Prinsip utama Chrome Enterprise Premium adalah "Akses ke layanan diberikan berdasarkan informasi yang kami ketahui tentang Anda dan perangkat Anda". Tingkat akses yang diberikan kepada satu pengguna atau satu perangkat disimpulkan secara dinamis dengan menginterogasi beberapa sumber data. Tingkat kepercayaan ini kemudian dapat digunakan sebagai bagian dari proses pengambilan keputusan.
Elemen utama dalam proses evaluasi kepercayaan adalah kekuatan kredensial login pengguna, dengan akses ke jenis aplikasi tertentu ditentukan oleh cara pengguna diautentikasi ke sistem. Misalnya, pengguna yang login dengan sandi saja hanya dapat mengakses aplikasi yang tidak berisi informasi sensitif, sedangkan pengguna yang login dengan kunci keamanan hardware sebagai faktor kedua dapat mengakses aplikasi perusahaan yang paling sensitif.
Kebijakan berbasis kekuatan kredensial adalah fitur yang memungkinkan perusahaan mengaktifkan kontrol akses berdasarkan kekuatan kredensial yang digunakan selama proses autentikasi. Dengan memanfaatkan kekuatan kredensial sebagai kondisi lain dalam kebijakan kontrol akses, perusahaan dapat menerapkan kontrol akses berdasarkan penggunaan kunci keamanan hardware, verifikasi 2 langkah, atau bentuk kredensial kuat lainnya.
Ringkasan kebijakan kekuatan kredensial
Access Context Manager memungkinkan administrator organisasi Google Cloud menentukan kontrol akses berbasis atribut yang terperinci untuk project dan resource di Google Cloud.
Tingkat akses digunakan untuk mengizinkan akses ke resource berdasarkan informasi kontekstual tentang permintaan. Dengan menggunakan tingkat akses, Anda dapat mulai mengatur tingkat kepercayaan. Misalnya, Anda dapat membuat tingkat akses bernama High_Level yang akan mengizinkan permintaan dari sekelompok kecil individu yang memiliki hak istimewa tinggi. Anda juga dapat mengidentifikasi grup yang lebih umum untuk dipercaya, seperti rentang IP yang ingin Anda izinkan untuk mengirim permintaan. Dalam hal ini, Anda dapat membuat tingkat akses yang disebut Medium_Level untuk mengizinkan permintaan tersebut.
Access Context Manager menyediakan dua cara untuk menentukan tingkat akses: dasar dan kustom. Pemeriksaan kekuatan kredensial saat ini menggunakan tingkat akses kustom. Informasi tentang kekuatan kredensial yang digunakan selama autentikasi pengguna diambil selama proses login Google. Informasi tersebut diambil dan disimpan di layanan penyimpanan sesi Google.
Pemeriksaan kekuatan kredensial saat ini didukung untuk Identity-Aware Proxy, Identity-Aware Proxy untuk TCP, dan Google Workspace.
Mengonfigurasi kebijakan kekuatan kredensial
Anda dapat menggunakan definisi tingkat akses kustom Access Context Manager untuk menetapkan kebijakan yang sesuai. Tingkat akses kustom menggunakan ekspresi boolean yang ditulis dalam subset Common Expression Language (CEL) untuk menguji atribut klien yang membuat permintaan.
Di konsol Google Cloud, Anda dapat mengonfigurasi tingkat akses kustom di Mode Lanjutan saat membuat tingkat akses. Untuk membuat tingkat akses kustom, selesaikan langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Access Context Manager.
- Jika diminta, pilih organisasi Anda.
- Di bagian atas halaman Access Context Manager, klik New.
- Di panel New Access Level, selesaikan langkah-langkah berikut:
- Di kotak Access level title, masukkan judul untuk tingkat akses. Judul harus maksimal 50 karakter, diawali dengan huruf, dan hanya boleh berisi angka, huruf, garis bawah, dan spasi.
- Untuk Create Conditions in, pilih Advanced Mode.
- Di bagian Kondisi, masukkan ekspresi untuk tingkat akses kustom Anda.Kondisi harus di-resolve ke satu nilai boolean. Untuk mengetahui contoh dan informasi selengkapnya tentang dukungan Common Expression Language (CEL) dan tingkat akses kustom, lihat Spesifikasi tingkat akses kustom.
- Klik Simpan.
Nilai kekuatan kredensial yang didukung
Nilai | Definisi Google | Contoh Tingkat Akses Kustom |
---|---|---|
pwd |
Pengguna diautentikasi dengan sandi. | request.auth.claims.crd_str.pwd == true |
push |
Pengguna diautentikasi dengan notifikasi push ke perangkat seluler. | request.auth.claims.crd_str.push == true |
sms |
Pengguna diautentikasi menggunakan kode yang dikirim ke SMS atau melalui panggilan telepon. | request.auth.claims.crd_str.sms == true |
swk |
2SV menggunakan kunci software, seperti ponsel, sebagai kunci keamanan. | request.auth.claims.crd_str.swk == true |
hwk |
2SV menggunakan kunci hardware, seperti Kunci Titan Google. | request.auth.claims.crd_str.hwk == true |
otp |
Pengguna diautentikasi dengan metode sandi sekali pakai (Google Authenticator dan Kode Cadangan). | request.auth.claims.crd_str.otp == true |
mfa |
Pengguna diautentikasi dengan salah satu metode dalam tabel ini kecuali pwd . |
request.auth.claims.crd_str.mfa == true |
Informasi tambahan tentang verifikasi 2 langkah
Verifikasi 2 Langkah Google memiliki fitur yang memungkinkan pengguna menandai perangkat mereka sebagai tepercaya dan menghindari kebutuhan untuk verifikasi 2 langkah tambahan saat login lagi di perangkat yang sama. Jika fitur ini diaktifkan, pengguna yang logout dan login kembali tidak akan menerima verifikasi 2 langkah saat login kedua, dan Google akan melaporkan kekuatan kredensial untuk login kedua dengan benar sebagai khusus sandi, bukan Autentikasi Multi-Faktor, karena verifikasi 2 langkah tidak digunakan saat login kedua.
Jika Anda memiliki aplikasi atau alur kerja yang bergantung pada persyaratan pengguna untuk selalu menggunakan kredensial yang kuat, sebaiknya nonaktifkan fitur perangkat tepercaya. Untuk informasi tentang cara mengaktifkan atau menonaktifkan fitur perangkat tepercaya, lihat Menambahkan atau menghapus komputer tepercaya. Perhatikan bahwa menonaktifkan fitur ini akan mengharuskan pengguna untuk memberikan faktor kedua setiap kali mereka login, bahkan di perangkat yang sering digunakan. Pengguna mungkin harus logout dan login kembali agar login terbaru mereka memiliki pernyataan Autentikasi Multi-Faktor.