Po lewej wybierz jednostkę organizacyjną, w której chcesz ustawić długość sesji.
Aby ustawienia obejmowały wszystkich użytkowników, wybierz jednostkę organizacyjną najwyższego poziomu. Początkowo jednostka organizacyjna dziedziczy ustawienia z jednostki nadrzędnej. - W sekcji Zasady ponownego uwierzytelniania kliknij Wymagaj ponownego uwierzytelniania i wybierz z listy Częstotliwość ponownego uwierzytelniania.
Minimalna dozwolona częstotliwość to 1 godzina, a maksymalna – 24 godziny. Na częstotliwość nie ma wpływu to, jak długo użytkownik pozostaje nieaktywny. Jest to ustalony czas, po upływie którego użytkownik musi się ponownie zalogować.
Możesz też zaznaczyć pole Z wyjątkiem aplikacji zaufanych, aby zwolnić ich użytkowników z obowiązku ponownego uwierzytelniania. (Aplikacje zaufane są oznaczone jako „Zaufane” na stronie Kontrola dostępu aplikacji. Więcej informacji znajdziesz poniżej w sekcji Przygotowanie do szerokiego wdrożenia. Zapoznaj się też z artykułem Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace).
- W sekcji Metoda ponownego uwierzytelnienia wybierz Hasło lub Klucz bezpieczeństwa, aby określić sposób ponownego uwierzytelnienia użytkownika.
- Jeśli określasz zasady ponownego uwierzytelniania na poziomie jednostki organizacyjnej, na dole po prawej stronie kliknij przycisk Zastąp. Pozwoli to zachować ustawienia bez zmian nawet w razie modyfikacji ustawień jednostki nadrzędnej.
- Jeśli stan jednostki organizacyjnej to Zastąpione, wybierz jedną z tych opcji:
- Odziedzicz – powoduje, że ustawienie jest przywracane do tej samej wartości co ustawienie nadrzędne.
- Zapisz – powoduje, że ustawienie zostanie zachowane, nawet jeśli ustawienie nadrzędne ulegnie zmianie.
Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
Przygotowanie do szerokiego wdrożenia
Opisany tutaj sposób konfiguracji zasad ponownego uwierzytelniania dotyczy wszystkich aplikacji Google i innych firm, które wymagają zakresu Google Cloud podczas uzyskiwania dostępu do zasobów Google Cloud. Zanim przejdziesz do szerszego wdrożenia, zalecamy dokładne przetestowanie działania zasad dla każdej z aplikacji na małej grupie użytkowników. Można to zrobić przez dodanie tych użytkowników do listy aplikacji zaufanych.
Instrukcje dotyczące sprawdzania, które aplikacje są obecnie używane w organizacji, znajdziesz w artykule Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace. Pamiętaj, aby za pomocą filtra wybrać tylko aplikacje wymagające usługi Google Cloud.
Gdy skonfigurowany czas trwania sesji dobiegnie końca, aby aplikacja mogła dalej działać, użytkownik będzie musiał przeprowadzić ponowne uwierzytelnianie. Jest to podobna sytuacja do tej, gdy administrator unieważnia tokeny odświeżania danej aplikacji.
Niektóre aplikacje mogą nie obsługiwać płynnie procesu ponownego uwierzytelniania, co powoduje dezorientujące awarie lub zrzuty stosu. Niektóre inne aplikacje są wdrażane w modelu serwer–serwer z wykorzystaniem danych uwierzytelniających użytkownika zamiast zalecanych danych uwierzytelniających konta usługi. W takim przypadku nie ma użytkownika, który mógłby okresowo przeprowadzać ponowne uwierzytelnianie.
Jeśli dotyczy Cię któraś z tych sytuacji, możesz dodać te aplikacje do listy zaufanych, aby tymczasowo zwolnić je z ograniczeń dotyczących czasu trwania sesji i objąć kontrolą sesji wszystkie pozostałe interfejsy administracyjne Google Cloud. Dodaj aplikacje do listy zaufanych w sekcji Kontrola dostępu aplikacji i zaznacz pole Z wyjątkiem aplikacji zaufanych w ustawieniu Kontrola sesji Google Cloud.
Naprawianie błędu związanego z ponownym uwierzytelnianiem
Gdy sesja dobiegnie końca, możesz otrzymać komunikat z aplikacji innych firm o błędzie związanym z ponownym uwierzytelnianiem. W takim przypadku użytkownicy mogą zalogować się ponownie w aplikacji, aby rozpocząć nową sesję.
Aplikacje, które używają domyślnych danych logowania aplikacji (ADC) z wykorzystaniem danych logowania użytkownika, są uznawane za aplikacje innych firm. Te dane logowania są ważne tylko przez skonfigurowany czas trwania sesji. Gdy ten czas dobiegnie końca, aplikacje korzystające z domyślnych danych logowania aplikacji mogą również wyświetlać komunikat o błędzie związanym z ponownym uwierzytelnianiem. Deweloperzy mogą ponownie uwierzytelnić aplikację, uruchamiając polecenie gcloud auth application-default login
, aby uzyskać nowe dane logowania.
Uwagi
Czas i sposób logowania się użytkowników
Jeśli chcesz, aby niektórzy użytkownicy musieli logować się częściej niż inni, umieść ich w innych jednostkach organizacyjnych. Następnie zastosuj w tych jednostkach inne długości sesji. Dzięki temu wybrani użytkownicy nie będą musieli przerywać swojej pracy, aby się zalogować, jeśli nie jest to konieczne.
Jeśli wymagasz stosowania klucza bezpieczeństwa, użytkownicy, którzy go nie mają, do momentu jego skonfigurowania nie będą mogli korzystać z konsoli ani z pakietu SDK Cloud. Gdy uzyskają już klucz bezpieczeństwa, będą mieli opcję przejścia na korzystanie z hasła zamiast klucza.
Zewnętrzni dostawcy tożsamości
- Konsola – jeśli wymagasz od użytkownika ponownego uwierzytelnienia przy użyciu hasła, zostanie on przekierowany do dostawcy tożsamości. Dostawca ten może nie wymagać od użytkownika ponownego wpisania hasła w celu rozpoczęcia kolejnej sesji w konsoli. Dzieje się tak, ponieważ w użyciu jest inna aplikacja, która powoduje, że sesja użytkownika jest nadal aktywna u dostawcy tożsamości.
Jeśli użytkownik musi ponownie uwierzytelnić się przez dotknięcie klucza bezpieczeństwa, może to zrobić w konsoli. Nie zostanie przekierowany do dostawcy tożsamości.
- Pakiet SDK Cloud – jeśli do ponownego uwierzytelnienia konieczne jest hasło, gcloud będzie wymagać od użytkownika wykonania polecenia gcloud auth login w celu odnowienia sesji. Spowoduje to otwarcie okna przeglądarki. Użytkownik zostanie przekierowany do dostawcy tożsamości, gdzie – jeśli nie ma u dostawcy aktywnej sesji – może zobaczyć prośbę o podanie danych logowania.
Jeśli użytkownik musi ponownie uwierzytelnić się przez dotknięcie klucza bezpieczeństwa, może to zrobić w pakiecie SDK Cloud. Nie zostanie przekierowany do dostawcy tożsamości.