Configurazione di un criterio relativo alla sicurezza delle credenziali

Un principio chiave di Chrome Enterprise Premium è "L'accesso ai servizi viene concesso in base a ciò che sappiamo su di te e sul tuo dispositivo". Il livello di accesso concesso a un singolo utente o a un singolo dispositivo viene dedotto dinamicamente interrogando più origini dati. Questo livello di fiducia può quindi essere utilizzato come parte del processo decisionale.

Un elemento chiave del processo di valutazione dell'affidabilità è la forza delle credenziali di accesso dell'utente, dove l'accesso a tipi specifici di applicazioni è determinato dal modo in cui l'utente si è autenticato nel sistema. Ad esempio, gli utenti che hanno eseguito l'accesso con una sola password possono accedere solo alle applicazioni che non contengono informazioni sensibili, mentre un utente che esegue l'accesso con un token di sicurezza hardware come secondo fattore può accedere alle applicazioni aziendali più sensibili.

I criteri basati sulla sicurezza delle credenziali sono una funzionalità che consente a un'azienda di abilitare controlli dell'accesso in base all'efficacia delle credenziali utilizzate durante il processo di autenticazione. Sfruttando la sicurezza delle credenziali come altra condizione nei criteri di controllo dell'accesso dell'accesso, le aziende possono applicare i controlli dell'accesso in base all'uso di token di sicurezza hardware, alla verifica in due passaggi o ad altre forme di credenziali efficaci.

Panoramica dei criteri di sicurezza delle credenziali

Gestore contesto accesso consente agli amministratori di organizzazioni Google Cloud di definire un controllo dell'accesso granulare e basato sugli attributi per progetti e risorse in Google Cloud.

I livelli di accesso vengono utilizzati per consentire l'accesso alle risorse in base a informazioni contestuali relative alla richiesta. Usando i livelli di accesso puoi iniziare a organizzare i livelli di attendibilità. Ad esempio, puoi creare un livello di accesso chiamato "Alto livello" che consentirà le richieste da parte di un piccolo gruppo di persone con privilegi elevati. Potresti anche identificare un gruppo più generico attendibile, ad esempio un intervallo IP da cui vuoi consentire le richieste. In questo caso, potresti creare un livello di accesso denominato Medium_Level per consentire queste richieste.

Gestore contesto accesso offre due modi per definire i livelli di accesso: di base e personalizzato. Il controllo della sicurezza delle credenziali attualmente utilizza livelli di accesso personalizzati. Le informazioni sulla sicurezza delle credenziali utilizzate durante l'autenticazione utente vengono acquisite durante il processo di accesso a Google. Queste informazioni vengono acquisite e archiviate nel servizio di archiviazione delle sessioni di Google.

Il controllo della sicurezza delle credenziali è attualmente supportato per Identity-Aware Proxy, Identity-Aware Proxy per TCP e Google Workspace.

Configurazione dei criteri per la sicurezza delle credenziali

Puoi utilizzare una definizione di livello di accesso personalizzato di Gestore contesto accesso per impostare i criteri appropriati. I livelli di accesso personalizzati utilizzano espressioni booleane scritte in un sottoinsieme del Common Expression Language (CEL) per testare gli attributi di un client che effettua una richiesta.

Nella console Google Cloud, puoi configurare livelli di accesso personalizzati in modalità avanzata quando crei un livello di accesso. Per creare un livello di accesso personalizzato:

  1. Nella console Google Cloud, apri la pagina Gestore contesto accesso.
  2. Se richiesto, seleziona la tua organizzazione.
  3. Nella parte superiore della pagina Gestore contesto accesso, fai clic su Nuovo.
  4. Nel riquadro Nuovo livello di accesso, completa i seguenti passaggi:
    1. Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.
    2. In Crea condizioni in, seleziona Modalità avanzata.
    3. Nella sezione Condizioni, inserisci le espressioni per il livello di accesso personalizzato.La condizione deve corrispondere a un singolo valore booleano. Per esempi e ulteriori informazioni sul supporto del linguaggio CEL (Common Expression Language) e sui livelli di accesso personalizzati, vedi la Specifica del livello di accesso personalizzato.
    4. Fai clic su Salva.

Valori di efficacia delle credenziali supportati

Valore Definizione di Google Esempio di livello di accesso personalizzato
pwd Utente autenticato con una password. request.auth.claims.crd_str.pwd == true
push Utente autenticato con una notifica push sul dispositivo mobile. request.auth.claims.crd_str.push == true
sms Utente autenticato tramite un codice inviato via SMS o tramite una telefonata. request.auth.claims.crd_str.sms == true
swk La verifica in due passaggi ha usato un token di sicurezza, ad esempio un telefono, request.auth.claims.crd_str.swk == true
hwk La verifica in due passaggi ha utilizzato una chiave hardware, ad esempio il token Google Titan. request.auth.claims.crd_str.hwk == true
otp Utente autenticato con metodi di password monouso (Google Authenticator e codici di backup). request.auth.claims.crd_str.otp == true
mfa Utente autenticato con uno qualsiasi dei metodi in questa tabella tranne pwd. request.auth.claims.crd_str.mfa == true

Ulteriori informazioni sulla verifica in due passaggi

La verifica in due passaggi di Google ha una funzionalità che consente agli utenti di contrassegnare il proprio dispositivo come attendibile e di evitare la necessità di ulteriori verifiche in due passaggi quando accedono di nuovo dallo stesso dispositivo. Quando questa funzionalità è attiva, un utente che esce e accede nuovamente non riceve una verifica in due passaggi al secondo accesso e Google segnalerà correttamente l'efficacia delle credenziali per il secondo accesso come solo password e non come autenticazione a più fattori, poiché al secondo accesso non è stata utilizzata una verifica in due passaggi.

Se disponi di applicazioni o flussi di lavoro che richiedono all'utente di utilizzare sempre credenziali efficaci, potrebbe essere opportuno disabilitare la funzionalità dei dispositivi attendibili. Per informazioni su come attivare o disattivare la funzionalità dei dispositivi attendibili, vedi Aggiungere o rimuovere computer attendibili. Tieni presente che disattivando la funzionalità, gli utenti dovranno presentare i loro secondi fattori a ogni accesso, anche sui dispositivi che usano di frequente. Per utilizzare le asserzioni dell'autenticazione a più fattori, gli utenti potrebbero dover uscire e accedere nuovamente per l'accesso più recente.