设置 Google Cloud 服务的会话时长

作为管理员,您可以控制不同用户在使用 Google Cloud 控制台和 Cloud SDK 多长时间后必须重新进行身份验证。举例来说,对于拥有较高权限的用户(例如项目所有者和结算管理员)或是拥有管理员角色的其他用户,您可能希望让他们比普通用户更频繁地重新进行身份验证。如果您设置了会话时长,当会话时间达到该时长时,系统就会提示用户重新登录,以开始新的会话。

会话时长设置适用于:

注意:Cloud 会话时长设置适用于控制台移动应用,且在控制台中也会受到限制。我们建议您将此功能与 Google 会话控制功能搭配使用,为所有 Google 网站媒体资源应用会话时长。

设置关于重新进行身份验证的政策

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标  接着点击  安全性 接着点击 访问权限和数据控件 接着点击 Google Cloud 会话控制
  3. 在左侧,选择需要设置会话时长的组织部门。 
    如要为所有用户设置,请选择顶级组织部门。在初始状态下,组织部门会沿用其上级组织的设置。
  4. 重新身份验证政策下方,选择需要重新身份验证,然后从下拉列表中选择重新身份验证频率

    可设置的最低频率为 1 小时,最高频率为 24 小时。此频率不包含用户在会话中处于非活跃状态的时长。这是一个固定时长,用户在该时长结束后必须重新登录。

    您还可以选中可信应用可免复选框,让受信任的应用不必重新进行身份验证(受信任的应用会在应用访问权限控制页面上标为“受信任”。有关详情,请参阅下文中的为大范围的部署做好准备。另请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据)。
     
  5. 重新身份验证方法下方,选择密码安全密钥以指定用户重新进行身份验证的方式。
  6. 如果您要为组织部门设置重新身份验证政策,请点击右下角的覆盖按钮,以保持设置不变,即使上级组织的设置发生变化也不受影响。
  7. 如果组织部门的状态已经为已覆盖,请从下列选项中选择一项:
    • 继承:恢复为与上级组织相同的设置。
    • 保存:保存新设置(即使上级组织的设置发生变化也应用新设置)。

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

为大范围的部署做好准备

您在此处配置的重新验证身份政策适用于在访问 Google Cloud 资源时需要申请 Google Cloud 范围的所有 Google 应用和第三方应用。我们建议您先在一小组用户的范围内仔细开展测试(将这些用户添加到受信任的应用列表),以了解政策对每个应用的实施效果,然后再进行更大范围的部署。

如需了解如何查看贵组织目前使用的应用,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据。请务必过滤出需要 Google Cloud 服务的应用。

当配置的会话时长结束时,应用会要求用户重新进行身份验证才能继续操作。这与管理员撤销该应用的刷新令牌后出现的情况类似。

一些应用可能无法妥善处理重新进行身份验证的情况,造成应用意外崩溃或堆栈轨迹。还有一些应用专为服务器到服务器用例部署,所使用的是用户凭据而不是推荐的服务帐号凭据。在这种情况下,用户不需要定期重新进行身份验证。

如果您受到以上情况的影响,则可以将相应应用添加到受信任列表,暂时为这些应用解除会话时长限制,同时为所有其他 Google Cloud 管理员界面实施会话控制。您可以在应用访问权限控制页面中将应用添加到受信任的应用列表,然后在 Cloud 会话控制设置中勾选可信应用可免复选框。

从与重新验证身份相关的错误中恢复

会话过期后,您可能会收到来自第三方应用的与重新验证身份相关的错误响应。如要继续使用这些应用,用户可以重新登录相应应用以开始新的会话。

第三方应用是指将应用默认凭据 (ADC) 与用户凭据结合使用的应用。这些凭据仅在配置的会话时长内有效。会话过期后,使用 ADC 的应用可能也会返回与重新验证身份相关的错误响应。开发者可以运行 gcloud auth application-default login 命令来获取新的凭据,从而重新向相应应用授权。

注意事项

用户登录的时间和方式

如果您希望部分用户的登录频率高于其他用户,请将这两类用户分别划归到不同的组织部门中。然后,为他们应用不同的会话时长。这样一来,系统在非必要时便不会要求某些用户重新登录。

如果您要求用户使用安全密钥,则没有安全密钥的用户在设置安全密钥前,将无法使用控制台 或 Cloud SDK。待设置了安全密钥后,这类用户便可在需要时改为使用密码进行身份验证。

第三方身份提供商

  • 对于 Google Cloud 控制台 - 如果您要求用户使用密码重新进行身份验证,系统就会将其重定向至身份提供商 (IdP)。如果用户在 IdP 中已有正在进行中的会话,那么 IdP 可能不会要求该用户重新输入密码来再开始一个 Google Cloud 控制台会话,这是因为该用户当前使用的另一个应用会让会话保持运行。

    如果用户必须通过轻触安全密钥来重新进行身份验证,则可以在使用控制台时执行此操作。系统不会将用户重定向至 IdP。

  • 对于 Cloud SDK - 如果您要求用户使用密码重新进行身份验证,gcloud 会要求用户执行 gcloud auth login 命令来为会话续期。系统会打开一个浏览器窗口,并将用户转到 IdP。如果用户在 IdP 中没有进行中的会话,则 IdP 可能会提示用户输入凭据。

    如果用户必须通过轻触安全密钥来重新进行身份验证,则可以在 Cloud SDK 中执行此操作。系统不会将用户重定向至 IdP。

相关主题

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
主菜单
6608028977207436895
true
搜索支持中心
true
true
true
true
true
73010
false
false