Als beheerder kunt u bepalen hoe lang verschillende gebruikers toegang hebben tot de Google Cloud-console en de Cloud SDK zonder opnieuw te hoeven inloggen. U wilt bijvoorbeeld dat gebruikers met verhoogde bevoegdheden, zoals projecteigenaren, factureringsbeheerders of anderen met beheerdersrollen, vaker opnieuw inloggen dan gewone gebruikers. Als u een sessieduur instelt, worden ze gevraagd om opnieuw in te loggen om een nieuwe sessie te starten.
De instelling voor de sessieduur is van toepassing op:
- De Google Cloud-console
- De gcloud-opdrachtregeltool (Cloud SDK)
- Alle toepassingen (inclusief toepassingen van derden of uw eigen toepassingen) die gebruikersautorisatie vereisen voor Google Cloud-scopes . Zie 'Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens' voor een overzicht van de apps die Google Cloud-scopes vereisen in de gebruikersinterface voor toegangscontrole van apps.
Let op : de instelling voor de sessieduur in de cloud is niet van toepassing op de mobiele app van de console en kent beperkingen binnen de console. We raden aan deze functie te gebruiken in combinatie met Google-sessiebeheer , waarmee een sessieduur wordt ingesteld voor alle Google-webproperties.
Stel het herverificatiebeleid in.
Ga in de Google Admin-console naar Menu.
Beveiliging Toegangs- en gegevensbeheer Google Cloud-sessiebeheer .Hiervoor is beheerdersrechten voor de beveiligingsinstellingen vereist.
Aan de linkerkant selecteert u de organisatie-eenheid waar u de sessieduur wilt instellen.
Selecteer voor alle gebruikers de organisatie-eenheid op het hoogste niveau. Aanvankelijk erft een organisatie-eenheid de instellingen van de bovenliggende eenheid.
Selecteer onder 'Herauthenticatiebeleid' de optie 'Herauthenticatie vereisen ' en kies de herauthenticatiefrequentie uit de vervolgkeuzelijst.
De minimale inlogfrequentie is 1 uur en de maximale 24 uur. De frequentie houdt geen rekening met de tijd dat een gebruiker inactief is geweest tijdens de sessie. Het is de vaste tijd die verstrijkt voordat de gebruiker opnieuw moet inloggen.
U kunt ook het selectievakje 'Vertrouwde apps uitsluiten' aanvinken om vertrouwde apps uit te sluiten van herverificatie. (Vertrouwde apps worden gemarkeerd als 'Vertrouwd' op de pagina ' Toegangsbeheer voor apps' . Zie 'Voorbereiding op een brede uitrol' hieronder voor meer informatie. Zie ook ' Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens' .)
Selecteer bij 'Opnieuw authenticeren' de optie 'Wachtwoord' of 'Beveiligingssleutel' om aan te geven hoe de gebruiker zich opnieuw moet authenticeren.
Als u het herverificatiebeleid op organisatieniveau instelt, klikt u op de knop ' Overschrijven ' rechtsonder om de instelling te behouden, zelfs als de instelling op het bovenliggende niveau verandert.
Als de status van de organisatie-eenheid al 'Overridden' is, kies dan een optie:
- Overnemen — Keert terug naar dezelfde instelling als het bovenliggende element.
- Opslaan —Hiermee worden je nieuwe instellingen opgeslagen (zelfs als de bovenliggende instellingen wijzigen).
Voorbereiding op een brede uitrol
Het herverificatiebeleid dat u hier configureert, is van toepassing op alle Google-apps en apps van derden die toegang hebben tot Google Cloud-resources door de Google Cloud-scope te vereisen. We raden u aan om de werking van het beleid voor elke app zorgvuldig te testen met een kleine groep gebruikers. Voeg deze gebruikers toe aan de lijst met vertrouwde apps voordat u het beleid breder uitrolt.
Zie 'Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens' voor instructies over het controleren van de apps die momenteel door uw organisatie worden gebruikt. Zorg ervoor dat u filtert op apps die de Google Cloud- service vereisen.
Wanneer de ingestelde sessieduur is verlopen, vereist de applicatie dat de gebruiker zich opnieuw aanmeldt om verder te kunnen werken – vergelijkbaar met wat er zou gebeuren als een beheerder de vernieuwingstokens voor die applicatie zou intrekken.
Sommige applicaties verwerken het herauthenticatiescenario mogelijk niet correct, wat kan leiden tot verwarrende applicatiecrashes of foutmeldingen. Andere applicaties worden ingezet voor server-naar-servercommunicatie met gebruikersreferenties in plaats van de aanbevolen serviceaccountreferenties, waardoor er geen gebruiker is die periodiek opnieuw geauthenticeerd hoeft te worden.
Als u door deze scenario's wordt getroffen, kunt u deze apps toevoegen aan een lijst met vertrouwde apps. Hierdoor worden de apps tijdelijk vrijgesteld van de beperkingen voor de sessieduur, terwijl u sessiebeheer implementeert voor alle andere Google Cloud-beheerinterfaces. Voeg de apps toe aan de lijst met vertrouwde apps in Toegangsbeheer voor apps en schakel het selectievakje 'Vertrouwde apps vrijstellen' in de instellingen voor sessiebeheer in de cloud in.
Herstel van een fout die verband houdt met herauthenticatie.
Na het verlopen van een sessie kan een foutmelding met betrekking tot herauthenticatie van apps van derden worden weergegeven. Om deze apps weer te kunnen gebruiken, kunnen gebruikers zich opnieuw aanmelden bij de app om een nieuwe sessie te starten.
Apps die gebruikmaken van Application Default Credentials (ADC) met gebruikersreferenties worden beschouwd als apps van derden. Deze referenties zijn alleen geldig gedurende de geconfigureerde sessieduur. Wanneer die sessie verloopt, kunnen apps die ADC gebruiken ook een foutmelding met betrekking tot herauthenticatie retourneren. Ontwikkelaars kunnen de app opnieuw autoriseren door de opdracht ` gcloud auth application-default login uit te voeren om nieuwe referenties te verkrijgen.
Overwegingen
Wanneer en hoe gebruikers zich aanmelden
Als sommige gebruikers vaker moeten inloggen dan anderen, plaats ze dan in verschillende organisatie-eenheden. Pas vervolgens verschillende sessieduur toe op deze eenheden. Op die manier worden bepaalde gebruikers niet gestoord om opnieuw in te loggen wanneer dit niet nodig is.
Als u een beveiligingssleutel vereist, kunnen gebruikers zonder sleutel de console of de Cloud SDK niet gebruiken totdat ze deze hebben ingesteld. Zodra ze een beveiligingssleutel hebben, kunnen ze desgewenst overschakelen naar het gebruik van hun wachtwoord.
Identiteitsaanbieders van derden
- Met de console : als u wilt dat een gebruiker zich opnieuw aanmeldt met zijn wachtwoord, wordt hij doorgestuurd naar de identiteitsprovider (IdP). De IdP hoeft de gebruiker mogelijk niet te vragen zijn wachtwoord opnieuw in te voeren om een nieuwe consolesessie te starten, als de gebruiker al een actieve sessie met de IdP heeft, bijvoorbeeld omdat hij een andere applicatie gebruikt die ervoor heeft gezorgd dat de sessie actief is gebleven.
Als een gebruiker zich opnieuw moet authenticeren door zijn beveiligingssleutel aan te raken, kan dit via de console. De gebruiker wordt dan niet doorgestuurd naar de identiteitsprovider.
- Met de Cloud SDK : als een wachtwoord vereist is voor herverificatie, zal gcloud de gebruiker vragen om de opdracht ` gcloud auth login` uit te voeren om de sessie te vernieuwen. Dit opent een browservenster en de gebruiker wordt naar de identiteitsprovider (IdP) geleid, waar mogelijk om inloggegevens wordt gevraagd als er geen actieve sessie met de IdP is.
Als een gebruiker zich opnieuw moet authenticeren door zijn beveiligingssleutel aan te raken, kan hij dit doen via de Cloud SDK. Hij wordt dan niet doorgestuurd naar de identiteitsprovider.