Como administrador, você controla por quanto tempo diferentes usuários podem acessar o console do Google Cloud e o SDK Cloud sem precisar fazer a autenticação novamente. Por exemplo, talvez você queira que os usuários com mais privilégios, como proprietários de projetos, administradores de faturamento ou outros com funções de administrador, façam uma nova autenticação com mais frequência do que os outros usuários. Se você definir a duração da sessão, eles precisarão fazer login novamente para iniciar uma nova sessão.
A configuração de duração da sessão é válida para:
- O console do Google Cloud
- A ferramenta de linha de comando gcloud (SDK do Cloud)
- Todos os apps (inclusive os próprios ou de terceiros) que exigem autorização do usuário para os escopos do Google Cloud. Para ver os apps que exigem escopos do Google Cloud na interface do controle de acesso aos apps, consulte Controlar quais apps internos e de terceiros acessam os dados do Google Workspace.
Observação: a configuração de duração da sessão do Cloud não se aplica ao app para dispositivos móveis do console e tem limitações no console. Recomendamos que você use esse recurso com o controle de sessão do Google, que aplica uma duração de sessão a todas as propriedades da Web do Google.
Definir a política de reautenticação
-
No Admin Console do Google, acesse Menu
SegurançaControle de acesso e dadosControle de sessão do Google Cloud.Exige o privilégio de administrador Configurações de segurança.
- À esquerda, selecione a unidade organizacional em que você quer definir a duração da sessão.
Para todos os usuários, selecione a unidade organizacional de nível mais alto. Geralmente, as unidades organizacionais herdam as configurações da unidade mãe. - Em Política de reautenticação, selecione Exigir a reautenticação e escolha a Frequência de reautenticação na lista suspensa.
A duração mínima permitida é de uma hora, e a máxima é de 24 horas. A frequência não inclui o período de inatividade de um usuário na sessão. A duração é o tempo fixo que decorre antes que o usuário precise fazer login de novo.
Também é possível marcar a caixa Apps confiáveis isentos para que esses apps não sejam incluídos na nova autenticação. Os apps em que você confia são marcados como "Confiáveis" na página Controle de acesso de apps. Para mais detalhes, consulte Preparar o lançamento para todos os usuários abaixo. Consulte também Controlar quais apps internos e de terceiros acessam os dados do Google Workspace. - Em Método de reautenticação, selecione Senha ou Chave de segurança para especificar como o usuário precisa fazer a autenticação novamente.
- Se você estiver configurando a política de reautenticação na unidade organizacional, clique no botão Substituir no canto inferior direito para manter a configuração mesmo quando a configuração principal for alterada.
- Se o status da unidade organizacional já for Modificado, escolha uma destas opções:
- Herdar: reverte para a configuração mãe.
- Salvar: salva a nova configuração (mesmo se a configuração mestre for alterada).
Preparação para o lançamento geral
A política de reautenticação configurada aqui é válida para todos os apps do Google e de terceiros que acessam os recursos do Google Cloud exigindo o escopo desse produto. Recomendamos que você teste o funcionamento da política em cada app com um pequeno grupo de usuários. Para fazer isso, adicione essas pessoas à lista de apps confiáveis antes do lançamento para todos os usuários.
Para instruções sobre como revisar os apps usados atualmente pela sua organização, consulte Controlar quais apps internos e de terceiros acessam os dados do Google Workspace. Filtre os apps que exigem o serviço do Google Cloud.
Quando a duração de sessão configurada expira, o app exige a reautenticação do usuário. Isso também acontece quando um administrador revoga os tokens de atualização do app.
Em alguns apps, a reautenticação pode causar falhas ou stack traces. Outros apps são usados entre servidores com credenciais de usuário, em vez de usar a credencial de conta de serviço recomendada, e não têm um usuário para fazer a reautenticação periodicamente.
Se você tiver esses problemas, poderá criar uma lista de apps confiáveis, isentando esses apps temporariamente das limitações de duração de sessão, e implementar controles de sessão em todas as outras superfícies de administração do Google Cloud. Adicione os apps à lista de apps confiáveis em Controle de acesso aos apps e ative a caixa de seleção Apps confiáveis isentos na configuração Controle de sessão do Google Cloud.
Recuperar do erro relacionado à reautenticação
Você poderá receber uma resposta de erro relacionado à reautenticação de apps de terceiros após a expiração de uma sessão. Para retomar o uso desses apps, os usuários podem fazer login no app novamente e iniciar uma nova sessão.
Os apps que usam o Application Default Credentials (ADC) com credenciais de usuário são considerados de terceiros. Essas credenciais são válidas somente para a duração da sessão configurada. Quando essa sessão expirar, os apps que usam o ADC também poderão retornar uma resposta de erro relacionado à reautenticação. Os desenvolvedores podem autorizar o app novamente executando o comando gcloud auth application-default login para extrair novas credenciais.
Considerações
Quando e como os usuários fazem login
Se alguns usuários precisarem fazer login com mais frequência do que outros, separe-os em unidades organizacionais distintas. Depois, defina durações de sessão diferentes para eles. Dessa forma, usuários determinados não precisam ser interrompidos com a solicitação de um novo login.
Se você exige uma chave de segurança, os usuários só podem acessar o console e o SDK Cloud com uma chave configurada. Depois disso, eles podem passar a usar uma senha em vez da chave de segurança, se quiserem.
Provedores de identidade de terceiros
- No console: quando você exige que o usuário faça uma nova autenticação usando senha, ele é redirecionado para o provedor de identidade (IdP). Se o usuário já tem uma sessão ativa no IdP, talvez não precise digitar a senha para iniciar outra sessão do console. Isso acontece porque outro app que deixa a sessão permanecer ativa está sendo usado.
Se um usuário precisar fazer uma nova autenticação tocando na chave de segurança, ele poderá fazer isso no console. Neste caso, ele não é redirecionado para o IdP.
- No SDK do Cloud: se for necessária uma senha para fazer a reautenticação, o gcloud vai pedir que o usuário execute o comando gcloud auth login para renovar a sessão. Isso abre uma janela do navegador, e o usuário é direcionado para o IdP, que pode exigir credenciais, se não houver uma sessão ativa.
Se um usuário precisar se autenticar novamente tocando na chave de segurança, ele pode fazer isso no SDK do Cloud. Neste caso, ele não é redirecionado para o IdP.