Un principio fondamentale di Chrome Enterprise Premium è "L'accesso ai servizi viene concesso in base a ciò che sappiamo su di te e sul tuo dispositivo". Il livello di accesso concesso a un singolo utente o a un singolo dispositivo viene dedotto in modo dinamico interrogando più origini dati. Questo livello di attendibilità può quindi essere utilizzato come parte del processo decisionale.
Un elemento chiave del processo di valutazione dell'affidabilità è la solidità delle credenziali di accesso dell'utente, in cui l'accesso a tipi specifici di applicazioni è determinato dal modo in cui l'utente ha eseguito l'autenticazione nel sistema. Ad esempio, gli utenti che hanno eseguito l'accesso solo con una password possono accedere solo ad applicazioni che non contengono informazioni sensibili, mentre gli utenti che hanno eseguito l'accesso con un token di sicurezza hardware come secondo fattore possono accedere alle applicazioni aziendali più sensibili.
I criteri basati sulla sicurezza delle credenziali sono una funzionalità che consente a un'azienda di attivare controlli dell'accesso in base alla sicurezza delle credenziali utilizzate durante il processo di autenticazione. Sfruttando la robustezza delle credenziali come un'altra condizione nei critericontrollo dell'accessoi, le aziende possono applicare controlli degli accessi basati sull'utilizzo di token di sicurezza hardware, sulla verifica in due passaggi o su altre forme di credenziali efficaci.
Panoramica del criterio relativo alla sicurezza delle credenziali
Gestore contesto accesso consente agli amministratori dell'organizzazione di definire un controllo dell'accesso granulare e basato su attributi per progetti e risorse inGoogle Cloud. Google Cloud
I livelli di accesso vengono utilizzati per consentire l'accesso alle risorse in base alle informazioni contestuali sulla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare i livelli di attendibilità. Ad esempio, potresti creare un livello di accesso chiamato High_Level che consentirà le richieste di un piccolo gruppo di persone con privilegi elevati. Puoi anche identificare un gruppo più generico da considerare attendibile, ad esempio un intervallo IP da cui vuoi consentire le richieste. In questo caso, potresti creare un livello di accesso chiamato Livello_medio per consentire queste richieste.
Gestore contesto accesso offre due modi per definire i livelli di accesso: di base e personalizzato. Il controllo dell'efficacia delle credenziali utilizza attualmente livelli di accesso personalizzati. Le informazioni sulla robustezza delle credenziali utilizzate durante l'autenticazione dell'utente vengono acquisite durante la procedura di accesso a Google. Queste informazioni vengono acquisite e memorizzate nel servizio di archiviazione delle sessioni di Google.
Il controllo della robustezza delle credenziali è attualmente supportato per Identity-Aware Proxy, Identity-Aware Proxy per TCP e Google Workspace.
Configurazione del criterio relativo alla sicurezza delle credenziali
Puoi utilizzare una definizione di livello di accesso personalizzato di Gestore contesto accesso per impostare i criteri appropriati. I livelli di accesso personalizzati utilizzano espressioni booleane scritte in un sottoinsieme del Common Expression Language (CEL) per testare gli attributi di un client che effettua una richiesta.
Nella console Google Cloud , puoi configurare livelli di accesso personalizzati in modalità avanzata durante la creazione di un livello di accesso. Per creare un livello di accesso personalizzato, completa i seguenti passaggi:
- Nella console Google Cloud , apri la pagina Gestore contesto accesso.
- Se richiesto, seleziona la tua organizzazione.
- Nella parte superiore della pagina Gestore contesto accesso, fai clic su Nuovo.
- Nel riquadro Nuovo livello di accesso, completa i seguenti passaggi:
- Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.
- In Crea condizioni in, seleziona Modalità avanzata.
- Nella sezione Condizioni, inserisci le espressioni per il livello di accesso personalizzato.La condizione deve restituire un singolo valore booleano. Per esempi e ulteriori informazioni sul supporto di Common Expression Language (CEL) e sui livelli di accesso personalizzati, consulta le specifiche del livello di accesso personalizzato.
- Fai clic su Salva.
Valori di affidabilità delle credenziali supportati
| Valore | Definizione di Google | Esempio di livello di accesso personalizzato |
|---|---|---|
pwd |
L'utente è stato autenticato con una password. | request.auth.claims.crd_str.pwd == true |
push |
L'utente è stato autenticato con una notifica push sul dispositivo mobile. | request.auth.claims.crd_str.push == true |
sms |
L'utente è stato autenticato utilizzando un codice inviato via SMS o tramite una chiamata. | request.auth.claims.crd_str.sms == true |
swk |
La verifica in due passaggi utilizzava un token software, ad esempio uno smartphone, come token di sicurezza. | request.auth.claims.crd_str.swk == true |
hwk |
La V2P utilizzava un token hardware, ad esempio Google Titan Key. | request.auth.claims.crd_str.hwk == true |
otp |
L'utente ha eseguito l'autenticazione con metodi di password monouso (Google Authenticator e codici di backup). | request.auth.claims.crd_str.otp == true |
mfa |
L'utente è autenticato con uno dei metodi riportati in questa tabella, ad eccezione di pwd. |
request.auth.claims.crd_str.mfa == true |
Informazioni aggiuntive sulla verifica in due passaggi
La verifica in due passaggi di Google include una funzionalità che consente agli utenti di contrassegnare il proprio dispositivo come attendibile ed evitare la necessità di ulteriori verifiche in due passaggi quando accedono di nuovo sullo stesso dispositivo. Quando questa funzionalità è attivata, un utente che esce e rientra non riceve una richiesta di verifica in due passaggi al secondo accesso e Google segnala correttamente la robustezza delle credenziali per il secondo accesso come solo password e non autenticazione a più fattori, poiché non è stata utilizzata una richiesta di verifica in due passaggi al secondo accesso.
Se hai applicazioni o flussi di lavoro che dipendono dalla necessità che l'utente utilizzi sempre credenziali efficaci, potresti disattivare la funzionalità Dispositivi attendibili. Per informazioni sull'attivazione o la disattivazione della funzionalità Dispositivo attendibile, vedi Aggiungere o rimuovere computer attendibili. Tieni presente che la disattivazione della funzionalità richiederà agli utenti di presentare i fattori secondari ogni volta che accedono, anche sui dispositivi utilizzati di frequente. Gli utenti potrebbero dover uscire e accedere di nuovo per fare in modo che l'accesso più recente abbia asserzioni di autenticazione a più fattori.