Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina descrive in dettaglio gli oggetti e gli attributi utilizzati per creare le espressioni Common Expression Language (CEL) per i livelli di accesso personalizzati. Sono inclusi degli esempi.
Contiene gli attributi che descrivono il dispositivo da cui ha avuto origine la richiesta.
Attributi origin
Questa sezione elenca gli attributi supportati dall'oggetto origin.
Attributi
ip
Tipo
string
Descrizione
L'indirizzo IP da cui ha avuto origine la richiesta. Se non è possibile determinare l'indirizzo IP, origin.ip restituisce un errore. Ti consigliamo di utilizzare
inIpRange per verificare se l'indirizzo IP di origine si trova in un
intervallo di indirizzi IP specifico anziché eseguire un confronto di stringhe.
Esempio:
inIpRange(origin.ip,["203.0.113.24"])
region_code
Tipo
string
Descrizione
Il codice ISO
3166-1 alpha-2 per il paese o la regione da cui
ha avuto origine la richiesta. Se non è possibile determinare
il codice regione, origin.region_code restituisce
un errore.
Questa sezione elenca gli attributi supportati dall'oggetto levels.
Attributi
level name
Tipo
boolean
Descrizione
level name corrisponde al nome di un livello di accesso esistente.
Se utilizzato, le condizioni del livello di accesso specificato devono
essere soddisfatte anche in aggiunta agli altri requisiti del livello di accesso
personalizzato.
Esempio:
levels.allow_corp_ips
Dove allow_corp_ips è il nome di un
livello di accesso.
Attributo device
Questa sezione elenca gli attributi supportati dall'oggetto device. Se non viene trovato alcun dispositivo
associato agli identificatori nella richiesta, tutti gli attributi
seguenti restituiranno un errore.
Attributi
encryption_status
Tipo
enum
Descrizione
Descrive lo stato di crittografia del dispositivo.
Valori enum:
enumDeviceEncryptionStatus{// The encryption status of the device is not specified or not known.ENCRYPTION_UNSPECIFIED==0;// The device does not support encryption.ENCRYPTION_UNSUPPORTED==1;// The device supports encryption, but is currently unencrypted.UNENCRYPTED==2;// The device is encrypted.ENCRYPTED==3;}
Se il dispositivo è stato approvato dall'amministratore di dominio.
Esempio:
device.is_admin_approved_device==true
is_corp_owned_device
Tipo
boolean
Descrizione
Indica se il dispositivo è di proprietà dell'organizzazione.
Esempio:
device.is_corp_owned_device==true
is_secured_with_screenlock
Tipo
boolean
Descrizione
Indica se sul dispositivo è attiva la funzione di blocco schermo.
Esempio:
device.is_secured_with_screenlock==true
os_type
Tipo
enum
Descrizione
Identifica il sistema operativo utilizzato dal dispositivo.
Valori enum:
enumOsType{// The operating system of the device is not specified or not known.OS_UNSPECIFIED==0;// A desktop Mac operating system.DESKTOP_MAC==1;// A desktop Windows operating system.DESKTOP_WINDOWS==2;// A desktop Linux operating system.DESKTOP_LINUX==3;// An Android operating system.ANDROID==4;// An iOS operating system.IOS==5;// A desktop ChromeOS operating system.DESKTOP_CHROME_OS==6;}
L'oggetto vendors viene utilizzato per accedere ai dati forniti
da fornitori di terze parti di sicurezza e gestione degli endpoint. Ogni
fornitore può compilare tre attributi condivisi di primo livello:
is_compliant_device,
is_managed_device e
device_health_score.
Inoltre, i fornitori possono fornire chiavi e valori propri
a cui viene fatto riferimento utilizzando l'attributo data.
Le chiavi disponibili per l'attributo data variano
da fornitore a fornitore. Assicurati di essere coerente quando confronti il valore della chiave nell'espressione dei criteri. Ad esempio, se prevedi che il valore della chiave sia una stringa o un valore booleano, assicurati di confrontarlo con una stringa o un valore booleano nell'espressione dei criteri. Tieni presente che quando il valore è un numero intero, devi confrontarlo con un numero in virgola mobile nell'espressione della norma.
Per fare riferimento allo stato del dispositivo, utilizza il formato key-acme, dove acme è l'ID cliente dell'organizzazione. Puoi ottenere l'ID cliente dall'URL GET https://www.googleapis.com/admin/directory/v1/customers/my_customer. Il campo ID nella risposta contiene l'ID cliente che inizia con la lettera C. Utilizza la stringa dopo la lettera C, esclusa la lettera C, per l'ID cliente.
Valori enum:
// Health score of the device as provided by the vendor (possibly third party).enumDeviceHealthScore{// The health score for the device is not specified or unknown.DEVICE_HEALTH_SCORE_UNSPECIFIED=0;// The health of the device is very poor.VERY_POOR=1;// The health of the device is poor.POOR=2;// The health of the device is ok.NEUTRAL=3;// The health of the device is good.GOOD=4;// The health of the device is very good.VERY_GOOD=5;}
Il browser è gestito a livello di browser o di profilo e dall'azienda nel dominio corretto.
Un browser è considerato gestito se i criteri vengono gestiti e inviati centralmente e se il dominio del browser o del profilo gestito corrisponde al dominio previsto sul lato server.
Di seguito sono riportati gli stati di gestione di Chrome disponibili:
Stato
MANAGED
Il browser o il profilo è gestito dal cliente.
UNMANAGED
Il browser o il profilo non sono gestiti da alcun cliente.
MANAGED_BY_OTHER_DOMAIN
Il browser o il profilo è gestito da un altro cliente.
Verifica se il sistema operativo del dispositivo è almeno una determinata
versione. Ti consigliamo di utilizzare questa funzione con l'attributo
device.os_type.
Esempio:
device.versionAtLeast("10.0")==true
certificateBindingState(origin, device)
Tipo
(Peer, DeviceType) -> integer
Descrizione
Verifica se il certificato client associato all'origine
corrisponde al dispositivo e ne segnala lo stato.
Lo stato restituito dalla funzione può essere uno dei seguenti:
Verifica se l'operando stringa inizia con l'argomento prefisso.
Esempio:
"Sample string".startsWith("Sample")
endsWith()
Tipo
string.(string) -> bool
Descrizione
Verifica se l'operando stringa termina con l'argomento suffisso.
Esempio:
"Sample string".endsWith("string")
origin.clientCertFingerprint()
Tipo
Origin.() -> string
Descrizione
Restituisce l'impronta del certificato associato all'origine. Puoi utilizzarlo nelle macro per testare i certificati dei dispositivi.
Esempio:
// Checks if the enterprise certificate associated with the origin matches the device.device.certificates.exists(cert,cert.is_valid && cert.cert_fingerprint==origin.clientCertFingerprint())
Macro per le espressioni CEL
Puoi utilizzare le seguenti macro nelle espressioni CEL per i livelli di accesso personalizzati:
Macro
Descrizione
has(e.f)
Verifica se un campo è disponibile. Per ulteriori dettagli, consulta Selezione dei campi. Esempio:
Verifica se un predicato è valido per tutti gli elementi di un elenco e o le chiavi di una mappa e. Qui x è un identificatore da utilizzare in p che si associa all'elemento o alla chiave. La macro all() combina i risultati del predicato per ciascun elemento con l'operatore and (&&), quindi se un predicato restituisce false, la macro restituisce false, ignorando eventuali errori di altri predicati. Esempio:
Questo valore restituisce false perché non tutti gli elementi sono maggiori di 1: [1,2,3].all(x, x > 1)
e.exists(x, p)
Come la macro all(), ma combina i risultati del predicato con l'operatore or (||). Esempio:
Restituisce true perché nell'elenco è presente almeno un elemento maggiore di 1: [1,2,3].exists(x, x > 1)
Verifica se il certificato aziendale associato al dispositivo corrisponde all'autorità di certificazione: device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")
e.exists_one(x, p)
Come la macro exists(), ma restituisce true solo se il predicato di esattamente un elemento o una chiave restituisce true e gli altri false. Qualsiasi altra combinazione di risultati booleani restituisce false e qualsiasi errore del predicato fa sì che la macro generi un errore. Esempio:
Questa formula restituisce false perché più di un elemento è maggiore di 1: [1,2,3].exists_one(x, x > 1)
Espressioni CEL di esempio
Questa sezione include esempi di espressioni CEL utilizzate per creare livelli di accesso personalizzati.
Questo esempio rappresenta un livello di accesso che richiede la conformità alle seguenti condizioni
per consentire una richiesta:
Una delle seguenti condizioni è vera:
Il dispositivo da cui ha avuto origine la richiesta utilizza un sistema operativo Windows
desktop ed è di proprietà della tua organizzazione.
Il dispositivo da cui ha avuto origine la richiesta utilizza un sistema operativo Mac desktop, è approvato dall'amministratore di dominio e utilizza almeno macOS 10.11.
Questo esempio rappresenta un livello di accesso che richiede la conformità alla seguente condizione
per consentire una richiesta:
La funzione di estensione certificateBindingState determina che il
certificato presentato al momento della richiesta corrisponda a uno dei certificati
del dispositivo registrati al momento della registrazione del dispositivo in
verifica endpoint.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-07-10 UTC."],[[["This document outlines four primary objects—`origin`, `request.auth`, `levels`, and `device`—used to construct Common Expression Language (CEL) expressions for Access Context Manager, each containing specific attributes to evaluate access levels."],["The `origin` object offers attributes like `ip` and `region_code` to define the request's source, allowing checks like whether a user is within a specific IP range or region, and supports the use of `inIpRange` to compare ip addresses."],["The `request.auth` object verifies user authentication, identifying the user's ID (`principal`) and the method used for authentication, such as password, push notification, or security key, via `claims.crd_str` attributes."],["The `device` object provides detailed information about the requesting device, including its encryption status, admin approval, ownership, OS type, and device-specific attributes for third-party vendor data, and the use of security protocols."],["The document also includes function and macro details for defining CEL expressions, such as `inIpRange`, `device.versionAtLeast`, `certificateBindingState`, `has`, and `e.all` , `e.exists` and `e.exists_one` for constructing complex access control rules."]]],[]]
