Đặt thời lượng phiên sử dụng đối với các dịch vụ của Google Cloud

Là quản trị viên, bạn có thể kiểm soát thời gian người dùng có thể truy cập vào bảng điều khiển Google Cloud và Cloud SDK mà không cần phải xác thực lại. Ví dụ: bạn có thể muốn những người dùng có đặc quyền nâng cao, chẳng hạn như chủ sở hữu dự án, quản trị viên thanh toán hoặc những người dùng khác có vai trò quản trị viên, xác thực lại thường xuyên hơn so với người dùng thông thường. Nếu bạn đặt thời lượng phiên, thì họ sẽ được nhắc đăng nhập lại để bắt đầu một phiên mới.

Chế độ cài đặt thời lượng phiên áp dụng cho:

Bảng điều khiển Google Cloud
Công cụ dòng lệnh gcloud (Cloud SDK)
Mọi ứng dụng (bao gồm cả ứng dụng của bên thứ ba hoặc ứng dụng của riêng bạn) yêu cầu người dùng uỷ quyền cho các phạm vi của Google Cloud. Để xem lại các ứng dụng yêu cầu phạm vi của Google Cloud trong giao diện người dùng Kiểm soát quyền truy cập của ứng dụng, hãy xem bài viết Kiểm soát những ứng dụng nội bộ và ứng dụng bên thứ ba nào truy cập vào dữ liệu trong Google Workspace.

Lưu ý: Chế độ cài đặt thời lượng phiên của Cloud không áp dụng cho ứng dụng di động của bảng điều khiển và có một số hạn chế trong bảng điều khiển. Bạn nên sử dụng tính năng này với tính năng kiểm soát phiên của Google. Tính năng này áp dụng thời lượng phiên cho tất cả các tài sản web của Google.

Đặt chính sách xác thực lại

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mậtQuyền truy cập và kiểm soát dữ liệuKiểm soát phiên Google Cloud.

Chuyển đến phần Kiểm soát phiên Google Cloud

Yêu cầu phải có đặc quyền quản trị viên Cài đặt bảo mật.
Ở bên trái, hãy chọn đơn vị tổ chức mà bạn muốn đặt thời lượng phiên.
Để áp dụng cho tất cả người dùng, hãy chọn đơn vị tổ chức cấp cao nhất. Ban đầu, một đơn vị tổ chức sẽ kế thừa chế độ cài đặt của đơn vị tổ chức mẹ.
Trong phần Chính sách xác thực lại, hãy chọn Yêu cầu xác thực lại rồi chọn Tần suất xác thực lại trong danh sách thả xuống.

Tần suất tối thiểu được phép là 1 giờ và tối đa là 24 giờ. Tần suất này không bao gồm thời gian người dùng không hoạt động trong phiên. Đây là thời gian cố định trôi qua trước khi người dùng cần đăng nhập lại.

Bạn cũng có thể đánh dấu vào hộp Miễn xác thực lại cho các ứng dụng đáng tin cậy để miễn xác thực lại cho các ứng dụng đáng tin cậy. (Các ứng dụng đáng tin cậy được đánh dấu là Đáng tin cậy trên trang Kiểm soát quyền truy cập của ứng dụng. Để biết thêm thông tin, hãy xem phần Chuẩn bị cho việc triển khai trên phạm vi rộng bên dưới. Xem thêm bài viết Kiểm soát những ứng dụng nội bộ và ứng dụng bên thứ ba nào truy cập vào dữ liệu trong Google Workspace.)
Trong phần Phương thức xác thực lại, hãy chọn Mật khẩu hoặc Khoá bảo mật để chỉ định cách người dùng cần xác thực lại.
Nếu bạn đang đặt Chính sách xác thực lại ở cấp đơn vị tổ chức, hãy nhấp vào nút Ghi đè ở dưới cùng bên phải để giữ nguyên chế độ cài đặt ngay cả khi chế độ cài đặt của đơn vị tổ chức mẹ thay đổi.
Nếu trạng thái của đơn vị tổ chức đã là Bị ghi đè, hãy chọn một mục:
- Kế thừa – Hủy bỏ để quay về chính chế độ cài đặt của đơn vị tổ chức mẹ.
- Lưu – Lưu chế độ cài đặt mới của bạn (ngay cả khi chế độ cài đặt của đơn vị tổ chức mẹ thay đổi).

Các thay đổi có thể mất đến 24 giờ nhưng thường diễn ra nhanh hơn. Tìm hiểu thêm

Chuẩn bị cho việc triển khai trên phạm vi rộng

Chính sách xác thực lại mà bạn định cấu hình ở đây áp dụng cho tất cả các ứng dụng của Google và bên thứ ba truy cập vào tài nguyên của Google Cloud bằng cách yêu cầu phạm vi của Google Cloud. Bạn nên kiểm tra kỹ cách chính sách hoạt động đối với từng ứng dụng trong một nhóm nhỏ người dùng (thêm những người dùng đó vào danh sách ứng dụng đáng tin cậy) trước khi chuyển sang triển khai trên phạm vi rộng hơn.

Để biết hướng dẫn về cách xem xét các ứng dụng mà tổ chức của bạn hiện đang sử dụng, hãy xem bài viết Kiểm soát những ứng dụng nội bộ và ứng dụng bên thứ ba nào truy cập vào dữ liệu trong Google Workspace. Hãy nhớ lọc các ứng dụng yêu cầu dịch vụ Google Cloud.

Khi thời lượng phiên đã định cấu hình hết hạn, ứng dụng sẽ yêu cầu người dùng xác thực lại để tiếp tục hoạt động. Điều này tương tự như trường hợp quản trị viên thu hồi mã làm mới cho ứng dụng đó.

Một số ứng dụng có thể không xử lý được trường hợp xác thực lại, gây ra lỗi ứng dụng hoặc dấu vết ngăn xếp khó hiểu. Một số ứng dụng khác được triển khai cho các trường hợp sử dụng từ máy chủ đến máy chủ bằng thông tin đăng nhập của người dùng thay vì thông tin đăng nhập của tài khoản dịch vụ được đề xuất. Trong trường hợp đó, không có người dùng nào để xác thực lại định kỳ.

Nếu bị ảnh hưởng bởi những trường hợp này, bạn có thể thêm các ứng dụng này vào danh sách đáng tin cậy, tạm thời miễn cho các ứng dụng này khỏi các ràng buộc về thời lượng phiên, đồng thời triển khai tính năng kiểm soát phiên cho tất cả các giao diện quản trị khác của Google Cloud. Thêm các ứng dụng vào danh sách Ứng dụng đáng tin cậy trong phần Kiểm soát quyền truy cập của ứng dụng, rồi đánh dấu vào hộp Miễn xác thực lại cho các ứng dụng đáng tin cậy trong chế độ cài đặt Kiểm soát phiên Cloud.

Khôi phục sau lỗi liên quan đến việc xác thực lại

Bạn có thể nhận được phản hồi lỗi liên quan đến việc xác thực lại từ các ứng dụng bên thứ ba sau khi phiên hết hạn. Để tiếp tục sử dụng các ứng dụng này, người dùng có thể đăng nhập lại vào ứng dụng để bắt đầu một phiên mới.

Các ứng dụng sử dụng Thông tin xác thực mặc định của ứng dụng (ADC) bằng thông tin đăng nhập của người dùng được coi là ứng dụng bên thứ ba. Những thông tin đăng nhập này chỉ hợp lệ trong thời lượng phiên đã định cấu hình. Khi phiên đó hết hạn, các ứng dụng sử dụng ADC cũng có thể trả về phản hồi lỗi liên quan đến việc xác thực lại. Nhà phát triển có thể uỷ quyền lại cho ứng dụng bằng cách chạy lệnh gcloud auth application-default login để lấy thông tin đăng nhập mới.

Lưu ý

Nếu bạn cần một số người dùng đăng nhập thường xuyên hơn những người dùng khác, hãy đặt họ vào các đơn vị tổ chức khác nhau. Sau đó, hãy áp dụng thời lượng phiên khác nhau cho họ. Bằng cách đó, một số người dùng sẽ không bị gián đoạn để đăng nhập lại khi không cần thiết.

Nếu bạn yêu cầu khoá bảo mật, thì những người dùng không có khoá bảo mật sẽ không thể sử dụng bảng điều khiển hoặc Cloud SDK cho đến khi họ thiết lập khoá bảo mật. Sau khi có khoá bảo mật, họ có thể chuyển sang sử dụng mật khẩu nếu muốn.

Nhà cung cấp danh tính bên thứ ba

Với bảng điều khiển—Nếu bạn yêu cầu người dùng xác thực lại bằng mật khẩu, họ sẽ được chuyển hướng đến nhà cung cấp danh tính (IdP). IdP có thể không yêu cầu người dùng nhập lại mật khẩu để bắt đầu một phiên bảng điều khiển khác, nếu người dùng đã có một phiên đang hoạt động với IdP – vì họ đang sử dụng một ứng dụng khác khiến phiên vẫn hoạt động.
Nếu phải xác thực lại bằng cách chạm vào khoá bảo mật, người dùng có thể thực hiện việc này trong khi sử dụng bảng điều khiển. Họ sẽ không được chuyển hướng đến IdP.
Với Cloud SDK—Nếu cần có mật khẩu để xác thực lại, gcloud sẽ yêu cầu người dùng thực thi lệnh gcloud auth login để gia hạn phiên. Lệnh này sẽ mở một cửa sổ trình duyệt và người dùng sẽ được đưa đến IdP. Tại đó, họ có thể được nhắc cung cấp thông tin đăng nhập nếu không có phiên nào đang hoạt động với IdP.

Nếu phải xác thực lại bằng cách chạm vào khoá bảo mật, người dùng có thể thực hiện việc này trên Cloud SDK. Họ sẽ không được chuyển hướng đến IdP.

Đặt thời lượng phiên sử dụng đối với các dịch vụ của Google Cloud Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.