הגדרת אורך הסשן לשירותי Google Cloud

אדמינים יכולים לקבוע כמה זמן יכולים משתמשים שונים לגשת למסוף Google Cloud ול-Cloud SDK בלי שיידרשו לבצע אימות מחדש. לדוגמה, יכול להיות שתרצו שמשתמשים עם הרשאות מורחבות, כמו בעלי פרויקטים, אדמינים לחיוב או משתמשים אחרים עם תפקידי אדמין, יאמתו מחדש לעתים קרובות יותר מאשר משתמשים רגילים. אם הגדרתם אורך סשן, המשתמשים יתבקשו להיכנס שוב כדי להתחיל סשן חדש.

ההגדרה של משך הסשן חלה על:

מסוף Google Cloud
כלי שורת הפקודה של gcloud (Cloud SDK)
כל האפליקציות (כולל אפליקציות של צד שלישי או אפליקציות שלכם) שנדרש בהן אישור משתמש להיקפי הרשאות של Google Cloud. כדי לבדוק את האפליקציות שדורשות היקפי הרשאות של Google Cloud בממשק המשתמש של 'בקרת גישת אפליקציות', אפשר לעיין במאמר שליטה בגישה של אפליקציות של צד שלישי ואפליקציות פנימיות לנתונים ב-Google Workspace.

הערה: ההגדרה של משך הזמן של סשן בענן לא חלה על האפליקציה לנייד של המסוף, ויש לה מגבלות במסוף. מומלץ להשתמש בתכונה הזו עם הגדרות הבקרה על סשנים ב-Google, שקובעות את משך הסשן בכל נכסי האינטרנט של Google.

הגדרת מדיניות האימות מחדש

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים בקרת סשנים ב-Google Cloud.

אל בקרת סשנים ב-Google Cloud

כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.
בצד ימין, בוחרים את היחידה הארגונית שרוצים להגדיר בה את אורך הסשן.

לכל המשתמשים, בוחרים את היחידה הארגונית שברמה העליונה. בשלב הראשוני, היחידה הארגונית יורשת את ההגדרות של היחידה הארגונית שברמת ההורה.
בקטע מדיניות אימות מחדש, בוחרים באפשרות נדרש אימות מחדש ובוחרים את תדירות האימות מחדש מהרשימה הנפתחת.

התדירות המינימלית המותרת היא שעה אחת, והתדירות המקסימלית היא 24 שעות. התדירות לא כוללת את משך הזמן שבו המשתמש לא היה פעיל בסשן. זהו פרק הזמן הקבוע שחולף לפני שהמשתמש צריך להיכנס שוב לחשבון.

אפשר גם לסמן את התיבה אפליקציות מהימנות שפטורות מאימות מחדש כדי שאפליקציות מהימנות לא ידרשו אימות מחדש. (אפליקציות מהימנות מסומנות כ'מהימנות' בדף בקרת הגישה לאפליקציות. פרטים נוספים זמינים בקטע הכנה להשקה רחבה בהמשך המאמר. אפשר גם לעיין במאמר קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace).
בקטע שיטת האימות מחדש, בוחרים באפשרות סיסמה או מפתח אבטחה כדי לציין איך המשתמשים צריכים לבצע אימות מחדש.
אם מגדירים את מדיניות האימות מחדש ברמת היחידה הארגונית, לוחצים על הלחצן שינוי מברירת המחדל בפינה השמאלית התחתונה כדי שההגדרה תישאר כמו שהיא גם אם ההגדרה הראשית משתנה.
אם הסטטוס של היחידה הארגונית הוא כבר בוטלה, בוחרים אחת מהאפשרויות האלה:
- ירושה: חזרה לערך של ההגדרה הראשית.
- שמירה: שמירת ההגדרה החדשה (גם אם ההגדרה הראשית משתנה).

השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

הכנות להשקה רחבה

מדיניות האימות מחדש שאתם מגדירים כאן חלה על כל האפליקציות של Google ושל צד שלישי שיש להן גישה למשאבים ב-Google Cloud, כי הן דורשות את היקף ההרשאות של Google Cloud. מומלץ לבדוק בקפידה איך המדיניות פועלת בכל אחת מהאפליקציות עם קבוצה קטנה של משתמשים – להוסיף את המשתמשים האלה לרשימת האפליקציות המהימנות, לפני שמתקדמים להשקה רחבה יותר.

הוראות לבדיקת האפליקציות שבהן משתמשים כרגע בארגון מופיעות במאמר שליטה בגישה של אפליקציות של צד שלישי ואפליקציות פנימיות לנתונים ב-Google Workspace. חשוב לוודא שסיננתם את האפליקציות שדורשות את השירות Google Cloud.

כשתוקף ההפעלה שהוגדר יפוג, האפליקציה תדרוש מהמשתמש לבצע אימות מחדש כדי להמשיך לפעול – בדומה למה שקורה אם אדמין מבטל את אסימוני הרענון של האפליקציה.

יכול להיות שחלק מהאפליקציות לא יטפלו בצורה חלקה בתרחיש של אימות מחדש, מה שיגרום לקריסות מבלבלות של האפליקציות או למעקב אחר מחסנית הקריאות. יש אפליקציות אחרות שנפרסות לתרחישי שימוש של שרת לשרת עם פרטי כניסה של משתמשים במקום פרטי הכניסה המומלצים של חשבון השירות. במקרה כזה, אין משתמש שיבצע אימות מחדש באופן תקופתי.

אם אתם מושפעים מהתרחישים האלה, אתם יכולים להוסיף את האפליקציות לרשימה של אפליקציות אמינות, ובכך להחריג אותן באופן זמני ממגבלות על משך הסשן, תוך הטמעת אמצעי בקרה על סשנים בכל ממשקי האדמין האחרים של Google Cloud. מוסיפים את האפליקציות לרשימת האפליקציות המהימנות בבקרת הגישה לאפליקציות,ומסמנים את התיבה 'החרגת אפליקציות מהימנות' בהגדרה בקרת סשנים ב-Cloud.

שחזור משגיאה שקשורה לאימות מחדש

יכול להיות שתקבלו תגובה עם שגיאה שקשורה לאימות מחדש מאפליקציות של צד שלישי אחרי שפג תוקף של סשן. כדי להמשיך להשתמש באפליקציות האלה, המשתמשים יכולים להיכנס שוב לאפליקציה כדי להתחיל סשן חדש.

אפליקציות שמשתמשות ב-Application Default Credentials‏ (ADC) עם פרטי כניסה של משתמשים נחשבות לאפליקציות של צד שלישי. פרטי הכניסה האלה תקפים רק למשך הסשן שהוגדר. כשפג תוקף הסשן הזה, יכול להיות שאפליקציות שמשתמשות ב-ADC יחזירו גם תשובה של שגיאה שקשורה לאימות מחדש. מפתחים יכולים להעניק לאפליקציה הרשאה מחדש על ידי הפעלת הפקודה gcloud auth application-default login כדי לקבל פרטי כניסה חדשים.

לתשומת ליבכם

אם אתם רוצים שחלק מהמשתמשים יתבקשו להיכנס לחשבון לעיתים קרובות יותר מאחרים, אתם יכולים להוסיף אותם ליחידות ארגוניות שונות. אחר כך, תוכלו להחיל עליהם אורכי סשן שונים. כך, משתמשים מסוימים לא יופרעו כדי להיכנס שוב לחשבון כשאין בכך צורך.

אם נדרש מפתח אבטחה, משתמשים שלא הגדירו מפתח כזה לא יכולים להשתמש במסוף או ב-Cloud SDK עד שהם מגדירים אותו. אחרי שיהיה להם מפתח אבטחה, הם יוכלו לעבור לשימוש בסיסמה במקום במפתח אבטחה, אם ירצו.

ספקי זהויות של צד שלישי

דרך המסוף – אם אתם דורשים מהמשתמשים לבצע אימות מחדש באמצעות הסיסמה שלהם, הם מופנים לספק הזהויות (IdP). יכול להיות שספק ה-IdP לא יבקש מהמשתמש להזין מחדש את הסיסמה כדי להתחיל סשן נוסף במסוף, אם כבר יש למשתמש סשן פעיל אצל ספק ה-IdP – כי הוא משתמש באפליקציה אחרת שגורמת לסשן להישאר פעיל.
אם משתמש צריך לבצע אימות מחדש באמצעות מפתח האבטחה, הוא יכול לעשות זאת בזמן השימוש במסוף. הם לא יופנו לספק הזהות.
עם Cloud SDK – אם נדרשת סיסמה לאימות מחדש, הפקודה gcloud auth login תדרוש מהמשתמש להריץ את הפקודה gcloud כדי לחדש את הסשן. ייפתח חלון דפדפן והמשתמש יועבר ל-IdP, שם יכול להיות שהוא יתבקש להזין פרטי כניסה אם אין סשן פעיל עם ה-IdP.

אם משתמש צריך לבצע אימות מחדש על ידי נגיעה במפתח האבטחה שלו, הוא יכול לעשות זאת ב-Cloud SDK. הם לא יופנו לספק הזהות.

הגדרת אורך הסשן לשירותי Google Cloud קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.