Benutzerdefinierte Spezifikation der Zugriffsebene
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Auf dieser Seite werden die Objekte und Attribute beschrieben, mit denen die CEL-Ausdrücke (Common Expression Language) für benutzerdefinierte Zugriffsebenen erstellt werden. Beispiele sind enthalten.
Enthält Attribute, die das Gerät beschreiben, von dem die Anfrage stammt.
origin-Attribute
In diesem Abschnitt werden die vom origin-Objekt unterstützten Attribute aufgeführt.
Attribute
ip
Typ
String
Beschreibung
Die IP-Adresse, von der die Anfrage stammt. Wenn die IP-Adresse nicht ermittelt werden kann, wird origin.ip als Fehler ausgewertet. Wir empfehlen, mit inIpRange zu prüfen, ob sich die Ursprungs-IP-Adresse in einem bestimmten IP-Adressbereich befindet, anstatt einen Stringvergleich durchzuführen.
Beispiel:
inIpRange(origin.ip,["203.0.113.24"])
region_code
Typ
String
Beschreibung
Der ISO 3166-1-Alpha-2-Code für das Land oder die Region, aus dem oder der die Anfrage stammt. Wenn der Ländercode nicht ermittelt werden kann, wird origin.region_code als Fehler ausgewertet.
In diesem Abschnitt werden die vom levels-Objekt unterstützten Attribute aufgeführt.
Attribute
level name
Typ
boolean
Beschreibung
level name entspricht dem Namen einer vorhandenen Zugriffsebene.
Wenn verwendet müssen die Bedingungen der angegebenen Zugriffsebene zusätzlich zu den anderen Anforderungen Ihrer benutzerdefinierten Zugriffsebene erfüllt werden.
Beispiel:
levels.allow_corp_ips
Dabei ist allow_corp_ips der Name einer Zugriffsebene.
device Attribut
In diesem Abschnitt werden die vom device-Objekt unterstützten Attribute aufgeführt. Wenn kein Gerät gefunden wird, das mit den Kennungen in der Anfrage verknüpft ist, wird für alle folgenden Attribute ein Fehler zurückgegeben.
Attribute
encryption_status
Typ
enum
Beschreibung
Beschreibt den Verschlüsselungsstatus des Geräts.
Aufzählungswerte:
enumDeviceEncryptionStatus{// The encryption status of the device is not specified or not known.ENCRYPTION_UNSPECIFIED==0;// The device does not support encryption.ENCRYPTION_UNSUPPORTED==1;// The device supports encryption, but is currently unencrypted.UNENCRYPTED==2;// The device is encrypted.ENCRYPTED==3;}
Gibt an, ob das Gerät vom Domainadministrator genehmigt wurde.
Beispiel:
device.is_admin_approved_device==true
is_corp_owned_device
Typ
boolean
Beschreibung
Gibt an, ob das Gerät der Organisation gehört.
Beispiel:
device.is_corp_owned_device==true
is_secured_with_screenlock
Typ
boolean
Beschreibung
Gibt an, ob die Displaysperre aktiviert ist.
Beispiel:
device.is_secured_with_screenlock==true
os_type
Typ
enum
Beschreibung
Ermittelt, welches Betriebssystem das Gerät verwendet.
Aufzählungswerte:
enumOsType{// The operating system of the device is not specified or not known.OS_UNSPECIFIED==0;// A desktop Mac operating system.DESKTOP_MAC==1;// A desktop Windows operating system.DESKTOP_WINDOWS==2;// A desktop Linux operating system.DESKTOP_LINUX==3;// An Android operating system.ANDROID==4;// An iOS operating system.IOS==5;// A desktop ChromeOS operating system.DESKTOP_CHROME_OS==6;}
Das Objekt vendors wird verwendet, um auf Daten zuzugreifen, die von Drittanbietern für Sicherheit und Endpunktverwaltung bereitgestellt werden. Jeder Anbieter kann drei gemeinsame Attribute der obersten Ebene ergänzen: is_compliant_device, is_managed_device und device_health_score.
Darüber hinaus können Anbieter ihre eigenen Schlüssel und Werte angeben, auf die im Attribut data verwiesen wird.
Die für das Attribut data verfügbaren Schlüssel unterscheiden sich je nach Anbieter. Überprüfen Sie, ob der Schlüsselwert in Ihrem Richtlinienausdruck verglichen wird. Wenn Sie beispielsweise davon ausgehen, dass der Schlüsselwert ein String oder boolesch ist, müssen Sie ihn mit einem String oder einem booleschen Wert im Richtlinienausdruck vergleichen. Wenn der Wert eine Ganzzahl ist, sollten Sie ihn im Richtlinienausdruck mit einer doppelten Zahl vergleichen.
Verwenden Sie für den Gerätestatus das Format key-acme, wobei acme die Kunden-ID der Organisation ist. Sie können die Kunden-ID aus der GET https://www.googleapis.com/admin/directory/v1/customers/my_customer-URL abrufen. Das ID-Feld in der Antwort enthält die Kunden-ID, die mit dem Buchstaben C beginnt. Verwenden Sie den String nach dem Buchstaben C (ohne den Buchstaben C) für die Kunden-ID.
Aufzählungswerte:
// Health score of the device as provided by the vendor (possibly third party).enumDeviceHealthScore{// The health score for the device is not specified or unknown.DEVICE_HEALTH_SCORE_UNSPECIFIED=0;// The health of the device is very poor.VERY_POOR=1;// The health of the device is poor.POOR=2;// The health of the device is ok.NEUTRAL=3;// The health of the device is good.GOOD=4;// The health of the device is very good.VERY_GOOD=5;}
Wird der Browser auf Browser- oder Profilebene und vom Unternehmen unter der richtigen Domain verwaltet?
Ein Browser gilt als verwaltet, wenn die Richtlinien zentral verwaltet und übertragen werden und die Domain des verwalteten Browsers oder des verwalteten Profils mit der erwarteten Domain auf der Serverseite übereinstimmt.
Folgende Chrome-Verwaltungsstatus sind verfügbar:
Bundesland
MANAGED
Der Browser oder das Profil wird vom Kunden verwaltet.
UNMANAGED
Der Browser oder das Profil wird von keinem Kunden verwaltet.
MANAGED_BY_OTHER_DOMAIN
Der Browser oder das Profil wird von einem anderen Kunden verwaltet.
Prüft, ob das Betriebssystem des Geräts mindestens eine bestimmte Version hat. Wir empfehlen, diese Funktion mit dem Attribut device.os_type zu verwenden.
Beispiel:
device.versionAtLeast("10.0")==true
certificateBindingState(origin, device)
Typ
(Peer, DeviceType) -> Ganzzahl
Beschreibung
Prüft, ob das mit dem Ursprung verknüpfte Clientzertifikat mit dem Gerät übereinstimmt und den Status meldet.
Der von der Funktion zurückgegebene Status kann einer der folgenden sein:
Prüft, ob der Stringoperand mit dem Präfixargument beginnt.
Beispiel:
"Sample string".startsWith("Sample")
endsWith()
Typ
string.(string) -> bool
Beschreibung
Prüft, ob der String-Operand mit dem Suffix-Argument endet.
Beispiel:
"Sample string".endsWith("string")
origin.clientCertFingerprint()
Typ
Origin.() -> string
Beschreibung
Gibt den Fingerabdruck des Zertifikats zurück, das mit dem Ursprung verknüpft ist. Sie können dies in Makros verwenden, um Geräte-Zertifikate zu testen.
Beispiel:
// Checks if the enterprise certificate associated with the origin matches the device.device.certificates.exists(cert,cert.is_valid && cert.cert_fingerprint==origin.clientCertFingerprint())
Makros für CEL-Ausdrücke
Sie können die folgenden Makros in den CEL-Ausdrücken für benutzerdefinierte Zugriffsebenen verwenden:
Makro
Beschreibung
has(e.f)
Prüft, ob ein Feld verfügbar ist. Weitere Informationen finden Sie unter Feldauswahl. Beispiel:
Prüft, ob ein Prädikat für alle Elemente einer Liste e oder alle Schlüssel einer Zuordnung e gilt. Dabei ist x eine Kennung, die in p verwendet wird und an das Element oder den Schlüssel gebunden ist. Das Makro all() kombiniert die Prädikatsergebnisse pro Element mit dem Operator and (&&). Wenn also ein Prädikat als „false“ ausgewertet wird, wird das Makro als „false“ ausgewertet und alle Fehler von anderen Prädikaten werden ignoriert. Beispiel:
Hier wird „false“ zurückgegeben, da nicht alle Elemente größer als 1 sind: [1,2,3].all(x, x > 1)
e.exists(x, p)
Ähnlich wie das Makro all(), kombiniert die Prädikatsergebnisse jedoch mit dem Operator or (||). Beispiel:
Dieser Ausdruck gibt „true“ zurück, da mindestens ein Element in der Liste größer als 1 ist: [1,2,3].exists(x, x > 1)
Prüft, ob das mit dem Gerät verknüpfte Unternehmenszertifikat mit dem Aussteller übereinstimmt: device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")
e.exists_one(x, p)
Funktioniert wie das Makro exists(), wird aber nur dann als „true“ ausgewertet, wenn das Prädikat genau eines Elements oder Schlüssels als „true“ und das der anderen als „false“ ausgewertet wird. Jede andere Kombination von booleschen Ergebnissen ergibt „false“. Jeder Prädikatfehler führt dazu, dass im Makro ein Fehler ausgegeben wird. Beispiel:
Hier wird „false“ zurückgegeben, da mehr als ein Element größer als 1 ist: [1,2,3].exists_one(x, x > 1)
Beispiel-CEL-Ausdrücke
Dieser Abschnitt enthält Beispiele für CEL-Ausdrücke, die zum Erstellen benutzerdefinierter Zugriffsebenen verwendet werden.
Dieses Beispiel stellt eine Zugriffsebene dar, für die die folgenden Bedingungen erfüllt sein müssen, um eine Anfrage zuzulassen:
Eine der folgenden Aussagen ist richtig:
Das Gerät, von dem die Anfrage stammt, verwendet ein Desktop-Windows-Betriebssystem und gehört Ihrer Organisation.
Das Gerät, von dem die Anfrage stammt, verwendet ein Mac-Desktop-Betriebssystem, ist vom Domainadministrator genehmigt und verwendet mindestens MacOS10.11.
Dieses Beispiel stellt eine Zugriffsebene dar, für die die folgende Bedingung erfüllt sein müssen, um eine Anfrage zuzulassen:
Die Erweiterungsfunktion certificateBindingState bestimmt, dass das bei der Anfrage angegebene Zertifikat mit einem der Gerätezertifikate übereinstimmt, die bei der Registrierung des Geräts in der Endpunktprüfung registriert wurden.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-10 (UTC)."],[[["This document outlines four primary objects—`origin`, `request.auth`, `levels`, and `device`—used to construct Common Expression Language (CEL) expressions for Access Context Manager, each containing specific attributes to evaluate access levels."],["The `origin` object offers attributes like `ip` and `region_code` to define the request's source, allowing checks like whether a user is within a specific IP range or region, and supports the use of `inIpRange` to compare ip addresses."],["The `request.auth` object verifies user authentication, identifying the user's ID (`principal`) and the method used for authentication, such as password, push notification, or security key, via `claims.crd_str` attributes."],["The `device` object provides detailed information about the requesting device, including its encryption status, admin approval, ownership, OS type, and device-specific attributes for third-party vendor data, and the use of security protocols."],["The document also includes function and macro details for defining CEL expressions, such as `inIpRange`, `device.versionAtLeast`, `certificateBindingState`, `has`, and `e.all` , `e.exists` and `e.exists_one` for constructing complex access control rules."]]],[]]
