Configurer les commandes de session pour la réauthentification

Les contrôles de session vous permettent de configurer la fréquence à laquelle les utilisateurs doivent se réauthentifier après avoir obtenu l'accès, et de déterminer si une connexion complète, un mot de passe uniquement ou une clé de sécurité matérielle sont requis.

Vous pouvez appliquer des contrôles de session pour effectuer les opérations suivantes :

  • Appliquer une réauthentification fréquente pour les utilisateurs privilégiés : exigez que les utilisateurs disposant de droits élevés, tels que les propriétaires de projets et les administrateurs de facturation, se réauthentifient plus souvent.
  • Configurer des sessions plus longues pour certaines applications : autorisez certaines applications, telles que les applications d'IA contextuelles comme Gemini, à avoir des durées de session plus longues pour préserver la grande fenêtre de contexte requise pour des performances optimales.

Définir la durée des sessions et les méthodes de réauthentification

Vous pouvez définir des contrôles de session lorsque vous créez une liaison Access Context Manager. Pour en savoir plus sur les contrôles de session, consultez Appliquer des règles à des groupes d'utilisateurs à l'aide de liaisons d'accès.

gcloud

  • Définir des commandes de session par défaut pour toutes les applications

    Utilisez l'option --session-length pour définir la durée de la session et l'option --session-reauth-method pour spécifier la méthode de réauthentification. Par exemple, vous pouvez définir une durée de session de 30 minutes (30m) et une méthode de réauthentification LOGIN, PASSWORD ou SECURITY_KEY.

    Ce paramètre s'appliquera à toutes les applications, sauf s'il est remplacé par des paramètres spécifiques à une application.

  • Définir des contrôles de session spécifiques aux applications

    Définissez scopedAccessSettings dans un fichier YAML pour spécifier les contrôles de session pour des applications spécifiques à l'aide de clientId. Cela vous permet de remplacer les contrôles de session par défaut pour ces applications. Vous pouvez ensuite transmettre le fichier YAML à l'aide de --binding-file flag.

API

Définissez les champs sessionLength et sessionReauthMethod dans sessionSettings object du corps JSON de votre requête POST pour créer ou mettre à jour une liaison GcpUserAccessBinding. Utilisez scopedAccessSettings pour définir des commandes de session spécifiques à l'application. Pour en savoir plus, consultez Définir des configurations pour des applications spécifiques.

Points clés à prendre en compte lorsque vous définissez des contrôles de session :

  • Vous ne pouvez pas spécifier la console Google Cloud à l'aide declientId. Pour appliquer des contrôles de session à la console Google Cloud , définissez-la comme valeur par défaut, puis créez des exceptions pour les autres applications.
  • Seule la liaison d'accès la plus récente correspondant à la requête est utilisée lors de la résolution des paramètres de contrôle de session.

Exemple de configuration de règle

Voici un exemple qui montre comment créer un contrôle de session qui nécessite une réauthentification toutes les 18 heures par défaut avec LOGIN, et toutes les deux heures pour une application spécifique (SENSITIVE_APP_ID) avec SECURITY_KEY.

Paramètres par défaut

Les indicateurs --level, --session-length et --session-reauth-method de la commande Google Cloud CLI (ou les champs correspondants dans le corps JSON de l'appel d'API) définissent le comportement par défaut de toutes les applications qui ne sont pas explicitement définies dans scopedAccessSettings.

Paramètres spécifiques aux applications

La section scopedAccessSettings du fichier YAML (ou du corps JSON) vous permet de remplacer les paramètres par défaut pour des applications spécifiques. Dans l'exemple, nous définissons une exigence de réauthentification de deux heures avec SECURITY_KEY pour l'application avec l'ID client SENSITIVE_APP_ID.

Pour exempter certaines applications du contrôle de session, définissez le champ sessionLength sur 0s ou sessionLengthEnabled sur false. La méthode sessionReauthMethod sera alors ignorée.

gcloud

Configuration des paramètres :

scopedAccessSettings:
  scope:
    clientScope:
      restrictedClientApplication:
        clientId: SENSITIVE_APP_ID
  activeSettings:
    sessionSettings:
      sessionLength: 7200s
      sessionReauthMethod: SECURITY_KEY
      sessionLengthEnabled: true

Créez la liaison d'accès :

gcloud access-context-manager cloud-bindings create \
    --organization ORG_ID \
    --group-key GROUP_ID \
    --binding-file BINDING_FILE_PATH \
    --level DEFAULT_ACCESS_LEVEL
    --session-length 18h \
    --session-reauth-method LOGIN

API

Corps JSON :

{
  "groupKey": "GROUP_ID",
  "accessLevels": [
    "accessPolicies/POLICY_ID/accessLevels/DEFAULT_ACCESS_LEVEL"
  ],
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "clientId": "SENSITIVE_APP_ID"
          }
        }
      },
      "activeSettings": {
        "accessLevels": [
          "accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME"
        ],
        "sessionSettings": [
          {
            "sessionLength": "2h",
            "sessionReauthMethod": "SECURITY_KEY",
            "sessionLengthEnabled": true
          }
        ]
      }
    }
  ]

Requête POST :

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings