Chrome Enterprise Premium 的主要原則是「您的服務存取權是由我們根據對您本人與裝置的瞭解而授予」。系統會查詢多個資料來源,動態推斷授予單一使用者或單一裝置的存取層級。這個信任程度隨後可用於決策程序。
信任度評估程序的重要元素是使用者登入憑證的強度,系統會根據使用者登入系統的方式,決定是否允許存取特定類型的應用程式。舉例來說,使用者如果僅使用密碼登入,就只能存取不含任何機密資訊的應用程式;而以硬體安全金鑰做為第二重驗證條件登入的使用者,則可以存取敏感性最高的企業應用程式。
憑證強度政策是一項功能,可讓企業根據驗證程序中使用的憑證強度,啟用存取權控管。企業可將憑證強度做為存取權控制政策的另一項條件,根據硬體安全金鑰、兩步驟驗證或其他形式的高強度憑證使用情況,強制執行存取權控制。
憑證強度政策總覽
Access Context Manager 可讓 Google Cloud 機構管理員依屬性定義精細的存取權限,以利控管Google Cloud中的專案和資源。
存取層級用於根據要求的內容資訊,授予資源存取權。您可以使用存取層級開始整理信任層級。舉例來說,您可以建立名為 High_Level 的存取層級,允許一小群高權限使用者提出要求。您也可以識別要信任的較一般群組,例如要允許要求來自的 IP 範圍。在這種情況下,您可能會建立名為「Medium_Level」的存取層級,允許這些要求。
Access Context Manager 提供兩種定義存取層級的方式:基本和自訂。憑證強度檢查目前使用自訂存取層級。系統會在 Google 登入程序中,擷取使用者驗證時使用的憑證強度資訊。這項資訊會擷取並儲存在 Google 的工作階段儲存服務中。
目前支援憑證強度檢查的服務包括 Identity-Aware Proxy、Identity-Aware Proxy for TCP 和 Google Workspace。
設定憑證強度政策
您可以透過 Access Context Manager 自訂存取層級定義,設定適當的政策。自訂存取層級會使用以部分一般運算語言 (CEL) 編寫的布林運算式,測試提出要求的用戶端屬性。
在 Google Cloud 控制台中建立存取層級時,您可以在「進階模式」中設定自訂存取層級。如要建立自訂存取層級,請完成下列步驟:
- 在 Google Cloud 控制台中,開啟 Access Context Manager 頁面。
- 如果系統提示您選取機構,請依提示選取您的機構。
- 按一下「Access Context Manager」頁面最上方的「New」。
- 在「New Access Level」(建立新的存取層級) 窗格中,完成下列步驟:
- 在「Access level title」(存取層級標題) 方塊中輸入存取層級的標題。標題不得超過 50 個字元,開頭須為英文字母,且只能包含數字、英文字母、底線和空格。
- 在「建立條件」中,選取「進階模式」。
- 在「條件」部分,輸入自訂存取層級的運算式。條件必須解析為單一布林值。如需一般運算語言 (CEL) 支援和自訂存取層級的範例及詳細資訊,請參閱「自訂存取層級詳細說明」。
- 按一下 [儲存]。
支援的憑證強度值
| 值 | Google 定義 | 自訂存取層級範例 |
|---|---|---|
pwd |
使用者已透過密碼驗證。 | request.auth.claims.crd_str.pwd == true |
push |
使用者透過行動裝置上的推播通知完成驗證。 | request.auth.claims.crd_str.push == true |
sms |
使用者透過簡訊或電話收到的驗證碼通過驗證。 | request.auth.claims.crd_str.sms == true |
swk |
兩步驟驗證使用軟體金鑰 (例如手機) 做為安全金鑰。 | request.auth.claims.crd_str.swk == true |
hwk |
兩步驟驗證使用硬體金鑰,例如 Google Titan 金鑰。 | request.auth.claims.crd_str.hwk == true |
otp |
使用者透過一次性密碼方法 (Google Authenticator 和備用碼) 進行驗證。 | request.auth.claims.crd_str.otp == true |
mfa |
使用者透過這個表格中的任一方法 (pwd 除外) 完成驗證。 |
request.auth.claims.crd_str.mfa == true |
兩步驟驗證的額外資訊
Google 兩步驟驗證功能可讓使用者將裝置設為信任裝置,這樣一來,日後在同一部裝置上登入時,就不必再次完成兩步驟驗證。啟用這項功能後,使用者登出並重新登入時,系統不會要求進行兩步驟驗證。由於第二次登入時未進行兩步驟驗證,Google 會正確回報第二次登入的憑證強度為僅限密碼,而非多重驗證。
如果應用程式或工作流程需要使用者一律使用高強度憑證,您可能需要停用信任的裝置功能。如要瞭解如何啟用或停用信任的裝置功能,請參閱「新增或移除可信任的電腦」。請注意,停用這項功能後,使用者每次登入時都必須提供第二個驗證因素,即使是常用裝置也不例外。使用者可能必須登出並重新登入,才能讓最近一次的登入作業取得多重驗證聲明。