Establece la duración de la sesión para los servicios de Google Cloud

Como administrador, puedes controlar durante cuánto tiempo pueden acceder los diferentes usuarios a la consola de Google Cloud y al SDK de Cloud sin tener que volver a autenticarse. Por ejemplo, quizás quieras que los usuarios con privilegios elevados, como los propietarios del proyecto, los administradores de facturación u otros con roles de administrador, vuelvan a hacer la autenticación con más frecuencia que los usuarios normales. Si estableces una duración de sesión, se les solicitará que vuelvan a acceder para iniciar una nueva sesión.

El parámetro de duración de sesión se aplica a lo siguiente:

La consola de Google Cloud
La herramienta de línea de comandos de gcloud (SDK de Cloud)
Todas las aplicaciones (propias o de terceros) que requieran autorización del usuario para los permisos de Google Cloud. Para revisar las apps que requieren permisos de Google Cloud en la IU de control de acceso a apps, consulta Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.

Nota: El parámetro de configuración de duración de la sesión de Cloud no se aplica a la app para dispositivos móviles de la consola y tiene limitaciones dentro de la consola. Te recomendamos que uses esta función con el control de sesiones de Google, que aplica una duración de sesión a todas las propiedades web de Google.

Establece la política de reautenticación

En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosControl de sesiones de Google Cloud.

Ir al Control de sesiones de Google Cloud

Es necesario tener el privilegio de administrador de Configuración de seguridad.
A la izquierda, selecciona la unidad organizativa en la que quieres establecer la duración de las sesiones.
Para todos los usuarios, selecciona la unidad organizativa de nivel superior. Al principio, una unidad organizativa hereda la configuración de su unidad superior.
En Política de reautenticación, selecciona Requerir reautenticación y elige la Frecuencia de reautenticación en la lista desplegable.

La frecuencia mínima permitida es de 1 hora y la máxima es de 24 horas. La frecuencia no incluye el tiempo que un usuario estuvo inactivo en la sesión. Es el tiempo fijo que transcurre antes de que el usuario deba volver a acceder.

También puedes marcar la casilla Eximir aplicaciones de confianza para que no se solicite la reautenticación de las apps de confianza. (Las apps de confianza aparecen marcadas como Confiable en la página Control de acceso de apps. Para obtener más detalles, consulta Cómo prepararse para el lanzamiento amplio a continuación. Consulta también Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.
En Método de reautenticación, selecciona Contraseña o Llave de seguridad para especificar cómo el usuario debe reautenticarse.
Si configuras la política de Reautenticación a nivel de la unidad organizativa, haz clic en el botón Anular en la esquina inferior derecha para mantener la configuración, incluso si cambia la configuración principal.
Si el estado de la unidad organizativa ya está anulado, elige una opción:
- Heredar: Revierte la configuración al mismo ajuste que la configuración principal.
- Guardar: Guarda tu nueva configuración (incluso si cambia la configuración principal).

Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Preparativos para el lanzamiento general

La política de reautenticación que configures aquí se aplicará a todas las apps de Google y de terceros que accedan a los recursos de Google Cloud y requieran el permiso de Google Cloud. Te recomendamos que pruebes cuidadosamente cómo funciona la política para cada una de las apps con un pequeño conjunto de usuarios (agregando a esos usuarios a la lista de apps de confianza) antes de pasar a un lanzamiento más amplio.

Para obtener instrucciones sobre cómo revisar las apps que usa actualmente tu organización, consulta Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace. Asegúrate de filtrar las apps que requieren el servicio de Google Cloud.

Cuando se alcance la duración de sesión configurada, la aplicación le pedirá al usuario que vuelva a autenticarse para seguir funcionando, lo cual es análogo a lo que sucedería si un administrador revocara los tokens de actualización para esa aplicación.

Es posible que algunas aplicaciones no procesen la reautenticación de manera adecuada, lo que causa fallas confusas en las aplicaciones o seguimientos de pila. Algunas otras aplicaciones se implementan para casos de uso de servidor a servidor con credenciales del usuario en vez de las credenciales de cuenta de servicio recomendadas, de modo que no hay un usuario que realice la reautenticación periódicamente.

Si te ves afectado por estas situaciones, puedes agregar estas apps a una lista de confianza, lo que las exime temporalmente de las limitaciones de duración de sesión, a la vez que se implementan controles de sesión para las demás plataformas de administración de Google Cloud. Agrega las apps a la lista de Apps de confianza en Control de acceso de las apps y habilita la casilla de verificación Eximir apps de confianza en el parámetro de configuración Control de sesión en la nube.

Recuperación de errores relacionados con la reautenticación

Es posible que recibas una respuesta de error relacionado con la reautenticación de apps de terceros después de que venza una sesión. Para volver a usar estas apps, los usuarios pueden acceder a ellas de nuevo y comenzar una nueva sesión.

Las apps que usan credenciales predeterminadas de la aplicación (ADC) con credenciales de usuario se consideran apps de terceros. Estas credenciales solo son válidas para la duración de la sesión configurada. Cuando vence esa sesión, es posible que las apps que usan ADC también muestren una respuesta de error relacionado con la reautenticación. Los desarrolladores pueden volver a autorizar la app ejecutando el comando gcloud auth application-default login para obtener credenciales nuevas.

Consideraciones

Si necesitas que algunos usuarios accedan con más frecuencia que otros, colócalos en unidades organizativas diferentes. Luego, aplícales diferentes duraciones. De esa manera, a ciertos usuarios no se les pedirá que vuelvan a acceder cuando no sea necesario.

Si necesitas una llave de seguridad, los usuarios que no tengan una no podrán usar la consola ni el SDK de Cloud hasta que la configuren. Una vez que tengan una llave de seguridad, pueden cambiar a usar su contraseña si lo desean.

Proveedores de identidad de terceros

Con la consola: Si necesitas que un usuario se vuelva a autenticar con su contraseña, se lo redirecciona al proveedor de identidad (IdP). Es posible que el IdP no requiera que el usuario vuelva a ingresar su contraseña para iniciar otra sesión de la consola si el usuario ya tiene una sesión activa con el IdP, ya que está usando otra aplicación que hizo que la sesión permaneciera activa.
Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo mientras usa la consola. No se redireccionará al usuario al IdP.
Con el SDK de Cloud: Si se requiere una contraseña para volver a autenticarse, gcloud le pedirá al usuario que ejecute el comando gcloud auth login para renovar la sesión. Se abrirá una ventana del navegador y se redireccionará al usuario al IdP, donde es posible que se le soliciten credenciales si no hay una sesión activa con el IdP.

Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo en el SDK de Cloud. No se redireccionará al usuario al IdP.

Establece la duración de la sesión para los servicios de Google Cloud Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.