设置 Google Cloud 服务的会话时长

支持此功能的版本:商务 Plus 版;企业版; 教育基础版、教育标准版、教与学升级版和教育 Plus 版;G Suite 商务版。 比较您的版本

作为管理员,您可以控制不同用户在使用 Google Cloud Console 和 Cloud SDK 多长时间后必须重新进行身份验证。举例来说,对于拥有较高权限的用户(例如项目所有者和结算管理员)或是拥有管理员角色的其他用户,您可能希望让他们比普通用户更频繁地重新进行身份验证。如果您设置了会话时长,当会话时间达到该时长时,系统就会提示用户重新登录,以开始新的会话。

会话时长设置适用于:

注意:Cloud 会话时长设置适用于 Cloud Console 移动应用,且在 Google Cloud Console 中也会受到限制。我们建议您将此功能与 Google 会话控制功能搭配使用,为所有 Google 网站媒体资源应用会话时长。

设置关于重新进行身份验证的政策

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 Google Cloud 会话控制
  3. 在左侧,选择需要设置会话时长的单位部门。 
    如要为所有用户设置,请选择顶级单位部门。在初始状态下,单位部门会沿用其上级单位的设置。
  4. 重新身份验证政策下方,选择需要重新身份验证,然后从下拉列表中选择重新身份验证频率

    可设置的最低频率为 1 小时,最高频率为 24 小时。此频率不包含用户在会话中处于非活跃状态的时长。这是一个固定时长,用户在该时长结束后必须重新登录。

    您还可以选中可信应用可免复选框,让受信任的应用不必重新进行身份验证(受信任的应用会在应用访问权限控制页面上标为“受信任”。有关详情,请参阅下文中的为大范围的部署做好准备。另请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据)。
     
  5. 重新身份验证方法下方,选择密码安全密钥以指定用户重新进行身份验证的方式。
  6. 如果您要为单位部门设置重新身份验证政策,请点击右下角的覆盖按钮,以保持设置不变,即使上级单位的设置发生变化也不受影响。
  7. 如果单位部门的状态已经为已覆盖,请从下列选项中选择一项:
    • 继承:恢复为与上级单位相同的设置。
    • 保存:保存新设置(即使上级单位的设置发生变化)。

此设置最长可能需要 24 小时才能生效。

为大范围的部署做好准备

您在此处配置的重新验证身份政策适用于在访问 Google Cloud 资源时需要申请 Google Cloud 范围的所有 Google 应用和第三方应用。我们建议您先在一小组用户的范围内仔细开展测试(将这些用户添加到受信任的应用列表),以了解政策对每个应用的实施效果,然后再进行更大范围的部署。

如需了解如何查看贵单位目前使用的应用,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据。请务必过滤出需要 Google Cloud 服务的应用。

当配置的会话时长结束时,应用会要求用户重新进行身份验证才能继续操作。这与管理员撤销该应用的刷新令牌后出现的情况类似。

一些应用可能无法妥善处理重新进行身份验证的情况,造成应用意外崩溃或堆栈轨迹。还有一些应用专为服务器到服务器用例部署,所使用的是用户凭据而不是推荐的服务帐号凭据。在这种情况下,用户不需要定期重新进行身份验证。

如果您受到以上情况的影响,则可以将相应应用添加到受信任列表,暂时为这些应用解除会话时长限制,同时为所有其他 Google Cloud 管理员界面实施会话控制。您可以在应用访问权限控制页面中将应用添加到受信任的应用列表,然后在 Cloud 会话控制设置中勾选可信应用可免复选框。

注意事项

用户登录的时间和方式

如果您希望部分用户的登录频率高于其他用户,请将这两类用户分别划归到不同的单位部门中。然后,为他们应用不同的会话时长。这样一来,系统在非必要时便不会要求某些用户重新登录。

如果您要求用户使用安全密钥,则没有安全密钥的用户在设置安全密钥前,将无法使用 Google Cloud Console 或 Cloud SDK。待设置了安全密钥后,这类用户便可在需要时改为使用密码进行身份验证。

第三方身份提供商

  • 对于 Google Cloud Console - 如果您要求用户使用密码重新进行身份验证,系统就会将其重定向至身份提供商 (IdP)。如果用户在 IdP 中已有正在进行中的会话,那么 IdP 可能不会要求该用户重新输入密码来再开始一个 Google Cloud Console 会话,这是因为该用户当前使用的另一个应用会让会话保持运行。

    如果用户必须通过轻触安全密钥来重新进行身份验证,则可以在使用 Google Cloud Console 时执行此操作。系统不会将用户重定向至 IdP。

  • 对于 Cloud SDK - 如果您要求用户使用密码重新进行身份验证,gcloud 会要求用户执行 gcloud auth login 命令来为会话续期。系统会打开一个浏览器窗口,并将用户转到 IdP。如果用户在 IdP 中没有进行中的会话,则 IdP 可能会提示用户输入凭据。

    如果用户必须通过轻触安全密钥来重新进行身份验证,则可以在 Cloud SDK 中执行此操作。系统不会将用户重定向至 IdP。

相关主题

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题

搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
true
73010
false