L'un des principes clés de BeyondCorp Enterprise est que "L'accès aux services est accordé en fonction de ce que nous savons de vous et de votre appareil". Le niveau d'accès accordé à un seul utilisateur ou à un seul appareil est déduit de manière dynamique par l'interrogation de plusieurs sources de données. Ce niveau de confiance peut ensuite être utilisé dans le processus de décision.
L'un des éléments clés du processus d'évaluation du niveau de confiance est la complexité des identifiants de connexion de l'utilisateur, où l'accès à des types d'applications spécifiques est déterminé par la manière dont l'utilisateur s'est authentifié auprès du système. Par exemple, les utilisateurs connectés avec un simple mot de passe ne peuvent accéder qu'aux applications qui ne contiennent aucune information sensible, tandis qu'un utilisateur connecté avec une clé de sécurité matérielle en tant que deuxième facteur peut accéder aux applications d'entreprise les plus sensibles.
Les règles basées sur la complexité des identifiants sont une fonctionnalité qui permet à une entreprise de mettre en place des contrôles d'accès en fonction de la complexité des identifiants utilisés lors du processus d'authentification. En exploitant la complexité des identifiants comme autre condition dans les règles de contrôle des accès, les entreprises peuvent appliquer des contrôles d'accès en fonction de l'utilisation de clés de sécurité matérielles, de la validation en deux étapes ou d'autres formes d'identifiants sécurisés.
Présentation des règles concernant le niveau de complexité des identifiants
Access Context Manager permet aux administrateurs d'organisation Google Cloud de définir un contrôle d'accès précis et basé sur des attributs pour les projets et les ressources dans Google Cloud.
Les niveaux d'accès sont utilisés pour autoriser l'accès aux ressources en fonction des informations contextuelles concernant la requête. Grâce aux niveaux d'accès, vous pouvez commencer à organiser des niveaux de confiance. Par exemple, vous pouvez créer un niveau d'accès appelé "High_Level" qui autorisera les requêtes d'un petit groupe de personnes disposant de privilèges élevés. Vous pouvez également identifier un groupe plus général à approuver, tel qu'une plage d'adresses IP à partir de laquelle vous souhaitez autoriser les requêtes. Dans ce cas, vous pouvez créer un niveau d'accès appelé "Medium_Level" servant à autoriser ces requêtes.
Access Context Manager propose deux méthodes pour définir des niveaux d'accès : accès de base et accès personnalisé. La vérification de la complexité des identifiants utilise actuellement des niveaux d'accès personnalisés. Les informations sur la complexité des identifiants utilisés lors de l'authentification des utilisateurs sont enregistrées lors du processus de connexion Google. Ces informations sont capturées et stockées dans le service de stockage de sessions de Google.
La vérification de la complexité des identifiants est actuellement compatible avec Identity-Aware Proxy, Identity-Aware Proxy pour TCP et Google Workspace.
Configurer une règle concernant le niveau de complexité des identifiants
Vous pouvez utiliser une définition de niveau d'accès personnalisé Access Context Manager pour définir les règles appropriées. Les niveaux d'accès personnalisés utilisent des expressions booléennes écrites dans un sous-ensemble du langage CEL (Common Expression Language) pour tester les attributs d'un client à l'origine d'une requête.
Dans la console Google Cloud, vous pouvez configurer des niveaux d'accès personnalisés en mode avancé lorsque vous créez un niveau d'accès. Pour créer un niveau d'accès personnalisé, procédez comme suit :
- Dans la console Google Cloud, ouvrez la page Access Context Manager.
- Si vous y êtes invité, sélectionnez votre organisation.
- En haut de la page "Access Context Manager", cliquez sur Nouveau.
- Dans le volet Nouveau niveau d'accès, procédez comme suit :
- Dans la zone Titre du niveau d'accès, saisissez un titre de niveau d'accès. Ce titre doit contenir au maximum 50 caractères, commencer par une lettre et ne peut contenir que des chiffres, des lettres, des traits de soulignement et des espaces.
- Pour Créer des conditions en, sélectionnez Mode avancé.
- Dans la section Conditions, saisissez les expressions pour votre niveau d'accès personnalisé. La condition doit se résoudre en une valeur booléenne unique. Pour obtenir des exemples et des informations supplémentaires sur la compatibilité avec le langage CEL (Common Expression Language) et les niveaux d'accès personnalisés, consultez la section Spécification de niveaux d'accès personnalisés.
- Cliquez sur Enregistrer.
Valeurs compatibles pour la complexité des identifiants
| Valeur | Définition de Google | Exemple de niveau d'accès personnalisé |
|---|---|---|
pwd |
Utilisateur authentifié à l'aide d'un mot de passe. | request.auth.claims.crd_str.pwd == true |
push |
Utilisateur authentifié à l'aide d'une notification push sur l'appareil mobile. | request.auth.claims.crd_str.push == true |
sms |
Utilisateur authentifié à l'aide d'un code envoyé par SMS ou par appel téléphonique. | request.auth.claims.crd_str.sms == true |
swk |
La validation en deux étapes a utilisé une clé logicielle, par exemple un téléphone, comme clé de sécurité. | request.auth.claims.crd_str.swk == true |
hwk |
La validation en deux étapes a utilisé une clé matérielle telle que la clé Google Titan. | request.auth.claims.crd_str.hwk == true |
otp |
Utilisateur authentifié à l'aide de méthodes à base de mot de passe à usage unique (Google Authenticator et codes de secours). | request.auth.claims.crd_str.otp == true |
mfa |
Utilisateur authentifié avec l'une des méthodes de cette table, à l'exception de la méthode pwd. |
request.auth.claims.crd_str.mfa == true |
Informations supplémentaires concernant la validation en deux étapes
La validation en deux étapes de Google comporte une fonctionnalité qui permet aux utilisateurs de marquer leur appareil comme vérifié et d'éviter de subir des défis de validation en deux étapes répétés lorsqu'ils se reconnectent depuis le même appareil. Lorsque cette fonctionnalité est activée, un utilisateur qui se déconnecte et se reconnecte ne reçoit pas de défi de validation en deux étapes lors de la deuxième connexion. Pour cette deuxième connexion, Google détermine correctement que la complexité des identifiants est un mot de passe uniquement et non une l'authentification multifacteur, car il n'y a pas eu de défi de validation en deux étapes lors de la deuxième connexion.
Si vos applications ou vos workflows nécessitent d'exiger de vos utilisateurs qu'ils fassent toujours appel à des identifiants sécurisés, vous devrez désactiver la fonctionnalité d'appareils vérifiés. Pour en savoir plus sur l'activation ou la désactivation de la fonctionnalité d'appareils vérifiés, consultez la section Ajouter ou supprimer des ordinateurs vérifiés. Notez que la désactivation de cette fonctionnalité oblige les utilisateurs à présenter leur second facteur à chaque connexion, même sur des appareils utilisés très fréquemment. Il se peut que les utilisateurs doivent se déconnecter et se reconnecter pour que leur connexion la plus récente dispose bien des assertions d'authentification multifacteur.