Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page détaille les objets et les attributs utilisés pour créer des expressions Common Expression Language (CEL) pour les niveaux d'accès personnalisés. Des exemples sont fournis.
Contient des attributs qui décrivent l'appareil à l'origine de la requête.
Attributs origin
Cette section répertorie les attributs compatibles avec l'objet origin.
Attributs
ip
Type
chaîne
Description
Adresse IP d'origine de la requête. Si l'adresse IP
ne peut pas être déterminé, origin.ip évalue
à une erreur. Nous vous recommandons d'utiliser
inIpRange pour vérifier si l'adresse IP d'origine se trouve dans un
une plage d'adresses IP spécifique
au lieu d'effectuer une comparaison de chaînes.
Exemple :
inIpRange(origin.ip,["203.0.113.24"])
region_code
Type
chaîne
Description
L'ISO
code alpha-2 3166-1 du pays ou de la région où
à l'origine de la requête. Si le code régional ne peut pas être
déterminé, origin.region_code évalue
à une erreur.
Cette section répertorie les attributs compatibles avec l'objet request.auth.
Attributs
principal
Type
chaîne, liste (chaîne)
Description
ID unique de l'utilisateur qui a émis la requête.
La valeur de request.auth.principal doit être un ou plusieurs ID d'utilisateur uniques. Les UUID peuvent être obtenus à l'aide de l'API Admin SDK Directory.
La valeur doit respecter le format suivant : https://accounts.google.com/UUID
Cette section répertorie les attributs compatibles avec l'objet levels.
Attributs
level name
Type
boolean
Description
level name correspond au nom d'un niveau d'accès existant.
Lorsque vous les utilisez, les conditions du niveau d'accès spécifié doivent également répondre aux exigences de votre niveau d'accès personnalisé.
Exemple :
levels.allow_corp_ips
Où allow_corp_ips est le nom d'un niveau d'accès.
Attribut device
Cette section répertorie les attributs compatibles avec l'objet device. Si aucun appareil
associé aux identifiants de la demande est trouvé, tous les éléments
seront évalués en tant qu'erreur.
Attributs
encryption_status
Type
enum
Description
Décrit l'état de chiffrement de l'appareil.
Valeurs enum :
enumDeviceEncryptionStatus{// The encryption status of the device is not specified or not known.ENCRYPTION_UNSPECIFIED==0;// The device does not support encryption.ENCRYPTION_UNSUPPORTED==1;// The device supports encryption, but is currently unencrypted.UNENCRYPTED==2;// The device is encrypted.ENCRYPTED==3;}
Indique si l'appareil a été approuvé par l'administrateur du domaine.
Exemple :
device.is_admin_approved_device==true
is_corp_owned_device
Type
boolean
Description
Indique si l'appareil appartient à l'organisation.
Exemple :
device.is_corp_owned_device==true
is_secured_with_screenlock
Type
boolean
Description
Indique si la fonction de verrouillage de l'écran est activée sur l'appareil.
Exemple :
device.is_secured_with_screenlock==true
os_type
Type
enum
Description
Identifie le système d'exploitation installé sur l'appareil.
Valeurs enum :
enumOsType{// The operating system of the device is not specified or not known.OS_UNSPECIFIED==0;// A desktop Mac operating system.DESKTOP_MAC==1;// A desktop Windows operating system.DESKTOP_WINDOWS==2;// A desktop Linux operating system.DESKTOP_LINUX==3;// An Android operating system.ANDROID==4;// An iOS operating system.IOS==5;// A desktop ChromeOS operating system.DESKTOP_CHROME_OS==6;}
L'objet vendors permet d'accéder aux données fournies par des fournisseurs tiers de sécurité et de gestion des points de terminaison. Chaque fournisseur peut renseigner trois attributs de premier niveau partagés : is_compliant_device, is_managed_device et device_health_score.
De plus, les fournisseurs peuvent fournir leurs propres clés et valeurs référencées à l'aide de l'attribut data.
Les clés disponibles pour l'attribut data varient d'un fournisseur à l'autre. Assurez-vous de rester cohérent lorsque vous comparez la valeur de clé dans votre expression de règle. Par exemple, si vous vous attendez à ce que la valeur de la clé soit une chaîne ou une valeur booléenne, veillez à la comparer à une chaîne ou à une valeur booléenne dans l'expression de règle correspondante. Notez que lorsque la valeur est un entier, vous devez la comparer avec un nombre double dans l'expression de la règle.
Valeurs enum :
// Health score of the device as provided by the vendor (possibly third party).enumDeviceHealthScore{// The health score for the device is not specified or unknown.DEVICE_HEALTH_SCORE_UNSPECIFIED=0;// The health of the device is very poor.VERY_POOR=1;// The health of the device is poor.POOR=2;// The health of the device is ok.NEUTRAL=3;// The health of the device is good.GOOD=4;// The health of the device is very good.VERY_GOOD=5;}
Indique si la requête provient d'un appareil avec un système Chrome OS validé.
Exemple :
device.verified_chrome_os==true
chrome.management_state
Type
chaîne
Description
Le navigateur est-il géré, au niveau du navigateur ou du profil, et par l'entreprise dans le domaine approprié.
Un navigateur est considéré comme géré si les règles sont gérées et transférées de manière centralisée, et si le domaine du navigateur ou du profil géré correspond au domaine attendu côté serveur.
Voici les états de gestion de Chrome disponibles:
État
MANAGED
Le navigateur ou le profil est géré par le client.
UNMANAGED
Le navigateur ou le profil ne sont gérés par aucun client.
MANAGED_BY_OTHER_DOMAIN
Le navigateur ou le profil est géré par un autre client.
Vérifie si la version du système d'exploitation de l'appareil vaut au moins une version donnée. Nous vous recommandons d'utiliser cette fonction avec l'attribut device.os_type.
Exemple :
device.versionAtLeast("10.0")==true
certificateBindingState(origin, device)
Type
(Peer, DeviceType) -> entier
Description
Vérifie si le certificat client associé à l'origine correspond à l'appareil et renvoie l'état.
L'état renvoyé par la fonction peut être l'un des suivants :
Vérifie si l'opérande de chaîne commence par l'argument de préfixe.
Exemple :
"Samplestring".startsWith("Sample")
endsWith()
Type
string.(string) -> bool
Description
Vérifie si l'opérande de chaîne se termine par l'argument de suffixe.
Exemple :
"Samplestring".endsWith("string")
origin.clientCertFingerprint()
Type
Origin.() -> chaîne
Description
Renvoie l'empreinte du certificat associé à l'origine. Vous pouvez l'utiliser dans des macros pour tester les certificats d'appareil.
Exemple :
// Checks if the enterprise certificate associated with the origin matches the device.device.certificates.exists(cert,cert.is_valid && cert.cert_fingerprint==origin.clientCertFingerprint())
Macros pour les expressions CEL
Vous pouvez utiliser les macros suivantes dans les expressions CEL pour les niveaux d'accès personnalisés:
Macro
Description
has(e.f)
Vérifie si un champ est disponible. Pour en savoir plus, consultez la section Sélection des champs. Exemple :
Détermine si un prédicat contient tous les éléments d'une e de liste ou les clés d'un e de carte. Ici, x est un identifiant à utiliser dans p qui se lie à l'élément ou à la clé. La macro all() combine les résultats du prédicat par élément avec l'opérateur and (&&). Ainsi, si un prédicat prend la valeur "false", la macro prend la valeur "false", ignorant les erreurs des autres prédicats. Exemple :
Cette commande renvoie la valeur "false", car tous les éléments ne sont pas supérieurs à 1: [1,2,3].all(x, x > 1)
e.exists(x, p)
Est semblable à la macro all(), mais combine les résultats du prédicat avec l'opérateur or (||). Exemple :
Cette commande renvoie la valeur "true", car au moins un élément de la liste est supérieur à 1: [1,2,3].exists(x, x > 1)
Vérifie si le certificat d'entreprise associé à l'appareil correspond à l'émetteur: device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")
e.exists_one(x, p)
Est semblable à la macro exists(), mais renvoie la valeur "true" uniquement si le prédicat d'un seul élément ou d'une seule clé renvoie la valeur "true" et le reste de la valeur "false". Toute autre combinaison de résultats booléens renvoie la valeur "false", et toute erreur de prédicat entraîne la génération d'une erreur par la macro. Exemple :
Cette commande renvoie la valeur "false", car plusieurs éléments sont supérieurs à 1: [1,2,3].exists_one(x, x > 1)
Exemples d'expressions CEL
Cette section contient des exemples d'expressions CEL utilisées pour créer des niveaux d'accès personnalisés.
Cet exemple représente un niveau d'accès qui nécessite que les conditions suivantes soient remplies pour autoriser une requête :
L'une des affirmations suivantes est vraie :
L'appareil à l'origine de la requête est détenu votre organisation et utilise un système d'exploitation Windows pour ordinateur de bureau.
L'appareil à l'origine de la requête utilise un système d'exploitation Mac pour ordinateur de bureau, est approuvé par l'administrateur de domaine et utilise au minimum la version MacOS 10.11.
Cet exemple représente un niveau d'accès qui nécessite que la condition suivante soit remplie pour autoriser une requête :
La fonction d'extension certificateBindingState détermine que le certificat présenté au moment de la requête correspond à l'un des certificats d'appareil enregistrés lors de l'inscription de l'appareil à la validation des points de terminaison.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/09/15 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2024/09/15 (UTC)."],[],[]]
