Um princípio fundamental do Chrome Enterprise Premium é "O acesso aos serviços é concedido com base no que sabemos sobre si e o seu dispositivo". O nível de acesso concedido a um único utilizador ou a um único dispositivo é inferido dinamicamente através da consulta de várias origens de dados. Este nível de confiança pode ser usado como parte do processo de decisão.
Um elemento fundamental do processo de avaliação da confiança é a força das credenciais de início de sessão do utilizador, em que o acesso a tipos específicos de aplicações é determinado pela forma como o utilizador se autenticou no sistema. Por exemplo, os utilizadores com sessão iniciada apenas com uma palavra-passe só podem aceder a aplicações que não contenham informações confidenciais, enquanto um utilizador com sessão iniciada com uma chave de segurança de hardware como segundo fator pode aceder às aplicações empresariais mais confidenciais.
As políticas baseadas na robustez das credenciais são uma funcionalidade que permite a uma empresa ativar controlos de acesso com base na robustez da credencial usada durante o processo de autenticação. Ao tirar partido da força das credenciais como outra condição nas políticas de controlo de acesso, as empresas podem aplicar controlos de acesso com base na utilização de chaves de segurança de hardware, validação em dois passos ou outras formas de credenciais fortes.
Vista geral da política de força das credenciais
O Gestor de acesso sensível ao contexto permite aos Google Cloud administradores da organização definir um controlo de acesso detalhado baseado em atributos para projetos e recursos no Google Cloud.
Os níveis de acesso são usados para permitir o acesso a recursos com base em informações contextuais sobre o pedido. Com os níveis de acesso, pode começar a organizar níveis de confiança. Por exemplo, pode criar um nível de acesso denominado High_Level que permita pedidos de um pequeno grupo de indivíduos com privilégios elevados. Também pode identificar um grupo mais geral no qual confia, como um intervalo de IPs a partir do qual quer permitir pedidos. Nesse caso, pode criar um nível de acesso denominado Medium_Level para permitir esses pedidos.
O Gestor de acesso sensível ao contexto oferece duas formas de definir níveis de acesso: básico e personalizado. A verificação da robustez das credenciais usa atualmente níveis de acesso personalizados. As informações sobre a robustez das credenciais usadas durante a autenticação do utilizador são captadas durante o processo de início de sessão na Google. Essas informações são captadas e armazenadas no serviço de armazenamento de sessões da Google.
A verificação da robustez das credenciais é atualmente suportada para o Identity-Aware Proxy, o Identity-Aware Proxy para TCP e o Google Workspace.
Configurar a política de robustez das credenciais
Pode usar uma definição de nível de acesso personalizado do Gestor de acesso sensível ao contexto para definir as políticas adequadas. Os níveis de acesso personalizados usam expressões booleanas escritas num subconjunto do Idioma de expressão comum (IEC) para testar os atributos de um cliente que faz um pedido.
Na Google Cloud consola, pode configurar níveis de acesso personalizados no modo avançado quando cria um nível de acesso. Para criar um nível de acesso personalizado, conclua os seguintes passos:
- Na Google Cloud consola, abra a página Gestor de contexto de acesso.
- Se lhe for pedido, selecione a sua organização.
- Na parte superior da página Access Context Manager, clique em Novo.
- No painel Novo nível de acesso, conclua os seguintes passos:
- Na caixa Título de nível de acesso, introduza um título para o nível de acesso. O título tem de ter, no máximo, 50 carateres, começar por uma letra e só pode conter números, letras, sublinhados e espaços.
- Em Criar condições em, selecione Modo avançado.
- Na secção Condições, introduza as expressões para o seu nível de acesso personalizado.A condição tem de ser resolvida para um único valor booleano. Para ver exemplos e mais informações sobre o suporte do Idioma de expressão comum (IEC) e os níveis de acesso personalizados, consulte a especificação do nível de acesso personalizado.
- Clique em Guardar.
Valores de robustez das credenciais suportados
| Valor | Definição da Google | Exemplo de nível de acesso personalizado |
|---|---|---|
pwd |
O utilizador foi autenticado com uma palavra-passe. | request.auth.claims.crd_str.pwd == true |
push |
O utilizador foi autenticado com uma notificação push para o dispositivo móvel. | request.auth.claims.crd_str.push == true |
sms |
O utilizador foi autenticado através de um código enviado por SMS ou através de uma chamada telefónica. | request.auth.claims.crd_str.sms == true |
swk |
A 2SV usou uma chave de software, como um telemóvel, como chave de segurança. | request.auth.claims.crd_str.swk == true |
hwk |
A 2SV usou uma chave de hardware, como a chave Titan da Google. | request.auth.claims.crd_str.hwk == true |
otp |
O utilizador foi autenticado com métodos de palavra-passe de utilização única (Google Authenticator e códigos de segurança). | request.auth.claims.crd_str.otp == true |
mfa |
O utilizador está autenticado com qualquer um dos métodos nesta tabela, exceto pwd. |
request.auth.claims.crd_str.mfa == true |
Informações adicionais sobre a validação em dois passos
A validação em dois passos da Google tem uma funcionalidade que permite aos utilizadores marcar o respetivo dispositivo como fidedigno e evitar a necessidade de desafios adicionais de validação em dois passos quando iniciarem sessão novamente no mesmo dispositivo. Quando esta funcionalidade está ativada, um utilizador que termina sessão e volta a iniciá-la não recebe um desafio de 2 passos no segundo início de sessão. Além disso, a Google comunica corretamente a força da credencial para o segundo início de sessão como apenas palavra-passe e não autenticação multifator, uma vez que não foi usado um desafio de 2 passos no segundo início de sessão.
Se tiver aplicações ou fluxos de trabalho que dependam da utilização sempre de credenciais fortes por parte do utilizador, pode desativar a funcionalidade de dispositivo fidedigno. Para obter informações sobre como ativar ou desativar a funcionalidade de dispositivo fidedigno, consulte o artigo Adicione ou remova computadores fidedignos. Tenha em atenção que a desativação da funcionalidade exige que os utilizadores apresentem os respetivos segundos fatores sempre que iniciarem sessão, mesmo em dispositivos usados com frequência. Os utilizadores podem ter de terminar sessão e iniciar sessão novamente para que o início de sessão mais recente tenha afirmações de autenticação multifator.