Establece la duración de la sesión para los servicios de Google Cloud

Como administrador, puedes controlar durante cuánto tiempo pueden acceder los diferentes usuarios a la consola de Google Cloud y al SDK de Cloud sin tener que volver a autenticarse. Por ejemplo, quizás quieras que los usuarios con privilegios elevados, como los propietarios del proyecto, los administradores de facturación u otros con roles de administrador, vuelvan a hacer la autenticación con más frecuencia que los usuarios normales. Si estableces una duración de sesión, se les pedirá que vuelvan a acceder para iniciar una nueva sesión.

El parámetro de duración de sesión se aplica a lo siguiente:

La consola de Google Cloud
La herramienta de línea de comandos de gcloud (Cloud SDK)
Todas las aplicaciones (propias o de terceros) que requieran autorización del usuario para los permisos de Google Cloud scopes. Para revisar las apps que requieren permisos de Google Cloud en la IU de control de acceso a apps, consulta Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.

Nota: El parámetro de configuración de duración de la sesión de Cloud no se aplica a la app para dispositivos móviles de la consola y tiene limitaciones dentro de la consola. Te recomendamos que uses esta función con el control de sesiones de Google, que aplica una duración de sesión a todas las propiedades web de Google.

Establece la política de reautenticación

En la Consola del administrador de Google, ve a Menú Seguridad Control de acceso y datos Control de sesiones de Google Cloud.

Ir al control de sesiones de Google Cloud

Requiere tener el privilegio de administrador de la configuración de seguridad.
A la izquierda, seleccione la unidad organizativa donde quiere establecer la duración de las sesiones.

Para todos los usuarios, seleccione la unidad organizativa principal. Al principio, las unidades organizativas heredan la configuración de su organización superior.
En Política de reautenticación, selecciona Requerir reautenticación y elige la Frecuencia de reautenticación en la lista desplegable.

La frecuencia mínima permitida es de 1 hora y la máxima es de 24 horas. La frecuencia no incluye el tiempo que un usuario estuvo inactivo en la sesión. Es el tiempo fijo que transcurre antes de que el usuario deba volver a acceder.

También puedes marcar la casilla Eximir aplicaciones de confianza para eximir de la reautenticación a las aplicaciones de confianza. (Las aplicaciones de confianza aparecen marcadas como Confiable en la página Control de acceso de las apps. Para obtener más detalles, consulta Cómo prepararse para el lanzamiento general a continuación. Consulta también Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace).
En Método de reautenticación, selecciona Contraseña o Llave de seguridad para especificar cómo debe reautenticarse el usuario.
Si estableces la política de reautenticación a nivel de la unidad organizativa, haz clic en el botón Anular en la esquina inferior derecha para mantener la configuración, incluso si cambia la configuración principal.
Si el estado de la unidad organizativa ya está anulado, elige una opción:
- Heredar : Revierte la configuración al mismo parámetro que la configuración principal.
- Guardar : Guarda la nueva configuración (incluso si cambias el parámetro de configuración principal).

Los cambios pueden tardar hasta 24 horas en aplicarse, pero, por lo general, se aplican más rápido. Más información

Cómo prepararse para el lanzamiento general

La política de reautenticación que configures aquí se aplica a todas las aplicaciones de Google y de terceros que acceden a los recursos de Google Cloud, ya que requieren el permiso de Google Cloud. Te recomendamos que pruebes cuidadosamente cómo funciona la política para cada una de las aplicaciones con un pequeño conjunto de usuarios (agregando esos usuarios a la lista de aplicaciones de confianza) antes de pasar a un lanzamiento más amplio.

Para obtener instrucciones sobre cómo revisar las aplicaciones que usa actualmente tu organización, consulta Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace data. Asegúrate de filtrar las aplicaciones que requieren el servicio de Google Cloud.

Cuando se alcance la duración de sesión configurada, la aplicación le pedirá al usuario que vuelva a autenticarse para seguir funcionando, lo cual es análogo a lo que sucedería si un administrador revocara los tokens de actualización para esa aplicación.

Es posible que algunas aplicaciones no procesen la reautenticación de manera adecuada, lo que causa fallas confusas en las aplicaciones o seguimientos de pila. Algunas otras aplicaciones se implementan para casos de uso de servidor a servidor con credenciales del usuario en vez de las credenciales de cuenta de servicio recomendadas, de modo que no hay un usuario que realice la reautenticación periódicamente.

Si te ves afectado por estas situaciones, puedes agregar estas aplicaciones a una lista de confianza, lo que las exime temporalmente de las limitaciones de duración de sesión, a la vez que se implementan controles de sesión para las demás plataformas de administración de Google Cloud. Agrega las aplicaciones a la lista de aplicaciones de confianza en Control de acceso de las apps y habilita la casilla de verificación Eximir aplicaciones de confianza en el parámetro de configuración Control de sesiones de Cloud.

Recuperación de errores relacionados con la reautenticación

Es posible que recibas una respuesta de error relacionado con la reautenticación de aplicaciones de terceros después de que caduque una sesión. Para reanudar el uso de estas aplicaciones, los usuarios pueden volver a acceder a la aplicación para iniciar una nueva sesión.

Las aplicaciones que usan credenciales predeterminadas de la aplicación (ADC) con credenciales de usuario se consideran aplicaciones de terceros. Estas credenciales solo son válidas para la duración de sesión configurada. Cuando caduca esa sesión, las aplicaciones que usan ADC también pueden mostrar una respuesta de error relacionado con la reautenticación. Los desarrolladores pueden volver a autorizar la aplicación ejecutando el comando gcloud auth application-default login para obtener credenciales nuevas.

Consideraciones

Si necesita que algunos usuarios accedan con más frecuencia que otros, colóquelos en unidades organizativas diferentes. Luego, aplíqueles diferentes duraciones. De esa manera, a ciertos usuarios no se les pedirá que vuelvan a acceder cuando no sea necesario.

Si requieres una llave de seguridad, los usuarios que no tengan una no podrán usar la consola ni el SDK de Cloud hasta que la configuren. Una vez que tengan una llave de seguridad, podrán cambiar a usar su contraseña si lo desean.

Proveedores de identidad de terceros

Con la consola: Si requieres que un usuario vuelva a autenticarse con su contraseña, se lo redireccionará al proveedor de identidad (IdP). Es posible que el IdP no requiera que el usuario vuelva a ingresar su contraseña para iniciar otra sesión de la consola si el usuario ya tiene una sesión activa con el IdP, ya que está usando otra aplicación que hizo que la sesión permaneciera activa.
Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo mientras usa la consola. No se lo redireccionará al IdP.
Con el SDK de Cloud: Si se requiere una contraseña para la reautenticación, gcloud requerirá que el usuario ejecute el comando gcloud auth login para renovar la sesión. Se abrirá una ventana del navegador y se dirigirá al usuario al IdP, donde es posible que se le soliciten credenciales si no hay una sesión activa con el IdP.

Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo en el SDK de Cloud. No se lo redireccionará al IdP.

Establece la duración de la sesión para los servicios de Google Cloud Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.