Beta: definir a duração da sessão para os serviços do Google Cloud

Como administrador, você controla por quanto tempo diversos usuários podem acessar o Console do Google Cloud e o SDK do Cloud sem precisar fazer a autenticação novamente. Por exemplo, talvez você queira que os usuários com privilégios elevados, como proprietários de projetos, administradores de faturamento ou outros com funções de administrador, façam uma nova autenticação com mais frequência do que os outros usuários.​​​​​​ Se você definir uma duração de sessão, esses usuários precisarão fazer login novamente para iniciar uma nova sessão.

A configuração de duração da sessão é aplicável a estes itens:

Observação: este recurso é recomendado além do recurso relacionado chamado Controle de sessão do Google, que aplica uma duração de sessão a todas as propriedades da Web do Google. Com o recurso Beta atual, é possível configurar uma duração de sessão diferente para sessões do Google Cloud. Ela também abrange as sessões que não são do SDK do Cloud na Web. Esta configuração não se aplica ao App Console do Cloud para dispositivos móveis.

Definir a política de reautenticação

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControle de sessão do Google Cloud.
  3. À esquerda, selecione a unidade organizacional em que você quer definir a duração da sessão. 
    Para incluir todos os usuários, selecione a unidade organizacional de nível superior. Geralmente as unidades organizacionais herdam as configurações da unidade mãe.
  4. Em Política de reautenticação, selecione Exigir a reautenticação, e escolha Frequência de reautenticação na lista suspensa.

    A duração mínima permitida é de uma hora, e a máxima é de 24 horas. A frequência não inclui o período de inatividade de um usuário na sessão. A duração é o tempo fixo que decorre antes que o usuário precise fazer login de novo.

    Também é possível marcar a caixa Apps confiáveis isentos para isentar os apps confiáveis da nova autenticação. Os apps confiáveis são marcados como "Confiáveis" na página Controle de acesso de apps. Veja mais detalhes em Quando e como usar o recurso "Aplicativos confiáveis isentos" abaixo. Consulte também Controlar quais apps internos e de terceiros acessam os dados do Google Workspace.
     
  5. Em Método de reautenticação , selecione Senha ou Chave de segurança para especificar como o usuário precisa se autenticar novamente.
  6. Se você estiver configurando a política de reautenticação na unidade organizacional, clique no botão Modificar no canto inferior direito para manter a configuração mesmo quando a configuração principal for alterada.
  7. Se o status da unidade organizacional já for Modificado, escolha uma destas opções:
    • Herdar: reverte para a configuração mãe.
    • Salvar: salva a nova configuração, mesmo quando a configuração mãe é alterada.

As configurações talvez levem até 24 horas para serem aplicadas.

Preparar o lançamento para todos os usuários

A política de reautenticação configurada aqui se aplica a todos os apps do Google e de terceiros que acessam os recursos do Google Cloud exigindo o escopo desse produto. Recomendamos que você teste o funcionamento da política em cada app com um pequeno grupo de usuários. Para fazer isso, adicione esses usuários à lista de apps confiáveis antes do lançamento para todos os usuários.

Veja instruções sobre como ver os apps usados atualmente pela sua organização em Controlar quais apps internos e de terceiros acessam os dados do Google Workspace. Filtre os apps que exigem o serviço do Google Cloud.

Quando a duração de sessão configurada expira, o app exige a reautenticação do usuário. Isso também acontece quando um administrador revoga os tokens de atualização do app.

Em alguns apps, a reautenticação pode causar falhas ou stack traces. Outros apps são usados entre servidores com credenciais de usuário, em vez de usar a credencial de conta de serviço recomendada, e não têm um usuário para fazer a reautenticação periodicamente.

Se você tiver esses problemas, poderá criar uma lista de apps confiáveis, isentando esses apps temporariamente das limitações de duração de sessão, e implementar controles de sessão em todas as outras superfícies de administração do Google Cloud. Adicione os apps à lista de apps confiáveis em Controle de acesso aos apps e ative Apps confiáveis isentos na configuração Controle da sessão do Google Cloud.

Considerações

Quando e como os usuários fazem login

Se alguns usuários precisarem fazer login com mais frequência do que outros, separe-os em unidades organizacionais distintas. Depois, aplique durações de sessão diferentes para eles. Dessa forma, eles não serão interrompidos para fazer o login de novo quando isso não for necessário.

Se você exigir uma chave de segurança, os usuários que não tiverem uma só poderão acessar o Console do Google Cloud e o SDK do Cloud após configurá-la. Depois disso, eles poderão passar a usar uma senha em vez da chave de segurança, se quiserem.

Provedores de identidade de terceiros

  • No Console do Google Cloud: se você exigir que um usuário faça uma nova autenticação usando a senha, ele será redirecionado para o IdP. Caso o usuário já tenha uma sessão ativa no IdP, é possível que o IdP não exija uma nova digitação de senha para iniciar outra sessão do Console do Google Cloud. Isso acontece porque outro app que deixou a sessão permanecer ativa está sendo utilizado.

    Se um usuário precisar fazer uma nova autenticação tocando na chave de segurança, ele poderá fazer isso no Console do Google Cloud. Ele não será redirecionado para o IdP.

  • No SDK do Cloud: se for necessária uma senha para fazer a reautenticação, o gcloud exigirá que o usuário execute o comando gcloud auth login para renovar a sessão. Isso abrirá uma janela do navegador, e o usuário será direcionado para o IdP, que poderá exigir credenciais se não houver uma sessão ativa.

    Se um usuário precisar se autenticar novamente tocando na chave de segurança, ele poderá fazer isso no SDK do Cloud. Ele não será redirecionado para o IdP.

Temas relacionados

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
73010
false