Как администратор, вы можете контролировать, как долго разные пользователи могут получать доступ к консоли Google Cloud и Cloud SDK без повторной аутентификации. Например, вы можете настроить так, чтобы пользователи с расширенными правами, такие как владельцы проектов, администраторы по выставлению счетов или другие пользователи с административными ролями, проходили повторную аутентификацию чаще, чем обычные пользователи. Если вы установите продолжительность сессии, им будет предложено снова войти в систему, чтобы начать новую сессию.
Параметр "Длительность сеанса" применяется к:
- Консоль Google Cloud
- Инструмент командной строки gcloud (Cloud SDK)
- Любые приложения (включая сторонние приложения или ваши собственные), требующие авторизации пользователя для доступа к данным Google Cloud . Чтобы просмотреть список приложений, требующих доступа к данным Google Cloud, в пользовательском интерфейсе управления доступом приложений, см. раздел «Управление доступом сторонних и внутренних приложений к данным Google Workspace» .
Примечание : Параметр «Длительность сессии в облаке» не применяется к мобильному приложению консоли и имеет ограничения внутри консоли. Мы рекомендуем использовать эту функцию с управлением сессиями Google , которое устанавливает длительность сессии для всех веб-ресурсов Google.
Настройте политику повторной аутентификации.
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Управление сессиями Google Cloud .Для этого требуются права администратора в разделе «Параметры безопасности» .
- Слева выберите организационное подразделение, для которого вы хотите установить продолжительность сессии.
Для всех пользователей выберите организационное подразделение верхнего уровня. Изначально организационное подразделение наследует настройки родительского подразделения. - В разделе «Политика повторной аутентификации» выберите «Требовать повторную аутентификацию» и укажите частоту повторной аутентификации из выпадающего списка.
Минимальная допустимая частота составляет 1 час, а максимальная — 24 часа. Частота не включает время, в течение которого пользователь был неактивен в течение сессии. Это фиксированное время, которое проходит до того, как пользователю потребуется снова войти в систему.
Вы также можете установить флажок «Исключить доверенные приложения» , чтобы исключить доверенные приложения из повторной аутентификации. (Доверенные приложения отмечены как «Доверенные» на странице управления доступом к приложениям . Для получения более подробной информации см. раздел «Подготовка к широкому внедрению» ниже. См. также раздел «Управление доступом сторонних и внутренних приложений к данным Google Workspace» .) - В разделе «Метод повторной аутентификации» выберите «Пароль» или «Ключ безопасности» , чтобы указать, каким образом пользователю необходимо пройти повторную аутентификацию.
- Если вы устанавливаете политику повторной аутентификации на уровне организационной единицы, нажмите кнопку « Переопределить» в правом нижнем углу, чтобы сохранить параметр без изменений, даже если изменится параметр родительского элемента.
- Если статус организационной единицы уже установлен как «Переопределено» , выберите один из вариантов:
- Наследование — Возвращает родительский элемент к тем же настройкам.
- Сохранить — Сохраняет новые настройки (даже если изменились исходные настройки).
Подготовка к широкому внедрению
Настраиваемая здесь политика повторной аутентификации применяется ко всем приложениям Google и сторонних разработчиков, которые получают доступ к ресурсам Google Cloud, требуя использования области действия Google Cloud. Мы рекомендуем тщательно протестировать работу политики для каждого из приложений на небольшой группе пользователей, добавив этих пользователей в список доверенных приложений, прежде чем переходить к более широкому развертыванию.
Инструкции по проверке приложений, используемых в вашей организации, см. в разделе «Управление доступом сторонних и внутренних приложений к данным Google Workspace» . Убедитесь, что вы отфильтровали приложения, требующие использования сервиса Google Cloud .
По истечении заданного времени сессии приложение потребует от пользователя повторной аутентификации для продолжения работы — аналогично тому, что произошло бы, если бы администратор отозвал токены обновления для этого приложения.
Некоторые приложения могут некорректно обрабатывать сценарий повторной аутентификации, что приводит к непонятным сбоям или ошибкам трассировки стека. Другие приложения развертываются для сценариев взаимодействия между серверами с использованием учетных данных пользователя вместо рекомендуемых учетных данных служебной учетной записи, в этом случае нет пользователя, которого нужно периодически повторно аутентифицировать.
Если вас затрагивают эти сценарии, вы можете добавить эти приложения в список доверенных, временно исключив их из ограничений по продолжительности сеанса, одновременно настроив управление сеансами для всех остальных административных интерфейсов Google Cloud. Добавьте приложения в список доверенных приложений в разделе «Управление доступом к приложениям» и установите флажок «Исключить доверенные приложения» в настройках управления сеансами Cloud .
Восстановление после ошибки, связанной с повторной аутентификацией.
После истечения срока действия сессии вы можете получить сообщение об ошибке, связанное с повторной аутентификацией, от сторонних приложений. Чтобы возобновить использование этих приложений, пользователи могут снова войти в приложение и начать новую сессию.
Приложения, использующие учетные данные приложения по умолчанию (ADC) с пользовательскими учетными данными, считаются сторонними приложениями. Эти учетные данные действительны только в течение заданного времени сеанса. По истечении этого времени приложения, использующие ADC, могут также возвращать сообщение об ошибке, связанное с повторной авторизацией . Разработчики могут повторно авторизовать приложение, выполнив команду gcloud auth application-default login чтобы получить новые учетные данные.
Соображения
Когда и как пользователи входят в систему
Если некоторым пользователям необходимо входить в систему чаще, чем другим, разместите их в разных организационных подразделениях. Затем установите для них разную продолжительность сеансов. Таким образом, определенные пользователи не будут вынуждены повторно входить в систему, когда это не требуется.
Если требуется ключ безопасности, пользователи, у которых его нет, не смогут использовать консоль или Cloud SDK, пока не настроят его. После получения ключа безопасности они смогут при желании использовать свой пароль.
Сторонние поставщики идентификационных данных
- При использовании консоли — если пользователю требуется повторная аутентификация с использованием пароля, он перенаправляется к поставщику идентификационных данных (IdP). IdP может не требовать от пользователя повторного ввода пароля для начала новой сессии в консоли, если у пользователя уже есть активная сессия с IdP, поскольку он использует другое приложение, которое и поддерживает активность сессии.
Если пользователю необходимо повторно пройти аутентификацию, коснувшись своего защитного ключа, он может сделать это во время работы с консолью. Перенаправление на IdP не потребуется.
- При использовании Cloud SDK — если для повторной аутентификации требуется пароль, gcloud потребует от пользователя выполнить команду gcloud auth login для обновления сессии. Это откроет окно браузера, и пользователь будет перенаправлен на IdP, где ему может быть предложено ввести учетные данные, если нет активной сессии с IdP.
Если пользователю необходимо повторно пройти аутентификацию, прикоснувшись к своему ключу безопасности, он может сделать это в Cloud SDK. При этом его не будут перенаправлять на IdP.