יצירת רמות של בקרת גישה מבוססת-הקשר

רמות גישה מבוססות-הקשר משלבות תנאים וערכים שמגדירים את ההקשר של משתמש או מכשיר. רמות הגישה האלה מגדירות את ההקשר שבו המשתמשים יכולים לגשת לאפליקציות.

לדוגמה, אפשר ליצור רמת גישה ל-Gmail שדורשת מהמשתמשים להתחבר מטווח כתובות IP ספציפי, ושהמכשירים שלהם יהיו מוצפנים.

הערה: לפני שיוצרים רמת גישה, צריך לפרוס אימות נקודות קצה ולהפעיל בקרת גישה מבוססת-הקשר. פרטים נוספים זמינים במאמר פריסה של בקרת גישה מבוססת-הקשר בקטע בנושא הגדרת אימות נקודות קצה והפעלה של בקרת גישה מבוססת-הקשר.

יצירה של רמת גישה

רמות הגישה מורכבות מתנאי אחד או יותר שאתם מגדירים. כדי לגשת לאפליקציות, המשתמשים צריכים לעמוד בתנאים. תנאים של רמת גישה מכילים מאפיינים שאפשר לבחור, כמו מדיניות מכשירים, תת-רשת של כתובת IP או רמת גישה אחרת.

אפשר ליצור רמות גישה בשני מצבים שונים: בסיסי ומתקדם. במצב הבסיסי מוצגת רשימה של מאפיינים מוגדרים מראש שאפשר לבחור מתוכה. אם אתם צריכים להשתמש במאפיינים שלא מופיעים בממשק, אתם יכולים ליצור רמת גישה בהתאמה אישית במקום זאת במצב מתקדם.

הערה: כשמשנים את רמת הגישה, השינויים נכנסים לתוקף באופן מיידי. חשוב לדעת ששינויים ברמות הגישה ישפיעו על המשתמשים מיד אחרי שתבצעו אותם. חשוב לוודא שהשינויים הם אלה שרציתם.

הגדרת רמות גישה – מצב בסיסי

  1. בוחרים באפשרות רמות גישה.
    מוצגת רשימה של רמות גישה מוגדרות. רמות הגישה הן משאב משותף ל-Google Workspace ול-Google Cloud, ולכן יכול להיות שתראו ברשימה רמות גישה שלא יצרתם. כדי לציין איזה צוות יצר רמת גישה, כדאי לכלול את שם הפלטפורמה בשם רמת הגישה.
  2. בפינה השמאלית העליונה, לוחצים על יצירת רמת גישה.
    מצב בסיסי נבחר כברירת מחדל. כדי להגדיר את רמת הגישה, מוסיפים לה תנאי אחד או יותר. לאחר מכן מגדירים כל תנאי על ידי ציון של מאפיין אחד או יותר.

    הערה: אם אתם לקוחות של Workspace בלבד, אנחנו ממליצים שלא להשתמש בממשק של Google Cloud Platform ‏ (GCP) כדי להוסיף או לשנות רמות גישה מודעות-הקשר. אם מוסיפים או משנים רמות גישה באמצעות שיטה אחרת מלבד הממשק של בקרת רמות גישה מבוססת-הקשר, יכול להיות שתופיע הודעת השגיאה הבאה: נעשה שימוש במאפיינים לא נתמכים ב-Google Workspace, והמשתמשים עלולים להיחסם.

  3. מוסיפים שם לרמת הגישה ותיאור אופציונלי.
  4. בתנאי של רמת הגישה שמוסיפים, מציינים אם התנאי חל כשהמשתמשים:
    • מאפיינים של Meet – המשתמשים צריכים לעמוד בכל המאפיינים בתנאי.
    • לא מתאימים למאפיינים – המשתמשים לא עומדים באף אחד מהמאפיינים בתנאי. האפשרות הזו מציינת את ההפך מהתנאי, והיא משמשת הכי הרבה למאפייני תת-רשת IP. לדוגמה, אם מציינים תת-רשת של כתובות IP ואת האפשרות 'לא עומדים בתנאי', רק משתמשים עם כתובות IP מחוץ לטווח שצוין יעמדו בתנאי.
  5. לוחצים על הוספת מאפיין כדי להוסיף מאפיין אחד או יותר לתנאי של רמת הגישה. אלה המאפיינים שאפשר להוסיף:
    • תת-רשת IP (ציבורית) – כתובת IPv4 או IPv6 או קידומת ניתוב בפורמט בלוקים של CIDR.
      • המאפיין הזה לא תומך בכתובות IP פרטיות (כולל רשתות ביתיות של משתמשים).
      • יש תמיכה בכתובות IP סטטיות.
      • כדי להשתמש בכתובת IP דינמית, צריך להגדיר רשת משנה של כתובות IP סטטיות לרמת הגישה. אם אתם יודעים את הטווח של כתובת ה-IP הדינמית וכתובת ה-IP הסטטית שהוגדרה ברמת הגישה מכסה את הטווח הזה, הגישה תינתן. הגישה נדחית כשכתובת ה-IP הדינמית לא נמצאת ברשת המשנה של כתובת ה-IP הסטטית שהוגדרה.
    • רשת משנה של כתובות IP (פרטית) – מאפשרת לכם להגדיר מדיניות של בקרת גישה מבוססת-הקשר שכוללת רשתות משנה פרטיות של כתובות IP מסביבות של ענן וירטואלי פרטי (VPC). בארגונים שמשתמשים ב-VPC, המאפיין הזה מבטיח גישה מאובטחת לשירותי Workspace ועמידה במדיניות בקרת הגישה מבוססת-הקשר שהוגדרה. זה חשוב במיוחד למשתמשים שניגשים לשירותים דרך תשתית VPC ול-Apps Script שמסתמך על כתובות IP פרטיות.
      • כדי להשתמש במאפיין הזה, אתם צריכים הרשאות במסוף Google Cloud כדי להציג רשימה של משאבי רשת ב-Google Cloud, וגם את תפקיד ניהול הזהויות והרשאות הגישה (IAM) המתאים (לדוגמה, compute.networks.list, ‏ compute.subnetworks.list וכו').
      • המאפיין הזה מיועד באופן בלעדי לרשתות משנה של כתובות IP פרטיות בסביבות VPC מנוהלות. היא לא חלה על כתובות IP פרטיות כלליות, כמו אלה שנמצאות ברשתות ביתיות של משתמשים או בטווחים פרטיים אחרים שאינם VPC.
      • כדי להגדיר את המאפיין הזה, בוחרים באפשרות רשת משנה של כתובות IP (פרטית) בכלי ליצירת רמות גישה. אפשר להוסיף פרויקטים במסוף Google Cloud, רשתות VPC שמשויכות אליהם, ואם רוצים, גם טווחי כתובות IP ספציפיים של רשתות משנה ב-VPC. אין צורך להגדיר את רמות הגישה האלה ב-Google Cloud Console.
      • כשמעריכים את גישת המשתמש, נעשה שימוש ב-VPC ששולח תנועה לשרתי Google (לא בהכרח ב-VPC שממנו הבקשה נשלחה).
      • במסוף Admin יש כרגע תמיכה בעריכה של שמות VPC ושל רשתות המשנה התואמות בטקסט חופשי.
      • אם אתם משתמשים ב-VPC Service Controls כדי ליצור גבולות גזרה מאובטחים למשאבים שלכם ב-Google Cloud, יש מגבלות ספציפיות שחלות כשמשתמשים במאפיין של תת-רשת ה-IP (פרטית):
        • אפשר להפעיל כתובות IP פנימיות רק עם רמות גישה בסיסיות. כדי להשתמש בכתובות IP פרטיות ברמות גישה מתקדמות, צריך ליצור רמת גישה בסיסית עם תנאים של כתובות IP פרטיות בלבד, ואז לכלול אותה ברמת הגישה המתקדמת.
        • מומלץ להימנע מהגדרת רמות גישה לחסימת כתובות IP פנימיות, כי זה עלול לגרום להתנהגות לא צפויה.
        • רמת גישה אחת לא יכולה לשלב מאפיינים של כתובות IP פרטיות וציבוריות. אם אתם צריכים את שתי ההרשאות, אתם יכולים ליצור רמות גישה נפרדות לכל אחת מהן ולשלב אותן ברמת גישה שלישית.
    • מיקום – המדינות או האזורים שבהם המשתמש ניגש לשירותי Google Workspace. אין תמיכה במכשירים עם כתובות IP פנימיות כי כתובות ה-IP האלה לא ייחודיות ברמה הגלובלית.
    • מדיניות המכשיר (בוחרים רק את מדיניות המכשיר שרוצים להטמיע) –
      • נדרש אישור אדמין (אם נדרש, המכשיר צריך להיות מאושר)
      • נדרש מכשיר בבעלות החברה
      • מוגן בסיסמה

        הערה: במערכת Windows, המאפיין הזה בודק אם מסך הכניסה מוצג אחרי פסק זמן של חוסר פעילות. זה קורה אם ההגדרה 'נדרשת כניסה' (באפשרויות הכניסה) או ההגדרה 'בהמשך, הצגת מסך הכניסה' (בהגדרות שומר המסך) מופעלות. הוא לא בודק אם הסיסמה מוגדרת.

      • הצפנת המכשיר (לא נתמכת, לא מוצפן, מוצפן)
    • OS של המכשיר (המשתמשים יכולים לגשת ל-Google Workspace רק עם מערכות ההפעלה שתבחרו. הגדרת גרסה מינימלית של מערכת ההפעלה או מתן אפשרות לכל גרסה. משתמשים בפורמט major.minor.patch לגרסת מערכת ההפעלה)—
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • רמת גישה – המשתמש צריך לעמוד בדרישות של רמת גישה קיימת.
  6. כדי להוסיף עוד תנאי לרמת הגישה, לוחצים על הוספת תנאי ומוסיפים לו מאפיינים.
  7. מציינים את התנאים שבהם המשתמשים צריכים לעמוד:
    • וגם – המשתמשים צריכים לעמוד בתנאי הראשון וגם בתנאי הנוסף.
    • או – המשתמשים צריכים לעמוד רק באחד מהתנאים.
  8. כשמסיימים להוסיף תנאים לרמת הגישה, לוחצים על שמירה כדי לשמור את ההגדרה של רמת הגישה.
  9. בוחרים מה לעשות עם רמת הגישה:
    • הקצאה של רמת הגישה הזו לאפליקציות.
    • יוצרים כלל הגנה על נתונים עם רמת הגישה הזו. אם תבחרו באפשרות הזו, יתחיל אשף ליצירת כללים. מידע נוסף על שילוב של כללים להגנה על נתונים עם רמות גישה מבוססת-הקשר

רמת גישה לדוגמה – נוצרה במצב בסיסי

בדוגמה הזו מוצגת רמת גישה בשם corp_access. אם המגבלה corp_access חלה על Gmail, המשתמשים יכולים לגשת ל-Gmail רק ממכשיר מוצפן שבבעלות החברה, ורק מארה"ב או מקנדה.

שם רמת הגישה corp_access
משתמש יקבל גישה אם הוא: התנאי מתקיים אם כל המאפיינים שלו מתקיימים
מאפיין תנאי 1

מדיניות המכשירים
הצפנת המכשיר = מוצפן
מכשיר בבעלות החברה = נדרש
שילוב של תנאי 1 ותנאי 2 באמצעות וגם
משתמש יקבל גישה אם הוא: התנאי מתקיים אם כל המאפיינים שלו מתקיימים
מאפיין תנאי 2

אזור גיאוגרפי
Countries = US, Canada

דוגמאות נוספות זמינות במאמר דוגמאות לשימוש בבקרת גישה מבוססת-הקשר במצב בסיסי.

הגדרת רמות גישה – מצב מתקדם

במצב הזה אפשר ליצור רמות גישה שלא ניתן ליצור בכלי ליצירת תנאים בממשק של בקרת הגישה מבוססת-הקשר. לדוגמה:

  • יכול להיות שהאדמין יצטרך ליצור רמות גישה שיכללו תנאי ספק לשילובים של צד שלישי.
  • חלק מהמאפיינים המתקדמים לא נגישים מממשק התנאים במצב הבסיסי, כמו האפשרות להשתמש באימות מבוסס-אישורים.

במצב הזה, אתם יוצרים את רמת הגישה המותאמת אישית בחלון עריכה באמצעות Common Expression Language ‏ (CEL).

כדי להגדיר רמות גישה באמצעות מצב מתקדם:

  1. בוחרים באפשרות רמות גישה.
    מוצגת רשימה של רמות גישה מוגדרות. רמות הגישה הן משאב משותף ל-Google Workspace, ל-Cloud Identity ול-Google Cloud, ולכן יכול להיות שתראו ברשימה רמות גישה שלא יצרתם. כדי לציין איזה צוות יצר רמת גישה, כדאי לכלול את שם הפלטפורמה בשם רמת הגישה.
  2. בוחרים באפשרות יצירת רמת גישה.
  3. בוחרים באפשרות מצב מתקדם.
  4. מוסיפים שם לרמת הגישה ותיאור אופציונלי.
    מגדירים את רמת הגישה על ידי כתיבת ביטוי CEL.
  5. יוצרים את רמת הגישה המותאמת אישית בעורך של ביטויי CEL.
    כדי לעשות את זה, צריך ניסיון מסוים ב-CEL. הנחיות ודוגמאות לביטויים נתמכים ליצירת רמות גישה מותאמות אישית זמינות במאמר בנושא מפרט של רמות גישה מותאמות אישית .
  6. לוחצים על שמירה.
    הביטוי עובר קומפילציה וכל שגיאות התחביר מדווחות.
    • אם אין שגיאות תחביר, רמת הגישה המותאמת אישית נשמרת ואפשר להקצות אותה לאפליקציות.
    • אם יש שגיאות בתחביר, מוצגת ההודעה Fix errors to continue עם שגיאות קומפילציה (באנגלית בלבד) שספציפיות לביטוי שיצרתם. אפשר לתקן את השגיאה ולשמור שוב. אחרי ששומרים את רמת הגישה המותאמת אישית ללא שגיאות, אפשר להקצות אותה לאפליקציות.

רמת גישה לדוגמה – נוצרה במצב מתקדם

בדוגמה הזו מוצגת רמת גישה שבה הבקשה תאושר רק אם התנאים הבאים יתקיימו:

  • המכשיר שממנו מתבצעת ההעברה מוצפן.
  • אחד או יותר מהתנאים הבאים מתקיימים:
    • הבקשה הגיעה מארצות הברית.
    • המכשיר שממנו נשלחה הבקשה אושר על ידי האדמין של הדומיין.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

דוגמאות נוספות זמינות במאמר דוגמאות לבקרת גישה מבוססת-הקשר במצב מתקדם.

השלב הבא: הקצאת רמות גישה לאפליקציות


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.