Som administratör kan du styra hur länge olika användare kan komma åt Google Cloud-konsolen och Cloud SDK utan att behöva autentisera om. Du kanske till exempel vill att användare med utökade behörigheter, som projektägare, faktureringsadministratörer eller andra med administratörsroller, ska autentisera om oftare än vanliga användare. Om du anger en sessionslängd uppmanas de att logga in igen för att starta en ny session.
Inställningen för sessionslängd gäller för:
- Google Cloud-konsolen
- Kommandoradsverktyget gcloud (Cloud SDK)
- Alla appar (inklusive tredjepartsappar eller dina egna appar) som kräver användarautgivning för Google Cloud-omfattningar . Om du vill granska de appar som kräver Google Cloud-omfattningar i användargränssnittet för appars åtkomstkontroll kan du läsa Styr vilka tredjepartsappar och interna appar som har åtkomst till Google Workspace-data .
Obs ! Inställningen för molnsessionslängd gäller inte för konsolens mobilapp och har begränsningar i konsolen. Vi rekommenderar att du använder den här funktionen med Googles sessionskontroll , som tillämpar en sessionslängd på alla Googles webbegendomar.
Ställ in policyn för omautentisering
I Googles administratörskonsol, gå till Meny
Säkerhet Åtkomst- och datakontroll Google Cloud-sessionskontroll .Kräver administratörsbehörighet för säkerhetsinställningar .
Till vänster väljer du den organisationsenhet där du vill ställa in sessionslängden.
För alla användare, välj den översta organisationsenheten. Inledningsvis ärver en organisationsenhet inställningarna från sin överordnade.
Under Omautentiseringspolicy väljer du Kräv omautentisering och väljer Omautentiseringsfrekvens i listrutan.
Minsta tillåtna frekvens är 1 timme och maximalt 24 timmar. Frekvensen inkluderar inte hur länge en användare har varit inaktiv i sessionen. Det är den fasta tiden som förflyter innan användaren behöver logga in igen.
Du kan också markera rutan Undanta betrodda appar för att undanta betrodda appar från omautentisering. (Betrodda appar markeras som Betrodda på sidan Appåtkomstkontroll . Mer information finns i Förberedelser inför bred lansering nedan. Se även Styr vilka tredjepartsappar och interna appar som har åtkomst till Google Workspace-data .)
Under Återautentiseringsmetod väljer du Lösenord eller Säkerhetsnyckel för att ange hur användaren behöver omautentisera.
Om du ställer in omautentiseringspolicyn på organisationsenhetsnivå klickar du på knappen Åsidosätt längst ner till höger för att behålla inställningen även om den överordnade inställningen ändras.
Om organisationsenhetens status redan är Åsidosatt , välj ett alternativ:
- Ärv — Återgår till samma inställning som dess överordnade.
- Spara — Sparar din nya inställning (även om den överordnade inställningen ändras).
Förberedelser inför bred utrullning
Den omautentiseringspolicy du konfigurerar här gäller alla Google- och tredjepartsappar som har åtkomst till Google Cloud-resurser genom att kräva Google Cloud-omfattningen. Vi rekommenderar att du noggrant testar hur policyn fungerar för var och en av apparna med en liten grupp användare – och lägger till dessa användare i listan över betrodda appar innan du går vidare till en bredare lansering.
Instruktioner om hur du granskar de appar som för närvarande används av din organisation finns i Styr vilka tredjepartsappar och interna appar som har åtkomst till Google Workspace-data. Se till att du filtrerar efter appar som kräver Google Cloud -tjänsten.
När den konfigurerade sessionslängden löper ut kräver applikationen att användaren autentiserar sig på nytt för att fortsätta fungera – analogt med vad som skulle hända om en administratör återkallade uppdateringstoken för den applikationen.
Vissa applikationer hanterar eventuellt inte återautentiseringsscenariot på ett smidigt sätt, vilket orsakar förvirrande programkrascher eller stackspårningar. Vissa andra applikationer distribueras för server-till-server-användningsfall med användarautentiseringsuppgifter istället för de rekommenderade servicekontoautentiseringsuppgifterna, i vilket fall det inte finns någon användare att regelbundet omautentisera.
Om du påverkas av dessa scenarier kan du lägga till apparna i en lista över betrodda appar, vilket tillfälligt undantar apparna från begränsningar av sessionslängd, samtidigt som du implementerar sessionskontroller för alla andra Google Cloud-administratörsytor. Lägg till apparna i listan över betrodda appar i Appåtkomstkontroll och aktivera kryssrutan Undantag betrodda appar i inställningen för molnsessionskontroll .
Återställ från fel relaterat till återautentisering
Du kan få ett felmeddelande relaterat till omautentisering från tredjepartsappar efter att en session har löpt ut. För att återuppta användningen av dessa appar kan användare logga in på appen igen för att starta en ny session.
Appar som använder standardinloggningsuppgifter (ADC) med användarautentiseringsuppgifter betraktas som tredjepartsappar. Dessa inloggningsuppgifter är endast giltiga under den konfigurerade sessionslängden. När sessionen löper ut kan appar som använder ADC också returnera ett reauth-relaterat felsvar . Utvecklare kan auktorisera appen igen genom att köra kommandot gcloud auth application-default login för att hämta nya inloggningsuppgifter.
Överväganden
När och hur användare loggar in
Om du behöver att vissa användare loggar in oftare än andra, placera dem i olika organisationsenheter. Använd sedan olika sessionslängder för dem. På så sätt avbryts inte vissa användare från att logga in igen när det inte behövs.
Om du behöver en säkerhetsnyckel kan användare som inte har en inte använda konsolen eller Cloud SDK förrän de har konfigurerat den. När de har en säkerhetsnyckel kan de byta till att använda sitt lösenord istället om de vill.
Tredjeparts identitetsleverantörer
- Med konsolen – Om du kräver att en användare autentiserar sig på nytt med sitt lösenord omdirigeras de till identitetsleverantören (IdP). IdP:n kanske inte kräver att användaren anger sitt lösenord igen för att starta en ny konsolsession, om användaren redan har en aktiv session med IdP:n – eftersom de använder ett annat program som orsakade att sessionen förblev aktiv.
Om en användare måste autentisera sig på nytt genom att trycka på sin säkerhetsnyckel kan de göra detta medan de använder konsolen. De kommer inte att omdirigeras till IdP:n.
- Med Cloud SDK — Om ett lösenord krävs för omautentisering kräver gcloud att användaren kör gcloud auth login- kommandot för att förnya sessionen. Detta öppnar ett webbläsarfönster och användaren kommer till IdP:n, där de kan bli ombedda att ange inloggningsuppgifter om det inte finns någon aktiv session med IdP:n.
Om en användare måste autentisera sig på nytt genom att trycka på sin säkerhetsnyckel kan de göra detta i Cloud SDK. De kommer inte att omdirigeras till IdP:n.