Richtlinie für die Anmeldedatenstärke konfigurieren

Ein wichtiges Prinzip von BeyondCorp Enterprise ist, dass der Zugriff auf Dienste basierend auf den uns bekannten Informationen über Sie und Ihr Gerät gewährt wird. Die Zugriffsebene für einen einzelnen Nutzer oder ein einzelnes Gerät wird durch Abfragen mehrerer Datenquellen dynamisch abgeleitet. Diese Vertrauensebene kann dann als Teil des Entscheidungsprozesses verwendet werden.

Ein wichtiger Bestandteil der Vertrauensbewertung ist die Stärke der Anmeldedaten des Nutzers, bei denen der Zugriff auf bestimmte Arten von Anwendungen durch die Authentifizierung des Nutzers beim System bestimmt wird. Beispielsweise können Nutzer, die nur mit einem Passwort angemeldet sind, nur auf Anwendungen zugreifen, die keine vertraulichen Informationen enthalten. Ein Nutzer, der mit einem Hardwaresicherheitsschlüssel als zweiten Faktor angemeldet ist, kann hingegen auf die sensibelsten Daten zugreifen Unternehmensanwendungen

Richtlinien, die auf der Anmeldedatenstärke basieren, sind ein Feature, mit dem ein Unternehmen die Zugriffssteuerung basierend auf der Stärke der während des Authentifizierungsprozesses verwendeten Anmeldedaten aktivieren kann. Durch die Nutzung der Anmeldedatenstärke als weitere Bedingung in Richtlinien für die Zugriffssteuerung können Unternehmen Zugriffskontrollen anhand der Nutzung von Hardwaresicherheitsschlüsseln, der Bestätigung in zwei Schritten oder anderen Arten starker Anmeldedaten erzwingen.

Übersicht über die Richtlinien zur Anmeldedatenstärke

Mit Access Context Manager können Google Cloud-Organisationsadministratoren eine detailgenaue, attributbasierte Zugriffssteuerung für Projekte und Ressourcen in Google Cloud definieren.

Zugriffsebenen werden verwendet, um den Zugriff auf Ressourcen basierend auf Kontextinformationen über die Anfrage zu ermöglichen. Mithilfe von Zugriffsebenen können Sie Vertrauensebenen organisieren. Sie können beispielsweise eine Zugriffsebene mit dem Namen "High_Level" erstellen, die Anfragen von einer kleinen Gruppe von Personen mit umfangreichen Berechtigungen zulässt. Sie können auch eine allgemeinere vertrauenswürdige Gruppe angeben, z. B. einen IP-Bereich, von dem Sie Anfragen zulassen möchten. In diesem Fall können Sie eine Zugriffsebene mit dem Namen Medium_Level erstellen, um diese Anfragen zuzulassen.

Access Context Manager bietet zwei Möglichkeiten zum Definieren von Zugriffsebenen: einfach und benutzerdefiniert. Bei der Prüfung der Anmeldedatenstärke werden derzeit benutzerdefinierte Zugriffsebenen verwendet. Die Informationen zur Anmeldedatenstärke, die während der Nutzerauthentifizierung verwendet wird, werden während des Google-Anmeldevorgangs erfasst. Diese Informationen werden im Sitzungsspeicherdienst von Google erfasst und gespeichert.

Die Prüfung der Anmeldedatenstärke wird derzeit für Identity-Aware Proxy, Identity-Aware Proxy für TCP und Google Workspace unterstützt.

Richtlinie für die Anmeldedatenstärke konfigurieren

Sie können die Definition eines benutzerdefinierten Zugriffsebenens in Access Context Manager verwenden, um die entsprechenden Richtlinien festzulegen. Benutzerdefinierte Zugriffsebenen verwenden boolesche Ausdrücke, die in einer Teilmenge von Common Expression Language (CEL) geschrieben sind, um die Attribute eines Clients zu testen, der eine Anfrage stellt.

In der Cloud Console können Sie beim Erstellen einer Zugriffsebene benutzerdefinierte Zugriffsebenen im erweiterten Modus konfigurieren. So erstellen Sie eine benutzerdefinierte Zugriffsebene:

  1. Rufen Sie in der Cloud Console die Seite Access Context Manager auf.
  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
  3. Klicken Sie oben auf der Seite von Access Context Manager auf Neu.
  4. Führen Sie im Bereich Neue Zugriffsebene die folgenden Schritte aus:
    1. Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene. Der Titel darf maximal 50 Zeichen lang sein, mit einem Buchstaben beginnen und darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.
    2. Wählen Sie unter Bedingungen erstellen in die Option Erweiterter Modus aus.
    3. Geben Sie im Abschnitt Bedingungen die Ausdrücke für Ihre benutzerdefinierte Zugriffsebene ein.Die Bedingung muss in einen einzelnen booleschen Wert aufgelöst werden. Beispiele und weitere Informationen zur Unterstützung von Common Expression Language (CEL) und benutzerdefinierten Zugriffsebenen finden Sie in der Spezifikation für benutzerdefinierte Zugriffsebenen.
    4. Klicken Sie auf Speichern.

Unterstützte Werte für die Anmeldedatenstärke

Wert Google – Definition Beispiel für eine benutzerdefinierte Zugriffsebene
pwd Nutzer mit einem Passwort authentifiziert. request.auth.claims.crd_str.pwd == true
push Nutzer wurde mit einer Push-Benachrichtigung an das Mobilgerät authentifiziert. request.auth.claims.crd_str.push == true
sms Der Nutzer wurde mit einem Code authentifiziert, der per SMS oder Anruf gesendet wurde. request.auth.claims.crd_str.sms == true
swk Bei der Bestätigung in zwei Schritten wurde ein Softwareschlüssel wie ein Smartphone als Sicherheitsschlüssel verwendet. request.auth.claims.crd_str.swk == true
hwk Bei der Bestätigung in zwei Schritten wurde ein Hardwareschlüssel wie Google Titan Key verwendet. request.auth.claims.crd_str.hwk == true
otp Nutzer wurde mit einmaligen Passwortmethoden authentifiziert (Google Authenticator und Back-up-Codes). request.auth.claims.crd_str.otp == true
mfa Nutzer hat sich mit einer der Methoden in dieser Tabelle außer pwd authentifiziert. request.auth.claims.crd_str.mfa == true

Weitere Informationen zur Bestätigung in zwei Schritten

Die Bestätigung in zwei Schritten von Google bietet eine Funktion, mit der Nutzer ihr Gerät als vertrauenswürdig einstufen können, ohne dass sie sich wieder bei der Anmeldung auf demselben Gerät anmelden müssen. Wenn diese Funktion aktiviert ist, erhält ein Nutzer, der sich ab- und wieder anmeldet, bei der zweiten Anmeldung keine Bestätigung in zwei Schritten. Google meldet in diesem Fall die Stärke der Anmeldedaten für die zweite Anmeldung als Nur-Passwort. nicht die Multi-Faktor-Authentifizierung, da bei der zweiten Anmeldung keine Bestätigung in zwei Schritten verwendet wurde.

Wenn Sie Anwendungen oder Workflows haben, für die der Nutzer immer starke Anmeldedaten verwenden muss, können Sie die Funktion für vertrauenswürdige Geräte deaktivieren. Wie Sie vertrauenswürdige Geräte aktivieren oder deaktivieren, erfahren Sie im Hilfeartikel Vertrauenswürdige Computer hinzufügen oder entfernen. Hinweis: Wenn Sie die Funktion deaktivieren, müssen Nutzer bei jeder Anmeldung ihre zweiten Faktoren angeben. Das gilt auch für häufig verwendete Geräte. Nutzer müssen sich unter Umständen ab- und wieder anmelden, um die neueste Anmeldung zu nutzen und Multi-Faktor-Authentifizierung zu nutzen.