הגדרת אורך הסשן לשירותי Google Cloud

אדמינים יכולים לקבוע כמה זמן יכולים משתמשים שונים לגשת למסוף Google Cloud ול-Cloud SDK בלי שיידרשו לבצע אימות מחדש. לדוגמה, יכול להיות שתרצו שמשתמשים עם הרשאות מורחבות, כמו בעלי פרויקטים, אדמינים של חשבונות לחיוב או משתמשים אחרים עם תפקידי אדמין, יאמתו מחדש לעתים קרובות יותר מאשר משתמשים רגילים. אם מגדירים את משך הסשן, המשתמשים מתבקשים להיכנס שוב כדי להתחיל סשן חדש.

ההגדרה של משך הסשן חלה על:

הערה: ההגדרה של משך הזמן של סשן בענן לא חלה על האפליקציה לנייד של המסוף, ויש לה מגבלות במסוף. מומלץ להשתמש בתכונה הזו עם הגדרות לבקרה על סשנים ב-Google, שקובעות את משך הסשן בכל נכסי האינטרנט של Google.

הגדרת מדיניות האימות מחדש

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז בקרת סשנים ב-Google Cloud.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. בצד ימין, בוחרים את היחידה הארגונית שרוצים להגדיר בה את אורך הסשן.

    אם רוצים להגדיר לכל המשתמשים, בוחרים את היחידה הארגונית שברמה העליונה. בשלב הראשוני, היחידה הארגונית יורשת את ההגדרות של היחידה הארגונית שברמת ההורה.

  3. בקטע מדיניות אימות מחדש, בוחרים באפשרות נדרש אימות מחדש ובוחרים את תדירות האימות מחדש מהרשימה הנפתחת.

    התדירות המינימלית המותרת היא שעה אחת, והתדירות המקסימלית היא 24 שעות. התדירות לא כוללת את משך הזמן שבו המשתמש לא היה פעיל בסשן. זהו פרק הזמן הקבוע שחולף לפני שהמשתמש צריך להיכנס שוב לחשבון.

    אפשר גם לסמן את התיבה אפליקציות מהימנות פטורות מאימות מחדש כדי שאפליקציות מהימנות לא ידרשו אימות מחדש. (אפליקציות מהימנות מסומנות כ'מהימנות' בדף בקרת הגישה לאפליקציות. פרטים נוספים זמינים בקטע הכנה להשקה רחבה בהמשך המאמר. אפשר גם לעיין במאמר קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace).

  4. בקטע שיטת האימות מחדש, בוחרים באפשרות סיסמה או מפתח אבטחה כדי לציין איך המשתמשים צריכים לבצע אימות מחדש.

  5. אם מגדירים את מדיניות האימות מחדש ברמת היחידה הארגונית, לוחצים על הלחצן שינוי בפינה השמאלית התחתונה כדי שההגדרה תישאר כמו שהיא גם אם ההגדרה הראשית משתנה.

  6. אם הסטטוס של היחידה הארגונית הוא כבר בוטלה, בוחרים אחת מהאפשרויות האלה:

    • קבלה בירושה: חזרה לערך של ההגדרה הראשית.
    • שמירה: שמירת ההגדרה החדשה (גם אם ההגדרה הראשית משתנה).
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

הכנות להשקה רחבה

מדיניות האימות מחדש שאתם מגדירים כאן חלה על כל האפליקציות של Google ושל צד שלישי שניגשות למשאבים ב-Google Cloud, כי הן דורשות את היקף ההרשאות של Google Cloud. מומלץ לבדוק בקפידה איך המדיניות פועלת עבור כל אחת מהאפליקציות עם קבוצה קטנה של משתמשים – להוסיף את המשתמשים האלה לרשימת האפליקציות המהימנות, לפני שמתקדמים להשקה רחבה יותר.

הוראות לבדיקת האפליקציות שבהן משתמשים כרגע בארגון מופיעות במאמר שליטה בגישה של אפליקציות של צד שלישי ואפליקציות פנימיות לנתונים ב-Google Workspace. חשוב לוודא שסיננתם את האפליקציות שדורשות את השירות Google Cloud.

כשתוקף ההגדרה של משך הזמן של הסשן יפוג, האפליקציה תדרוש מהמשתמש לבצע אימות מחדש כדי להמשיך לפעול – בדומה למה שקורה אם אדמין מבטל את אסימוני הרענון של האפליקציה.

יכול להיות שחלק מהאפליקציות לא יטפלו בצורה חלקה בתרחיש של אימות מחדש, מה שיגרום לקריסות מבלבלות של האפליקציות או למעקב אחר מחסנית הקריאות. יש אפליקציות אחרות שנפרסות לתרחישי שימוש של שרת לשרת עם פרטי כניסה של משתמשים במקום פרטי הכניסה המומלצים של חשבון השירות. במקרה כזה, אין משתמש שיבצע אימות מחדש באופן תקופתי.

אם אתם מושפעים מהתרחישים האלה, אתם יכולים להוסיף את האפליקציות האלה לרשימה של אפליקציות אמינות, וכך להחריג אותן באופן זמני ממגבלות אורך הסשן, תוך הטמעת אמצעי בקרה על הסשן בכל ממשקי האדמין האחרים של Google Cloud. מוסיפים את האפליקציות לרשימת האפליקציות המהימנות בבקרת הגישה לאפליקציות,ומסמנים את התיבה 'החרגת אפליקציות מהימנות' בהגדרה בקרת סשנים בענן.

יכול להיות שתקבלו תגובה עם שגיאה שקשורה לאימות מחדש מאפליקציות של צד שלישי אחרי שפג תוקף הסשן. כדי להמשיך להשתמש באפליקציות האלה, המשתמשים יכולים להיכנס שוב לאפליקציה כדי להתחיל סשן חדש.

אפליקציות שמשתמשות ב-Application Default Credentials‏ (ADC) עם פרטי כניסה של משתמש נחשבות לאפליקציות של צד שלישי. פרטי הכניסה האלה תקפים רק למשך הסשן שהוגדר. כשפג תוקף הסשן הזה, יכול להיות שאפליקציות שמשתמשות ב-ADC יחזירו גם תשובה של שגיאה שקשורה לאימות מחדש. מפתחים יכולים לתת לאפליקציה הרשאה מחדש על ידי הפעלת הפקודה gcloud auth application-default login כדי לקבל פרטי כניסה חדשים.

שיקולים

מתי ואיך המשתמשים נכנסים לחשבון

אם אתם רוצים שחלק מהמשתמשים יתבקשו להיכנס לחשבון לעיתים קרובות יותר מאחרים, אתם יכולים להוסיף אותם ליחידות ארגוניות שונות. אחר כך, תוכלו להחיל עליהם אורכי סשן שונים. כך, משתמשים מסוימים לא יופרעו כדי להיכנס שוב לחשבון כשאין בכך צורך.

אם נדרש מפתח אבטחה, משתמשים שלא הגדירו מפתח כזה לא יכולים להשתמש במסוף או ב-Cloud SDK עד שהם מגדירים אותו. אחרי שהם מקבלים מפתח אבטחה, הם יכולים לעבור לשימוש בסיסמה במקום במפתח, אם הם רוצים.

ספקי זהויות של צד שלישי

  • דרך המסוף – אם אתם דורשים מהמשתמשים לבצע אימות מחדש באמצעות הסיסמה שלהם, הם מופנים לספק הזהויות (IdP). יכול להיות שספק ה-IdP לא יבקש מהמשתמש להזין מחדש את הסיסמה כדי להתחיל סשן נוסף במסוף, אם כבר יש למשתמש סשן פעיל אצל ספק ה-IdP – כי הוא משתמש באפליקציה אחרת שגורמת לסשן להישאר פעיל.

    אם משתמש צריך לבצע אימות מחדש באמצעות מפתח האבטחה שלו, הוא יכול לעשות זאת בזמן השימוש במסוף. הם לא יופנו לספק הזהות.

  • עם Cloud SDK – אם נדרשת סיסמה לאימות מחדש, הפקודה gcloud auth login תדרוש מהמשתמש להריץ את הפקודה gcloud כדי לחדש את הסשן. ייפתח חלון דפדפן והמשתמש יועבר לספק הזהויות, שם יכול להיות שהוא יתבקש להזין פרטי כניסה אם אין סשן פעיל עם ספק הזהויות.

    אם משתמש צריך לבצע אימות מחדש על ידי נגיעה במפתח האבטחה שלו, הוא יכול לעשות זאת ב-Cloud SDK. המשתמשים לא יופנו לספק הזהות.