管理者は、各ユーザーが再認証を行わずに Google Cloud コンソールおよび Cloud SDK に継続してアクセスできる時間を管理できます。たとえば、権限昇格を持つユーザー(プロジェクト オーナー、課金管理者、管理者ロールが付与されたその他のユーザーなど)には、通常のユーザーよりも頻繁に再認証を行うように設定できます。セッション継続時間を設定すると、該当するユーザーには、ログインし直して新しいセッションを開始するよう求めるメッセージが表示されます。
セッション継続時間の設定は、次に適用されます。
- Google Cloud コンソール
- gcloud コマンドライン ツール(Cloud SDK)
- Google Cloud のスコープでユーザー認証が必要なアプリケーション(サードパーティ製アプリケーション、独自 アプリケーションを含む)。[アプリのアクセス制御] ページで Google Cloud のスコープを必要とするアプリを確認するには、[Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する]をご覧ください。
注: Cloud セッション継続時間の設定は、コンソール モバイルアプリには適用されず 、コンソール内で制限があります。この機能は Google セッション の管理とともに使用することをおすすめします。そうすることで、すべての Google ウェブ プロパティにセッション 継続時間の設定が適用されます。
再認証ポリシーを設定する
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**] [**アクセスとデータ管理**] [**Google Cloud セッション管理**] にアクセスします。アクセスするにはセキュリティ設定の管理者権限が必要です。
左側で、セッション継続時間を設定する組織部門を選択します。
全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。
[再認証ポリシー] で [再認証を要求する] をオンにし、 [再認証を要求する間隔] のプルダウン リストから間隔を選択します。
指定できる間隔は、最短で 1 時間、最長で 24 時間です。この間隔には、ユーザーがセッションで非アクティブになっていた時間は含まれません。これは固定の値で、この時間を経過するとユーザーはログインし直す必要があります。
[信頼できるアプリは免除する] チェックボックスをオンにして、信頼できるアプリを再認証の対象から除外することもできます (信頼できるアプリは、[アプリのアクセス制御] ページで [信頼できる] とマークされています。詳しくは、後述の広範囲への展開に備えるをご覧ください。 また、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する も併せてご覧ください)。
[再認証方法] で [パスワード] または [セキュリティ キー] をオンにして、ユーザーの再認証方法を指定します。
[再認証ポリシー] を組織部門ごとに設定する場合は、親組織の設定が変更された場合でも組織部門の設定がそのまま維持されるように、右下にある [オーバーライド] をクリックします。
組織部門のステータスがすでに [上書きされました] になっている場合は、 次のいずれかを選択します。
- 継承 - 親と同じ設定に戻します。
- 保存 - 親の設定が変更された場合でも、新しい設定を保存します。
広範囲への展開に備える
ここで設定した再認証ポリシーは、Google Cloud スコープを要求することにより、Google Cloud リソースにアクセスするすべての Google アプリとサードパーティ製アプリに適用されます。ポリシーを広範囲に展開する前に、一部のユーザー(信頼できるアプリのリストに追加したユーザー)を対象に、ポリシーが各アプリでどのように動作するかを慎重にテストすることをおすすめします。
組織で現在使用されているアプリを確認する手順については、 Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する をご覧ください。Google Cloud サービスを必要とするアプリを必ずフィルタしてください。
セッション継続時間が指定の時間に達した場合、そのアプリを使用し続けるには再認証が必要です(管理者がアプリの更新トークンを取り消した場合と同様です)。
アプリによっては再認証プロセスを円滑に行えず、アプリがクラッシュしたり、スタック トレースが表示されたりする事象が発生することがあります。また、サーバー間のユースケース向けにデプロイされ、推奨されているサービス アカウントの認証情報ではなくユーザー認証情報を使用しているアプリでは、定期的に再認証を行うユーザーが存在しません。
このような状況の影響を受ける場合は、そうしたアプリを信頼できるアプリのリストに追加してセッション継続時間制限の適用対象から一時的に外し、他の Google Cloud 管理サーフェスにセッション管理を実装してください。[アプリのアクセス制御] で、該当するアプリを信頼できるアプリのリストに追加し、[Cloud セッション管理] の設定で [信頼できるアプリは免除する] チェックボックスをオンにします。
再認証関連のエラーから回復する
セッション期限が切れた後、サードパーティ製アプリから再認証関連のエラー が返されることがあります。このようなアプリの利用を再開するには、アプリに再度ログインして新しいセッションを開始します。
ユーザー認証情報を使用してアプリケーションのデフォルト
認証情報
(ADC)を使用するアプリは、サードパーティ製アプリと見なされます。これらの認証情報は、設定されたセッション継続時間でのみ有効です。セッションが期限切れになると、ADC
を使用するアプリも再認証関連のエラー
を返すことがあります。デベロッパーは、gcloud auth application-default login
コマンドを実行して新しい認証情報を取得することで、アプリを再承認できます。
考慮事項
ユーザーがログインするタイミングと方法
一部のユーザーが他のユーザーよりも頻繁にログインする必要がある場合は、ユーザーをログイン頻度ごとに組織部門に配置し、それぞれ異なるセッション継続時間を適用します。こうすることで、特定のユーザーが必要のない再ログインのために作業を中断されることがなくなります。
セキュリティ キーを必須とする場合、セキュリティ キーを持っていないユーザーは、セキュリティ キーを設定するまでコンソールまたは Cloud SDK を使用できません。セキュリティ キーを取得したユーザーは、パスワードの代わりにセキュリティ キーを使用するように切り替えることができます。
サードパーティの ID プロバイダ
- コンソールでの挙動 \- パスワードを使用した再認証を必須とした場合、ユーザーは ID プロバイダ(IdP)にリダイレクトされます。ユーザーにすでに IdP でアクティブなセッションがある場合、IdP では別のコンソール セッションを開始するためにパスワードを再入力する必要がありません。これは、使用中の別のアプリケーションにより、セッションのアクティブな状態が維持されているためです。
ユーザーがセキュリティ キーにタッチして再認証を行う必要がある場合は、コンソールの使用中に行います。IdP にはリダイレクトされません。
- Cloud SDK での挙動 \- 再認証にパスワードを使用する場合、gcloud ではユーザーが gcloud auth login コマンドを実行してセッションを更新する必要があります。これによりブラウザ ウィンドウが開き、ユーザーは IdP にリダイレクトされます。IdP で有効なセッションがない場合は、認証情報の入力を求められることがあります。
ユーザーがセキュリティ キーにタッチして再認証を行う必要がある場合は、Cloud SDK で行うことができます。IdP にはリダイレクトされません。