Đặt thời lượng phiên sử dụng đối với các dịch vụ của Google Cloud

Là quản trị viên, bạn có thể kiểm soát khoảng thời gian mà người dùng có thể truy cập vào Google Cloud Console và Cloud SDK mà không cần phải xác thực lại. Ví dụ: bạn có thể muốn người dùng có đặc quyền cao (chẳng hạn như chủ sở hữu dự án, quản trị viên thanh toán hoặc những người khác có vai trò quản trị viên) xác thực lại thường xuyên hơn so với người dùng thông thường. Nếu bạn đặt thời lượng phiên, họ sẽ được nhắc đăng nhập lại để bắt đầu một phiên mới.

Chế độ cài đặt thời lượng phiên áp dụng cho:

Bảng điều khiển Google Cloud
Công cụ dòng lệnh gcloud (Cloud SDK)
Mọi ứng dụng (bao gồm cả ứng dụng của bên thứ ba hoặc ứng dụng của riêng bạn) yêu cầu người dùng uỷ quyền cho các phạm vi Google Cloud. Để xem xét những ứng dụng yêu cầu các phạm vi của Google Cloud trong giao diện người dùng Kiểm soát quyền truy cập của ứng dụng, hãy xem phần Kiểm soát ứng dụng nội bộ và ứng dụng bên thứ ba nào có quyền truy cập vào dữ liệu trong Google Workspace.

Lưu ý: Chế độ cài đặt Thời lượng phiên trên đám mây không áp dụng cho ứng dụng di động của bảng điều khiển và có những hạn chế trong bảng điều khiển. Bạn nên sử dụng tính năng này cùng với chế độ kiểm soát phiên của Google. Chế độ này áp dụng thời lượng phiên cho tất cả tài sản web của Google.

Thiết lập chính sách xác thực lại

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mật Quyền truy cập và kiểm soát dữ liệu Kiểm soát phiên Google Cloud.

Chuyển đến phần Kiểm soát phiên Google Cloud

Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.
Ở bên trái, hãy chọn đơn vị tổ chức mà bạn muốn đặt thời lượng phiên.

Để áp dụng cho tất cả người dùng, hãy chọn đơn vị tổ chức cấp cao nhất. Ban đầu, một đơn vị tổ chức sẽ kế thừa chế độ cài đặt của đơn vị tổ chức mẹ.
Trong mục Chính sách xác thực lại, hãy chọn Yêu cầu xác thực lại rồi chọn Tần suất xác thực lại trong danh sách thả xuống.

Tần suất tối thiểu cho phép là 1 giờ và tối đa là 24 giờ. Tần suất không bao gồm khoảng thời gian người dùng không hoạt động trong phiên. Đây là khoảng thời gian cố định trôi qua trước khi người dùng cần đăng nhập lại.

Bạn cũng có thể đánh dấu vào hộp Miễn xác thực lại cho các ứng dụng đáng tin cậy để miễn xác thực lại cho các ứng dụng đáng tin cậy. (Các ứng dụng đáng tin cậy được đánh dấu là Đáng tin cậy trên trang Kiểm soát quyền truy cập của ứng dụng. Để biết thêm thông tin chi tiết, hãy xem phần Chuẩn bị cho việc phát hành công khai bên dưới. Xem thêm phần Kiểm soát những ứng dụng nội bộ và ứng dụng bên thứ ba nào truy cập vào dữ liệu trong Google Workspace.)
Trong mục Phương thức xác thực lại, hãy chọn Mật khẩu hoặc Khoá bảo mật để chỉ định cách người dùng cần xác thực lại.
Nếu bạn đang đặt chính sách Xác thực lại ở cấp đơn vị tổ chức, hãy nhấp vào nút Ghi đè ở dưới cùng bên phải để giữ nguyên chế độ cài đặt ngay cả khi chế độ cài đặt gốc thay đổi.
Nếu trạng thái của đơn vị tổ chức đã là Bị ghi đè, hãy chọn một mục:
- Kế thừa – Hủy bỏ để quay về chính chế độ cài đặt của đơn vị tổ chức mẹ.
- Lưu – Lưu chế độ cài đặt mới của bạn (ngay cả khi chế độ cài đặt của đơn vị tổ chức mẹ thay đổi).

Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Chuẩn bị cho việc triển khai trên diện rộng

Chính sách xác thực lại mà bạn định cấu hình ở đây sẽ áp dụng cho tất cả ứng dụng của Google và bên thứ ba truy cập vào tài nguyên Google Cloud bằng cách yêu cầu phạm vi Google Cloud. Bạn nên kiểm tra kỹ lưỡng cách chính sách này hoạt động đối với từng ứng dụng với một nhóm nhỏ người dùng (bằng cách thêm những người dùng đó vào danh sách ứng dụng đáng tin cậy) trước khi chuyển sang triển khai trên phạm vi rộng hơn.

Để biết hướng dẫn về cách xem xét các ứng dụng mà tổ chức của bạn hiện đang sử dụng, hãy xem bài viết Kiểm soát việc những ứng dụng nội bộ và ứng dụng của bên thứ ba nào truy cập vào dữ liệu Google Workspace. Đảm bảo bạn lọc các ứng dụng yêu cầu dịch vụ Google Cloud.

Khi thời lượng phiên được định cấu hình hết hạn, ứng dụng sẽ yêu cầu người dùng xác thực lại để tiếp tục hoạt động – tương tự như những gì sẽ xảy ra nếu quản trị viên thu hồi mã làm mới cho ứng dụng đó.

Một số ứng dụng có thể không xử lý đúng trường hợp xác thực lại, gây ra sự cố ứng dụng hoặc dấu vết ngăn xếp gây nhầm lẫn. Một số ứng dụng khác được triển khai cho các trường hợp sử dụng máy chủ với máy chủ bằng thông tin đăng nhập của người dùng thay vì thông tin đăng nhập tài khoản dịch vụ được đề xuất. Trong trường hợp này, không có người dùng nào cần xác thực lại định kỳ.

Nếu gặp phải những trường hợp này, bạn có thể thêm các ứng dụng này vào danh sách đáng tin cậy, tạm thời miễn cho các ứng dụng này khỏi các hạn chế về thời lượng phiên, đồng thời triển khai chế độ kiểm soát phiên cho tất cả các nền tảng quản trị khác của Google Cloud. Thêm các ứng dụng vào Danh sách ứng dụng tin cậy trong phần Kiểm soát quyền truy cập của ứng dụng và đánh dấu vào hộp kiểm Loại trừ ứng dụng tin cậy trong chế độ cài đặt Kiểm soát phiên trên đám mây.

Khôi phục sau lỗi liên quan đến việc xác thực lại

Bạn có thể nhận được phản hồi lỗi liên quan đến việc xác thực lại từ các ứng dụng bên thứ ba sau khi phiên hết hạn. Để tiếp tục sử dụng các ứng dụng này, người dùng có thể đăng nhập lại vào ứng dụng để bắt đầu một phiên mới.

Những ứng dụng sử dụng Thông tin đăng nhập mặc định của ứng dụng (ADC) cùng với thông tin đăng nhập của người dùng được coi là ứng dụng bên thứ ba. Những thông tin đăng nhập này chỉ hợp lệ trong khoảng thời gian của phiên được định cấu hình. Khi phiên đó hết hạn, các ứng dụng sử dụng ADC cũng có thể trả về một phản hồi lỗi liên quan đến việc xác thực lại. Nhà phát triển có thể uỷ quyền lại cho ứng dụng bằng cách chạy lệnh gcloud auth application-default login để lấy thông tin đăng nhập mới.

Lưu ý

Nếu bạn cần một số người dùng đăng nhập thường xuyên hơn những người dùng khác, hãy đặt họ vào các đơn vị tổ chức khác nhau. Sau đó, hãy áp dụng thời lượng phiên khác nhau cho các nhóm này. Nhờ đó, một số người dùng sẽ không bị gián đoạn để đăng nhập lại khi không cần thiết.

Nếu bạn yêu cầu sử dụng khoá bảo mật, thì những người dùng không có khoá bảo mật sẽ không thể sử dụng bảng điều khiển hoặc Cloud SDK cho đến khi họ thiết lập khoá bảo mật. Sau khi có khoá bảo mật, họ có thể chuyển sang dùng mật khẩu nếu muốn.

Nhà cung cấp danh tính bên thứ ba

Với bảng điều khiển – Nếu bạn yêu cầu người dùng xác thực lại bằng mật khẩu, thì họ sẽ được chuyển hướng đến nhà cung cấp dịch vụ danh tính (IdP). IdP có thể không yêu cầu người dùng nhập lại mật khẩu để bắt đầu một phiên bảng điều khiển khác, nếu người dùng đã có một phiên đang hoạt động với IdP – vì họ đang sử dụng một ứng dụng khác khiến phiên vẫn hoạt động.
Nếu phải xác thực lại bằng cách chạm vào khoá bảo mật, người dùng có thể thực hiện việc này trong khi sử dụng bảng điều khiển. Họ sẽ không được chuyển hướng đến IdP.
Với Cloud SDK – Nếu cần mật khẩu để xác thực lại, gcloud sẽ yêu cầu người dùng thực thi lệnh gcloud auth login để gia hạn phiên. Thao tác này sẽ mở ra một cửa sổ trình duyệt và người dùng sẽ được chuyển đến IdP. Tại đây, họ có thể được nhắc nhập thông tin đăng nhập nếu không có phiên hoạt động nào với IdP.

Nếu phải xác thực lại bằng cách chạm vào khoá bảo mật, người dùng có thể thực hiện việc này trên Cloud SDK. Họ sẽ không được chuyển hướng đến IdP.

Đặt thời lượng phiên sử dụng đối với các dịch vụ của Google Cloud Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.