Установите продолжительность сессии для сервисов Google Cloud. (original) (raw)

Как администратор, вы можете контролировать, как долго разные пользователи могут получать доступ к консоли Google Cloud и Cloud SDK без повторной аутентификации. Например, вы можете настроить так, чтобы пользователи с расширенными правами, такие как владельцы проектов, администраторы по выставлению счетов или другие пользователи с административными ролями, проходили повторную аутентификацию чаще, чем обычные пользователи. Если вы установите продолжительность сессии, им будет предложено снова войти в систему, чтобы начать новую сессию.

Параметр "Длительность сеанса" применяется к:

• Консоль Google Cloud
• Инструмент командной строки gcloud (Cloud SDK)
• Любые приложения (включая сторонние приложения или ваши собственные), требующие авторизации пользователя для доступа к данным Google Cloud . Чтобы просмотреть список приложений, требующих доступа к данным Google Cloud, в пользовательском интерфейсе управления доступом приложений, см. раздел «Управление доступом сторонних и внутренних приложений к данным Google Workspace» .

Примечание : Параметр «Длительность сессии в облаке» не применяется к мобильному приложению консоли и имеет ограничения внутри консоли. Мы рекомендуем использовать эту функцию с управлением сессиями Google , которое устанавливает длительность сессии для всех веб-ресурсов Google.

Настройте политику повторной аутентификации.

1. В консоли администратора Google перейдите в меню. Безопасность Контроль доступа и данных Управление сессиями Google Cloud .
   Для этого требуются права администратора в разделе «Параметры безопасности» .
2. Слева выберите организационное подразделение, для которого вы хотите установить продолжительность сессии.
   Для всех пользователей выберите организационное подразделение верхнего уровня. Изначально организационное подразделение наследует настройки родительского подразделения.
3. В разделе «Политика повторной аутентификации» выберите «Требовать повторную аутентификацию» и укажите частоту повторной аутентификации из выпадающего списка.
   Минимальная допустимая частота составляет 1 час, а максимальная — 24 часа. Частота не включает время, в течение которого пользователь был неактивен в течение сессии. Это фиксированное время, которое проходит до того, как пользователю потребуется снова войти в систему.
   Вы также можете установить флажок «Исключить доверенные приложения» , чтобы исключить доверенные приложения из повторной аутентификации. (Доверенные приложения отмечены как «Доверенные» на странице управления доступом к приложениям . Для получения более подробной информации см. раздел «Подготовка к широкому внедрению» ниже. См. также раздел «Управление доступом сторонних и внутренних приложений к данным Google Workspace» .)
4. В разделе «Метод повторной аутентификации» выберите «Пароль» или «Ключ безопасности» , чтобы указать, каким образом пользователю необходимо пройти повторную аутентификацию.
5. Если вы устанавливаете политику повторной аутентификации на уровне организационной единицы, нажмите кнопку « Переопределить» в правом нижнем углу, чтобы сохранить параметр без изменений, даже если изменится параметр родительского элемента.
6. Если статус организационной единицы уже установлен как «Переопределено» , выберите один из вариантов:
   • Наследование — Возвращает родительский элемент к тем же настройкам.
   • Сохранить — Сохраняет новые настройки (даже если изменились исходные настройки).

Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Подготовка к широкому внедрению

Настраиваемая здесь политика повторной аутентификации применяется ко всем приложениям Google и сторонних разработчиков, которые получают доступ к ресурсам Google Cloud, требуя использования области действия Google Cloud. Мы рекомендуем тщательно протестировать работу политики для каждого из приложений на небольшой группе пользователей, добавив этих пользователей в список доверенных приложений, прежде чем переходить к более широкому развертыванию.

Инструкции по проверке приложений, используемых в вашей организации, см. в разделе «Управление доступом сторонних и внутренних приложений к данным Google Workspace» . Убедитесь, что вы отфильтровали приложения, требующие использования сервиса Google Cloud .

По истечении заданного времени сессии приложение потребует от пользователя повторной аутентификации для продолжения работы — аналогично тому, что произошло бы, если бы администратор отозвал токены обновления для этого приложения.

Некоторые приложения могут некорректно обрабатывать сценарий повторной аутентификации, что приводит к непонятным сбоям или ошибкам трассировки стека. Другие приложения развертываются для сценариев взаимодействия между серверами с использованием учетных данных пользователя вместо рекомендуемых учетных данных служебной учетной записи, в этом случае нет пользователя, которого нужно периодически повторно аутентифицировать.

Если вас затрагивают эти сценарии, вы можете добавить эти приложения в список доверенных, временно исключив их из ограничений по продолжительности сеанса, одновременно настроив управление сеансами для всех остальных административных интерфейсов Google Cloud. Добавьте приложения в список доверенных приложений в разделе «Управление доступом к приложениям» и установите флажок «Исключить доверенные приложения» в настройках управления сеансами Cloud .

После истечения срока действия сессии вы можете получить сообщение об ошибке, связанное с повторной аутентификацией, от сторонних приложений. Чтобы возобновить использование этих приложений, пользователи могут снова войти в приложение и начать новую сессию.

Приложения, использующие учетные данные приложения по умолчанию (ADC) с пользовательскими учетными данными, считаются сторонними приложениями. Эти учетные данные действительны только в течение заданного времени сеанса. По истечении этого времени приложения, использующие ADC, могут также возвращать сообщение об ошибке, связанное с повторной авторизацией . Разработчики могут повторно авторизовать приложение, выполнив команду gcloud auth application-default login чтобы получить новые учетные данные.

Соображения

Когда и как пользователи входят в систему

Если некоторым пользователям необходимо входить в систему чаще, чем другим, разместите их в разных организационных подразделениях. Затем установите для них разную продолжительность сеансов. Таким образом, определенные пользователи не будут вынуждены повторно входить в систему, когда это не требуется.

Если требуется ключ безопасности, пользователи, у которых его нет, не смогут использовать консоль или Cloud SDK, пока не настроят его. После получения ключа безопасности они смогут при желании использовать свой пароль.

Сторонние поставщики идентификационных данных

• При использовании консоли — если пользователю требуется повторная аутентификация с использованием пароля, он перенаправляется к поставщику идентификационных данных (IdP). IdP может не требовать от пользователя повторного ввода пароля для начала новой сессии в консоли, если у пользователя уже есть активная сессия с IdP, поскольку он использует другое приложение, которое и поддерживает активность сессии.
  Если пользователю необходимо повторно пройти аутентификацию, коснувшись своего защитного ключа, он может сделать это во время работы с консолью. Перенаправление на IdP не потребуется.

• При использовании Cloud SDK — если для повторной аутентификации требуется пароль, gcloud потребует от пользователя выполнить команду gcloud auth login для обновления сессии. Это откроет окно браузера, и пользователь будет перенаправлен на IdP, где ему может быть предложено ввести учетные данные, если нет активной сессии с IdP.
  Если пользователю необходимо повторно пройти аутентификацию, прикоснувшись к своему ключу безопасности, он может сделать это в Cloud SDK. При этом его не будут перенаправлять на IdP.

• Установите продолжительность сессии для сервисов Google.

• Отслеживание действий администратора доступно в консоли администратора.