管理者は、各ユーザーが再認証を行わずに Google Cloud コンソールおよび Cloud SDK に継続してアクセスできる時間を管理できます。たとえば、高度な権限を持つユーザー(プロジェクト オーナー、課金管理者、管理者ロールが付与されたその他のユーザーなど)には、通常のユーザーよりも頻繁に再認証を行うように設定することができます。セッション継続時間を設定すると、該当するユーザーには、ログインし直して新しいセッションを開始するよう求めるメッセージが表示されます。
セッション継続時間の設定は、次に適用されます。
- Google Cloud コンソール
- gcloud コマンドライン ツール(Cloud SDK)
- Google Cloud のスコープでユーザー認証が必要なアプリケーション(サードパーティ製アプリケーション、独自アプリケーションを含む)。[アプリのアクセス制御] ページで Google Cloud のスコープを必要とするアプリを確認するには、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。
注: Cloud セッション継続時間の設定は、コンソール モバイルアプリには適用されず、コンソール内で制限があります。この機能は Google セッションの管理とともに使用することをおすすめします。そうすることで、すべての Google ウェブ プロパティにセッション継続時間の設定が適用されます。
再認証ポリシーを設定する
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[アクセスとデータ管理]
- 左側で、セッション継続時間を設定する組織部門を選択します。
全ユーザーを対象とする場合は、最上位階層の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。 - [再認証ポリシー] で [再認証を要求する] をオンにし、[再認証を要求する間隔] のプルダウン リストから間隔を選択します。
指定できる間隔は、最短で 1 時間、最長で 24 時間です。この間隔には、ユーザーがセッションで非アクティブになっていた時間は含まれません。これは固定の値で、この時間を経過するとユーザーはログインし直す必要があります。
[信頼できるアプリは免除する] チェックボックスをオンにして、信頼できるアプリを再認証の対象から除外することもできます(信頼できるアプリは、[アプリのアクセス制御] ページで [信頼できる] とマークされています。詳しくは、後述の「広範囲への展開に備える」をご確認ください。また、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するも併せてご覧ください)。
- [再認証方法] で [パスワード] または [セキュリティ キー] をオンにして、ユーザーの再認証方法を指定します。
- [再認証ポリシー] を組織部門ごとに設定する場合は、親組織の設定が変更された場合でも組織部門の設定がそのまま維持されるように、右下にある [オーバーライド] をクリックします。
- 組織部門のステータスがすでに [上書きされました] になっている場合は、次のいずれかを選択します。
- 継承 - 親組織と同じ設定に戻します。
- 保存 - 親組織の設定が変更された場合でも、新しい設定を保存します。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
広範囲への展開に備える
ここで設定した再認証ポリシーは、Google Cloud スコープを要求することにより、Google Cloud リソースにアクセスするすべての Google アプリとサードパーティ製アプリに適用されます。ポリシーを広範囲に展開する前に、一部のユーザー(信頼できるアプリのリストに追加したユーザー)を対象に、ポリシーが各アプリでどのように動作するかを慎重にテストすることをおすすめします。
組織で現在使用されているアプリを確認する手順については、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。Google Cloud サービスを必要とするアプリを必ずフィルタしてください。
セッション継続時間が指定の時間に達した場合、そのアプリを使用し続けるには再認証が必要です(管理者がアプリの更新トークンを取り消した場合と同様です)。
アプリによっては再認証プロセスを円滑に行えず、アプリがクラッシュしたり、スタック トレースが表示されたりする事象が発生することがあります。また、サーバー間のユースケース向けに導入され、推奨されているサービス アカウントの認証情報ではなくユーザー認証情報を使用しているアプリでは、定期的に再認証を行うユーザーが存在しません。
このような状況の影響を受ける場合は、そうしたアプリを信頼できるアプリのリストに追加してセッション継続時間制限の適用対象から一時的に外し、他の Google Cloud 管理サーフェスにセッション管理を実装してください。[アプリのアクセス制御] で、該当するアプリを信頼できるアプリのリストに追加し、[Google Cloud セッションの管理] の設定で [信頼できるアプリは免除する] チェックボックスをオンにします。
再認証関連のエラーから復元する
セッション期限が切れた後、サードパーティ製アプリから再認証エラーが返されることがあります。このようなアプリの利用を再開するには、アプリに再度ログインして新しいセッションを開始します。
アプリケーションのデフォルト認証情報(ADC)とユーザー認証情報を使用するアプリは、サードパーティ製アプリとみなされます。これらの認証情報は、設定されたセッション継続時間のみ有効です。そのセッションが期限切れになると、ADC を使用するアプリは再認証関連エラーのレスポンスも返すことがあります。デベロッパーは、gcloud auth application-default login コマンドを実行して、新しい認証情報を取得することで、アプリを再認証できます。
留意事項
ユーザーがログインするタイミングと方法
一部のユーザーが他のユーザーよりも頻繁にログインする必要がある場合は、ユーザーをログイン頻度ごとに組織部門に配置し、それぞれ異なるセッション継続時間を適用します。こうすることで、特定のユーザーが必要のない再ログインのために作業を中断されることがなくなります。
セキュリティ キーを必須とする場合、セキュリティ キーを持っていないユーザーは、セキュリティ キーを設定するまでコンソールまたは Cloud SDK を使用できません。セキュリティ キーを取得したユーザーは、パスワードの代わりにセキュリティ キーを使用するように切り替えることができます。
サードパーティの ID プロバイダ
- コンソールでの挙動 - パスワードを使用した再認証を必須とした場合、ユーザーは ID プロバイダ(IdP)にリダイレクトされます。ユーザーにすでに IdP でアクティブなセッションがある場合、IdP では別のコンソール セッションを開始するためにパスワードを再入力する必要がありません。これは、使用中の別のアプリケーションにより、セッションのアクティブな状態が維持されているためです。
ユーザーがセキュリティ キーにタッチして再認証を行う必要がある場合は、コンソールの使用中に行います。IdP にはリダイレクトされません。
- Cloud SDK での挙動 - 再認証にパスワードを使用する場合、gcloud ではユーザーが gcloud auth login コマンドを実行してセッションを更新する必要があります。これによりブラウザ ウィンドウが開き、ユーザーは IdP にリダイレクトされます。IdP で有効なセッションがない場合は、認証情報の入力を求められることがあります。
ユーザーがセキュリティ キーにタッチして再認証を行う必要がある場合は、Cloud SDK で行うことができます。IdP にはリダイレクトされません。