سطوح دسترسی Context-Aware را ایجاد کنید

سطوح دسترسی آگاه از متن، شرایط و مقادیری را که زمینه کاربر یا دستگاه را تعریف می‌کنند، ترکیب می‌کنند. این سطوح دسترسی، زمینه‌ای را که کاربران می‌توانند در آن به برنامه‌ها دسترسی داشته باشند، تعریف می‌کنند.

برای مثال، می‌توانید یک سطح دسترسی برای دسترسی به جیمیل ایجاد کنید که کاربران را ملزم به اتصال از یک محدوده آدرس IP خاص کند و دستگاه‌های آنها را رمزگذاری شده بداند.

توجه: قبل از ایجاد سطح دسترسی، باید تأیید نقطه پایانی را مستقر کرده و دسترسی Context-Aware را فعال کنید. برای جزئیات بیشتر به تنظیمات تأیید نقطه پایانی و فعال کردن دسترسی Context-Aware در Deploy Context-Aware Access بروید.

ایجاد سطح دسترسی

سطوح دسترسی شامل یک یا چند شرط است که شما تعریف می‌کنید. برای دسترسی به برنامه‌ها، کاربران باید شرایط را رعایت کنند. شرایط سطح دسترسی شامل ویژگی‌هایی است که می‌توانید انتخاب کنید، مانند سیاست دستگاه، زیرشبکه IP یا سطح دسترسی دیگر.

شما می‌توانید سطوح دسترسی را در دو حالت مختلف، پایه و پیشرفته، ایجاد کنید. حالت پایه فهرستی از ویژگی‌های از پیش تعریف‌شده را در اختیار شما قرار می‌دهد که می‌توانید انتخاب کنید. اگر نیاز به استفاده از ویژگی‌هایی دارید که در رابط کاربری وجود ندارند، به جای آن، یک سطح دسترسی سفارشی در حالت پیشرفته ایجاد کنید.

توجه: وقتی سطح دسترسی را تغییر می‌دهید، تغییرات بلافاصله اعمال می‌شوند. توجه داشته باشید که تغییرات در سطوح دسترسی به محض اعمال تغییرات، بر کاربران شما تأثیر می‌گذارد. مطمئن شوید که تغییرات همان چیزی هستند که مد نظر شما هستند.

تعریف سطوح دسترسی - حالت پایه

  1. سطوح دسترسی را انتخاب کنید.
    شما فهرستی از سطوح دسترسی تعریف‌شده را مشاهده می‌کنید. سطوح دسترسی یک منبع مشترک بین Google Workspace و Google Cloud هستند، بنابراین ممکن است سطوح دسترسی‌ای را که خودتان ایجاد نکرده‌اید در فهرست مشاهده کنید. برای اینکه مشخص کنید کدام تیم سطح دسترسی را ایجاد کرده است، می‌توانید نام پلتفرم را به عنوان بخشی از نام سطح دسترسی در نظر بگیرید.
  2. در بالا سمت راست، «ایجاد سطح دسترسی» را انتخاب کنید.
    حالت پایه (Basic) به طور پیش‌فرض انتخاب شده است. شما سطح دسترسی را با اضافه کردن یک یا چند شرط به آن تعریف خواهید کرد. سپس هر شرط را با مشخص کردن یک یا چند ویژگی تعریف خواهید کرد.

    توجه : اگر مشتری فقط Workspace هستید، توصیه می‌کنیم از رابط کاربری Google Cloud Platform (GCP) برای اضافه کردن یا تغییر سطوح دسترسی Context-Aware استفاده نکنید. اگر سطوح دسترسی را با استفاده از روشی غیر از رابط دسترسی Context-Aware اضافه یا تغییر دهید، ممکن است این پیام خطا ایجاد شود: ویژگی‌های پشتیبانی نشده در Google Workspace استفاده می‌شوند و کاربران می‌توانند مسدود شوند.

  3. یک نام سطح دسترسی و توضیحات اختیاری اضافه کنید.
  4. برای شرط سطح دسترسی که اضافه می‌کنید، مشخص کنید که آیا شرط زمانی اعمال می‌شود که کاربران:
    • ویژگی‌های مورد نیاز — کاربران باید تمام ویژگی‌های موجود در شرط را برآورده کنند.
    • ویژگی‌های «ملاقات نشود» — کاربران هیچ یک از ویژگی‌های موجود در شرط را برآورده نمی‌کنند. این گزینه عکس شرط را مشخص می‌کند و بیشتر برای ویژگی‌های زیرشبکه IP استفاده می‌شود. برای مثال، اگر یک زیرشبکه IP مشخص کنید و «ملاقات نشود»، فقط کاربرانی که آدرس‌های IP آنها خارج از محدوده مشخص شده باشد، با شرط مطابقت خواهند داشت.
  5. برای افزودن یک یا چند ویژگی به شرط سطح دسترسی، روی «افزودن ویژگی» کلیک کنید. ویژگی‌هایی که می‌توانید اضافه کنید عبارتند از:
    • زیرشبکه IP (عمومی) — آدرس IPv4 یا IPv6 یا پیشوند مسیریابی در نمادگذاری بلوک CIDR.
      • این ویژگی از آدرس‌های IP خصوصی (از جمله شبکه‌های خانگی کاربر) پشتیبانی نمی‌کند.
      • آدرس‌های IP استاتیک پشتیبانی می‌شوند.
      • برای استفاده از آدرس IP پویا، باید یک زیرشبکه IP ایستا برای سطح دسترسی تعریف کنید. اگر محدوده آدرس IP پویا را بدانید و آدرس IP ایستا تعریف شده در سطح دسترسی، آن محدوده را پوشش دهد، دسترسی اعطا می‌شود. وقتی آدرس IP پویا در زیرشبکه IP ایستا تعریف شده نباشد، دسترسی رد می‌شود.
    • زیرشبکه IP (خصوصی) — به شما امکان می‌دهد سیاست‌های دسترسی آگاه از متن را تعریف کنید که شامل زیرشبکه‌های IP خصوصی از محیط‌های ابر خصوصی مجازی (VPC) باشد. برای سازمان‌هایی که از VPCها استفاده می‌کنند، این ویژگی دسترسی ایمن به سرویس‌های فضای کاری و انطباق با سیاست‌های دسترسی آگاه از متن تعریف‌شده شما را تضمین می‌کند. این امر به ویژه برای کاربرانی که از طریق زیرساخت VPC به سرویس‌ها دسترسی دارند و برای اسکریپت‌های برنامه‌ها که به IPهای خصوصی متکی هستند، اهمیت دارد.
      • برای استفاده از این ویژگی، به مجوزهای کنسول Google Cloud برای فهرست کردن و مشاهده منابع شبکه Google Cloud و نقش مدیریت هویت و دسترسی (IAM) مناسب (برای مثال، compute.networks.list ، compute.subnetworks.list و غیره) نیاز دارید.
      • این ویژگی منحصراً برای زیرشبکه‌های IP خصوصی در محیط‌های VPC مدیریت‌شده است. این ویژگی برای آدرس‌های IP خصوصی عمومی، مانند آدرس‌های موجود در شبکه‌های خانگی کاربر یا سایر محدوده‌های خصوصی غیر VPC، اعمال نمی‌شود.
      • برای پیکربندی این ویژگی، در سازنده سطح دسترسی، زیرشبکه IP (خصوصی) را انتخاب کنید. می‌توانید پروژه‌های کنسول Google Cloud، شبکه‌های VPC مرتبط با آنها و به صورت اختیاری، محدوده‌های زیرشبکه IP خاص VPC را اضافه کنید. نیازی به پیکربندی این سطوح دسترسی در کنسول Google Cloud نیست.
      • هنگام ارزیابی دسترسی کاربر، از VPC که ترافیک را به سرورهای گوگل ارسال می‌کند (نه لزوماً VPC که درخواست از آنجا سرچشمه گرفته است) استفاده می‌شود.
      • کنسول مدیریت در حال حاضر از ویرایش متن آزاد نام‌های VPC و زیرشبکه‌های مربوطه پشتیبانی می‌کند.
      • اگر از کنترل‌های سرویس VPC برای ایجاد محیط‌های امن برای منابع Google Cloud خود استفاده می‌کنید، هنگام استفاده از ویژگی IP subnet (خصوصی) محدودیت‌های خاصی اعمال می‌شود:
        • شما فقط می‌توانید آدرس‌های IP داخلی را با سطوح دسترسی پایه فعال کنید. برای استفاده از IPهای خصوصی در سطوح دسترسی پیشرفته، یک سطح دسترسی پایه با فقط شرایط IP خصوصی ایجاد کنید و سپس آن را در سطح دسترسی پیشرفته خود لحاظ کنید.
        • از پیکربندی سطوح دسترسی برای مسدود کردن آدرس‌های IP داخلی خودداری کنید، زیرا این امر می‌تواند باعث بروز رفتار غیرمنتظره شود.
        • یک سطح دسترسی واحد نمی‌تواند ویژگی‌های IP عمومی و خصوصی را با هم ترکیب کند. اگر به هر دو نیاز دارید، برای هر کدام سطوح دسترسی جداگانه ایجاد کنید و آنها را در یک سطح دسترسی سوم ترکیب کنید.
    • مکان — کشورها/مناطقی که کاربر در آنها به سرویس‌های Google Workspace دسترسی دارد. دستگاه‌هایی با آدرس‌های IP داخلی پشتیبانی نمی‌شوند زیرا این آدرس‌های IP به صورت جهانی منحصر به فرد نیستند.
    • سیاست دستگاه (فقط سیاست‌های دستگاه‌هایی را که نیاز به پیاده‌سازی دارید انتخاب کنید)
      • تأیید مدیر لازم است (در صورت نیاز، دستگاه باید تأیید شود)
      • دستگاه متعلق به شرکت الزامی است
      • صفحه نمایش با رمز عبور محافظت می‌شود

        نکته : برای سیستم عامل ویندوز، این ویژگی بررسی می‌کند که آیا صفحه ورود به سیستم پس از یک دوره عدم فعالیت نمایش داده می‌شود یا خیر، که در صورت فعال بودن تنظیم «نیاز به ورود» (در گزینه‌های ورود) یا تنظیم «در صورت از سرگیری، صفحه ورود نمایش داده شود» (در تنظیمات محافظ صفحه)، صحیح است. بررسی نمی‌کند که آیا رمز عبور تنظیم شده است یا خیر.

      • رمزگذاری دستگاه (پشتیبانی نمی‌شود، رمزگذاری نشده، رمزگذاری شده)
    • سیستم عامل دستگاه (کاربران فقط می‌توانند با سیستم عامل‌هایی که شما انتخاب می‌کنید به Google Workspace دسترسی داشته باشند. حداقل نسخه سیستم عامل را تنظیم کنید یا هر نسخه‌ای را مجاز کنید. از قالب major.minor.patch برای نسخه سیستم عامل استفاده کنید)—
      • مک‌او‌اس
      • ویندوز
      • لینوکس
      • سیستم عامل کروم
      • آی‌او‌اس
      • اندروید
    • سطح دسترسی - باید الزامات سطح دسترسی موجود را برآورده کند.
  6. برای افزودن شرط دیگر به سطح دسترسی، روی افزودن شرط کلیک کنید و ویژگی‌ها را به آن اضافه کنید.
  7. شرایطی را که کاربران باید داشته باشند، ذکر کنید:
    • و —کاربران باید شرط اول و شرط اضافه شده را برآورده کنند.
    • یا — کاربران باید فقط یکی از شرایط را داشته باشند.
  8. وقتی اضافه کردن شرایط سطح دسترسی را تمام کردید، با کلیک روی ذخیره، تعریف سطح دسترسی را ذخیره کنید.
  9. انتخاب کنید که با سطح دسترسی چه کاری انجام دهید:
    • این سطح دسترسی را به برنامه‌ها اختصاص دهید.
    • با این سطح دسترسی، یک قانون حفاظت از داده‌ها ایجاد کنید. اگر این گزینه را انتخاب کنید، ویزارد ایجاد قانون را شروع خواهید کرد. درباره ترکیب قوانین حفاظت از داده‌ها با سطوح دسترسی Context-Aware بیشتر بدانید .

سطح دسترسی نمونه - ایجاد شده در حالت پایه

این مثال یک سطح دسترسی به نام "corp_access" را نشان می‌دهد. اگر "corp_access" برای Gmail اعمال شود، کاربران فقط می‌توانند از طریق یک دستگاه رمزگذاری شده و متعلق به شرکت و فقط از ایالات متحده یا کانادا به Gmail دسترسی داشته باشند.

نام سطح دسترسی شرکت_دسترسی
یک کاربر در صورتی دسترسی پیدا می‌کند که تمام ویژگی‌های موجود در شرط را برآورده کنید
ویژگی شرط ۱

سیاست دستگاه
رمزگذاری دستگاه = رمزگذاری شده
دستگاه متعلق به شرکت = الزامی

شرط ۱ و شرط ۲ را با هم ترکیب کنید و
یک کاربر در صورتی دسترسی پیدا می‌کند که تمام ویژگی‌های موجود در شرط را برآورده کنید
ویژگی شرط ۲

منشأ جغرافیایی
کشورها = ایالات متحده، کانادا

برای مثال‌های بیشتر، به مثال‌های دسترسی آگاه از متن برای حالت پایه مراجعه کنید.

تعریف سطوح دسترسی - حالت پیشرفته

این حالت به شما امکان می‌دهد سطوح دسترسی ایجاد کنید که نمی‌توان آن‌ها را در سازنده‌ی شرط رابط Context-Aware Access ایجاد کرد. برای مثال:

  • ممکن است مدیر سیستم نیاز به ایجاد سطوح دسترسی داشته باشد که شامل شرایط فروشندگان برای ادغام با اشخاص ثالث باشد.
  • برخی از ویژگی‌های پیشرفته از رابط وضعیت حالت پایه قابل دسترسی نیستند، مانند امکان استفاده از احراز هویت مبتنی بر گواهی.

در این حالت، شما سطح دسترسی سفارشی خود را در یک پنجره ویرایش با استفاده از زبان عبارات مشترک (CEL) ایجاد می‌کنید.

برای تعریف سطوح دسترسی با استفاده از حالت پیشرفته:

  1. سطوح دسترسی را انتخاب کنید.
    شما فهرستی از سطوح دسترسی تعریف‌شده را مشاهده می‌کنید. سطوح دسترسی یک منبع مشترک بین Google Workspace، Cloud Identity و Google Cloud هستند، بنابراین ممکن است سطوح دسترسی‌ای را که خودتان ایجاد نکرده‌اید در فهرست مشاهده کنید. برای اینکه مشخص کنید کدام تیم سطح دسترسی را ایجاد کرده است، می‌توانید پلتفرم را به عنوان بخشی از نام سطح دسترسی در نظر بگیرید.
  2. ایجاد سطح دسترسی را انتخاب کنید.
  3. حالت پیشرفته را انتخاب کنید.
  4. یک نام سطح دسترسی و توضیحات اختیاری اضافه کنید.
    شما سطح دسترسی را با نوشتن یک عبارت CEL تعریف می‌کنید.
  5. سطح دسترسی دلخواه خود را در ویرایشگر عبارت CEL ایجاد کنید.
    برای انجام این کار، به کمی تجربه با CEL نیاز دارید. برای راهنمایی و نمونه‌هایی از عبارات پشتیبانی شده برای ایجاد سطوح دسترسی سفارشی، به مشخصات سطح دسترسی سفارشی مراجعه کنید.
  6. روی ذخیره کلیک کنید.
    عبارت کامپایل شده و هرگونه خطای نحوی گزارش می‌شود.
    • اگر هیچ خطای نحوی وجود نداشته باشد، سطح دسترسی سفارشی شما ذخیره می‌شود و می‌توانید آن را به برنامه‌ها اختصاص دهید.
    • اگر خطاهای نحوی وجود داشته باشد، پیام « رفع خطاها برای ادامه با خطاهای کامپایلر (فقط به زبان انگلیسی)» مختص عبارتی که تازه ایجاد کرده‌اید را مشاهده خواهید کرد. می‌توانید خطا را اصلاح کرده و دوباره ذخیره کنید. وقتی سطح دسترسی سفارشی حاوی خطایی نباشد و ذخیره شود، می‌توانید این سطح دسترسی را به برنامه‌ها اختصاص دهید.

سطح دسترسی نمونه - ایجاد شده در حالت پیشرفته

این مثال سطح دسترسی‌ای را نشان می‌دهد که برای مجاز شدن درخواست، شرایط زیر را لازم دارد:

  • دستگاه مبدا رمزگذاری شده است.
  • یک یا چند مورد از موارد زیر صحیح است:
    • این درخواست از ایالات متحده آمریکا مطرح شده است.
    • دستگاهی که درخواست از آن ارسال شده است توسط مدیر دامنه تأیید می‌شود.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

برای مثال‌های بیشتر، به مثال‌های دسترسی آگاه از متن برای حالت پیشرفته مراجعه کنید.

بعدی: تعیین سطح دسترسی برای برنامه‌ها


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.