Chrome Enterprise Premium fornisce uno strumento per la risoluzione dei problemi che gli amministratori possono utilizzare per valutare e analizzare l'accesso di un utente finale.
Chrome Enterprise Premium consente alle aziende di creare regole avanzate che forniscono l'accesso alle applicazioni in base al contesto. Tuttavia, quando applichi più regole di accesso alle risorse, dalle limitazioni di località alle regole del dispositivo, può essere difficile capire in che modo vengono valutati i criteri e perché un utente finale ha o meno accesso alla risorsa di destinazione.
Lo strumento per la risoluzione dei problemi relativi ai criteri ti consente di identificare il motivo per cui l'accesso va a buon fine o non va a buon fine e, se necessario, di modificare il criterio e di chiedere all'utente finale di modificare il proprio contesto per consentire l'accesso o di rimuovere la associazione per negare l'accesso inaspettato.
Lo strumento per la risoluzione dei problemi relativi ai criteri è uno strumento prezioso per le organizzazioni che devono applicare più regole a più risorse per gruppi di utenti diversi.
Prima di iniziare
Lo strumento per la risoluzione dei problemi relativi ai criteri è una funzionalità premium e richiede una licenza Chrome Enterprise Premium.
Per massimizzare l'efficacia di Policy Troubleshooter, assicurati di disporre del ruolo di revisore della sicurezza (roles/iam.securityReviewer). In questo modo, potrai leggere tutti i criteri Cloud IAM applicabili.
Per risolvere i problemi di accesso per un dispositivo, devi disporre dell'autorizzazione per visualizzarne i dettagli. Se i criteri associati alla risorsa di destinazione contengono criteri del dispositivo, ad esempio un livello di accesso che richiede la crittografia del dispositivo, potresti non ottenere risultati accurati a meno che non venga verificata l'autorizzazione per recuperare i dettagli del dispositivo dell'entità di destinazione. In genere, i super amministratori di Google Workspace, gli amministratori dei servizi e gli amministratori dei dispositivi mobili hanno accesso per visualizzare i dettagli del dispositivo. Per consentire a un utente che non è un super amministratore, un amministratore di servizio o un amministratore mobile di risolvere i problemi di accesso:
- Crea un ruolo amministrativo Google Workspace personalizzato che contenga il privilegio Servizi > Gestione dei dispositivi mobili > Gestisci dispositivi e impostazioni (in Privilegi della Console di amministrazione).
- Assegna il ruolo agli utenti utilizzando la Console di amministrazione.
Per risolvere i problemi di accesso a una risorsa concessa da un Google Cloud gruppo, devi disporre dell'autorizzazione per visualizzarne i membri. Se i criteri contengono un gruppo, devi disporre dell'autorizzazione per visualizzare i dettagli del gruppo prima di aprirlo. In genere, i super amministratori e gli amministratori dei gruppi di Google Workspace hanno accesso per visualizzare l'appartenenza al gruppo. Per consentire a un utente che non è un super amministratore o un amministratore di gruppo di risolvere i problemi di accesso, completa i seguenti passaggi:
- Crea un ruolo amministrativo di Google Workspace personalizzato che contenga il privilegio Gruppi > Lettura (in Privilegi delle API amministrative).
- Assegna il ruolo all'utente. In questo modo, l'utente può visualizzare l'appartenenza a tutti i gruppi all'interno del tuo dominio e risolvere i problemi di accesso in modo più efficace.
L'autorizzazione Ruolo personalizzato è facoltativa. Se non disponi dell'autorizzazione per visualizzare un ruolo personalizzato, potresti non essere in grado di stabilire se un'entità ha accesso al ruolo dalle associazioni con ruoli personalizzati.
Panoramica del flusso di lavoro dello strumento per la risoluzione dei problemi
Risolvere i problemi di accesso negato
Per risolvere i problemi di accesso negato, puoi attivare la funzionalità per una risorsa IAP nelle impostazioni IAP facendo clic sui tre puntini a destra dell'applicazione protetta IAP, Impostazioni e selezionando Genera un URL per la risoluzione dei problemi. Per massimizzare l'efficacia di Strumento per la risoluzione dei problemi relativi ai criteri, assicurati di disporre del ruolo Amministratore delle impostazioni IAP (roles/iap.settingsAdmin). In questo modo, potrai recuperare e aggiornare le impostazioni IAP di tutte le risorse IAP.
Gli URL per la risoluzione dei problemi vengono visualizzati solo nelle pagine 403 predefinite, se abilitati.
Lo strumento per la risoluzione dei problemi relativi ai criteri fornisce un'interfaccia utente in cui puoi visualizzare i risultati dettagliati della valutazione di tutti i criteri effettivi per la risorsa IAP di destinazione. Quando l'accesso di un utente non va a buon fine, la pagina 403 mostra un URL del risolutore dei problemi. Quando viene visitato, lo strumento per la risoluzione dei problemi relativi ai criteri mostra i dettagli delle associazioni con errori e l'analisi dei livelli di accesso con errori, se esistono nelle associazioni. Puoi anche utilizzare lo strumento per la risoluzione dei problemi per visualizzare una vista dettagliata dell'accesso di un utente a una risorsa.
Accesso utente negato
Quando un utente non dispone dell'autorizzazione o non soddisfa la condizione richiesta per accedere a una risorsa IAP, viene indirizzato a una pagina di errore 403 di accesso negato. La pagina 403 include un URL per la risoluzione dei problemi che può essere copiato e inviato manualmente al proprietario dell'applicazione o all'amministratore della sicurezza oppure l'utente può fare clic su Invia email nell'interfaccia utente.
Quando un utente fa clic su Invia email, viene inviata un'email all'indirizzo email dell'assistenza (supportEmail) configurato nella schermata del consenso di OAuth. Per ulteriori informazioni sulla configurazione della schermata per il consenso OAuth, consulta la pagina Creare client OAuth per gli acquisti in-app in modo programmatico.
Risolvere i problemi di accesso non riuscito
Quando ricevi il link per una richiesta di accesso non riuscita da un utente finale, puoi fare clic sull'URL, che si aprirà nel browser predefinito. Se non hai eseguito l'accesso alla Google Cloud console nel browser predefinito, potresti essere reindirizzato a un'altra pagina di accesso per accedere alla pagina di analisi dello strumento per la risoluzione dei problemi relativi ai criteri.
La pagina di analisi di Policy Troubleshooter fornisce una visualizzazione di riepilogo, una visualizzazione dei criteri IAM e una tabella che mostrano il contesto di un utente e del dispositivo, ad esempio l'indirizzo dell'entità, l'ID dispositivo, la risorsa IAP a cui si accede e così via.
La visualizzazione riepilogativa fornisce una panoramica aggregata di tutti i risultati pertinenti relativi alle norme e all'idoneità. La visualizzazione dei criteri IAM fornisce un elenco dei risultati di valutazione delle associazioni IAM effettive, concesse o meno, insieme a una visualizzazione di alto livello dei punti in cui si sono verificati errori, ad esempio Principale non è un membro e non soddisfa le condizioni.
Per analizzare ulteriormente l'accesso non riuscito, puoi visualizzare i dettagli di associazione. In Dettagli associazione, puoi vedere i componenti di associazione Ruolo, Principale e Condizione. Il componente che dispone delle autorizzazioni sufficienti sarà contrassegnato come Nessuna azione richiesta. Componenti in cui l'accesso non è riuscito, le lacune nelle autorizzazioni sono spiegate esplicitamente, ad esempio Categoria principale: aggiungi il principale ai gruppi riportati di seguito.
Tieni presente che nell'interfaccia utente, la sezione Eseguire il binding dei dati pertinenti è attiva per impostazione predefinita. Le associazioni elencate nella sezione Associazioni pertinenti non sono un elenco esaustivo, ma sono le associazioni più pertinenti che potrebbero interessarti per la risoluzione di un problema di accesso specifico. I criteri effettivi associati a una risorsa specifica potrebbero contenere molte associazioni non pertinenti alla risorsa, ad esempio un'autorizzazione Cloud Storage concessa a livello di progetto. I dettagli non pertinenti vengono filtrati.
Puoi esaminare ulteriormente una condizione non riuscita consultando le spiegazioni dei livelli di accesso. I dettagli del livello di accesso indicano dove si è verificato l'errore e suggeriscono le correzioni per risolverlo. Puoi propagare le azioni necessarie all'utente o correggere i criteri, se necessario. Ad esempio, puoi inviare all'utente la seguente azione: Richiesta non riuscita perché il dispositivo non è di proprietà dell'azienda.
Attivare l'URL per la risoluzione dei problemi per la pagina di errore Access Denied personalizzata
Per aggiungere l'URL dello strumento per la risoluzione dei problemi relativi ai criteri alla pagina di errore Access Denied del cliente, svolgi i seguenti passaggi:
- Reindirizza gli utenti alla tua pagina personalizzata anziché alla pagina di errore IAP predefinita completando il seguente passaggio: Impostare una pagina di errore personalizzata per accesso negato.
- Attiva la funzionalità dell'URL di Policy Troubleshooter nelle impostazioni IAP.
Dopo aver configurato l'URL pagina access denied nelle impostazioni IAP, l'URL dello strumento per la risoluzione dei problemi relativi ai criteri viene incorporato come parametro di query escluso. Assicurati di eliminare le escape dal parametro di query con escape prima di aprirlo. La chiave del parametro di query è troubleshooting-url.
Risolvere in modo proattivo i problemi di accesso degli utenti
Puoi utilizzare lo strumento per la risoluzione dei problemi relativi ai criteri, disponibile nel riquadro Sicurezza della pagina di destinazione di Chrome Enterprise Premium, per risolvere i problemi relativi a eventi ipotetici e ottenere informazioni e visibilità sui tuoi criteri di sicurezza. Ad esempio, puoi controllare l'accesso di un utente a una determinata risorsa protetta da IAP e verificare se è effettivamente necessaria. Un altro esempio è quando apporti una modifica alle norme di una risorsa protetta da IAP e vuoi assicurarti che il super amministratore abbia ancora accesso. Puoi andare alla Console dei dispositivi Google Amministrazione per ottenere l'ID dispositivo di proprietà del super amministratore e utilizzarlo nello strumento per la risoluzione dei problemi per verificare l'accesso.
Risolvi i problemi relativi a richieste ipotetiche per verificare che un utente disponga delle autorizzazioni necessarie per accedere a una risorsa IAP prima che si verifichi un evento di rifiuto reale. A questo scopo, puoi utilizzare l'indirizzo email dell'utente, la risorsa IAP di destinazione e eventuali contesti di richiesta facoltativi, tra cui indirizzo IP, timestamp, ID dispositivo o contesto del dispositivo.
Quando risolvi i problemi relativi a richieste ipotetiche che utilizzano l'ID dispositivo, assicurati che il dispositivo appartenga all'indirizzo email principale di destinazione. Puoi recuperare l'ID dispositivo dal log di controllo IAP o da Console di amministrazione Google -> Dispositivi -> Dispositivi mobili ed endpoint -> Dispositivi.
Durante la risoluzione dei problemi relativi a richieste ipotetiche che utilizzano il contesto del dispositivo, lo strumento per la risoluzione dei problemi supporta i seguenti attributi:
is_secured_with_screenlockencryption_statusos_typeos_versionverified_chrome_osis_admin_approved_deviceis_corp_owned_device
Scenari di risoluzione dei problemi comuni
Di seguito sono riportati alcuni scenari comuni che potresti riscontrare quando utilizzi lo strumento per la risoluzione dei problemi relativi alle norme:
- Fornisci un elemento strategico all'utente finale dopo la risoluzione dei problemi, ad esempio chiedendo all'utente finale di passare a un dispositivo di proprietà dell'azienda o di aggiornare il sistema operativo.
- Scopri di non aver assegnato l'autorizzazione corretta all'utente finale, quindi crei una nuova associazione per il principale target nell'interfaccia IAP (
roles/iap.httpsResourceAccessor). - Scopri di aver creato un livello di accesso in modo errato per i seguenti motivi di esempio:
- Hai creato complesse limitazioni degli attributi nidificati, ad esempio sottoreti aziendali, che non si applicano più perché i dipendenti ora lavorano da casa.
- Hai applicato parametri di livello di accesso errati. Ad esempio, hai specificato che gli utenti possono creare un livello personalizzato con limitazioni per i fornitori, ma hai confrontato gli attributi con tipi diversi. Ad esempio,
device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Tieni presente che il lato sinistro restituisce un valore booleano, mentre il lato destro restituisce una stringatrue. A causa degli attributi non equivalenti, è difficile rilevare l'errore nel costrutto del criterio. Lo strumento per la risoluzione dei problemi relativi alle norme spiega che si tratta di un errore con risultati di valutazione parziale dettagliati su entrambi i lati.
Comportamento previsto dello strumento per la risoluzione dei problemi
La risoluzione dei problemi relativi agli accessi con limitazioni viene eseguita utilizzando i criteri e le informazioni sul dispositivo attuali con il timestamp corrente. Pertanto, se hai sincronizzato il dispositivo o modificato i criteri dopo il rifiuto dell'accesso limitato, non stai risolvendo il problema utilizzando i vecchi contesti e dati. Stai risolvendo i problemi utilizzando i contesti e i dati attuali.
Suggerimenti per la risoluzione dei problemi relativi alle associazioni
Per tutti i componenti (Ruolo, Principale, Condizione) di eventuali associazioni con errori di autorizzazione, concedi le autorizzazioni necessarie se vuoi controllare i risultati della risoluzione dei problemi di queste associazioni.
Se il controllo del ruolo non va a buon fine in una associazione, completa le seguenti azioni:
- Controlla altre associazioni o crea una nuova utilizzando l'interfaccia IAP per concedere il ruolo
roles/iap.httpsResourceAccessoral principale con i livelli di accesso applicati, se necessario. - Se si tratta di un ruolo personalizzato, puoi aggiungere l'autorizzazione target al ruolo personalizzato per concederla (dopo aver corretto eventuali errori relativi all'entità ed eventuali errori relativi alle condizioni, se applicabili). Tieni presente che l'aggiunta di autorizzazioni a un ruolo personalizzato esistente potrebbe concedere ad altre associazioni con questo ruolo più autorizzazioni del necessario. Non farlo a meno che tu non conosca l'ambito del ruolo personalizzato e il rischio della tua operazione.
- Se non si tratta di un ruolo personalizzato, controlla altre associazioni o crea una nuova utilizzando l'interfaccia IAP per concedere il ruolo
roles/iap.httpsResourceAccessoral principale con i livelli di accesso applicati, se necessario.
Se il controllo del ruolo va a buon fine, ma quello del principale non va a buon fine, completa le seguenti azioni:
- Se i membri contengono un gruppo, puoi aggiungere l'entità al gruppo per concedere le autorizzazioni (dopo aver corretto eventuali errori di condizione, se applicabili). Tieni presente che l'aggiunta di un'entità a un gruppo esistente potrebbe concedere al gruppo più autorizzazioni del necessario. Non farlo a meno che tu non conosca l'ambito del gruppo e il rischio della tua operazione.
- Se i membri non contengono un gruppo, controlla altre associazioni o crea una nuova utilizzando l'interfaccia IAP per concedere il
roles/iap.httpsResourceAccessoral principale con i livelli di accesso applicati, se necessario.
Se il controllo del ruolo e dell'entità ha esito positivo, ma la condizione non va a buon fine, controlla i dettagli per la risoluzione dei problemi di ogni singolo livello di accesso elencato nella condizione, se la condizione è composta solo da livelli di accesso collegati con l'operatore logico OR.