Un principio clave de Chrome Enterprise Premium es que el acceso a los servicios se concede en función de lo que sabemos de ti y de tu dispositivo. El nivel de acceso que se concede a un usuario o a un dispositivo se infiere de forma dinámica interrogando varias fuentes de datos. Este nivel de confianza se puede usar como parte del proceso de toma de decisiones.
Un elemento clave del proceso de evaluación de la confianza es la solidez de las credenciales de inicio de sesión del usuario, donde el acceso a tipos específicos de aplicaciones se determina en función de cómo se autentique el usuario en el sistema. Por ejemplo, los usuarios que inicien sesión únicamente con una contraseña solo podrán acceder a aplicaciones que no contengan información sensible, mientras que un usuario que inicie sesión, además, con una llave de seguridad de hardware como segundo factor podrá acceder a las aplicaciones empresariales más sensibles.
Las políticas basadas en la seguridad de las credenciales son una función que permite a las empresas habilitar controles de acceso en función de la seguridad de las credenciales utilizadas durante el proceso de autenticación. Al aprovechar la solidez de las credenciales como otra condición en las políticas de control de acceso, las empresas pueden aplicar controles de acceso basados en el uso de llaves de seguridad de hardware, la verificación en dos pasos u otras formas de credenciales seguras.
Información general sobre la política de seguridad de credenciales
Administrador de contextos de acceso permite a los administradores de organizaciones definir un control de acceso basado en atributos y pormenorizado para proyectos y recursos en Google Cloud Google Cloud.
Los niveles de acceso se usan para permitir el acceso a los recursos en función de la información contextual de la solicitud. Con los niveles de acceso, puedes empezar a organizar los niveles de confianza. Por ejemplo, puedes crear un nivel de acceso llamado High_Level que permita las solicitudes de un pequeño grupo de personas con muchos privilegios. También puedes identificar un grupo más general en el que confíes, como un intervalo de IPs desde el que quieras permitir solicitudes. En ese caso, puedes crear un nivel de acceso llamado Medio_Nivel para permitir esas solicitudes.
Administrador de contextos de acceso ofrece dos formas de definir niveles de acceso: básica y personalizada. Actualmente, la comprobación de la solidez de las credenciales utiliza niveles de acceso personalizados. La información sobre la solidez de las credenciales que se usa durante la autenticación de usuarios se recoge durante el proceso de inicio de sesión de Google. Esa información se recoge y se almacena en el servicio de almacenamiento de sesiones de Google.
Actualmente, la comprobación de la solidez de las credenciales se admite en Identity-Aware Proxy, Identity-Aware Proxy para TCP y Google Workspace.
Configurar una política de seguridad de credenciales
Puedes usar una definición de nivel de acceso personalizado de Access Context Manager para definir las políticas adecuadas. Los niveles de acceso personalizados usan expresiones booleanas escritas en un subconjunto del lenguaje de expresión común (CEL) para probar los atributos de un cliente que hace una solicitud.
En la Google Cloud consola, puedes configurar niveles de acceso personalizados en el modo avanzado al crear un nivel de acceso. Para crear un nivel de acceso personalizado, sigue estos pasos:
- En la Google Cloud consola, abre la página Administrador de contextos de acceso.
- Si se te solicita, selecciona tu organización.
- En la parte superior de la página Gestor de contexto de acceso, haga clic en Nuevo.
- En el panel Nuevo nivel de acceso, sigue estos pasos:
- En el cuadro Título del nivel de acceso, escribe un título para el nivel de acceso. El título debe tener un máximo de 50 caracteres, empezar por una letra y solo puede contener números, letras, guiones bajos y espacios.
- En Crear condiciones en, selecciona Modo avanzado.
- En la sección Condiciones, introduce las expresiones de tu nivel de acceso personalizado.La condición debe resolverse en un único valor booleano. Para ver ejemplos y obtener más información sobre la compatibilidad con el lenguaje de expresión común (CEL) y los niveles de acceso personalizados, consulta la especificación de niveles de acceso personalizados.
- Haz clic en Guardar.
Valores de solidez de las credenciales admitidos
| Valor | Definición de Google | Ejemplo de nivel de acceso personalizado |
|---|---|---|
pwd |
El usuario se ha autenticado con una contraseña. | request.auth.claims.crd_str.pwd == true |
push |
El usuario se ha autenticado con una notificación push en el dispositivo móvil. | request.auth.claims.crd_str.push == true |
sms |
El usuario se ha autenticado mediante un código enviado por SMS o por llamada telefónica. | request.auth.claims.crd_str.sms == true |
swk |
La verificación en dos pasos usaba una llave de software, como un teléfono, como llave de seguridad. | request.auth.claims.crd_str.swk == true |
hwk |
La verificación en dos pasos usaba una llave de hardware, como la llave Titan de Google. | request.auth.claims.crd_str.hwk == true |
otp |
El usuario se ha autenticado con métodos de contraseña de un solo uso (Google Authenticator y códigos de verificación alternativos). | request.auth.claims.crd_str.otp == true |
mfa |
El usuario se ha autenticado con alguno de los métodos de esta tabla, excepto pwd. |
request.auth.claims.crd_str.mfa == true |
Información adicional sobre la verificación en dos pasos
La verificación en dos pasos de Google tiene una función que permite a los usuarios marcar su dispositivo como de confianza y evitar tener que superar verificaciones en dos pasos adicionales cuando vuelvan a iniciar sesión en el mismo dispositivo. Cuando esta función está habilitada, un usuario que cierra sesión y vuelve a iniciarla no recibe una verificación en dos pasos en el segundo inicio de sesión. Google informaría correctamente de que la solidez de la credencial del segundo inicio de sesión es solo con contraseña, y no con autenticación multifactor, ya que no se ha usado una verificación en dos pasos en el segundo inicio de sesión.
Si tienes aplicaciones o flujos de trabajo que dependen de que el usuario siempre use credenciales seguras, puede que quieras inhabilitar la función de dispositivo de confianza. Para obtener información sobre cómo habilitar o inhabilitar la función de dispositivo de confianza, consulta el artículo Añadir o eliminar ordenadores de confianza. Ten en cuenta que, si inhabilitas la función, los usuarios tendrán que presentar su segundo factor cada vez que inicien sesión, incluso en los dispositivos que usen con frecuencia. Es posible que los usuarios tengan que cerrar sesión y volver a iniciarla para que su inicio de sesión más reciente tenga aserciones de autenticación multifactor.