Tạo cấp truy cập theo bối cảnh

Cấp truy cập theo bối cảnh kết hợp các điều kiện và giá trị xác định bối cảnh của người dùng hoặc thiết bị. Các cấp truy cập này xác định bối cảnh mà người dùng có thể truy cập vào ứng dụng.

Ví dụ: bạn có thể tạo một cấp truy cập để truy cập vào Gmail, yêu cầu người dùng kết nối từ một dải địa chỉ IP cụ thể và yêu cầu thiết bị của họ phải được mã hoá.

Lưu ý: Trước khi tạo cấp truy cập, bạn nên triển khai quy trình xác minh điểm cuối và bật tính năng Quyền truy cập theo bối cảnh. Hãy tham khảo bài viết Thiết lập quy trình xác minh điểm cuối và Bật tính năng Quyền truy cập theo bối cảnh trong Triển khai quyền truy cập theo bối cảnh để biết thêm chi tiết.

Tạo cấp truy cập

Cấp truy cập bao gồm một hoặc nhiều điều kiện mà bạn xác định. Để truy cập vào ứng dụng, người dùng phải đáp ứng các điều kiện. Điều kiện của cấp truy cập chứa các thuộc tính mà bạn có thể chọn, chẳng hạn như chính sách thiết bị, mạng con IP hoặc một cấp truy cập khác.

Bạn có thể tạo cấp truy cập ở 2 chế độ: Cơ bản và Nâng cao. Chế độ Cơ bản cung cấp cho bạn danh sách các thuộc tính được xác định trước mà bạn có thể chọn. Nếu cần sử dụng các thuộc tính không có trong giao diện, hãy tạo cấp truy cập tuỳ chỉnh ở chế độ Nâng cao.

Lưu ý: Khi bạn sửa đổi một cấp truy cập, các thay đổi sẽ có hiệu lực ngay lập tức. Xin lưu ý rằng các thay đổi đối với cấp truy cập sẽ ảnh hưởng đến người dùng ngay khi bạn thực hiện thay đổi. Hãy đảm bảo rằng các thay đổi đó là những gì bạn muốn.

Xác định cấp truy cập – Chế độ cơ bản

  1. Chọn Cấp truy cập.
    Bạn sẽ thấy danh sách các cấp truy cập đã xác định. Cấp truy cập là một tài nguyên dùng chung giữa Google Workspace và Google Cloud, vì vậy, bạn có thể thấy các cấp truy cập mà bạn không tạo trong danh sách. Để cho biết nhóm nào đã tạo một cấp truy cập, hãy cân nhắc việc đưa nền tảng vào tên của cấp truy cập.
  2. Ở trên cùng bên phải, hãy chọn Tạo cấp truy cập.
    Chế độ Cơ bản được chọn theo mặc định. Bạn sẽ xác định cấp truy cập bằng cách thêm một hoặc nhiều điều kiện vào cấp truy cập đó. Sau đó, hãy xác định từng điều kiện bằng cách chỉ định một hoặc nhiều thuộc tính.

    Lưu ý: Bạn không nên sử dụng giao diện Google Cloud Platform (GCP) để thêm hoặc sửa đổi cấp truy cập theo bối cảnh nếu bạn chỉ là khách hàng của Workspace. Nếu bạn thêm hoặc thay đổi cấp truy cập bằng một phương thức khác ngoài giao diện Quyền truy cập theo bối cảnh, thì có thể bạn sẽ gặp thông báo lỗi sau: Unsupported attributes are being used on Google Workspace (Các thuộc tính không được hỗ trợ đang được sử dụng trên Google Workspace) và người dùng có thể bị chặn.

  3. Thêm tên cấp truy cập và nội dung mô tả (không bắt buộc).
  4. Đối với điều kiện của cấp truy cập mà bạn thêm, hãy chỉ định xem điều kiện đó có áp dụng khi người dùng:
    • Đáp ứng các thuộc tính – Người dùng phải đáp ứng tất cả các thuộc tính trong điều kiện.
    • Không đáp ứng các thuộc tính – Người dùng không đáp ứng bất kỳ thuộc tính nào trong điều kiện. Tuỳ chọn này chỉ định điều kiện ngược lại và thường được dùng nhất cho các thuộc tính mạng con IP. Ví dụ: nếu bạn chỉ định một mạng con IP và "không đáp ứng", thì chỉ những người dùng có địa chỉ IP nằm ngoài dải địa chỉ IP đã chỉ định mới đáp ứng điều kiện.
  5. Nhấp vào Thêm thuộc tính để thêm một hoặc nhiều thuộc tính vào điều kiện của cấp truy cập. Bạn có thể thêm các thuộc tính sau:
    • Mạng con IP (Công khai)—Địa chỉ IPv4 hoặc IPv6 hoặc tiền tố định tuyến ở ký hiệu khối CIDR.
      • Thuộc tính này không hỗ trợ địa chỉ IP riêng tư (bao gồm cả mạng gia đình của người dùng).
      • Có hỗ trợ địa chỉ IP tĩnh.
      • Để sử dụng địa chỉ IP động, bạn phải xác định một mạng con IP tĩnh cho cấp truy cập. Nếu bạn biết dải địa chỉ IP động và địa chỉ IP tĩnh đã xác định trong cấp truy cập bao gồm dải địa chỉ đó, thì quyền truy cập sẽ được cấp. Quyền truy cập sẽ bị từ chối khi địa chỉ IP động không nằm trong mạng con IP tĩnh đã xác định.
    • Mạng con IP (Riêng tư) – Cho phép bạn xác định các chính sách Quyền truy cập theo bối cảnh bao gồm các mạng con IP riêng tư từ môi trường Đám mây riêng ảo (VPC). Đối với các tổ chức sử dụng VPC, thuộc tính này đảm bảo quyền truy cập an toàn vào các dịch vụ của Workspace và tuân thủ các chính sách Quyền truy cập theo bối cảnh mà bạn xác định. Điều này đặc biệt quan trọng đối với những người dùng truy cập vào các dịch vụ thông qua cơ sở hạ tầng VPC và đối với Apps Script dựa vào IP riêng tư.
      • Để sử dụng thuộc tính này, bạn cần có quyền trong bảng điều khiển Google Cloud để liệt kê và xem các tài nguyên mạng của Google Cloud cũng như vai trò Quản lý danh tính và quyền truy cập (IAM) thích hợp (ví dụ: compute.networks.list, compute.subnetworks.list, v.v.).
      • Thuộc tính này chỉ dành riêng cho các mạng con IP riêng tư trong môi trường VPC được quản lý. Thuộc tính này không áp dụng cho các địa chỉ IP riêng tư chung, chẳng hạn như địa chỉ IP trong mạng gia đình của người dùng hoặc các dải địa chỉ riêng tư không phải VPC khác.
      • Để định cấu hình thuộc tính này, hãy chọn Mạng con IP (Riêng tư) trong trình tạo cấp truy cập. Bạn có thể thêm các dự án trong bảng điều khiển Google Cloud, mạng VPC được liên kết với các dự án đó và (không bắt buộc) các dải mạng con IP VPC cụ thể. Bạn không cần định cấu hình các cấp truy cập này trong bảng điều khiển Google Cloud.
      • Khi đánh giá quyền truy cập của người dùng, VPC gửi lưu lượng truy cập đến máy chủ của Google (không nhất thiết là VPC nơi yêu cầu bắt nguồn) sẽ được sử dụng.
      • Bảng điều khiển dành cho quản trị viên hiện hỗ trợ chỉnh sửa văn bản ở dạng tự do cho tên VPC và các mạng con tương ứng.
      • Nếu bạn sử dụng giải pháp VPC Service Controls để tạo ranh giới an toàn cho các tài nguyên của Google Cloud, thì một số giới hạn cụ thể sẽ áp dụng khi bạn sử dụng thuộc tính mạng con IP (Riêng tư):
        • Bạn chỉ có thể bật địa chỉ IP nội bộ bằng các cấp truy cập cơ bản. Để sử dụng IP riêng tư ở các cấp truy cập nâng cao, hãy tạo một cấp truy cập cơ bản chỉ có điều kiện IP riêng tư, sau đó đưa cấp truy cập đó vào cấp truy cập nâng cao.
        • Tránh định cấu hình cấp truy cập để chặn địa chỉ IP nội bộ, vì điều này có thể gây ra hành vi không mong muốn.
        • Một cấp truy cập không thể kết hợp các thuộc tính IP công khai và riêng tư. Nếu bạn cần cả hai, hãy tạo các cấp truy cập riêng cho từng thuộc tính và kết hợp chúng trong một cấp truy cập thứ ba.
    • Vị trí – Các quốc gia/khu vực nơi người dùng đang truy cập vào các dịch vụ của Google Workspace. Không hỗ trợ các thiết bị có địa chỉ IP nội bộ vì những địa chỉ IP đó không phải là duy nhất trên toàn cầu.
    • Chính sách thiết bị (chỉ chọn các chính sách thiết bị mà bạn cần triển khai)—
      • Cần có sự phê duyệt của quản trị viên (nếu cần, thiết bị phải được phê duyệt)
      • Cần có thiết bị của công ty
      • Bảo vệ màn hình bằng mật khẩu

        Lưu ý: Đối với hệ điều hành Windows, thuộc tính này sẽ kiểm tra xem màn hình đăng nhập có hiển thị sau khi hết thời gian chờ do không hoạt động hay không. Điều này đúng nếu bạn bật chế độ cài đặt "Yêu cầu đăng nhập" (trong phần Tuỳ chọn đăng nhập) hoặc chế độ cài đặt "Khi tiếp tục, hãy hiển thị màn hình đăng nhập" (trong phần Cài đặt trình bảo vệ màn hình). Thuộc tính này không kiểm tra xem mật khẩu đã được đặt hay chưa.

      • Mã hoá thiết bị (Không được hỗ trợ, Chưa được mã hoá, Đã được mã hoá)
    • Hệ điều hành của thiết bị (người dùng chỉ có thể truy cập vào Google Workspace bằng các hệ điều hành mà bạn chọn. Đặt phiên bản hệ điều hành tối thiểu hoặc cho phép mọi phiên bản. Sử dụng định dạng major.minor.patch cho phiên bản hệ điều hành)—
      • macOS
      • Windows
      • Linux
      • Chrome OS
      • iOS
      • Android
    • Cấp truy cập—Phải đáp ứng các yêu cầu của một cấp truy cập hiện có.
  6. Để thêm một điều kiện khác vào cấp truy cập, hãy nhấp vào Thêm điều kiện rồi thêm các thuộc tính vào điều kiện đó.
  7. Cho biết các điều kiện mà người dùng phải đáp ứng:
    • —Người dùng phải đáp ứng điều kiện đầu tiên và điều kiện đã thêm.
    • Hoặc – Người dùng chỉ phải đáp ứng một trong các điều kiện.
  8. Khi bạn đã thêm xong các điều kiện của cấp truy cập, hãy lưu định nghĩa cấp truy cập bằng cách nhấp vào Lưu.
  9. Chọn việc cần làm với cấp truy cập:
    • Chỉ định cấp truy cập này cho các ứng dụng.
    • Tạo quy tắc bảo vệ dữ liệu bằng cấp truy cập này. Nếu chọn tuỳ chọn này, bạn sẽ bắt đầu trình hướng dẫn tạo quy tắc. Tìm hiểu thêm về cách kết hợp các quy tắc bảo vệ dữ liệu với cấp truy cập theo bối cảnh.

Cấp truy cập mẫu – được tạo ở chế độ Cơ bản

Ví dụ này cho thấy một cấp truy cập có tên là "corp_access". Nếu "corp_access" được áp dụng cho Gmail, thì người dùng chỉ có thể truy cập vào Gmail từ một thiết bị được mã hoá và thuộc sở hữu của công ty, đồng thời chỉ có thể truy cập từ Hoa Kỳ hoặc Canada.

Tên cấp truy cập corp_access
Người dùng sẽ nhận được quyền truy cập nếu họ Đáp ứng tất cả các thuộc tính trong điều kiện
Thuộc tính điều kiện 1

Chính sách thiết bị
Mã hoá thiết bị = đã được mã hoá
Thiết bị của công ty = bắt buộc
Kết hợp điều kiện 1 và điều kiện 2 bằng
Người dùng sẽ nhận được quyền truy cập nếu họ Đáp ứng tất cả các thuộc tính trong điều kiện
Thuộc tính điều kiện 2

Nguồn gốc địa lý
Quốc gia = Hoa Kỳ, Canada

Để xem thêm ví dụ, hãy tham khảo bài viết Ví dụ về quyền truy cập theo bối cảnh cho chế độ Cơ bản.

Xác định cấp truy cập – Chế độ nâng cao

Chế độ này cho phép bạn tạo các cấp truy cập mà bạn không thể tạo trong trình tạo điều kiện của giao diện Quyền truy cập theo bối cảnh. Ví dụ:

  • Quản trị viên có thể cần tạo các cấp truy cập bao gồm điều kiện của nhà cung cấp cho các hoạt động tích hợp bên thứ ba.
  • Một số thuộc tính nâng cao không thể truy cập được từ giao diện điều kiện của chế độ Cơ bản, chẳng hạn như khả năng sử dụng phương thức xác thực dựa trên chứng chỉ.

Ở chế độ này, bạn sẽ tạo cấp truy cập tuỳ chỉnh trong một cửa sổ chỉnh sửa bằng Ngôn ngữ diễn đạt thông thường (CEL).

Cách xác định cấp truy cập bằng chế độ Nâng cao:

  1. Chọn Cấp truy cập.
    Bạn sẽ thấy danh sách các cấp truy cập đã xác định. Cấp truy cập là một tài nguyên dùng chung giữa Google Workspace, Cloud Identity và Google Cloud, vì vậy, bạn có thể thấy các cấp truy cập mà bạn không tạo trong danh sách. Để cho biết nhóm nào đã tạo một cấp truy cập, hãy cân nhắc việc đưa nền tảng vào tên của cấp truy cập.
  2. Chọn Tạo cấp truy cập.
  3. Chọn Chế độ nâng cao.
  4. Thêm tên cấp truy cập và nội dung mô tả (không bắt buộc).
    Bạn xác định cấp truy cập bằng cách viết một biểu thức CEL.
  5. Tạo cấp truy cập tuỳ chỉnh trong trình chỉnh sửa biểu thức CEL.
    Để làm như vậy, bạn cần có một số kinh nghiệm về CEL. Để được hướng dẫn và xem các ví dụ về biểu thức được hỗ trợ để tạo cấp truy cập tuỳ chỉnh, hãy tham khảo bài viết Thông số kỹ thuật về cấp truy cập tuỳ chỉnh .
  6. Nhấp vào Lưu.
    Biểu thức sẽ được biên dịch và mọi lỗi cú pháp sẽ được báo cáo.
    • Nếu không có lỗi cú pháp, cấp truy cập tuỳ chỉnh của bạn sẽ được lưu và bạn có thể chỉ định cấp truy cập đó cho các ứng dụng.
    • Nếu có lỗi cú pháp, bạn sẽ thấy thông báo Khắc phục lỗi để tiếp tục kèm theo các lỗi trình biên dịch (chỉ bằng tiếng Anh) dành riêng cho biểu thức mà bạn vừa tạo. Bạn có thể sửa lỗi và lưu lại. Khi cấp truy cập tuỳ chỉnh không có lỗi và đã được lưu, bạn có thể chỉ định cấp truy cập này cho các ứng dụng.

Cấp truy cập mẫu – được tạo ở chế độ Nâng cao

Ví dụ này cho thấy một cấp truy cập yêu cầu đáp ứng các điều kiện sau để cho phép một yêu cầu:

  • Thiết bị gốc được mã hoá.
  • Một hoặc nhiều điều kiện sau đây là đúng:
    • Yêu cầu bắt nguồn từ Hoa Kỳ.
    • Thiết bị mà yêu cầu bắt nguồn đã được quản trị viên miền phê duyệt.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Để xem thêm ví dụ, hãy tham khảo bài viết Ví dụ về quyền truy cập theo bối cảnh cho chế độ Nâng cao.

Bước tiếp theo: chỉ định cấp truy cập cho ứng dụng


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.