Specifica del livello di accesso personalizzato

Questa pagina descrive in dettaglio gli oggetti e gli attributi utilizzati per creare Common Expression Language (CEL) le espressioni per livelli di accesso personalizzati. Sono inclusi esempi.

Per ulteriori informazioni su CEL, consulta Definizione della lingua CEL.

Oggetti

Gestore contesto accesso fornisce quattro oggetti che contengono attributi del livello di accesso.

Oggetti
origin Contiene attributi che identificano l'origine della richiesta.
request.auth Contiene attributi che identificano gli aspetti di autenticazione e autorizzazione della richiesta.
levels Contiene attributi per definire la dipendenza da altri livelli di accesso.
device Contiene attributi che descrivono il dispositivo da cui ha avuto origine la richiesta da cui proviene.

Attributi origin

Questa sezione elenca gli attributi supportati dall'oggetto origin.

Attributi
ip
Tipo string
Descrizione

L'indirizzo IP da cui ha avuto origine la richiesta. Se l'indirizzo IP non può essere determinato, origin.ip valuta a un errore. Ti consigliamo di utilizzare inIpRange per verificare se l'indirizzo IP di origine rientra in un determinato intervallo di indirizzi IP anziché eseguire un confronto di stringhe.

Esempio:

inIpRange(origin.ip, ["203.0.113.24"])

region_code
Tipo string
Descrizione

Il codice ISO 3166-1 alpha-2 per il paese o la regione di provenienza della richiesta. Se non è possibile determinare il codice regione, origin.region_code viene valutato come errore.

Esempio:

origin.region_code == "GB"
origin.region_code in ["US", "FR", "JP"]

Attributi request.auth

Questa sezione elenca gli attributi supportati dall'oggetto request.auth.

Attributi
principal
Tipo stringa, elenco(stringa)
Descrizione

L'ID univoco dell'utente che ha effettuato la richiesta.

Il valore di request.auth.principal deve essere uno o più ID utente univoci. Gli UUID possono essere ottenuti utilizzando API Admin SDK Directory.

Il valore deve avere il seguente formato: https://accounts.google.com/UUID

Dove UUID è l'UUID di un utente.

Esempio:

request.auth.principal == "https://accounts.google.com/1134924314572461055"
request.auth.principal in ["https://accounts.google.com/1134924314572461055", "https://accounts.google.com/3134824314572461115"]

claims.crd_str.pwd
Tipo boolean
Descrizione

Utente autenticato con una password.

Esempio:

request.auth.claims.crd_str.pwd == true

claims.crd_str.push
Tipo boolean
Descrizione

L'utente si è autenticato con una notifica push sul dispositivo mobile.

Esempio:

request.auth.claims.crd_str.push == true

claims.crd_str.sms
Tipo boolean
Descrizione

Utente autenticato tramite un codice inviato via SMS o tramite una telefonata.

Esempio:

request.auth.claims.crd_str.sms == true

claims.crd_str.swk
Tipo boolean
Descrizione

La verifica in due passaggi utilizzava una chiave software, ad esempio uno smartphone, come token di sicurezza.

Esempio:

request.auth.claims.crd_str.swk == true

claims.crd_str.hwk
Tipo boolean
Descrizione

La verifica in due passaggi utilizzava una chiave hardware, come la chiave Titan di Google.

Esempio:

request.auth.claims.crd_str.hwk == true

claims.crd_str.otp
Tipo boolean
Descrizione

Utente autenticato con metodi di password monouso (Google Authenticator e codici di backup).

Esempio:

request.auth.claims.crd_str.otp == true

claims.crd_str.mfa
Tipo boolean
Descrizione

Utente autenticato con uno qualsiasi dei metodi in questa tabella, ad eccezione di pwd.

Esempio:

request.auth.claims.crd_str.mfa == true

Per saperne di più sui criteri per la sicurezza delle credenziali, consulta Configurare un criterio per la sicurezza delle credenziali.

Attributo levels

Questa sezione elenca gli attributi supportati dall'oggetto levels.

Attributi
level name
Tipo boolean
Descrizione

level name corrisponde al nome di un modello esistente livello di accesso.

Se utilizzate, le condizioni del livello di accesso specificato devono essere soddisfatti in aggiunta agli altri requisiti della tua livello di accesso.

Esempio:

levels.allow_corp_ips

Dove allow_corp_ips è il nome di un livello di accesso.

Attributo device

Questa sezione elenca gli attributi supportati dall'oggetto device. Se non c'è alcun dispositivo associati agli identificatori nella richiesta, vengono trovati tutti i seguenti viene restituito un errore.

Attributi
encryption_status
Tipo enum
Descrizione

Descrive lo stato di crittografia del dispositivo.

Valori enum:

enum DeviceEncryptionStatus {
  // The encryption status of the device is not specified or not known.
  ENCRYPTION_UNSPECIFIED == 0;
  // The device does not support encryption.
  ENCRYPTION_UNSUPPORTED == 1;
  // The device supports encryption, but is currently unencrypted.
  UNENCRYPTED == 2;
  // The device is encrypted.
  ENCRYPTED == 3;
}

Esempio:

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED

is_admin_approved_device
Tipo boolean
Descrizione

Se il dispositivo è stato approvato dall'amministratore di dominio.

Esempio:

device.is_admin_approved_device == true

is_corp_owned_device
Tipo boolean
Descrizione

Indica se il dispositivo è di proprietà dell'organizzazione.

Esempio:

device.is_corp_owned_device == true

is_secured_with_screenlock
Tipo boolean
Descrizione

Indica se sul dispositivo è attiva la funzione di blocco schermo.

Esempio:

device.is_secured_with_screenlock == true

os_type
Tipo enum
Descrizione

Identifica il sistema operativo utilizzato dal dispositivo.

Valori enum:

enum OsType {
  // The operating system of the device is not specified or not known.
  OS_UNSPECIFIED == 0;
  // A desktop Mac operating system.
  DESKTOP_MAC == 1;
  // A desktop Windows operating system.
  DESKTOP_WINDOWS == 2;
  // A desktop Linux operating system.
  DESKTOP_LINUX == 3;
  // An Android operating system.
  ANDROID == 4;
  // An iOS operating system.
  IOS == 5;
  // A desktop ChromeOS operating system.
  DESKTOP_CHROME_OS == 6;
}

Esempio:

device.os_type == OsType.DESKTOP_MAC
device.os_type != OsType.OS_UNSPECIFIED

vendors
Tipo map<string, Vendor> vendors;
Descrizione

L'oggetto vendors viene utilizzato per accedere ai dati forniti da fornitori di terze parti per la sicurezza e la gestione degli endpoint. Ciascuna il fornitore può compilare tre attributi condivisi di primo livello: is_compliant_device, is_managed_device e device_health_score.

Inoltre, i fornitori possono fornire le proprie chiavi e i propri valori a cui viene fatto riferimento utilizzando l'attributo data. Le chiavi disponibili per l'attributo data variano da fornitore a fornitore. Quando confronti il valore-chiave nell'espressione del criterio, assicurati di essere coerente. Ad esempio, se prevedi che il valore della chiave sia una stringa o un valore booleano, assicurati di confrontarlo con una stringa o con un valore booleano nell'espressione del criterio corrispondente. Tieni presente che quando il valore è un numero intero, devi confrontarlo con un numero doppio nell'espressione del criterio.

Valori enum:

// Health score of the device as provided by the vendor (possibly third party).
enum DeviceHealthScore {
  // The health score for the device is not specified or unknown.
  DEVICE_HEALTH_SCORE_UNSPECIFIED = 0;
  // The health of the device is very poor.
  VERY_POOR = 1;
  // The health of the device is poor.
  POOR = 2;
  // The health of the device is ok.
  NEUTRAL = 3;
  // The health of the device is good.
  GOOD = 4;
  // The health of the device is very good.
  VERY_GOOD = 5;
}

Esempi:

device.vendors["some_vendor"].is_compliant_device == true

device.vendors["some_vendor"].is_managed_device == true

device.vendors["some_vendor"].device_health_score == DeviceHealthScore.VERY_GOOD

device.vendors["some_vendor"].data["is_device_compromised"] == true

device.vendors["some_vendor"].data["some_num"] == 1.0

android_device_security.verified_boot
Tipo boolean
Descrizione

Se lo stato Avvio verificato di Android è green.

Esempio:

device.android_device_security.verified_boot == true

android_device_security.cts_profile_match
Tipo boolean
Descrizione

Se il dispositivo supera la conformità del profilo CTS.

Esempio:

device.android_device_security.cts_profile_match == true

android_device_security.verify_apps_enabled
Tipo boolean
Descrizione

Se sul dispositivo è attiva la verifica delle app di Google Play Protect.

Esempio:

device.android_device_security.verify_apps_enabled == true

android_device_security.has_potentially_harmful_apps
Tipo boolean
Descrizione

Se sul dispositivo sono state trovate app potenzialmente dannose.

Esempio:

device.android_device_security.has_potentially_harmful_apps == true
ios_device_security.is_device_jailbroken
Tipo boolean
Descrizione

Se il dispositivo iOS è risultato jailbroken.

Esempio:

device.ios_device_security.is_device_jailbroken == true

verified_chrome_os
Tipo boolean
Descrizione

Se la richiesta proviene da un dispositivo con un ChromeOS verificato.

Esempio:

device.verified_chrome_os == true

chrome.management_state
Tipo string
Descrizione

Il browser è gestito, a livello di browser o di profilo, e dall'azienda nel dominio corretto?

Un browser viene considerato gestito se i criteri vengono gestiti e sottoposti a push a livello centrale e se il dominio del browser o del profilo gestito corrisponde al dominio previsto sul lato server.

Di seguito sono riportati gli stati di gestione di Chrome disponibili:

Stato
MANAGED Il browser o il profilo è gestito dal cliente.
UNMANAGED Il browser o il profilo non è gestito da nessun cliente.
MANAGED_BY_OTHER_DOMAIN Il browser o il profilo è gestito da un altro cliente.
PROFILE_MANAGED Il profilo è gestito dal cliente.
BROWSER_MANAGED Il browser è gestito dal cliente.

Esempio:

device.chrome.management_state in
    [
        ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED,
        ChromeManagementState.CHROME_MANAGEMENT_STATE_PROFILE_MANAGED,
    ]

chrome.versionAtLeast
Tipo string
Descrizione

Il browser è di una versione superiore a una determinata versione minima.

Esempio:

device.chrome.versionAtLeast("88.0.4321.44")

chrome.is_realtime_url_check_enabled
Tipo boolean
Descrizione

Il connettore per il controllo degli URL in tempo reale è abilitato?

Esempio:

device.chrome.is_realtime_url_check_enabled == true | false

chrome.is_file_upload_analysis_enabled
Tipo boolean
Descrizione

Il connettore di analisi del caricamento file è abilitato?

Esempio:

device.chrome.is_file_upload_analysis_enabled == true | false

chrome.is_file_download_analysis_enabled
Tipo boolean
Descrizione

Il connettore di analisi del download dei file è abilitato?

Esempio:

device.chrome.is_file_download_analysis_enabled == true | false

chrome.is_bulk_data_entry_analysis_enabled
Tipo boolean
Descrizione

Il connettore per l'analisi del testo collettivo (incolla) è abilitato?

Esempio:

device.chrome.is_bulk_data_entry_analysis_enabled == true | false

chrome.is_security_event_analysis_enabled
Tipo boolean
Descrizione

Il connettore di reporting sugli eventi di sicurezza è abilitato?

Esempio:

device.chrome.is_security_event_analysis_enabled == true | false

Funzioni

Gestore contesto accesso fornisce le seguenti funzioni da utilizzare in CEL le espressioni per livelli di accesso personalizzati.

Funzioni
inIpRange(address, [subnets])
Tipo (stringa, elenco(stringa)) -< booleano
Descrizione

Controlla se un indirizzo IP appartiene a una delle subnet specificate.

Esempio:

inIpRange(origin.ip, ["192.0.2.0/24", "198.51.100.0/24", "203.0.113.0/24"])

device.versionAtLeast(minVersion)
Tipo DeviceType.(string) -&gt; booleano
Descrizione

Controlla se il sistema operativo del dispositivo include almeno un determinato completamente gestita. Ti consigliamo di utilizzare questa funzione con Attributo device.os_type.

Esempio:

device.versionAtLeast("10.0") == true

certificateBindingState(origin, device)
Tipo (Peer, DeviceType) -> numero intero
Descrizione

Controlla se il certificato client associato all'origine corrisponde al dispositivo e segnala lo stato.

Lo stato restituito dalla funzione può essere uno dei seguenti:

  • CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE
  • CertificateBindingState.CERT_NOT_MATCHING_EXISTING_DEVICE
  • CertificateBindingState.CERT_STATE_UNKNOWN

Esempio:

certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE

startsWith()
Tipo string.(string) -> bool
Descrizione

Verifica se l'operando della stringa inizia con l'argomento prefisso.

Esempio:

"Sample string".startsWith("Sample")

endsWith()
Tipo string.(string) -> bool
Descrizione

Verifica se l'operando stringa termina con l'argomento suffisso.

Esempio:

"Sample string".endsWith("string")

origin.clientCertFingerprint()
Tipo Origine.() -> stringa
Descrizione

Restituisce l'impronta del certificato associato all'origine. Puoi utilizzare questa opzione nelle macro per testare i certificati dei dispositivi.

Esempio:

// Checks if the enterprise certificate associated with the origin matches the device.
device.certificates.exists(cert, cert.is_valid && cert.cert_fingerprint == origin.clientCertFingerprint())

Macro per le espressioni CEL

Puoi utilizzare le seguenti macro nelle espressioni CEL per i livelli di accesso personalizzati:

Macro Descrizione
has(e.f) Verifica se un campo è disponibile. Per ulteriori dettagli, consulta Selezione dei campi. Esempio:

has({"key": "value"}.key) has(device.vendors.some_vendor)

e.all(x, p) Verifica se un predicato contiene tutti gli elementi di un elenco e o le chiavi di una mappa e. Qui x è un identificatore da utilizzare in p che si lega all'elemento o alla chiave. La macro all() combina i risultati del predicato per elemento con l'operatore and (&&). Di conseguenza, se un predicato restituisce false, la macro restituisce false, ignorando eventuali errori di altri predicati. Esempio:

Restituisce false perché non tutti gli elementi sono maggiori di 1:
[1,2,3].all(x, x > 1)

e.exists(x, p) Come la macro all(), ma combina i risultati del predicato con l'operatore or (||). Esempio:

Il risultato è true perché nell'elenco è presente almeno un elemento maggiore di 1:
[1,2,3].exists(x, x > 1)

Controlla se il certificato aziendale associato al dispositivo corrisponde all'emittente:
device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")

e.exists_one(x, p) Come la macro exists(), ma restituisce true solo se il predicato di esattamente un elemento o una chiave restituisce true e il resto false. Qualsiasi altra combinazione di risultati booleani viene valutata come false e qualsiasi errore dei predicati fa sì che la macro generi un errore. Esempio:

Restituisce false perché più di un elemento è maggiore di 1:
[1,2,3].exists_one(x, x > 1)

Espressioni CEL di esempio

Questa sezione include esempi di espressioni CEL utilizzate per creare livelli di accesso personalizzati.

Esempio 1

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Questo esempio rappresenta un livello di accesso che richiede le seguenti condizioni da soddisfare per consentire una richiesta:

  • Il dispositivo da cui ha avuto origine la richiesta è criptato.

  • Una o più delle seguenti condizioni sono vere:

    • La richiesta ha avuto origine negli Stati Uniti.

    • Il dispositivo da cui ha avuto origine la richiesta è stato approvato dal amministratore di dominio.

Esempio 2

(device.os_type == OsType.DESKTOP_WINDOWS && device.is_corp_owned_device) || (device.os_type == OsType.DESKTOP_MAC && device.is_admin_approved_device && device.versionAtLeast("10.11.0"))

Questo esempio rappresenta un livello di accesso che richiede la conformità alle seguenti condizioni per consentire una richiesta:

  • Una delle seguenti condizioni è vera:

    • Il dispositivo da cui ha avuto origine la richiesta utilizza un computer Windows del tuo sistema operativo ed è di proprietà della tua organizzazione.

    • Il dispositivo da cui ha avuto origine la richiesta utilizza un Mac desktop sistema operativo, è approvato dall'amministratore del dominio e utilizzando almeno MacOS 10.11.

Esempio 3

(certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE)

Questo esempio rappresenta un livello di accesso che richiede la conformità alla seguente condizione per consentire una richiesta:

  • La funzione di estensione certificateBindingState determina che il certificato presentato all'ora della richiesta corrisponde a uno dei dispositivi certificati registrati al momento della registrazione del dispositivo verifica endpoint.