این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

تنظیم طول جلسه برای سرویس‌های ابری گوگل

به عنوان مدیر، می‌توانید مدت زمان دسترسی کاربران مختلف به کنسول Google Cloud و Cloud SDK را بدون نیاز به احراز هویت مجدد کنترل کنید. به عنوان مثال، ممکن است بخواهید کاربرانی که دارای امتیازات بالاتری هستند، مانند صاحبان پروژه، مدیران صورتحساب یا سایر افراد با نقش‌های مدیریتی، بیشتر از کاربران معمولی احراز هویت مجدد کنند. اگر مدت زمان جلسه را تعیین کنید، از آنها خواسته می‌شود برای شروع یک جلسه جدید دوباره وارد سیستم شوند.

تنظیم طول جلسه برای موارد زیر اعمال می‌شود:

کنسول گوگل کلود
ابزار خط فرمان gcloud (Cloud SDK)
هر برنامه‌ای (از جمله برنامه‌های شخص ثالث یا برنامه‌های خودتان) که برای دسترسی به محدوده‌های Google Cloud به مجوز کاربر نیاز دارد. برای بررسی برنامه‌هایی که به محدوده‌های Google Cloud نیاز دارند، در رابط کاربری کنترل دسترسی برنامه‌ها، به بخش «کنترل دسترسی برنامه‌های شخص ثالث و داخلی به داده‌های Google Workspace» مراجعه کنید.

توجه : تنظیم طول جلسه ابری برای برنامه موبایل کنسول اعمال نمی‌شود و محدودیت‌هایی در داخل کنسول دارد. توصیه می‌کنیم از این ویژگی با کنترل جلسه گوگل استفاده کنید که طول جلسه را برای همه ویژگی‌های وب گوگل اعمال می‌کند.

تنظیم سیاست احراز هویت مجدد

در کنسول مدیریت گوگل، به منو بروید امنیت کنترل دسترسی و داده‌ها کنترل جلسه گوگل کلود .
به کنترل جلسه Google Cloud بروید
نیاز به داشتن امتیاز مدیر تنظیمات امنیتی دارد.
در سمت چپ، واحد سازمانی مورد نظر برای تنظیم طول جلسه را انتخاب کنید.
برای همه کاربران، واحد سازمانی سطح بالا را انتخاب کنید. در ابتدا، یک واحد سازمانی تنظیمات والد خود را به ارث می‌برد.
در بخش «سیاست احراز هویت مجدد» ، گزینه «نیاز به احراز هویت مجدد» را انتخاب کنید و تعداد دفعات احراز هویت مجدد را از فهرست کشویی انتخاب کنید.

حداقل زمان مجاز برای ورود مجدد ۱ ساعت و حداکثر ۲۴ ساعت است. این زمان شامل مدت زمانی که کاربر در جلسه غیرفعال بوده است، نمی‌شود. این زمان، زمان ثابتی است که قبل از نیاز کاربر به ورود مجدد، سپری می‌شود.

همچنین می‌توانید کادر «معاف‌سازی برنامه‌های قابل اعتماد» را علامت بزنید تا برنامه‌های قابل اعتماد از احراز هویت مجدد معاف شوند. (برنامه‌های قابل اعتماد در صفحه کنترل دسترسی برنامه به عنوان «معتبر» علامت‌گذاری شده‌اند. برای جزئیات بیشتر، به «آماده‌سازی برای انتشار گسترده» در زیر مراجعه کنید. همچنین به «کنترل دسترسی برنامه‌های شخص ثالث و داخلی به داده‌های Google Workspace» مراجعه کنید.)
در قسمت روش احراز هویت مجدد ، رمز عبور یا کلید امنیتی را انتخاب کنید تا نحوه احراز هویت مجدد کاربر مشخص شود.
اگر سیاست احراز هویت مجدد را در سطح واحد سازمانی تنظیم می‌کنید، روی دکمه‌ی لغو (Override) در پایین سمت راست کلیک کنید تا تنظیمات حتی در صورت تغییر تنظیمات والد، ثابت بمانند.
اگر وضعیت واحد سازمانی از قبل لغو شده است، یکی از گزینه‌ها را انتخاب کنید:
- ارث‌بری - به همان تنظیمات والد خود برمی‌گردد.
- ذخیره —تنظیمات جدید شما را ذخیره می‌کند (حتی اگر تنظیمات والد تغییر کند).

تغییرات می‌توانند تا ۲۴ ساعت طول بکشند اما معمولاً سریع‌تر اتفاق می‌افتند. اطلاعات بیشتر

آماده شدن برای عرضه گسترده

سیاست احراز هویت مجددی که در اینجا پیکربندی می‌کنید، برای همه برنامه‌های گوگل و شخص ثالثی که با الزام به محدوده گوگل کلود به منابع گوگل کلود دسترسی دارند، اعمال می‌شود. توصیه می‌کنیم قبل از اقدام به انتشار گسترده‌تر، نحوه عملکرد این سیاست را برای هر یک از برنامه‌ها با گروه کوچکی از کاربران به دقت آزمایش کنید - و آن کاربران را به لیست برنامه‌های مورد اعتماد اضافه کنید.

برای دستورالعمل‌های مربوط به بررسی برنامه‌هایی که در حال حاضر توسط سازمان شما استفاده می‌شوند، به بخش «کنترل دسترسی برنامه‌های شخص ثالث و داخلی به داده‌های Google Workspace» مراجعه کنید. مطمئن شوید که برنامه‌هایی را که به سرویس Google Cloud نیاز دارند، فیلتر کرده‌اید.

وقتی مدت زمان نشست پیکربندی‌شده منقضی شود، برنامه برای ادامه‌ی عملیات از کاربر می‌خواهد که دوباره احراز هویت کند—مشابه اتفاقی که می‌افتد اگر یک مدیر، توکن‌های به‌روزرسانی را برای آن برنامه لغو کند.

برخی از برنامه‌ها ممکن است سناریوی احراز هویت مجدد را به درستی مدیریت نکنند و باعث خرابی‌های گیج‌کننده‌ی برنامه یا ردیابی پشته شوند. برخی دیگر از برنامه‌ها برای موارد استفاده‌ی سرور به سرور با اعتبارنامه‌های کاربر به جای اعتبارنامه‌ی حساب سرویس توصیه‌شده مستقر می‌شوند، که در این صورت کاربری برای احراز هویت مجدد دوره‌ای وجود ندارد.

اگر تحت تأثیر این سناریوها قرار گرفتید، می‌توانید این برنامه‌ها را به یک لیست قابل اعتماد اضافه کنید و به طور موقت برنامه‌ها را از محدودیت‌های طول جلسه معاف کنید، در حالی که کنترل‌های جلسه را برای سایر سطوح مدیریت Google Cloud پیاده‌سازی می‌کنید. برنامه‌ها را به لیست برنامه‌های قابل اعتماد در کنترل دسترسی برنامه‌ها اضافه کنید و کادر انتخاب Exempt trusted apps را در تنظیم کنترل جلسه Cloud فعال کنید.

بازیابی از خطای مربوط به احراز هویت مجدد

ممکن است پس از انقضای یک جلسه، از برنامه‌های شخص ثالث خطایی مربوط به احراز هویت مجدد دریافت کنید. برای از سرگیری استفاده از این برنامه‌ها، کاربران می‌توانند دوباره وارد برنامه شوند تا یک جلسه جدید را شروع کنند.

برنامه‌هایی که از اعتبارنامه‌های پیش‌فرض برنامه (ADC) با اعتبارنامه‌های کاربر استفاده می‌کنند، برنامه‌های شخص ثالث در نظر گرفته می‌شوند. این اعتبارنامه‌ها فقط برای مدت زمان جلسه پیکربندی شده معتبر هستند. هنگامی که آن جلسه منقضی می‌شود، برنامه‌هایی که از ADC استفاده می‌کنند نیز ممکن است پاسخ خطای مربوط به احراز هویت را برگردانند. توسعه‌دهندگان می‌توانند با اجرای دستور gcloud auth application-default login برای دریافت اعتبارنامه‌های جدید، برنامه را مجدداً مجاز کنند.

ملاحظات

اگر لازم است که برخی از کاربران بیشتر از سایرین وارد سیستم شوند، آنها را در واحدهای سازمانی مختلف قرار دهید. سپس، مدت زمان‌های مختلف جلسه را برای آنها اعمال کنید. به این ترتیب، ورود مجدد برخی از کاربران در مواقع غیرضروری قطع نمی‌شود.

اگر به کلید امنیتی نیاز دارید، کاربرانی که آن را ندارند، تا زمانی که آن را تنظیم نکنند، نمی‌توانند از کنسول یا Cloud SDK استفاده کنند. پس از دریافت کلید امنیتی، در صورت تمایل می‌توانند به جای آن از رمز عبور خود استفاده کنند.

ارائه دهندگان هویت شخص ثالث

با کنسول — اگر از کاربر بخواهید با استفاده از رمز عبور خود دوباره احراز هویت کند، او به ارائه دهنده هویت (IdP) هدایت می‌شود. اگر کاربر از قبل یک جلسه فعال با IdP داشته باشد، IdP ممکن است از کاربر نخواهد که رمز عبور خود را برای شروع یک جلسه کنسول دیگر دوباره وارد کند، زیرا او از برنامه دیگری استفاده می‌کند که باعث فعال ماندن جلسه شده است.
اگر کاربری نیاز به تأیید مجدد هویت با لمس کلید امنیتی خود داشته باشد، می‌تواند این کار را هنگام استفاده از کنسول انجام دهد. در این صورت به IdP هدایت نخواهد شد.
با Cloud SDK — اگر برای احراز هویت مجدد به رمز عبور نیاز باشد، gcloud از کاربر می‌خواهد که دستور gcloud auth login را برای تمدید جلسه اجرا کند. این کار یک پنجره مرورگر را نمایش می‌دهد و کاربر به IdP هدایت می‌شود، جایی که اگر هیچ جلسه فعالی با IdP وجود نداشته باشد، ممکن است از او درخواست اطلاعات کاربری شود.

اگر کاربری نیاز به احراز هویت مجدد با لمس کلید امنیتی خود داشته باشد، می‌تواند این کار را در Cloud SDK انجام دهد. او به IdP هدایت نخواهد شد.

تنظیم طول جلسه برای سرویس‌های ابری گوگل با مجموعه‌ها، منظم بمانید ذخیره و طبقه‌بندی محتوا براساس اولویت‌های شما.