הגדרת אורך הסשן לשירותי Google Cloud

אדמינים יכולים לקבוע כמה זמן יכולים משתמשים שונים לגשת למסוף Google Cloud ול-Cloud SDK בלי שיידרשו לבצע אימות מחדש. לדוגמה, יכול להיות שתרצו שמשתמשים עם הרשאות מורחבות, כמו בעלי פרויקטים, אדמינים לחיוב או משתמשים אחרים עם תפקידי אדמין, יאמתו מחדש לעתים קרובות יותר מאשר משתמשים רגילים. אם הגדרתם את אורך הסשן, המשתמשים יתבקשו להיכנס שוב לחשבון כדי להתחיל סשן חדש.

ההגדרה של משך הסשן חלה על:

מסוף Google Cloud
כלי שורת הפקודה gcloud (Cloud SDK)
כל האפליקציות (כולל אפליקציות של צד שלישי או אפליקציות שלכם) שנדרש בהן אישור משתמש להיקפי הרשאות של Google Cloud. כדי לבדוק אילו אפליקציות דורשות היקפי הרשאות של Google Cloud בממשק המשתמש של 'הבקרה על גישת אפליקציות לנתונים', אפשר לעיין במאמר קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace.

הערה: ההגדרה של משך הסשן ב-Cloud לא חלה על אפליקציית המסוף לנייד, ויש לה מגבלות במסוף. מומלץ להשתמש בתכונה הזו עם הגדרות לבקרה על סשנים ב-Google, שקובעות את אורך הסשן בכל נכסי האינטרנט של Google.

הגדרת מדיניות האימות מחדש

במסוף Google Admin, נכנסים לתפריט אבטחהשליטה בגישה ובנתוניםבקרת סשנים ב-Google Cloud.

אל בקרת סשנים ב-Google Cloud

כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.
בצד ימין, בוחרים את היחידה הארגונית שרוצים להגדיר בה את אורך הסשן.
אם רוצים להגדיר לכל המשתמשים, בוחרים את היחידה הארגונית שברמה העליונה. בהתחלה, יחידה ארגונית יורשת את ההגדרות של היחידה הארגונית שברמה העליונה.
בקטע מדיניות אימות מחדש, בוחרים באפשרות נדרש אימות מחדש ובוחרים את תדירות האימות מחדש מהרשימה הנפתחת.

התדירות המינימלית המותרת היא שעה אחת, והתדירות המקסימלית היא 24 שעות. התדירות לא כוללת את משך הזמן שבו המשתמש לא היה פעיל בסשן. זהו פרק הזמן הקבוע שחולף לפני שהמשתמש צריך להיכנס שוב לחשבון.

אפשר גם לסמן את התיבה אפליקציות מהימנות שפטורות מאימות מחדש כדי שאפליקציות מהימנות לא ידרשו אימות מחדש. (אפליקציות מהימנות מסומנות כ'מהימנות' בדף בקרת הגישה לאפליקציות. פרטים נוספים זמינים בקטע הכנה להשקה רחבה בהמשך המאמר. אפשר גם לעיין במאמר קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace).
בקטע שיטת אימות מחדש, בוחרים באפשרות סיסמה או מפתח אבטחה כדי לציין איך המשתמש צריך לבצע אימות מחדש.
אם מגדירים את מדיניות האימות מחדש ברמת היחידה הארגונית, לוחצים על הלחצן שינוי מברירת המחדל בפינה השמאלית התחתונה כדי שההגדרה תישאר כמו שהיא גם אם ההגדרה הראשית משתנה.
אם הסטטוס של היחידה הארגונית הוא כבר בוטלה, בוחרים אחת מהאפשרויות האלה:
- קבלה בירושה: חזרה לערך של ההגדרה הראשית.
- שמירה: שמירת ההגדרה החדשה (גם אם ההגדרה הראשית משתנה).

יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

הכנות להשקה רחבה

מדיניות האימות מחדש שאתם מגדירים כאן חלה על כל האפליקציות של Google ושל צד שלישי שיש להן גישה למשאבי Google Cloud, כי הן דורשות את היקף ההרשאות של Google Cloud. מומלץ לבדוק בקפידה איך המדיניות פועלת בכל אחת מהאפליקציות עם קבוצה קטנה של משתמשים – להוסיף את המשתמשים האלה לרשימת האפליקציות המהימנות, לפני שמתקדמים להשקה רחבה יותר.

הוראות לבדיקת האפליקציות שבהן משתמשים כרגע בארגון מופיעות במאמר קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים ב-Google Workspace. חשוב לוודא שסיננתם את האפליקציות שדורשות את השירות Google Cloud.

כשתוקף הסשן שהוגדר יפוג, האפליקציה תדרוש מהמשתמש לבצע אימות מחדש כדי להמשיך להשתמש בה – בדומה למה שקורה אם אדמין מבטל את טוקני הרענון של האפליקציה.

יכול להיות שחלק מהאפליקציות לא יטפלו בצורה חלקה בתרחיש של אימות מחדש, מה שיגרום לקריסות מבלבלות של האפליקציות או למעקב אחר מחסנית (stack trace). יש אפליקציות אחרות שנפרסות לתרחישי שימוש של שרת לשרת עם פרטי כניסה של משתמשים במקום פרטי הכניסה המומלצים של חשבון שירות. במקרה כזה, אין משתמש שאפשר לבצע לו אימות מחדש באופן תקופתי.

אם אתם מושפעים מהתרחישים האלה, אתם יכולים להוסיף את האפליקציות האלה לרשימת אפליקציות מהימנות, וכך להחריג אותן באופן זמני ממגבלות אורך הסשן, תוך הטמעת אמצעי בקרה על סשנים בכל ממשקי האדמין האחרים של Google Cloud. מוסיפים את האפליקציות לרשימת האפליקציות המהימנות בבקרת הגישה לאפליקציות,ומסמנים את התיבה 'החרגת אפליקציות מהימנות' בהגדרה בקרת סשן בענן.

שחזור משגיאה שקשורה לאימות מחדש

יכול להיות שתקבלו תגובה עם שגיאה שקשורה לאימות מחדש מאפליקציות של צד שלישי אחרי שפג תוקף של סשן. כדי להמשיך להשתמש באפליקציות האלה, המשתמשים יכולים להיכנס שוב לאפליקציה כדי להתחיל סשן חדש.

אפליקציות שמשתמשות ב-Application Default Credentials‏ (ADC) עם פרטי כניסה של משתמשים נחשבות לאפליקציות של צד שלישי. פרטי הכניסה האלה תקפים רק למשך הסשן שהוגדר. כשפג תוקף הסשן הזה, יכול להיות שאפליקציות שמשתמשות ב-ADC יחזירו גם תשובה של שגיאה שקשורה לאימות מחדש. מפתחים יכולים להריץ את הפקודה gcloud auth application-default login כדי לקבל פרטי כניסה חדשים ולאשר מחדש את האפליקציה.

שיקולים

אם אתם רוצים שחלק מהמשתמשים יתבקשו להיכנס לחשבון בתדירות גבוהה יותר מאחרים, אתם יכולים להוסיף אותם ליחידות ארגוניות שונות. אחר כך, תוכלו להחיל עליהם אורכי סשן שונים. כך, משתמשים מסוימים לא יופרעו כדי להיכנס שוב לחשבון כשאין בכך צורך.

אם אתם דורשים מפתח אבטחה, משתמשים שאין להם מפתח כזה לא יכולים להשתמש במסוף או ב-Cloud SDK עד שהם מגדירים אותו. אחרי שיהיה להם מפתח אבטחה, הם יוכלו לעבור לשימוש בסיסמה במקום במפתח האבטחה, אם ירצו.

ספקי זהויות של צד שלישי

דרך מסוף הניהול – אם אתם דורשים מהמשתמשים לבצע אימות מחדש באמצעות הסיסמה שלהם, הם מופנים לספק הזהויות (IdP). יכול להיות שספק ה-IdP לא יבקש מהמשתמש להזין מחדש את הסיסמה כדי להתחיל סשן נוסף במסוף, אם כבר יש למשתמש סשן פעיל אצל ספק ה-IdP – כי הוא משתמש באפליקציה אחרת שגורמת לסשן להישאר פעיל.
אם משתמש צריך לבצע אימות מחדש באמצעות מפתח האבטחה, הוא יכול לעשות זאת בזמן השימוש במסוף. הם לא יופנו לספק הזהות.
עם Cloud SDK – אם נדרשת סיסמה לאימות מחדש, הפקודה gcloud auth login תדרוש מהמשתמש להפעיל את gcloud כדי לחדש את הסשן. ייפתח חלון דפדפן והמשתמש יועבר לספק הזהויות, שם יכול להיות שהוא יתבקש להזין פרטי כניסה אם אין סשן פעיל עם ספק הזהויות.

אם משתמש צריך לבצע אימות מחדש על ידי נגיעה במפתח האבטחה שלו, הוא יכול לעשות זאת ב-Cloud SDK. הם לא יופנו לספק הזהות.

הגדרת אורך הסשן לשירותי Google Cloud קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.