Ustawianie długości sesji dla usług Google Cloud Platform – funkcja w wersji beta

Jako administrator masz kontrolę nad tym, jak długo różni użytkownicy mogą korzystać z konsoli Google Cloud Platform (GCP) i pakietu SDK Cloud bez konieczności ponownego uwierzytelnienia. Możesz na przykład wymagać od użytkowników z podwyższonymi uprawnieniami – takich jak właściciele projektu, administratorzy rozliczeń czy inni użytkownicy pełniący rolę administratora – aby dokonywali ponownego uwierzytelniania częściej niż zwykli użytkownicy. Jeśli ustawisz długość sesji, po jej wygaśnięciu użytkownik zobaczy prośbę o ponowne zalogowanie się w celu rozpoczęcia nowej sesji.

Ustawienie długości sesji ma zastosowanie w przypadku:

Uwaga: ta funkcja jest zalecana jako dodatek do powiązanej funkcji o nazwie Kontrola sesji Google, która stosuje czas trwania sesji do wszystkich usług internetowych Google. Obecna funkcja w wersji beta pozwala skonfigurować inny czas trwania sesji przeznaczony dla sesji GCP, a także obejmuje niekorzystające z przeglądarki sesje pakietu SDK Cloud. Ustawienie długości sesji nie ma zastosowania do aplikacji mobilnej Cloud Console.

Ustawianie czasów trwania sesji

  1. Zaloguj się w Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Bezpieczeństwo a potem Kontrola sesji Google Cloud.
  3. Po lewej wybierz jednostkę organizacyjną, w której chcesz ustawić długość sesji. 
    Aby ustawienia obejmowały wszystkich użytkowników, wybierz jednostkę organizacyjną najwyższego poziomu. Początkowo jednostka organizacyjna dziedziczy ustawienia z jednostki nadrzędnej.
  4. W polu Czas trwania sesji wybierz Ustaw czas trwania sesji i z listy wybierz czas trwania.

    Minimalna dozwolona długość to 1 godzina, a maksymalna – 24 godziny. Na długość sesji nie ma wpływu to, jak długo użytkownik pozostaje nieaktywny. Jest to ustalony czas, po upływie którego użytkownik musi się ponownie zalogować.

    Możesz też zaznaczyć pole Z wyjątkiem aplikacji zaufanych, aby wyłączyć zaufane aplikacje z obowiązku ponownego uwierzytelniania. Aplikacje zaufane są oznaczone jako Zaufane na stronie Kontrola dostępu aplikacji. Aby dowiedzieć się więcej, zobacz sekcję Kiedy i jak używać funkcji „Z wyjątkiem aplikacji zaufanych” poniżej. Zapoznaj się też z artykułem Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace.
     
  5. W sekcji Metoda ponownego uwierzytelnienia wybierz Hasło lub Klucz bezpieczeństwa, aby określić sposób ponownego uwierzytelnienia użytkownika.
  6. Kliknij Zastąp, aby ustawienie to nie zmieniło się nawet wtedy, gdy zostanie zmodyfikowane ustawienie nadrzędne.
  7. Jeśli stan jednostki organizacyjnej to Zastąpione, wybierz jedną z tych opcji:
    • Odziedzicz – powoduje, że ustawienie jest przywracane do tej samej wartości co ustawienie nadrzędne.
    • Zapisz – powoduje, że ustawienie zostanie zachowane, nawet jeśli ustawienie nadrzędne ulegnie zmianie.

Zastosowanie ustawień może potrwać do 24 godzin.

Kiedy i jak używać funkcji „Z wyjątkiem aplikacji zaufanych”

Opisany tutaj sposób konfiguracji zasad ponownego uwierzytelniania dotyczy wszystkich aplikacji Google i innych firm, które wymagają zakresu Cloud Platform podczas uzyskiwania dostępu do zasobów GCP. Instrukcje dotyczące sprawdzania, które aplikacje są obecnie używane w organizacji, znajdziesz w artykule Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace. Pamiętaj, by odfiltrować aplikacje wymagające usługi Cloud Platform.

Podczas sprawdzania aplikacji możesz znaleźć wśród nich takie, których działania nie chcesz przerywać, stosując wymóg ponownego uwierzytelnienia. Może to być na przykład aplikacja działająca po stronie serwera, która wykorzystuje dane logowania użytkownika, a nie konto usługi. Takie aplikacje nie mogą ukończyć testu ponownego uwierzytelnienia, ponieważ na serwerze nie ma żadnego użytkownika. W idealnej sytuacji używałyby one danych logowania powiązanych z kontem usługi, ale jeśli chcesz, by mogły nadal działać bez konieczności ponownego uwierzytelnienia, musisz dodać je do listy zaufanych aplikacji w sekcji Kontrola dostępu aplikacji i zaznaczyć pole Z wyjątkiem aplikacji zaufanych w ustawieniu Kontrola sesji Google Cloud.

Uwagi

Czas i sposób logowania się użytkowników

Jeśli chcesz, aby niektórzy użytkownicy musieli logować się częściej niż inni, umieść ich w innych jednostkach organizacyjnych. Następnie zastosuj w tych jednostkach inne długości sesji. Dzięki temu wybrani użytkownicy nie będą musieli przerywać swojej pracy, aby się zalogować, jeśli nie jest to konieczne.

Jeśli wymagasz używania klucza bezpieczeństwa, użytkownicy, którzy go nie mają, nie będą mogli korzystać z konsoli GCP ani z pakietu SDK Cloud. Gdy użytkownik ma już klucz bezpieczeństwa, może przejść na korzystanie z hasła.

Zewnętrzni dostawcy tożsamości

  • Konsola GCP – jeśli wymagasz od użytkownika ponownego uwierzytelnienia przy użyciu hasła, zostanie on przekierowany do dostawcy tożsamości. Dostawca tożsamości może nie wymagać od użytkownika ponownego wpisania hasła w celu rozpoczęcia kolejnej sesji w konsoli GCP – dzieje się tak, jeśli użytkownik używa innej aplikacji, która powoduje, że sesja jest aktywna.

    Jeśli użytkownik musi ponownie uwierzytelnić się przez dotknięcie klucza bezpieczeństwa, może to zrobić w konsoli GCP. Nie zostanie przekierowany do dostawcy tożsamości.

  • Pakiet SDK Cloud – jeśli do ponownego uwierzytelnienia konieczne jest hasło, gcloud będzie wymagać od użytkownika wykonania polecenia gcloud auth login w celu odnowienia sesji. Spowoduje to otwarcie okna przeglądarki. Użytkownik zostanie przekierowany do dostawcy tożsamości i jeśli nie ma aktywnej sesji z dostawcą tożsamości, może zostać wyświetlona prośba o podanie danych logowania.

    Jeśli użytkownik musi ponownie uwierzytelnić się przez dotknięcie klucza bezpieczeństwa, może to zrobić w pakiecie SDK Cloud. Nie zostanie przekierowany do dostawcy tożsamości.

Powiązane artykuły

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem