Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת אורך הסשן לשירותי Google Cloud

אדמינים יכולים לקבוע כמה זמן יכולים משתמשים שונים לגשת למסוף Google Cloud ול-Cloud SDK בלי שיידרשו לבצע אימות מחדש. לדוגמה, יכול להיות שתרצו שמשתמשים עם הרשאות מורחבות, כמו בעלי פרויקטים, אדמינים של חשבונות לחיוב או משתמשים אחרים עם תפקידי אדמין, יאמתו מחדש לעתים קרובות יותר מאשר משתמשים רגילים. אם קובעים את משך הסשן, המשתמשים מתבקשים להיכנס שוב כדי להתחיל סשן חדש.

ההגדרה של משך הסשן חלה על:

מסוף Google Cloud
כלי שורת הפקודה של Google Cloud (Cloud SDK)
כל האפליקציות (כולל אפליקציות של צד שלישי או אפליקציות שלכם) שנדרש בהן אישור משתמש להיקפי הרשאה של Google Cloud. כדי לבדוק את האפליקציות שדורשות היקפי הרשאות של Google Cloud בממשק המשתמש של 'בקרת גישה לאפליקציות', אפשר לעיין במאמר קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace.

הערה: ההגדרה של משך הסשן ב-Cloud לא חלה על אפליקציית המסוף לנייד, ויש לה מגבלות במסוף. מומלץ להשתמש בתכונה הזו עם ההגדרה של בקרה על סשנים ב-Google, שמגדירה משך סשן לכל נכסי האינטרנט של Google.

הגדרת מדיניות האימות מחדש

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים בקרת סשנים ב-Google Cloud.

אל בקרת סשנים ב-Google Cloud

כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.
בצד ימין, בוחרים את היחידה הארגונית שרוצים להגדיר בה את אורך הסשן.

לכל המשתמשים, בוחרים את היחידה הארגונית שברמה העליונה. בשלב הראשוני, היחידה הארגונית יורשת את ההגדרות של היחידה הארגונית שברמת ההורה.
בקטע מדיניות אימות מחדש, בוחרים באפשרות נדרש אימות מחדש ובוחרים את תדירות האימות מחדש מהרשימה הנפתחת.

התדירות המינימלית המותרת היא שעה אחת, והתדירות המקסימלית היא 24 שעות. התדירות לא כוללת את משך הזמן שבו המשתמש לא היה פעיל בסשן. זהו פרק הזמן הקבוע שחולף לפני שהמשתמש צריך להיכנס שוב.

אפשר גם לסמן את התיבה פטור לאפליקציות מהימנות כדי לתת פטור לאפליקציות מהימנות מאימות מחדש. (אפליקציות מהימנות מסומנות כ'מהימנות' בדף בקרת הגישה לאפליקציות. פרטים נוספים זמינים בקטע הכנה להשקה רחבה שבהמשך. אפשר גם לעיין במאמר שליטה בגישה של אפליקציות של צד שלישי ואפליקציות פנימיות לנתונים ב-Google Workspace).
בקטע שיטת אימות מחדש, בוחרים באפשרות סיסמה או מפתח אבטחה כדי לציין איך המשתמשים צריכים לבצע אימות מחדש.
אם מגדירים את מדיניות האימות מחדש ברמת היחידה הארגונית, לוחצים על הלחצן שינוי מברירת המחדל בפינה השמאלית התחתונה כדי שההגדרה תישאר כמו שהיא גם אם ההגדרה הראשית משתנה.
אם הסטטוס של היחידה הארגונית הוא כבר בוטלה, בוחרים אחת מהאפשרויות האלה:
- ירושה: חזרה לערך של ההגדרה הראשית.
- שמירה: שמירת ההגדרה החדשה (גם אם ההגדרה הראשית משתנה).

השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

הכנות להשקה רחבה

מדיניות האימות מחדש שאתם מגדירים כאן חלה על כל האפליקציות של Google ושל צד שלישי שניגשות למשאבים ב-Google Cloud ודורשות את היקף ההרשאות של Google Cloud. מומלץ לבדוק בקפידה איך המדיניות פועלת עבור כל אחת מהאפליקציות עם קבוצה קטנה של משתמשים – להוסיף את המשתמשים האלה לרשימת האפליקציות המהימנות, לפני שמתקדמים להשקה רחבה יותר.

הוראות לבדיקת האפליקציות שנמצאות כרגע בשימוש בארגון זמינות במאמר קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace. חשוב לסנן את האפליקציות שדורשות את שירות Google Cloud.

כשתוקף הסשן שהוגדר יפוג, האפליקציה תדרוש מהמשתמש לבצע אימות מחדש כדי להמשיך להשתמש בה – בדומה למה שקורה אם אדמין מבטל את אסימוני הרענון של האפליקציה.

יש אפליקציות שלא מטפלות בצורה חלקה בתרחיש של אימות מחדש, ולכן הן קורסות או מציגות עקבות מחסנית מבלבלות. יש גם אפליקציות שמוטמעות לתרחישי שימוש של שרת לשרת עם פרטי כניסה של משתמשים במקום פרטי הכניסה המומלצים של חשבון שירות. במקרה כזה, אין משתמש שיכול לבצע אימות מחדש באופן תקופתי.

אם אתם מושפעים מהתרחישים האלה, אתם יכולים להוסיף את האפליקציות האלה לרשימה של אפליקציות אמינות, ובכך להחריג אותן באופן זמני ממגבלות על משך הסשן, תוך הטמעת אמצעי בקרה על סשנים בכל ממשקי האדמין האחרים של Google Cloud. מוסיפים את האפליקציות לרשימת האפליקציות המהימנות בבקרת הגישה לאפליקציות,ומסמנים את התיבה 'החרגת אפליקציות מהימנות' בהגדרה בקרת סשנים בענן.

שחזור משגיאה שקשורה לאימות מחדש

יכול להיות שתקבלו תגובה עם שגיאה שקשורה לאימות מחדש מאפליקציות של צד שלישי אחרי שפג תוקף של סשן. כדי להמשיך להשתמש באפליקציות האלה, המשתמשים יכולים להיכנס שוב לאפליקציה כדי להתחיל סשן חדש.

אפליקציות שמשתמשות בפרטי כניסה שמוגדרים כברירת מחדל באפליקציה (ADC) עם פרטי כניסה של משתמשים נחשבות לאפליקציות של צד שלישי. פרטי הכניסה האלה תקפים רק למשך משך ההפעלה שהוגדר. כשההפעלה הזו מסתיימת, אפליקציות שמשתמשות ב-ADC עשויות גם להחזיר תגובה עם שגיאה שקשורה לאימות מחדש. מפתחים יכולים להעניק לאפליקציה הרשאה מחדש על ידי הרצת הפקודה gcloud auth application-default login כדי לקבל פרטי כניסה חדשים.

לתשומת ליבכם

אם אתם רוצים שחלק מהמשתמשים יתבקשו להיכנס לחשבון בתדירות גבוהה יותר מאחרים, אתם יכולים להוסיף אותם ליחידות ארגוניות שונות. אחר כך, תוכלו להחיל עליהם אורכי סשן שונים. כך לא תהיה הפרעה למשתמשים מסוימים והם לא יצטרכו להיכנס שוב לחשבון כשאין בכך צורך.

אם נדרש מפתח אבטחה, משתמשים שלא הגדירו מפתח כזה לא יכולים להשתמש במסוף או ב-Cloud SDK עד שהם מגדירים אותו. אחרי שיהיה להם מפתח אבטחה, הם יוכלו לעבור לשימוש בסיסמה במקום במפתח אבטחה, אם ירצו.

ספקי זהויות של צד שלישי

דרך המסוף – אם אתם דורשים ממשתמש לבצע אימות מחדש באמצעות הסיסמה שלו, הוא מופנה לספק הזהויות (IdP). יכול להיות שה-IdP לא ידרוש מהמשתמש להזין מחדש את הסיסמה כדי להתחיל סשן נוסף במסוף, אם כבר יש למשתמש סשן פעיל עם ה-IdP – כי הוא משתמש באפליקציה אחרת שגרמה לכך שהסשן יישאר פעיל.
אם משתמש צריך לבצע אימות מחדש באמצעות מפתח האבטחה, הוא יכול לעשות זאת בזמן השימוש במסוף. המשתמשים לא יופנו לספק הזהות.
עם Cloud SDK – אם נדרשת סיסמה לאימות מחדש, gcloud יבקש מהמשתמש להריץ את הפקודה gcloud auth login כדי לחדש את הסשן. ייפתח חלון דפדפן והמשתמש יועבר אל ספק הזהויות, שם הוא עשוי להתבקש להזין פרטי כניסה אם אין סשן פעיל עם ספק הזהויות.

אם משתמש צריך לבצע אימות מחדש באמצעות מפתח האבטחה שלו, הוא יכול לעשות זאת ב-Cloud SDK. הוא לא יופנה לספק הזהויות.

הגדרת אורך הסשן לשירותי Google Cloud קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.