Как настроить длительность сеансов для сервисов Google Cloud (бета-версия)

Администратор может задать время использования Google Cloud Console и Cloud SDK, по истечении которого пользователи должны будут снова выполнять вход. Для пользователей с правами высокого уровня, например владельцев проектов, администраторов платежных аккаунтов и других пользователей с ролями администраторов, можно настроить более частую повторную аутентификацию, чем для обычных пользователей. Если вы укажете длительность сеанса, по истечении этого времени пользователю будет предложено войти в систему повторно для продолжения работы.

Продолжительность сеанса можно задать для следующих программ:

Примечание. Эту функцию лучше использовать в сочетании с похожей функцией Управление сеансами Google, устанавливающей продолжительность сеанса для всех веб-ресурсов Google. Текущая бета-версия функции позволяет индивидуально настраивать длительность сеанса для Google Cloud, а также поддерживает офлайн-сеансы Cloud SDK. Настройка длительности сеанса не применяется к мобильному приложению Cloud Console.

Как настроить правила повторной аутентификации

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасностьа затемУправление сеансами Google Cloud.
  3. Слева выберите организационное подразделение.
    Чтобы установить единую длительность сеанса для всех пользователей, выберите организационное подразделение верхнего уровня. По умолчанию организационные подразделения наследуют настройки родительской организации.
  4. В разделе Правила повторной аутентификации выберите Требовать повторную аутентификацию, после чего укажите нужное значение в раскрывающемся списке Периодичность повторной аутентификации.

    Минимальная периодичность составляет 1 час, максимальная – 24 часа. Это фиксированное время, по истечении которого пользователю нужно снова войти в систему. Оно не зависит от того, сколько бездействовал пользователь.

    Вы также можете установить флажок За исключением надежных приложений, чтобы для них не требовалась повторная аутентификация. Такие приложения помечены как надежные на странице Управление доступом приложений. Подробно о них рассказано в разделе Когда и как использовать функцию "За исключением надежных приложений". Рекомендуем также ознакомиться со статьей Как управлять доступом сторонних и внутренних приложений к данным Google Workspace.
     
  5. В разделе Способ повторной аутентификации выберите Пароль или Электронный ключ, чтобы указать, как именно пользователь должен входить в систему.
  6. Если вы настраиваете повторную аутентификацию на уровне организационного подразделения и не хотите, чтобы правила зависели от родительской организации, нажмите кнопку Переопределить в правом нижнем углу.
  7. Если статус Переопределить для данного подразделения уже установлен, вы можете выбрать один из следующих вариантов:
    • Наследовать – для подразделения начнут действовать настройки родительской организации.
    • Сохранить – будет применяться новое значение параметра (даже если настройки в родительской организации изменятся).

Изменения вступают в силу в течение 24 часов.

Подготовка к включению настроек для всей организации

Настроенные вами правила повторной аутентификации применяются ко всем приложениям Google и других поставщиков, которые обращаются к ресурсам сервиса Google Cloud через его области действия. Перед тем как применять правила на уровне организации, рекомендуем тщательно проверить их работу для каждого приложения на небольшой группе пользователей, добавленной в список доверенных приложений.

Чтобы узнать, какие приложения используются в организации, обратитесь к статье Как управлять доступом сторонних и внутренних приложений к данным Google Workspace. Не забудьте настроить фильтр для выбора приложений, которые взаимодействуют с сервисом Google Cloud.

Когда заданное время сеанса истечет, приложение выдаст запрос на повторную аутентификацию пользователя для продолжения работы. Это аналогично ситуации, когда администратор отзывает токены обновления для приложения.

Некоторые приложения могут некорректно обрабатывать операцию повторной аутентификации, что приводит к сбою или трассировке стека. Другие приложения могут работать по модели межсерверного взаимодействия, то есть использовать учетные данные пользователей, а не рекомендованный сервисный аккаунт. В этом случае повторная аутентификация невозможна, так как нет соответствующего пользователя.

Если у вас возникают такие ситуации, вы можете добавить приложения в список доверенных, чтобы временно снять для них ограничения, связанные с продолжительностью сеанса, но сохранить эти ограничения для других администрируемых компонентов Google Cloud. Добавьте приложения в список доверенных на странице Управление доступом приложений и установите флажок За исключением надежных приложений в настройках Управление сеансами Google Cloud.

Примечания

Условия входа пользователей в систему

Если вам нужно сократить длительность сеансов для некоторых пользователей, вынесите их в отдельное организационное подразделение и примените соответствующие настройки. Это позволит остальным пользователям не выполнять повторную аутентификацию слишком часто.

Если для повторной аутентификации нужен электронный ключ, пользователи, у которых его нет, не смогут работать с Google Cloud Console и Cloud SDK. После того как сотрудник получит такой ключ, он сможет при желании перейти на использование пароля.

Сторонние поставщики идентификационной информации

  • При работе в Google Cloud Console. Если для повторной аутентификации нужен пароль, пользователи будут перенаправляться на страницу входа стороннего поставщика идентификационной информации. При этом поставщик может не требовать повторного ввода пароля для нового сеанса в Google Cloud Console, если у пользователя уже есть активный сеанс в системе поставщика (например, если он работает в другом приложении, которое сохраняет сеанс активным).

    Если для повторной аутентификации нужен электронный ключ, он будет доступен пользователям в Google Cloud Console. При этом пользователи не будут перенаправляться на сайт поставщика идентификационной информации.

  • При работе с Cloud SDK. Если для повторной аутентификации нужен пароль, для возобновления сеанса gcloud пользователю потребуется выполнить команду gcloud auth login. Эта команда открывает в браузере страницу входа стороннего поставщика идентификационной информации. Если у пользователя нет активного сеанса, ему придется повторно ввести учетные данные.

    Если для повторной аутентификации нужен электронный ключ, он будет доступен пользователю при работе с Cloud SDK. При этом пользователь не будет перенаправлен на сайт поставщика идентификационной информации.

Статьи по теме

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false