Beta 版:设置 Google Cloud Platform 服务的会话时长

作为管理员,您可以控制不同用户在使用 Google Cloud Platform (GCP) Console 和 Cloud SDK 多长时间后必须重新进行身份验证。举例来说,对于拥有较高权限的用户(例如项目所有者和结算管理员)或是拥有管理员角色的其他用户,您可能希望让他们比普通用户更频繁地重新进行身份验证。如果您设置了会话时长,当会话时间达到该时长时,系统就会提示用户重新登录,以开始新的会话。

会话时长设置适用于:

注意:除了相关的 Google 会话控制功能(该功能会为所有 Google 网页版服务应用一个会话时长),我们建议您同时也使用本文所述的这项功能。当前的这项 Beta 版功能用来专门为 GCP 会话配置不同的会话时长,同时也适用于非网页 Cloud SDK 会话。会话时长设置适用于 Cloud Console 移动应用。

设置会话时长

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 Google Cloud 会话控制
  3. 在左侧,选择需要设置会话时长的单位部门。 
    如要为所有用户设置,请选择顶级单位部门。在初始状态下,单位部门会沿用其上级单位的设置。
  4. 会话时长下,选择设置会话时长,然后从下拉列表中选择时长。

    可设置的最短时长为 1 小时,最长时长为 24 小时。此时长不考虑用户在会话中处于不活跃状态的时长。这是一个固定时长,用户在该时长结束后必须重新登录。

    您还可以选中可信应用可免复选框,让可信应用不必重新进行身份验证(应用访问权限控制页面会将可信应用标记为“受信任”。有关详情,请参阅下文中的“‘可信应用可免’功能的使用时机和使用方式”。另请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据)。
     
  5. 重新验证方法下,选择密码安全密钥以指定用户重新进行身份验证的方式。
  6. 点击覆盖以保持所指定的设置不变,这样即使上级单位的设置发生变化也不受影响。
  7. 如果单位部门的状态已经为已覆盖,请从下列选项中选择一项:
    • 继承:恢复为与上级单位相同的设置。
    • 保存:保存新设置(即使上级单位的设置发生变化)。

此设置最长可能需要 24 小时才能生效。

“可信应用可免”功能的使用时机和使用方式

您在此处配置的重新验证身份政策适用于在访问 GCP 资源时需要申请 Cloud Platform 范围的所有 Google 应用和第三方应用。如需了解如何查看贵单位目前使用的应用,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据。请务必过滤出需要 Cloud Platform 服务的应用。

当配置的会话时长结束时,应用会要求用户重新进行身份验证才能继续操作。这与管理员撤销该应用的刷新令牌后出现的情况类似。

一些应用可能无法妥善处理重新进行身份验证的情况,造成应用意外崩溃或堆栈轨迹。还有一些应用专为服务器到服务器用例部署,所使用的是用户凭据而不是推荐的服务帐号凭据。在这种情况下,用户不需要定期重新进行身份验证。

如果您受到以上情况的影响,则可以将相应应用添加到受信任列表,暂时为这些应用解除会话时长限制,同时为所有其他 GCP 管理员界面实施会话控制。您可以在应用访问权限控制页面中将应用添加到受信任的应用列表,然后在 Cloud 会话控制设置中勾选可信应用可免复选框。

注意事项

用户登录的时间和方式

如果您希望部分用户的登录频率高于其他用户,请将这两类用户分别划归到不同的单位部门中。然后,为他们应用不同的会话时长。这样一来,系统在非必要时便不会要求某些用户重新登录。

如果您要求用户使用安全密钥,则没有安全密钥的用户在设置安全密钥前,将无法使用 GCP Console 或 Cloud SDK。待设置了安全密钥后,这类用户便可在需要时改为使用密码进行身份验证。

第三方身份提供商

  • 对于 GCP Console - 如果您要求用户使用密码重新进行身份验证,系统就会将其重定向至身份提供商 (IdP)。如果用户在 IdP 中已有正在进行中的会话,那么 IdP 可能不会要求该用户重新输入密码来再开始一个 GCP Console 会话,这是因为该用户当前使用的另一个应用会让会话保持运行。

    如果用户必须通过轻触安全密钥来重新进行身份验证,则可以在使用 GCP Console 时执行此操作。系统不会将用户重定向至 IdP。

  • 对于 Cloud SDK - 如果您要求用户使用密码重新进行身份验证,gcloud 会要求用户执行 gcloud auth login 命令来为会话续期。系统会打开一个浏览器窗口,并将用户转到 IdP。如果用户在 IdP 中没有进行中的会话,则 IdP 可能会提示用户输入凭据。

    如果用户必须通过轻触安全密钥来重新进行身份验证,则可以在 Cloud SDK 中执行此操作。系统不会将用户重定向至 IdP。

相关主题

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题