Beta 版:設定 Google Cloud Platform 服務的工作階段時間長度

管理員可以控管不同使用者每次使用 Google Cloud Platform (GCP) Console 和 Cloud SDK 的時間,決定他們必須在使用多久後重新驗證。舉例來說,您可能會希望權限較高的使用者 (如專案擁有者、帳單管理員或其他具有管理員角色的使用者) 比一般使用者更頻繁地重新驗證。一旦您設定工作階段時間長度,系統就會提示他們重新登入,啟動新的工作階段。

工作階段長度會套用至:

注意:除了相關的 Google 工作階段控制設定 (會為所有 Google 網站資源套用工作階段時間長度),建議您一併使用這項功能。目前的 Beta 版功能可讓您針對 GCP 工作階段設定不同的工作階段時間長度,同時也適用於非網頁 Cloud SDK 工作階段。工作階段時間長度設定「不會」套用至 Cloud Console 行動應用程式。

設定工作階段持續時間

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 接下來 [Google Cloud 工作階段控制設定]
  3. 在左側選取您要設定工作階段時間長度的機構單位。 
    如要為所有使用者套用設定,請選取頂層機構單位。根據預設,機構單位會沿用上層機構的設定。
  4. 選取「工作階段持續時間」下方的 [設定工作階段持續時間],然後從下拉式清單中選擇時間長度。

    可選取的時間長度最短為 1 小時,最長為 24 小時,不包含使用者在工作階段中閒置的時間。這個時間長度是指使用者必須重新登入的固定間隔時間。

    您也可以勾選 [排除信任的應用程式] 方塊,將信任的應用程式排除在重新驗證設定的適用範圍之外 (信任的應用程式在「應用程式存取權控制項」頁面上會標示為「可信任」。詳情請參閱下方的「『排除信任的應用程式』功能的使用時機和方式」,另外也請參閱控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料)。
     
  5. 在「重新驗證方式」下方,選取 [密碼] 或 [安全金鑰],指定使用者重新驗證的方式。
  6. 點選 [覆寫];之後即使上層設定發生變更,這項設定仍會維持不變。
  7. 如果該機構單位的狀態為 [已覆寫],請選擇下列其中一個選項:
    • 沿用:還原成與上層機構相同的設定。
    • 儲存:儲存您的新設定 (即使上層設定發生變更,仍會套用新設定)。

系統最多可能需要 24 小時才會套用這些設定。

「排除信任的應用程式」功能的使用時機和方式

您在此設定的重新驗證政策,都會套用至存取 GCP 資源時需要 Cloud Platform 範圍的 Google 和第三方應用程式。如要瞭解如何查看貴機構目前使用的應用程式,請參閱控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料。請務必篩選出需要使用 Cloud Platform 服務的應用程式。

超過您設定的工作階段時間長度後,應用程式會要求使用者重新驗證,以便繼續運作。當管理員撤銷該應用程式的更新權杖時,應用程式也會要求使用者重新驗證。

部分應用程式可能無法妥善處理重新驗證程序,導致應用程式莫名當機或產生堆疊追蹤。此外,某些應用程式是透過使用者憑證 (而不是建議的服務帳戶憑證) 完成部署,以用於伺服器對伺服器用途。在這種情況下,使用者就不必定期重新驗證。

如果您受到上述情況影響,可以將這些應用程式加入信任清單中,暫時免除應用程式的工作階段時間長度限制,並將工作階段控制項導入其他所有的 GCP 管理員使用者介面。接著,請在「應用程式存取權控制項」頁面中,將應用程式加入「可信任的應用程式」清單,並在「Cloud 工作階段控制」設定中勾選 [排除信任的應用程式] 核取方塊。

注意事項

使用者登入的頻率與方式

如果您認為部分使用者的登入頻率應該提高,請將他們加入其他機構單位,然後套用不同的工作階段時間長度。這樣一來,系統就只會在必要時中斷特定使用者的工作階段並要求重新登入。

如果您要求使用者必須使用安全金鑰,則未設定安全金鑰的使用者就必須先進行設定,才能使用 GCP Console 或 Cloud SDK。使用者擁有安全金鑰後,可以視需要改用自己的密碼登入。

第三方識別資訊提供者

  • 使用 GCP Console:如果您要求使用者必須使用密碼重新驗證,系統會將他們重新導向識別資訊提供者 (IdP)。不過,如果使用者在 IdP 已經有運作中的工作階段,由於正在使用的其他應用程式會讓工作階段維持運作,因此使用者啟動另一個 GCP Console 工作階段時,IdP 不一定會要求重新輸入密碼。

    如果使用者必須觸碰安全金鑰才能重新驗證,可以直接在 GCP Console 中操作,系統不會將他們重新導向 IdP。

  • 使用 Cloud SDK:如果您要求使用者必須使用密碼重新驗證,gcloud 會要求使用者執行 gcloud 驗證登入指令來更新工作階段。系統會開啟瀏覽器視窗,並將使用者導向 IdP。如果 IdP 沒有運作中的工作階段,系統會要求使用者輸入憑證。

    如果使用者必須觸碰安全金鑰才能重新驗證,可以直接在 Cloud SDK 中操作,系統不會將他們重新導向 IdP。

相關主題

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題