Un principio chiave di Chrome Enterprise Premium è "L'accesso ai servizi viene concesso in base a ciò che sappiamo su di te e sul tuo dispositivo". Il livello di accesso concesso a un singolo utente o a un singolo dispositivo viene dedotto dinamicamente interrogando più origini dati. Questo livello di attendibilità può essere utilizzato nel processo decisionale.
Un elemento chiave della procedura di valutazione della attendibilità è la robustezza delle credenziali di accesso dell'utente, in cui l'accesso a tipi specifici di applicazioni è determinato dal modo in cui l'utente ha eseguito l'autenticazione nel sistema. Ad esempio, gli utenti che hanno eseguito l'accesso solo con una password possono accedere solo ad applicazioni che non contengono informazioni sensibili, mentre un utente che ha eseguito l'accesso con un token di sicurezza hardware come secondo fattore può accedere alle applicazioni aziendali più sensibili.
I criteri basati sulla sicurezza delle credenziali sono una funzionalità che consente a un'azienda di attivare i controlli di accesso in base alla sicurezza delle credenziali utilizzate durante la procedura di autenticazione. Sfruttando l'efficacia delle credenziali come un'altra condizione nei criteri di controllo dell'accesso dell'accesso, le aziende possono applicare controlli dell'accesso in base all'utilizzo di token di sicurezza hardware, verifica in due passaggi o altre forme di credenziali efficaci.
Panoramica dei criteri relativi alla sicurezza delle credenziali
Gestore contesto accesso consente agli amministratori dell'organizzazione Google Cloud di definire un controllo dell'accesso granulare basato sugli attributi per i progetti e le risorse inGoogle Cloud.
I livelli di accesso vengono utilizzati per consentire l'accesso alle risorse in base alle informazioni contestuali sulla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare i livelli di attendibilità. Ad esempio, potresti creare un livello di accesso denominato Alto che consenta le richieste di un piccolo gruppo di utenti con privilegi elevati. Puoi anche identificare un gruppo più generale attendibile, ad esempio un intervallo IP da cui vuoi consentire le richieste. In questo caso, puoi creare un livello di accesso chiamato Medium_Level per consentire queste richieste.
Gestore contesto accesso offre due modi per definire i livelli di accesso: di base e personalizzato. Al momento, il controllo dell'efficacia delle credenziali utilizza i livelli di accesso personalizzati. Le informazioni sulla robustezza delle credenziali utilizzate durante l'autenticazione dell'utente vengono acquisite durante la procedura di accesso a Google. Queste informazioni vengono acquisite e memorizzate nel servizio di archiviazione delle sessioni di Google.
Il controllo dell'efficacia delle credenziali è attualmente supportato per Identity-Aware Proxy, Identity-Aware Proxy per TCP e Google Workspace.
Configurazione del criterio relativo alla sicurezza delle credenziali
Puoi utilizzare una definizione di livello di accesso personalizzato di Gestore contesto accesso per impostare i criteri appropriati. I livelli di accesso personalizzati utilizzano espressioni booleane scritte in un sottoinsieme del Common Expression Language (CEL) per testare gli attributi di un client che effettua una richiesta.
Nella console Google Cloud , puoi configurare i livelli di accesso personalizzati in Modalità avanzata quando crei un livello di accesso. Per creare un livello di accesso personalizzato, completa i seguenti passaggi:
- Nella console Google Cloud , apri la pagina Gestore contesto accesso.
- Se ti viene chiesto, seleziona la tua organizzazione.
- Nella parte superiore della pagina Gestore contesto accesso, fai clic su Nuovo.
- Nel riquadro Nuovo livello di accesso, completa i seguenti passaggi:
- Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, deve iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.
- In Crea condizioni in, seleziona Modalità avanzata.
- Nella sezione Condizioni, inserisci le espressioni per il livello di accesso personalizzato.La condizione deve risolvere in un singolo valore booleano. Per esempi e ulteriori informazioni sul supporto del linguaggio CEL (Common Expression Language) e sui livelli di accesso personalizzati, consulta le specifiche del livello di accesso personalizzato.
- Fai clic su Salva.
Valori di robustezza delle credenziali supportati
| Valore | Definizione di Google | Esempio di livello di accesso personalizzato |
|---|---|---|
pwd |
L'utente è stato autenticato con una password. | request.auth.claims.crd_str.pwd == true |
push |
L'utente si è autenticato con una notifica push sul dispositivo mobile. | request.auth.claims.crd_str.push == true |
sms |
L'utente è stato autenticato utilizzando un codice inviato tramite SMS o una chiamata. | request.auth.claims.crd_str.sms == true |
swk |
La verifica in due passaggi utilizzava una chiave software, ad esempio uno smartphone, come token di sicurezza. | request.auth.claims.crd_str.swk == true |
hwk |
La verifica in due passaggi utilizzava una chiave hardware, come la chiave Titan di Google. | request.auth.claims.crd_str.hwk == true |
otp |
L'utente si è autenticato con metodi di password monouso (Google Authenticator e codici di backup). | request.auth.claims.crd_str.otp == true |
mfa |
L'utente si è autenticato con uno dei metodi in questa tabella, ad eccezione di pwd. |
request.auth.claims.crd_str.mfa == true |
Informazioni aggiuntive sulla verifica in due passaggi
La verifica in due passaggi di Google ha una funzionalità che consente agli utenti di contrassegnare il proprio dispositivo come attendibile ed evitare la necessità di ulteriori verifiche in due passaggi quando accedono di nuovo sullo stesso dispositivo. Quando questa funzionalità è attiva, un utente che esce e accede di nuovo non riceve una verifica in due passaggi al secondo accesso e Google segnala correttamente l'efficacia delle credenziali per il secondo accesso come solo password e non come autenticazione a più fattori, poiché non è stata utilizzata una verifica in due passaggi al secondo accesso.
Se hai applicazioni o flussi di lavoro che richiedono all'utente di utilizzare sempre credenziali complesse, ti consigliamo di disattivare la funzionalità del dispositivo attendibile. Per informazioni su come attivare o disattivare la funzionalità Dispositivo attendibile, vedi Aggiungere o rimuovere computer attendibili. Tieni presente che la disattivazione della funzionalità richiederà agli utenti di presentare i secondi fattori ogni volta che accedono, anche sui dispositivi usati di frequente. Gli utenti potrebbero dover uscire e accedere di nuovo per l'accesso più recente per avere le asserzioni di autenticazione a più fattori.