Un principio chiave di Chrome Enterprise Premium è "L'accesso ai servizi viene concesso in base a ciò che sappiamo su di te e sul tuo dispositivo". Il livello di accesso concesso a un singolo utente o a un singolo dispositivo viene dedotto dinamicamente interrogando più origini dati. Questo livello di attendibilità può essere utilizzato nell'ambito del processo decisionale.
Un elemento chiave del processo di valutazione della fiducia è la forza della strategia credenziali di accesso, per le quali viene determinato l'accesso a determinati tipi di applicazioni. in base alle modalità di autenticazione dell'utente nel sistema. Ad esempio, gli utenti che hanno eseguito l'accesso solo con una password possono accedere solo ad applicazioni che non contengono informazioni sensibili, mentre un utente che ha eseguito l'accesso con un token di sicurezza hardware come secondo fattore può accedere alle applicazioni aziendali più sensibili.
I criteri basati sulla sicurezza delle credenziali sono una funzionalità che consente a un'azienda abilitare i controlli dell'accesso in base alla sicurezza delle credenziali utilizzate durante del processo di autenticazione. Sfruttando la robustezza delle credenziali come un'altra condizione nei criteri di controllo degli accessi, le aziende possono applicare controlli degli accessi in base all'utilizzo di token di sicurezza hardware, verifica in due passaggi o altre forme di credenziali sicure.
Panoramica dei criteri relativi alla sicurezza delle credenziali
Il Gestore contesto accesso consente agli amministratori dell'organizzazione Google Cloud di definire un controllo dell'accesso granulare, basato su attributi, per progetti e risorse in Google Cloud.
I livelli di accesso vengono utilizzati per consentire l'accesso alle risorse in base a le informazioni sulla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare diversi livelli di attendibilità. Ad esempio, potresti creare un livello di accesso chiamato Alto livello che consentano richieste da parte di un piccolo gruppo di individui altamente privilegiati. Puoi anche identificare un gruppo più generale attendibile, ad esempio un intervallo IP da cui vuoi consentire le richieste. In questo caso, puoi creare un livello di accesso chiamato Medium_Level per consentire queste richieste.
Gestore contesto accesso offre due modi per definire i livelli di accesso: di base e personalizzato. Il controllo della sicurezza delle credenziali attualmente utilizza livelli di accesso personalizzati. Le informazioni sulla robustezza delle credenziali utilizzate durante l'autenticazione dell'utente vengono acquisite durante la procedura di accesso a Google. Queste informazioni vengono acquisite e memorizzate nel servizio di archiviazione delle sessioni di Google.
Il controllo dell'efficacia delle credenziali è attualmente supportato per Identity-Aware Proxy, Identity-Aware Proxy per TCP e Google Workspace.
Configurazione del criterio relativo alla sicurezza delle credenziali
Puoi utilizzare un accesso personalizzato Gestore contesto accesso di classificazione per impostare i criteri appropriati. I livelli di accesso personalizzati utilizzano espressioni booleane scritte in un sottoinsieme del Common Expression Language (CEL) per testare gli attributi di un client che effettua una richiesta.
Nella console Google Cloud, puoi configurare livelli di accesso personalizzati nella Modalità avanzata quando crei un livello di accesso. Per creare un livello di accesso personalizzato:
- Nella console Google Cloud, apri la pagina Gestore contesto accesso.
- Se ti viene chiesto, seleziona la tua organizzazione.
- Nella parte superiore della pagina Access Context Manager, fai clic su Nuovo.
- Nel riquadro Nuovo livello di accesso, completa i seguenti passaggi:
- Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.
- In Crea condizioni in, seleziona Modalità avanzata.
- Nella sezione Condizioni, inserisci le espressioni per il livello di accesso personalizzato. La condizione deve risolvere in un singolo valore booleano. Per esempi e ulteriori informazioni sul supporto del linguaggio CEL (Common Expression Language) e sui livelli di accesso personalizzati, consulta le specifiche del livello di accesso personalizzato.
- Fai clic su Salva.
Valori di efficacia delle credenziali supportati
| Valore | Definizione di Google | Esempio di livello di accesso personalizzato |
|---|---|---|
pwd |
L'utente è stato autenticato con una password. | request.auth.claims.crd_str.pwd == true |
push |
L'utente si è autenticato con una notifica push sul dispositivo mobile. | request.auth.claims.crd_str.push == true |
sms |
Utente autenticato tramite un codice inviato via SMS o tramite una telefonata. | request.auth.claims.crd_str.sms == true |
swk |
La verifica in due passaggi utilizzava una chiave software, ad esempio uno smartphone, come token di sicurezza. | request.auth.claims.crd_str.swk == true |
hwk |
La verifica in due passaggi utilizzava una chiave hardware, come la chiave Titan di Google. | request.auth.claims.crd_str.hwk == true |
otp |
Utente autenticato con metodi di password monouso (Google Authenticator e codici di backup). | request.auth.claims.crd_str.otp == true |
mfa |
Utente autenticato con uno qualsiasi dei metodi in questa tabella, ad eccezione di pwd. |
request.auth.claims.crd_str.mfa == true |
Informazioni aggiuntive sulla verifica in due passaggi
La verifica in due passaggi di Google ha una funzionalità che consente agli utenti di contrassegnare il proprio dispositivo come attendibile e di evitare la necessità di ulteriori verifiche in due passaggi quando accedono di nuovo dallo stesso dispositivo. Quando questa funzionalità è attiva, un utente che esce e accede nuovamente non riceve una verifica in due passaggi al secondo accesso e Google segnalerà correttamente l'efficacia delle credenziali per il secondo accesso come solo password e non come autenticazione a più fattori, poiché al secondo accesso non è stata utilizzata una verifica in due passaggi.
Se disponi di applicazioni o flussi di lavoro che richiedono all'utente di utilizzare sempre credenziali efficaci, potrebbe essere opportuno disabilitare la funzionalità dei dispositivi attendibili. Per informazioni su come attivare o disattivare la funzionalità dei dispositivi attendibili, vedi Aggiungere o rimuovere computer attendibili. Tieni presente che la disattivazione della funzionalità richiederà agli utenti di presentare i secondi fattori ogni volta che accedono, anche sui dispositivi usati di frequente. Gli utenti potrebbero dover uscire e accedere di nuovo per l'accesso più recente per avere le asserzioni di autenticazione a più fattori.