Membuat tingkat Akses Kontekstual

Tingkat Akses Kontekstual menggabungkan kondisi dan nilai yang menentukan konteks pengguna atau perangkat. Tingkat akses ini menentukan konteks akses aplikasi bagi pengguna.

Misalnya, Anda dapat membuat tingkat akses untuk mengakses Gmail yang mengharuskan pengguna terhubung dari rentang alamat IP tertentu dan mengharuskan perangkat mereka untuk dienkripsi.

Catatan: Sebelum membuat tingkat akses, Anda harus men-deploy verifikasi endpoint dan mengaktifkan Akses Kontekstual. Buka Menyiapkan verifikasi endpoint dan Mengaktifkan Akses Kontekstual di Men-deploy Akses Kontekstual untuk mengetahui detailnya.

Membuat tingkat akses

Tingkat akses terdiri dari satu atau beberapa kondisi yang Anda tentukan. Untuk mengakses aplikasi, pengguna harus memenuhi kondisi tersebut. Kondisi tingkat akses berisi atribut yang dapat Anda pilih, seperti kebijakan perangkat, subnet IP, atau tingkat akses lainnya.

Anda dapat membuat tingkat akses dalam 2 mode berbeda, Dasar dan Lanjutan. Mode dasar memberi Anda daftar atribut yang telah ditetapkan yang dapat dipilih. Jika Anda perlu menggunakan atribut yang tidak ada di antarmuka, buat tingkat akses kustom di Mode lanjutan.

Catatan: Ketika Anda mengubah tingkat akses, perubahan tersebut akan langsung diterapkan. Perhatikan bahwa perubahan pada tingkat akses akan memengaruhi pengguna segera setelah Anda membuat perubahan. Pastikan perubahannya sesuai dengan keinginan Anda.

Menentukan tingkat akses—Mode dasar

  1. Pilih Access levels.
    Anda akan melihat daftar tingkat akses yang ditentukan. Tingkat akses adalah resource bersama antara Google Workspace dan Google Cloud, sehingga Anda mungkin melihat tingkat akses yang tidak Anda buat dalam daftar. Untuk menunjukkan tim mana yang membuat tingkat akses, pertimbangkan untuk memasukkan platform ke dalam nama tingkat akses.
  2. Di kanan atas, pilih Buat tingkat akses.
    Mode dasar dipilih secara default. Anda akan menentukan tingkat akses dengan menambahkan satu atau beberapa kondisi ke tingkat akses. Lalu, tentukan setiap kondisi dengan menetapkan satu atau beberapa atribut.

    Catatan: Sebaiknya jangan gunakan antarmuka Google Cloud Platform (GCP) untuk menambahkan atau mengubah tingkat Akses Kontekstual jika Anda adalah pelanggan khusus Workspace. Jika Anda menambahkan atau mengubah tingkat akses menggunakan metode selain antarmuka akses Kontekstual, pesan error ini dapat muncul: Atribut yang tidak didukung digunakan di Google Workspace, dan pengguna dapat diblokir.

  3. Tambahkan nama tingkat akses dan deskripsi opsional.
  4. Untuk kondisi tingkat akses yang ditambahkan, tetapkan apakah kondisi tersebut akan berlaku saat pengguna:
    • Memenuhi atribut—Pengguna harus memenuhi semua atribut dalam kondisi.
    • Tidak memenuhi atribut—Pengguna tidak memenuhi atribut mana pun dalam kondisi. Opsi ini menentukan kebalikan dari kondisi dan paling sering digunakan untuk atribut subnet IP. Misalnya, jika Anda menentukan subnet IP dan "tidak memenuhi", yang akan cocok dengan kondisi tersebut hanyalah pengguna dengan alamat IP di luar rentang yang ditentukan.
  5. Klik Tambahkan Atribut untuk menambahkan satu atau beberapa atribut ke kondisi tingkat akses. Atribut yang dapat Anda tambahkan adalah:
    • Subnet IP (Publik)—Alamat IPv4 atau IPv6, atau prefiks pemilihan rute dalam notasi blok CIDR.
      • Atribut ini tidak mendukung alamat IP pribadi (termasuk jaringan rumah pengguna).
      • Alamat IP statis didukung.
      • Untuk menggunakan alamat IP dinamis, Anda harus menentukan subnet IP statis untuk tingkat akses. Akses akan diberikan jika Anda mengetahui rentang alamat IP dinamis serta alamat IP statis yang ditentukan di tingkat akses yang mencakup rentang tersebut. Akses ditolak jika alamat IP dinamis tidak ada dalam subnet IP statis yang ditentukan.
    • Subnet IP (Pribadi)—Memungkinkan Anda menentukan kebijakan Akses Kontekstual yang mencakup subnet IP pribadi dari lingkungan Virtual Private Cloud (VPC). Untuk organisasi yang menggunakan VPC, atribut ini memastikan akses yang aman ke layanan Workspace dan kepatuhan terhadap kebijakan Akses Kontekstual yang Anda tetapkan. Atribut ini sangat penting bagi pengguna yang mengakses layanan melalui infrastruktur VPC dan untuk Apps Script yang mengandalkan IP pribadi.
      • Untuk menggunakan atribut ini, Anda memerlukan izin konsol Google Cloud untuk mencantumkan dan melihat resource jaringan Google Cloud serta peran Identity and Access Management (IAM) yang sesuai (misalnya, compute.networks.list, compute.subnetworks.list, dan sebagainya).
      • Atribut ini ditujukan khusus untuk subnet IP pribadi dalam lingkungan VPC terkelola. Atribut ini tidak berlaku untuk alamat IP pribadi umum, seperti yang ada di jaringan rumah pengguna atau rentang pribadi non-VPC lainnya.
      • Untuk mengonfigurasi atribut ini, pilih Subnet IP (Pribadi) di builder tingkat akses. Anda dapat menambahkan project konsol Google Cloud, jaringan VPC terkait, dan rentang subnet IP VPC tertentu (opsional). Anda tidak perlu mengonfigurasi tingkat akses ini di konsol Google Cloud.
      • Saat mengevaluasi akses pengguna, VPC yang mengirim traffic ke server Google (bukan VPC tempat permintaan berasal) akan digunakan.
      • Saat ini, konsol Admin mendukung pengeditan teks bentuk bebas untuk nama VPC dan subnet terkait.
      • Jika Anda menggunakan Kontrol Layanan VPC untuk membuat perimeter yang aman bagi resource Google Cloud Anda, batasan tertentu berlaku saat menggunakan atribut subnet IP (Pribadi):
        • Anda hanya dapat mengaktifkan alamat IP internal dengan tingkat akses dasar. Untuk menggunakan IP pribadi di tingkat akses lanjutan, buat tingkat akses dasar menggunakan kondisi IP Pribadi saja, lalu sertakan di tingkat akses lanjutan Anda.
        • Hindari mengonfigurasi tingkat akses untuk memblokir alamat IP internal karena hal ini dapat menyebabkan perilaku yang tidak terduga.
        • Atribut IP publik dan pribadi tidak dapat digabungkan dalam satu tingkat akses. Jika perlu keduanya, buat tingkat akses terpisah untuk tiap-tiap atribut lalu gabungkan dalam tingkat akses ketiga.
    • Lokasi—Negara/wilayah tempat pengguna mengakses layanan Google Workspace. Perangkat dengan alamat IP internal tidak didukung karena alamat IP tersebut tidak unik secara global.
    • Kebijakan perangkat (hanya pilih kebijakan perangkat yang perlu Anda terapkan)—
      • Persetujuan admin diperlukan (jika diperlukan, perangkat harus disetujui).
      • Perangkat milik perusahaan diwajibkan
      • Dilindungi sandi layar

        Catatan: Untuk OS Windows, atribut ini memeriksa apakah layar login ditampilkan setelah waktu tunggu tidak aktif habis, yang benar jika setelan "Perlu login" (di Opsi login) atau setelan "Saat dilanjutkan, tampilkan layar login" (di setelan Screen saver), diaktifkan. Atribut ini tidak memeriksa apakah sandi telah disetel.

      • Enkripsi perangkat (Tidak didukung, Tidak dienkripsi, Dienkripsi)
    • OS Perangkat (pengguna hanya dapat mengakses Google Workspace dengan sistem operasi yang Anda pilih. Tetapkan versi sistem operasi minimum, atau izinkan versi apa pun. Gunakan format major.minor.patch untuk versi sistem operasi)—
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Tingkat akses—Harus memenuhi persyaratan tingkat akses yang ada.
  6. Untuk menambahkan kondisi lainnya ke tingkat akses, klik Tambahkan kondisi, lalu tambahkan atribut ke kondisi.
  7. Tentukan kondisi yang harus dipenuhi pengguna:
    • Dan—Pengguna harus memenuhi kondisi pertama dan kondisi tambahan.
    • Atau—Pengguna harus memenuhi salah satu kondisi saja.
  8. Setelah Anda selesai menambahkan kondisi tingkat akses, simpan definisi tingkat akses dengan mengklik Simpan.
  9. Pilih tindakan untuk tingkat akses:
    • Tetapkan tingkat akses ini ke aplikasi.
    • Buat aturan perlindungan data dengan tingkat akses ini. Jika memilih opsi ini, Anda akan memulai wizard pembuatan aturan. Pelajari lebih lanjut cara menggabungkan aturan perlindungan data dengan tingkat Akses Kontekstual.

Contoh tingkat akses—dibuat dalam Mode dasar

Contoh ini menampilkan tingkat akses yang disebut "corp_access". Jika "corp_access" diterapkan ke Gmail, pengguna hanya dapat mengakses Gmail dari perangkat yang dienkripsi dan milik perusahaan, dan hanya dari AS atau Kanada.

Nama tingkat akses corp_access
Pengguna mendapatkan akses jika Memenuhi semua atribut dalam kondisi
Atribut kondisi 1

Kebijakan perangkat
Enkripsi perangkat = dienkripsi
Perangkat milik perusahaan = wajib
Gabungkan kondisi 1 dan kondisi 2 dengan DAN
Pengguna mendapatkan akses jika Memenuhi semua atribut dalam kondisi
Atribut Kondisi 2

Asal geografis
Negara = AS, Kanada

Untuk mengetahui contoh lainnya, lihat Contoh Akses Kontekstual untuk Mode dasar.

Menentukan tingkat akses—Mode lanjutan

Mode ini memungkinkan Anda membuat tingkat akses yang tidak dapat dibuat di pembuat kondisi antarmuka Akses Kontekstual. Contoh:

  • Administrator mungkin perlu membuat tingkat akses yang menyertakan kondisi vendor untuk integrasi pihak ketiga.
  • Beberapa atribut lanjutan tidak dapat diakses dari antarmuka kondisi Mode dasar, seperti kemampuan untuk menggunakan autentikasi berbasis sertifikat.

Dalam mode ini, Anda membuat tingkat akses kustom di jendela pengeditan menggunakan Common Expression Language (CEL).

Untuk menentukan tingkat akses menggunakan Mode lanjutan:

  1. Pilih Access levels.
    Anda akan melihat daftar tingkat akses yang ditentukan. Tingkat akses adalah resource bersama antara Google Workspace, Cloud Identity, dan Google Cloud, sehingga Anda mungkin melihat tingkat akses yang tidak Anda buat dalam daftar. Untuk menunjukkan tim mana yang membuat tingkat akses, pertimbangkan untuk memasukkan platform ke dalam nama tingkat akses.
  2. Pilih Buat tingkat akses.
  3. Pilih Mode Lanjutan.
  4. Tambahkan nama tingkat akses dan deskripsi opsional.
    Anda menentukan tingkat akses dengan menulis ekspresi CEL.
  5. Buat tingkat akses kustom Anda di editor ekspresi CEL.
    Untuk melakukannya, Anda memerlukan pengalaman menggunakan CEL. Untuk mengetahui panduan dan contoh ekspresi yang didukung dalam membuat tingkat akses kustom, buka Spesifikasi tingkat akses kustom .
  6. Klik Simpan.
    Ekspresi dikompilasi dan semua error sintaksis dilaporkan.
    • Jika tidak ada error sintaksis, tingkat akses kustom Anda akan disimpan, dan Anda dapat menetapkannya ke aplikasi.
    • Jika ada error sintaksis, Anda akan melihat pesan Perbaiki error untuk melanjutkan dengan error compiler (hanya dalam bahasa Inggris) khusus untuk ekspresi yang baru saja Anda buat. Anda dapat memperbaiki error dan menyimpannya lagi. Jika tingkat akses kustom tidak berisi error dan telah disimpan, Anda dapat menetapkan tingkat akses ini ke aplikasi.

Contoh tingkat akses—dibuat dalam Mode lanjutan

Contoh ini menunjukkan tingkat akses yang mengharuskan ketentuan berikut terpenuhi untuk mengizinkan permintaan:

  • Perangkat asal dienkripsi.
  • Satu atau beberapa hal berikut berlaku:
    • Permintaan ini berasal dari Amerika Serikat.
    • Perangkat tempat permintaan berasal disetujui oleh administrator domain.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Untuk mengetahui contoh lainnya, lihat Contoh Akses Kontekstual untuk Mode lanjutan.

Langkah berikutnya: tetapkan tingkat akses ke aplikasi


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.