Memecahkan masalah menggunakan Pemecah Masalah Kebijakan untuk Chrome Enterprise Premium

Chrome Enterprise Premium menyediakan alat pemecahan masalah yang dapat digunakan administrator untuk melakukan triase dan menganalisis akses pengguna akhir.

Chrome Enterprise Premium memungkinkan perusahaan membuat aturan lanjutan yang memberikan akses aplikasi berbasis konteks. Namun, jika Anda menerapkan beberapa aturan akses ke resource, mulai dari pembatasan lokasi hingga aturan perangkat, hal ini dapat menyulitkan untuk memahami cara kebijakan dievaluasi dan alasan pengguna akhir memiliki atau tidak memiliki akses ke resource target.

Pemecah Masalah Kebijakan memungkinkan Anda mengidentifikasi alasan akses berhasil atau gagal, dan jika diperlukan, mengubah kebijakan dan meminta pengguna akhir untuk mengubah konteks mereka guna mengizinkan akses atau menghapus binding untuk menolak akses yang tidak terduga.

Pemecah Masalah Kebijakan adalah alat yang berharga bagi organisasi yang perlu menerapkan beberapa aturan ke beberapa resource untuk berbagai grup pengguna.

Sebelum memulai

Pemecah Masalah Kebijakan adalah fitur premium dan memerlukan lisensi Chrome Enterprise Premium.

Untuk memaksimalkan efektivitas Pemecah Masalah Kebijakan, pastikan Anda memiliki peran Peninjau Keamanan (roles/iam.securityReviewer). Hal ini memastikan bahwa Anda dapat membaca semua kebijakan Cloud IAM yang berlaku.

Untuk memecahkan masalah akses perangkat, Anda harus memiliki izin untuk melihat detailnya. Jika kebijakan yang terkait dengan resource target berisi kebijakan perangkat, seperti tingkat akses yang mewajibkan perangkat dienkripsi, Anda mungkin tidak mendapatkan hasil yang akurat kecuali jika izin untuk mengambil detail perangkat akun utama target diverifikasi. Admin Super Google Workspace, Admin Layanan, dan Admin Seluler biasanya memiliki akses untuk melihat detail perangkat. Untuk mengizinkan pengguna yang bukan Admin Super, Layanan, atau Seluler memecahkan masalah akses, selesaikan langkah-langkah berikut:

  1. Buat peran administrator Google Workspace kustom yang berisi hak istimewa Layanan > Pengelolaan Perangkat Seluler > Kelola Perangkat dan Setelan (terdapat di bagian Hak Istimewa Konsol Admin).
  2. Tetapkan peran kepada pengguna menggunakan konsol Admin.

Untuk memecahkan masalah akses ke resource yang diberikan oleh grup Google Cloud, Anda harus memiliki izin untuk melihat anggotanya. Jika kebijakan berisi grup, Anda harus memiliki izin untuk melihat detail grup sebelum membukanya. Admin Super dan Admin Grup Google Workspace biasanya memiliki akses untuk melihat keanggotaan grup. Untuk mengizinkan pengguna yang bukan admin Super atau Grup memecahkan masalah akses, selesaikan langkah-langkah berikut:

  1. Buat peran administrator Google Workspace kustom yang berisi hak istimewa Grup > Baca (terletak di bagian Hak Istimewa Admin API).
  2. Tetapkan peran kepada pengguna. Hal ini memungkinkan pengguna melihat keanggotaan semua grup dalam domain Anda, dan memecahkan masalah akses secara lebih efektif.

Izin Peran Khusus bersifat opsional. Jika tidak memiliki izin untuk melihat peran khusus, Anda mungkin tidak dapat mengetahui apakah akun utama memiliki akses ke peran tersebut dari binding dengan peran khusus.

Ringkasan alur kerja pemecah masalah

Memecahkan masalah akses yang ditolak

Untuk memecahkan masalah akses yang ditolak, Anda dapat mengaktifkan fitur untuk resource IAP di setelan IAP dengan mengklik tiga titik di sebelah kanan aplikasi yang dilindungi IAP, Setelan, lalu memilih Buat URL pemecahan masalah. Untuk memaksimalkan efektivitas Pemecah Masalah Kebijakan, pastikan Anda memiliki peran Admin Setelan IAP (roles/iap.settingsAdmin). Hal ini memastikan bahwa Anda dapat mengambil dan memperbarui setelan IAP dari semua resource IAP.

URL pemecahan masalah hanya ditampilkan di halaman 403 default, jika diaktifkan.

Pemecah Masalah Kebijakan menyediakan antarmuka pengguna tempat Anda dapat melihat hasil evaluasi mendetail dari semua kebijakan yang efektif untuk resource IAP target. Jika akses pengguna gagal, halaman 403 akan menampilkan URL pemecah masalah. Saat dibuka, Pemecah Masalah Kebijakan akan menampilkan detail binding yang gagal dan analisis tingkat akses yang gagal, jika ada dalam binding. Anda juga dapat menggunakan pemecah masalah untuk melihat tampilan mendetail tentang akses pengguna ke resource.

Akses pengguna ditolak

Jika pengguna tidak memiliki izin atau tidak memenuhi kondisi yang diperlukan untuk mengakses resource IAP, pengguna akan diarahkan ke halaman error akses ditolak 403. Halaman 403 menyertakan URL pemecahan masalah yang dapat disalin dan dikirim secara manual kepada pemilik aplikasi atau administrator keamanan, atau pengguna dapat mengklik Kirim Email di antarmuka pengguna.

Saat pengguna mengklik Kirim Email, email akan dikirim ke alamat email dukungan (supportEmail) yang dikonfigurasi di layar izin OAuth. Untuk informasi selengkapnya tentang cara mengonfigurasi layar izin OAuth, lihat Membuat klien OAuth secara terprogram untuk IAP.

Memecahkan masalah akses yang gagal

Saat menerima link untuk permintaan akses yang gagal dari pengguna akhir, Anda dapat mengklik URL, yang akan terbuka di browser default. Jika Anda tidak login ke konsol Google Cloud di browser default, Anda mungkin dialihkan ke halaman login lain untuk mengakses halaman analisis Pemecah Masalah Kebijakan.

Halaman analisis Pemecah Masalah Kebijakan memberikan tampilan ringkasan, tampilan kebijakan IAM, dan tabel yang menampilkan konteks untuk pengguna dan perangkat, seperti alamat akun utama, ID perangkat, resource IAP yang diakses, dan sebagainya.

Tampilan ringkasan memberikan tampilan gabungan dari semua temuan kebijakan dan keanggotaan yang relevan. Tampilan kebijakan IAM memberikan daftar hasil evaluasi binding IAM yang efektif, yang diberikan atau tidak, bersama dengan tampilan tingkat tinggi tempat kegagalan terjadi, seperti Prinsipal bukan anggota dan tidak memenuhi kondisi.

Untuk menganalisis lebih lanjut akses yang gagal, Anda dapat melihat Detail binding. Dalam Detail Binding, Anda dapat melihat komponen binding, Peran, Prinsipal, dan Kondisi. Komponen yang memiliki izin yang memadai akan mencantumkan Tidak perlu tindakan. Komponen yang gagal mengakses, kesenjangan izin dijelaskan secara eksplisit, seperti Kategori Akun Utama: Tambahkan Akun Utama ke grup di bawah.

Perhatikan bahwa di antarmuka pengguna, bagian Binding yang relevan diaktifkan secara default. Binding yang tercantum di bagian Binding yang relevan bukanlah daftar yang komprehensif, tetapi merupakan binding yang paling relevan yang mungkin menarik bagi Anda saat memecahkan masalah akses tertentu. Kebijakan efektif yang terkait dengan resource tertentu mungkin berisi banyak binding yang tidak relevan dengan resource Anda, seperti izin Cloud Storage yang diberikan di tingkat project. Detail yang tidak relevan akan difilter.

Anda dapat menyelidiki lebih lanjut Kondisi yang gagal dengan melihat Penjelasan Tingkat Akses. Detail Tingkat Akses menunjukkan tempat terjadinya kegagalan dan menyarankan perbaikan untuk mengatasi kegagalan tersebut. Anda dapat menerapkan kembali tindakan yang diperlukan kepada pengguna atau memperbaiki kebijakan, jika perlu. Misalnya, Anda dapat mengirim tindakan berikut kembali kepada pengguna: Permintaan gagal karena perangkat bukan milik perusahaan.

Mengaktifkan URL pemecahan masalah untuk halaman error Access Denied kustom Anda

Anda dapat menambahkan URL Pemecah Masalah Kebijakan ke halaman error Access Denied pelanggan dengan menyelesaikan langkah-langkah berikut:

  1. Alihkan pengguna ke halaman kustom, bukan halaman error IAP default, dengan menyelesaikan langkah berikut: Menetapkan halaman error akses ditolak kustom.
  2. Aktifkan fitur URL Pemecah Masalah Kebijakan di setelan IAP.

Setelah Anda mengonfigurasi URL halaman access denied di setelan IAP, URL Pemecah Masalah Kebijakan akan disematkan sebagai parameter kueri yang di-escape. Pastikan Anda menghapus escape parameter kueri yang di-escape sebelum membukanya. Kunci parameter kueri adalah troubleshooting-url.

Memecahkan masalah akses pengguna secara proaktif

Anda dapat menggunakan Pemecah Masalah Kebijakan, yang terletak di panel Keamanan di halaman landing Chrome Enterprise Premium, untuk memecahkan masalah peristiwa hipotetis serta mendapatkan insight dan visibilitas tentang kebijakan keamanan Anda. Misalnya, Anda dapat memeriksa akses pengguna ke resource tertentu yang dilindungi IAP dan menyelidiki apakah akses tersebut benar-benar diperlukan atau tidak. Contoh lainnya adalah saat Anda membuat perubahan kebijakan pada resource yang dilindungi IAP dan ingin memastikan Admin Super masih memiliki akses. Anda dapat membuka Konsol Perangkat Google Admin untuk mendapatkan ID perangkat yang dimiliki oleh Admin Super, lalu menggunakan ID perangkat di pemecah masalah untuk memverifikasi akses.

Dengan memecahkan masalah permintaan hipotetis, Anda dapat memverifikasi bahwa pengguna memiliki izin yang tepat untuk mengakses resource IAP sebelum peristiwa penolakan yang sebenarnya terjadi. Anda dapat melakukannya dengan menggunakan email pengguna, resource IAP target, dan konteks permintaan opsional, termasuk alamat IP, stempel waktu, ID perangkat, atau konteks perangkat.

Saat memecahkan masalah permintaan hipotetis menggunakan ID perangkat, pastikan perangkat tersebut milik email akun utama target. Anda bisa mendapatkan ID Perangkat dari Log Audit IAP atau dengan membuka Konsol Google Admin -> Perangkat > Perangkat seluler dan endpoint > Perangkat.

Saat memecahkan masalah permintaan hipotetis menggunakan konteks perangkat, pemecah masalah mendukung atribut berikut:

  • is_secured_with_screenlock
  • encryption_status
  • os_type
  • os_version
  • verified_chrome_os
  • is_admin_approved_device
  • is_corp_owned_device

Skenario pemecahan masalah umum

Berikut adalah beberapa skenario umum yang mungkin Anda temui saat menggunakan Pemecah Masalah Kebijakan:

  • Anda memberikan item yang dapat ditindaklanjuti kepada pengguna akhir setelah pemecahan masalah, seperti meminta pengguna akhir untuk beralih ke perangkat milik perusahaan atau mengupdate sistem operasi.
  • Anda mendapati bahwa Anda tidak menetapkan izin yang tepat kepada pengguna akhir, sehingga Anda membuat binding baru untuk akun utama target di antarmuka IAP (roles/iap.httpsResourceAccessor).
  • Anda mendapati bahwa Anda salah membuat tingkat akses karena alasan contoh berikut:
    • Anda membuat batasan atribut bertingkat yang rumit, seperti subjaringan perusahaan, yang tidak lagi berlaku karena karyawan kini bekerja dari rumah.
    • Anda menerapkan parameter tingkat akses yang salah. Misalnya, Anda menentukan bahwa pengguna dapat membuat tingkat kustom dengan batasan vendor, tetapi membandingkan atribut dengan jenis yang berbeda. Misalnya, device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Perhatikan bahwa sisi kiri menampilkan nilai boolean, sedangkan sisi kanan menampilkan string true. Karena atribut yang tidak setara, sulit untuk mendeteksi error dalam konstruksi kebijakan. Pemecah Masalah Kebijakan membantu dengan menjelaskan bahwa hal ini dievaluasi sebagai error dengan hasil evaluasi parsial yang mendetail di kedua sisi.

Perilaku yang diinginkan pemecah masalah

Pemecahan masalah dilakukan pada akses yang dibatasi menggunakan kebijakan dan informasi perangkat saat ini dengan stempel waktu saat ini. Oleh karena itu, jika Anda menyinkronkan perangkat atau mengubah kebijakan setelah penolakan akses terbatas, Anda tidak memecahkan masalah menggunakan konteks dan data lama. Anda memecahkan masalah menggunakan konteks dan data saat ini.

Tips untuk memecahkan masalah binding

Untuk komponen apa pun (Peran, Akun Utama, Kondisi) dari binding apa pun dengan error otorisasi, berikan izin yang diperlukan jika Anda ingin memeriksa hasil pemecahan masalah dari binding tersebut.

Jika pemeriksaan peran gagal dalam binding, selesaikan tindakan berikut:

  • Periksa binding lain atau buat binding baru menggunakan antarmuka IAP untuk memberikan peran roles/iap.httpsResourceAccessor kepada akun utama dengan tingkat akses yang diterapkan, jika diperlukan.
  • Jika peran tersebut adalah peran khusus, Anda dapat menambahkan izin target ke peran khusus untuk memberikan izin (setelah Anda memperbaiki kegagalan akun utama dan kegagalan kondisi, jika berlaku). Perhatikan bahwa menambahkan izin ke peran khusus yang ada dapat memberi binding lain dengan peran khusus ini lebih banyak izin daripada yang diperlukan. Jangan lakukan hal ini kecuali jika Anda mengetahui cakupan peran kustom dan risiko operasi Anda.
  • Jika bukan peran kustom, periksa binding lain atau buat binding baru menggunakan antarmuka IAP untuk memberikan peran roles/iap.httpsResourceAccessor kepada akun utama dengan tingkat akses yang diterapkan, jika perlu.

Jika pemeriksaan peran berhasil tetapi pemeriksaan akun utama gagal, selesaikan tindakan berikut:

  • Jika anggota berisi grup, Anda dapat menambahkan akun utama ke grup untuk memberikan izin (setelah Anda memperbaiki kegagalan kondisi, jika berlaku). Perhatikan bahwa menambahkan akun utama ke grup yang ada dapat memberi grup lebih banyak izin daripada yang diperlukan. Jangan lakukan hal ini kecuali jika Anda mengetahui cakupan grup dan risiko operasi Anda.
  • Jika anggota tidak berisi grup, periksa binding lain atau buat binding baru menggunakan antarmuka IAP untuk memberikan roles/iap.httpsResourceAccessor kepada akun utama dengan tingkat akses yang diterapkan, jika perlu.

Jika pemeriksaan peran dan akun utama berhasil, tetapi kondisinya gagal, periksa detail pemecahan masalah setiap tingkat akses yang tercantum dalam kondisi, jika kondisi hanya terdiri dari tingkat akses yang terhubung dengan operator logika ATAU.