Администратор может задать время использования консоли Google Cloud и Cloud SDK, по истечении которого пользователи должны будут снова выполнять вход. Для пользователей с правами высокого уровня, например владельцев проектов, администраторов платежных аккаунтов и других пользователей с ролями администраторов, можно настроить более частую повторную аутентификацию, чем для обычных пользователей. Если вы укажете длительность сеанса, по истечении этого времени пользователю будет предложено войти в систему повторно для продолжения работы.
Продолжительность сеанса можно задать для следующих программ:
- консоль Google Cloud;
- инструмент командной строки gcloud (Cloud SDK);
- любые приложения (включая сторонние и собственные), которые требуют авторизации пользователя для областей действия Google Cloud. Чтобы понять, каким приложениям требуется доступ к областям действия Google Cloud, ознакомьтесь со статьей Как управлять доступом сторонних и внутренних приложений к данным Google Workspace.
Примечание. Настройка длительности сеанса Cloud не применяется для мобильного приложения консоли и ограниченно применяется для консоли. Рекомендуем использовать эту функцию в сочетании с функцией управления сеансами Google, которая устанавливает ограничения на длительность сеансов для всех веб-ресурсов Google.
Как настроить правила повторной аутентификации
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Управление доступом и данными
- Слева выберите организационное подразделение.
Чтобы установить единую длительность сеанса для всех пользователей, выберите организационное подразделение верхнего уровня. По умолчанию организационные подразделения наследуют настройки родительской организации. - В разделе Правила повторной аутентификации выберите Требовать повторную аутентификацию, после чего укажите нужное значение в раскрывающемся списке Периодичность повторной аутентификации.
Минимальная периодичность составляет 1 час, максимальная – 24 часа. Это фиксированное время, по истечении которого пользователю нужно снова войти в систему. Оно не зависит от того, сколько бездействовал пользователь.
Вы также можете установить флажок За исключением надежных приложений, чтобы для них не требовалась повторная аутентификация. Приложения помечаются как надежные на странице Управление доступом приложений. Более подробную информацию можно найти ниже в разделе Подготовка к включению настроек для всей организации. Рекомендуем также ознакомиться со статьей Как управлять доступом сторонних и внутренних приложений к данным Google Workspace.
- В разделе Способ повторной аутентификации выберите Пароль или Электронный ключ, чтобы указать, как именно пользователь должен входить в систему.
- Если вы настраиваете повторную аутентификацию на уровне организационного подразделения и не хотите, чтобы правила зависели от родительской организации, нажмите кнопку Переопределить в правом нижнем углу.
- Если статус Переопределить для данного подразделения уже установлен, вы можете выбрать один из следующих вариантов:
- Наследовать – для подразделения начнут действовать настройки родительской организации.
- Сохранить – будет применяться новое значение параметра (даже если настройки в родительской организации изменятся).
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
Подготовка к включению настроек для всей организации
Настроенные вами правила повторной аутентификации применяются ко всем приложениям Google и других поставщиков, которые обращаются к ресурсам сервиса Google Cloud через его области действия. Перед тем как применять правила на уровне организации, рекомендуем тщательно проверить их работу для каждого приложения на небольшой группе пользователей, добавленной в список надежных приложений.
Чтобы узнать, какие приложения используются в организации, обратитесь к статье Как управлять доступом сторонних и внутренних приложений к данным Google Workspace. Не забудьте настроить фильтр для выбора приложений, которые взаимодействуют с сервисом Google Cloud.
Когда заданное время сеанса истечет, приложение выдаст запрос на повторную аутентификацию пользователя для продолжения работы. Это аналогично ситуации, когда администратор отзывает токены обновления для приложения.
Некоторые приложения могут некорректно обрабатывать операцию повторной аутентификации, что приводит к сбою или трассировке стека. Другие приложения могут работать по модели межсерверного взаимодействия, то есть использовать учетные данные пользователей, а не рекомендованный сервисный аккаунт. В этом случае повторная аутентификация невозможна, так как нет соответствующего пользователя.
Если у вас возникают такие ситуации, вы можете добавить приложения в список надежных, чтобы временно снять для них ограничения, связанные с продолжительностью сеанса, но сохранить эти ограничения для других администрируемых компонентов Google Cloud. Добавьте приложения в список надежных на странице Управление доступом приложений и установите флажок За исключением надежных приложений в настройках Управление сеансами Google Cloud.
Исправление последствий ошибок, связанных с повторной аутентификацией
По истечении срока действия сеанса вы можете получить от стороннего приложения ответ reauth related error (ошибка, связанная с повторной аутентификацией). Чтобы и дальше использовать это приложение, пользователи могут войти в него снова, чтобы начать новый сеанс.
Приложения, использующие Application Default Credentials (ADC) с учетными данными пользователя, считаются сторонними. Эти учетные данные действительны только в течение сеанса заданной длительности. Когда сеанс завершается, приложения, использовавшие ADC, могут также отправить ответ reauth related error. Разработчики могут повторно авторизовать приложение, выполнив команду gcloud auth application-default login, чтобы получить новые учетные данные.
Примечания
Условия входа пользователей в систему
Если вам нужно сократить длительность сеансов для некоторых пользователей, вынесите их в отдельное организационное подразделение и примените соответствующие настройки. Это позволит остальным пользователям не выполнять повторную аутентификацию слишком часто.
Если для повторной аутентификации нужен электронный ключ, пользователи, у которых его нет, не смогут работать с консолью и Cloud SDK. После того как сотрудник получит такой ключ, он сможет при желании перейти на использование пароля.
Сторонние поставщики идентификационной информации
- При работе в консоли. Если для повторной аутентификации нужен пароль, пользователи будут перенаправляться на страницу входа стороннего поставщика идентификационной информации. При этом поставщик может не требовать повторный ввод пароля для начала нового сеанса в консоли, если у пользователя уже есть активный сеанс в системе поставщика, например если он работает в другом приложении, которое сохраняет активный сеанс.
Если для повторной аутентификации нужен электронный ключ, он будет доступен пользователям в консоли. При этом пользователь не будет перенаправлен на сайт поставщика идентификационной информации.
- При работе с Cloud SDK. Если вы настроите повторный вход в систему с использованием пароля, для возобновления сеанса gcloud пользователю нужно будет выполнить команду gcloud auth login. Эта команда открывает в браузере страницу входа стороннего поставщика идентификационной информации. Если у пользователя нет активного сеанса, ему придется повторно ввести учетные данные.
Если пользователь должен войти в систему повторно, коснувшись ключа безопасности, он может сделать это в Cloud SDK. При этом пользователь не будет перенаправлен на сайт поставщика идентификационной информации.
