Fehlerbehebung mit der Richtlinien-Fehlerbehebung für BeyondCorp Enterprise

BeyondCorp Enterprise bietet ein Tool zur Fehlerbehebung, mit dem Administratoren den Zugriff eines Endnutzers prüfen und analysieren können.

Mit BeyondCorp Enterprise können Unternehmen erweiterte Regeln für kontextbasierten Anwendungszugriff erstellen. Wenn Sie jedoch mehrere Zugriffsregeln auf Ressourcen anwenden, von Standortbeschränkungen bis zu Geräteregeln, kann es schwierig werden zu verstehen, wie die Richtlinien evaluiert werden und warum ein Endnutzer Zugriff auf die Zielressource hat oder nicht.

Mit der Richtlinien-Fehlerbehebung können Sie feststellen, warum der Zugriff erfolgreich ist oder fehlschlägt. Außerdem können Sie die Richtlinie ändern und den Endnutzer anweisen, seinen Kontext zu ändern, um den Zugriff zuzulassen, oder die Bindung zu entfernen, um unerwarteten Zugriff zu verweigern.

Die Richtlinien-Fehlerbehebung ist ein wertvolles Tool für Organisationen, die mehrere Regeln auf mehrere Ressourcen für verschiedene Nutzergruppen anwenden müssen.

Hinweis

Die Richtlinien-Fehlerbehebung ist eine Premium-Feature und erfordert eine BeyondCorp Enterprise-Lizenz.

Um die Effektivität der Richtlinien-Fehlerbehebung zu maximieren, benötigen Sie die Rolle "Sicherheitsprüfer" (roles/iam.securityReviewer). Dadurch ist gewährleistet, dass Sie alle gültigen Cloud IAM-Richtlinien lesen können.

Sie benötigen die Berechtigung zum Aufrufen der Details, um den Zugriff auf ein Gerät beheben zu können. Enthalten Richtlinien, die mit der Zielressource verknüpft sind, Geräterichtlinien, z. B. eine Zugriffsebene, die das Verschlüsseln des Geräts erfordert, erhalten Sie möglicherweise keine genauen Ergebnisse, es sei denn, die Berechtigung zum Abrufen der Gerätedetails des Zielhauptkontos wurde geprüft. „Super Admin“, „Administrator für Dienste“ und „Administrator für Mobilgeräte“ von Google Workspace haben in der Regel Zugriff auf Gerätedetails. So ermöglichen Sie einem Nutzer, der kein Super Admin, Administrator für Dienste und Administrator für Mobilgeräte ist, eine Fehlerbehebung für den Zugriff:

  1. Erstellen Sie eine benutzerdefinierte Google Workspace-Administratorrolle, die die Berechtigung Dienste > Mobilgeräteverwaltung > Geräte und Einstellungen verwalten enthält. Sie finden sie unter Berechtigungen der Admin-Konsole.
  2. Weisen Sie Nutzern die Rolle über die Admin-Konsole zu.

Um den Zugriff auf eine Ressource zu beheben, der durch eine Google Cloud-Gruppe angegeben wird, müssen Sie die Berechtigung zum Aufrufen der Mitglieder haben. Wenn die Richtlinien eine Gruppe enthalten, sollten Sie die Berechtigung zum Ansehen der Details der Gruppe haben, bevor Sie sie öffnen. Super Admins und Gruppenadministratoren von Google Workspace haben normalerweise Lesezugriff auf die Gruppenmitgliedschaft. So ermöglichen Sie einem Nutzer, der kein Super Admin oder Gruppenadministrator ist, die Fehlerbehebung für den Zugriff:

  1. Erstellen Sie eine benutzerdefinierte Google Workspace-Administratorrolle, die die Berechtigung Gruppen > Lesen enthält. Sie finden sie unter Berechtigungen der Admin API.
  2. Weisen Sie dem Nutzer die Rolle zu. Dadurch kann der Nutzer die Mitgliedschaft aller Gruppen in Ihrer Domain sehen und effektiver die Fehlerbehebung für den Zugriff durchführen.

Die Berechtigung „Benutzerdefinierte Rolle“ ist optional. Wenn Sie keine Berechtigung zum Aufrufen einer benutzerdefinierten Rolle haben, können Sie möglicherweise nicht feststellen, ob ein Hauptkonto mithilfe von benutzerdefinierten Rollen Zugriff darauf hat.

Workflow der Fehlerbehebung

Fehlerbehebung bei verweigertem Zugriff

Zur Fehlerbehebung bei verweigertem Zugriff können Sie das Feature für eine IAP-Ressource in den IAP-Einstellungen aktivieren. Klicken Sie dazu auf das Dreipunkt-Menü rechts neben der geschützten IAP-Anwendung. Rufen Sie Einstellungen und dann URL zur Fehlerbehebung generieren auf. Um die Effektivität der Richtlinien-Fehlerbehebung zu maximieren, prüfen Sie, ob Sie die Rolle „Administrator IAP-Einstellungen“ (roles/iap.settingsAdmin) haben. Dadurch wird sichergestellt, dass Sie die IAP-Einstellungen aller IAP-Ressourcen abrufen und aktualisieren können.

URLs zur Fehlerbehebung werden nur dann auf den standardmäßigen 403-Seiten angezeigt, wenn dies aktiviert ist.

Die Richtlinien-Fehlerbehebung bietet eine Benutzeroberfläche, in der Sie die detaillierten Bewertungsergebnisse aller gültigen Richtlinien für die Ziel-IAP-Ressource anzeigen können. Wenn der Zugriff eines Nutzers fehlschlägt, wird auf der Seite 403 eine URL zur Fehlerbehebung angezeigt. Bei einem Besuch zeigt die Richtlinien-Fehlerbehebung die Details der fehlgeschlagenen Bindungen und die Analyse der fehlgeschlagenen Zugriffsebenen an, sofern diese in den Bindungen vorhanden sind. Sie können mit der Fehlerbehebung auch eine detaillierte Ansicht des Zugriffs eines Nutzers auf eine Ressource aufrufen.

Nutzerzugriff verweigert

Wenn ein Nutzer nicht die Berechtigung hat oder nicht die Bedingung erfüllt, die zum Zugriff auf eine IAP-Ressource erforderlich ist, wird der Nutzer zu einer Fehlerseite vom Typ 403 (Zugriff verweigert) weitergeleitet. Die 403-Seite enthält eine URL zur Fehlerbehebung, die entweder kopiert und manuell an den Anwendungsinhaber oder Sicherheitsadministrator gesendet werden kann. Alternativ kann der Nutzer in der Benutzeroberfläche auf E-Mail senden klicken.

Wenn ein Nutzer auf E-Mail senden klickt, wird eine E-Mail an die Support-E-Mail-Adresse (supportEmail) gesendet, die auf dem OAuth-Zustimmungsbildschirm konfiguriert wurde. Weitere Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms finden Sie unter OAuth-Clients für IAP programmatisch erstellen.

Fehlerbehebung bei fehlgeschlagenem Zugriff

Wenn Sie den Link für eine fehlgeschlagene Zugriffsanfrage von einem Endnutzer erhalten, können Sie auf die URL klicken, die im Standardbrowser geöffnet wird. Wenn Sie in Ihrem Standardbrowser nicht in der Google Cloud Console angemeldet sind, werden Sie möglicherweise auf eine andere Anmeldeseite weitergeleitet, um auf die Analyseseite der Richtlinien-Fehlerbehebung zuzugreifen.

Die Analyseseite der Richtlinien-Fehlerbehebung bietet eine zusammenfassende Ansicht, eine IAM-Richtlinienansicht und eine Tabelle, in der der Kontext für einen Nutzer und das Gerät angezeigt wird, z. B. Hauptkontoadresse, Geräte-ID, aufgerufene IAP-Ressource usw.

Die Ansicht Zusammenfassung enthält eine Zusammenfassung aller relevanten Richtlinien- und Mitgliedschaftsergebnisse. Die IAM-Richtlinienansicht enthält eine Liste der effektiven IAM-Bindungsergebnisse, die gewährt oder nicht gewährt wurden, zusammen mit einer allgemeinen Ansicht, wo die Fehler aufgetreten sind, z. B. Hauptkonto nicht Mitglied und erfüllt keine Bedingungen.

Weitere Informationen zum fehlgeschlagenen Zugriff finden Sie unter Bindungsdetails. In den Bindungsdetails sehen Sie die Bindungskomponenten, Rolle, Hauptkonto und Bedingung. Bei Komponenten mit den nötigen Berechtigungen wird Keine Aktion erforderlich angezeigt. Bei Komponenten, bei denen der Zugriff fehlgeschlagen ist, werden die Lücken in den Berechtigungen explizit erläutert, z. B. Hauptkontokategorie: Fügen Sie den folgenden Gruppen ein Hauptkonto hinzu.

Beachten Sie, dass der Abschnitt Relevante Bindungen in der Benutzeroberfläche standardmäßig aktiviert ist. Die im Abschnitt Relevante Bindungen aufgeführten Bindungen sind keine umfassende Liste. Stattdessen sind sie die relevantesten Bindungen, die für Sie bei der Behebung eines bestimmten Zugriffsproblems von Interesse sein können. Die Richtlinien, die mit einer bestimmten Ressource verknüpft sind, enthalten möglicherweise viele Bindungen, die für Ihre Ressource nicht relevant sind, z. B. eine auf Projektebene gewährte Cloud Storage-Berechtigung. Irrelevante Details werden herausgefiltert.

Sie können eine fehlgeschlagene Bedingung weiter untersuchen, indem Sie sich die Erläuterungen zur Zugriffsebene ansehen. Die Details zur Zugriffsebene geben an, wo der Fehler aufgetreten ist, und machen Vorschläge zur Behebung des Fehlers. Sie können die erforderlichen Aktionen an den Nutzer weiterleiten oder bei Bedarf die Richtlinien korrigieren. Sie können beispielsweise die folgende Aktion an den Nutzer zurücksenden: Anfrage fehlgeschlagen, da das Gerät nicht zum Unternehmen gehört.

Fehlerbehebungs-URL für die benutzerdefinierte Access Denied-Fehlerseite aktivieren

Sie können die Richtlinien-Fehlerbehebungs-URL zur Fehlerseite Access Denied Ihres Kunden hinzufügen, indem Sie die folgenden Schritte ausführen:

  1. Leiten Sie Ihre Nutzer anstelle der standardmäßigen IAP-Fehlerseite zu Ihrer benutzerdefinierten Seite weiter, indem Sie den folgenden Schritt ausführen: Benutzerdefinierte Zugriffsseite für verweigerten Zugriff festlegen.
  2. Aktivieren Sie in den IAP-Einstellungen die URL-Funktion zur Richtlinien-Fehlerbehebung.

Nachdem Sie die URL der access denied-Seite in den IAP-Einstellungen konfiguriert haben, wird die URL der Richtlinien-Fehlerbehebung als maskierter Abfrageparameter eingebettet. Der Schlüssel des Abfrageparameters ist troubleshooting-url.

Proaktive Fehlerbehebung für Nutzerzugriff

Verwenden Sie die Richtlinien-Fehlerbehebung, die sich im Sicherheitsbereich der BeyondCorp Enterprise-Landingpage befindet, um hypothetische Ereignisse zu beheben und Einblicke in Ihre Sicherheitsrichtlinien zu erhalten. Sie können beispielsweise den Zugriff eines Nutzers auf eine bestimmte IAP-geschützte Ressource prüfen und untersuchen, ob er tatsächlich erforderlich ist. Ein weiteres Beispiel ist eine Richtlinienänderung für eine IAP-geschützte Ressource, bei der sichergestellt werden soll, dass der Super Admin weiterhin Zugriff hat. Sie können in der Google Admin-Gerätekonsole nach der Geräte-ID des Super Admins suchen und dann mit der Geräte-ID in der Fehlerbehebung den Zugriff prüfen.

Durch die Fehlerbehebung für hypothetische Anfragen können Sie überprüfen, ob ein Nutzer die erforderlichen Berechtigungen für den Zugriff auf eine IAP-Ressource hat, bevor ein echtes Ereignis eintritt. Dazu können Sie die E-Mail-Adresse des Nutzers, die Ziel-IAP-Ressource und alle optionalen Anfragekontexte verwenden, einschließlich IP-Adresse, Zeitstempel, Geräte-ID oder Gerätekontext.

Prüfen Sie bei der Fehlerbehebung hypothetischer Anfragen mit der Geräte-ID, ob das Gerät zur Haupt-E-Mail des Ziels gehört. Die Geräte-ID erhalten Sie im IAP-Audit-Log oder unter Admin-Konsole -> Geräte > Mobilgeräte und Endpunkte > Geräte.

Bei der Fehlerbehebung von hypothetischen Anfragen mit Gerätekontext werden die folgenden Attribute von der Fehlerbehebung unterstützt:

  • is_secured_with_screenlock
  • encryption_status
  • os_type
  • os_version
  • verified_chrome_os
  • is_admin_approved_device
  • is_corp_owned_device

Häufige Fehlerbehebungsszenarien

Im Folgenden finden Sie einige häufige Szenarien, die bei der Arbeit mit der Richtlinien-Fehlerbehebung auftreten können:

  • Sie fordern den Endnutzer nach der Fehlerbehebung zu einer Maßnahme auf, beispielsweise mit der Anweisung, zu einem unternehmenseigenen Gerät zu wechseln oder das Betriebssystem zu aktualisieren.
  • Sie stellen fest, dass Sie dem Endnutzer nicht die richtige Berechtigung zugewiesen haben. Daher erstellen Sie eine neue Bindung für das Zielhauptkonto in der IAP-Oberfläche (roles/iap.httpsResourceAccessor).
  • Sie haben festgestellt, dass Sie eine Zugriffsebene aus folgenden Gründen falsch erstellt haben:
    • Sie haben komplizierte verschachtelte Attributbeschränkungen wie Unternehmens-Subnetzwerke erstellt, die nicht mehr gelten, da Mitarbeiter nun im Homeoffice arbeiten.
    • Sie haben falsche Parameter für die Zugriffsebene angewendet. Beispielsweise haben Sie angegeben, dass Nutzer eine benutzerdefinierte Ebene mit Anbietereinschränkungen erstellen können, haben aber Attribute unterschiedlicher Typen verglichen, z. B. device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Beachten Sie, dass die linke Seite einen booleschen Wert zurückgibt, während die rechte Seite einen String true zurückgibt. Aufgrund der ungleichen Attribute ist es schwierig, den Fehler im Richtlinienkonstrukt zu erkennen. Die Richtlinien-Fehlerbehebung hilft dabei, indem mit detaillierten partiellen Bewertungsergebnissen auf beiden Seiten erklärt wird, dass dies als Fehler gewertet wird.

Vorgesehenes Verhalten der Fehlerbehebung

Die Fehlerbehebung für die eingeschränkten Zugriffe erfolgt mit den aktuellen Richtlinien und Geräteinformationen mit dem aktuellen Zeitstempel. Wenn Sie Ihr Gerät also synchronisiert oder die Richtlinien nach der Verweigerung des eingeschränkten Zugriffs geändert haben, erfolgt die Fehlerbehebung nicht mit den alten Kontexten und Daten. Sie verwenden zur Fehlerbehebung die aktuellen Kontexte und Daten.

Tipps zur Fehlerbehebung bei Bindungen

Erteilen Sie für alle Komponenten (Rolle, Hauptkonto, Bedingung) von Bindungen mit Autorisierungsfehlern die erforderlichen Berechtigungen, wenn Sie die Fehlerbehebungsergebnisse solcher Bindungen prüfen möchten.

Wenn die Rollenprüfung in einer Bindung fehlschlägt, führen Sie die folgenden Aktionen aus:

  • Prüfen Sie andere Bindungen oder erstellen Sie eine neue Bindung. Verwenden Sie dazu die IAP-Oberfläche, um dem Hauptkonto bei Bedarf die Rolle roles/iap.httpsResourceAccessor mit angewendeten Zugriffsebenen zuzuweisen.
  • Wenn es sich um eine benutzerdefinierte Rolle handelt, können Sie der benutzerdefinierten Rolle die Zielberechtigung hinzufügen, um die Berechtigung zu erteilen (nachdem Sie gegebenenfalls die Hauptkontofehler und die Bedingungsfehler behoben haben). Beachten Sie, dass das Hinzufügen von Berechtigungen zu einer vorhandenen benutzerdefinierten Rolle möglicherweise andere Bindungen mit dieser benutzerdefinierten Rolle mit mehr Berechtigungen gewährt als erforderlich. Tun Sie dies nur, wenn Sie den Geltungsbereich der benutzerdefinierten Rolle und das Risiko des Vorgangs kennen.
  • Wenn es sich nicht um eine benutzerdefinierte Rolle handelt, prüfen Sie andere Bindungen oder erstellen Sie eine neue Bindung. Verwenden Sie dazu die IAP-Oberfläche, um dem Hauptkonto bei Bedarf die Rolle roles/iap.httpsResourceAccessor mit angewendeten Zugriffsebenen zuzuweisen.

Wenn die Rollenprüfung erfolgreich ist, aber die Hauptkontoprüfung fehlschlägt, führen Sie die folgenden Aktionen aus:

  • Wenn die Mitglieder eine Gruppe enthalten, können Sie das Hauptkonto der Gruppe hinzufügen, um die Berechtigungen zu erteilen (nachdem Sie alle Bedingungsfehler behoben haben, falls zutreffend). Beachten Sie, dass das Hinzufügen des Hauptkontos zu einer vorhandenen Gruppe möglicherweise mehr Berechtigungen gewährt als erforderlich. Tun Sie dies nur, wenn Sie den Geltungsbereich der Gruppe und das Risiko des Vorgangs kennen.
  • Wenn die Mitglieder keine Gruppe enthalten, prüfen Sie andere Bindungen oder erstellen Sie eine neue Bindung. Verwenden Sie dazu die IAP-Oberfläche, um dem Hauptkonto gegebenenfalls die Rolle roles/iap.httpsResourceAccessor mit zugewiesenen Zugriffsebenen zu gewähren.

Wenn die Rollen- und die Hauptkontoprüfung erfolgreich sind, die Bedingung jedoch fehlschlägt, prüfen Sie die Fehlerbehebungsdetails für jede einzelne Zugriffsebene, die unter der Bedingung aufgeführt ist, sofern die Bedingung nur aus Zugriffsebenen besteht, die mit dem logischen Operator ODER verbunden sind.