Pemecahan masalah menggunakan Pemecah Masalah Kebijakan untuk BeyondCorp Enterprise

BeyondCorp Enterprise menyediakan alat pemecahan masalah yang dapat digunakan administrator untuk melakukan triase dan menganalisis akses pengguna akhir.

BeyondCorp Enterprise memungkinkan perusahaan membuat aturan lanjutan yang menyediakan akses aplikasi berbasis konteks. Namun, jika Anda menerapkan beberapa aturan akses ke resource, dari pembatasan lokasi hingga aturan perangkat, hal ini dapat menyulitkan untuk memahami bagaimana kebijakan dievaluasi dan alasan pengguna akhir memiliki atau tidak memiliki akses ke resource target.

Pemecah Masalah Kebijakan memungkinkan Anda mengidentifikasi alasan keberhasilan atau kegagalan akses, dan jika diperlukan, mengubah kebijakan serta menginstruksikan pengguna akhir untuk mengubah konteksnya guna mengizinkan akses atau menghapus binding untuk menolak akses yang tidak terduga.

Pemecah Masalah Kebijakan adalah alat yang bermanfaat bagi organisasi yang perlu menerapkan beberapa aturan ke beberapa resource untuk grup pengguna yang berbeda.

Sebelum memulai

Pemecah Masalah Kebijakan adalah fitur premium dan memerlukan lisensi BeyondCorp Enterprise.

Untuk memaksimalkan efektivitas Pemecah Masalah Kebijakan, pastikan Anda memiliki peran Peninjau Keamanan (roles/iam.securityReviewer). Dengan begitu, Anda dapat membaca semua kebijakan Cloud IAM yang berlaku.

Untuk memecahkan masalah akses pada perangkat, Anda harus memiliki izin untuk melihat detailnya. Jika kebijakan yang terkait dengan resource target berisi kebijakan perangkat, seperti tingkat akses yang mengharuskan perangkat dienkripsi, Anda mungkin tidak akan mendapatkan hasil yang akurat kecuali jika izin untuk mengambil detail perangkat dari akun utama target diverifikasi. Admin Super Google Workspace, Admin Layanan, dan Admin Seluler biasanya memiliki akses untuk melihat detail perangkat. Untuk mengizinkan pengguna yang bukan Admin Super, Layanan, atau Seluler memecahkan masalah akses, selesaikan langkah-langkah berikut:

  1. Buat peran administrator Google Workspace kustom yang berisi hak istimewa Layanan > Pengelolaan Perangkat Seluler > Kelola Perangkat dan Setelan (ada di bagian Hak Istimewa Konsol Admin).
  2. Tetapkan peran untuk pengguna menggunakan konsol Admin.

Untuk memecahkan masalah akses ke resource yang diberikan oleh grup Google Cloud, Anda harus memiliki izin untuk melihat anggotanya. Jika kebijakan berisi grup, Anda harus memiliki izin untuk melihat detail grup sebelum membukanya. Admin Super Google Workspace dan Admin Grup biasanya memiliki akses untuk melihat keanggotaan grup. Untuk mengizinkan pengguna yang bukan admin Super atau Grup memecahkan masalah akses, selesaikan langkah-langkah berikut:

  1. Buat peran administrator Google Workspace kustom yang berisi hak istimewa Grup > Baca (berada di bagian Hak Istimewa Admin API).
  2. Tetapkan peran kepada pengguna. Hal ini memungkinkan pengguna melihat keanggotaan semua grup dalam domain Anda, dan memecahkan masalah akses secara lebih efektif.

Izin Peran Khusus bersifat opsional. Jika tidak memiliki izin untuk melihat peran khusus, Anda mungkin tidak dapat mengetahui apakah akun utama memiliki akses ke peran tersebut dari binding dengan peran khusus.

Ringkasan alur kerja pemecah masalah

Memecahkan masalah akses yang ditolak

Untuk memecahkan masalah akses yang ditolak, Anda dapat mengaktifkan fitur untuk resource IAP di setelan IAP dengan mengklik tiga titik di sebelah kanan aplikasi yang dilindungi IAP, Setelan, lalu memilih Buat URL pemecahan masalah. Untuk memaksimalkan efektivitas Pemecah Masalah Kebijakan, pastikan Anda memiliki peran Admin Setelan IAP (roles/iap.settingsAdmin). Dengan begitu, Anda dapat mengambil dan memperbarui setelan IAP semua resource IAP.

URL pemecahan masalah hanya ditampilkan di halaman 403 default, jika diaktifkan.

Pemecah Masalah Kebijakan menyediakan antarmuka pengguna yang dapat Anda gunakan untuk melihat hasil evaluasi mendetail dari semua kebijakan yang efektif untuk resource IAP target. Jika akses pengguna gagal, halaman 403 akan menampilkan URL pemecah masalah. Saat dikunjungi, Pemecah Masalah Kebijakan akan menampilkan detail binding yang gagal dan analisis tingkat akses yang gagal, jika ada di binding. Anda juga dapat menggunakan pemecah masalah untuk melihat tampilan mendetail tentang akses pengguna ke resource.

Akses pengguna ditolak

Jika pengguna tidak memiliki izin atau tidak memenuhi ketentuan yang diperlukan untuk mengakses resource IAP, pengguna akan diarahkan ke halaman error 403 access denied. Halaman 403 menyertakan URL pemecahan masalah yang dapat disalin dan dikirim secara manual ke pemilik aplikasi atau administrator keamanan, atau pengguna dapat mengklik Kirim Email di antarmuka pengguna.

Saat pengguna mengklik Kirim Email, email akan dikirim ke alamat email dukungan (supportEmail) yang dikonfigurasi di layar izin OAuth. Untuk informasi selengkapnya tentang cara mengonfigurasi layar izin OAuth, lihat Membuat klien OAuth secara terprogram untuk IAP.

Memecahkan masalah akses yang gagal

Saat menerima link untuk permintaan akses yang gagal dari pengguna akhir, Anda dapat mengklik URL, yang akan terbuka di browser default. Jika tidak login ke konsol Google Cloud di browser default, Anda mungkin dialihkan ke halaman login lain untuk mengakses halaman analisis Pemecah Masalah Kebijakan.

Halaman analisis Pemecah Masalah Kebijakan memberikan tampilan ringkasan, tampilan kebijakan IAM, dan tabel yang menunjukkan konteks bagi pengguna dan perangkat, seperti alamat utama, ID perangkat, resource IAP yang diakses, dan sebagainya.

Tampilan ringkas memberikan tampilan gabungan dari semua temuan kebijakan dan keanggotaan yang relevan. Tampilan kebijakan IAM menyediakan daftar hasil evaluasi binding IAM yang efektif, baik diberikan maupun tidak, beserta tampilan tingkat tinggi tempat terjadinya kegagalan, seperti Principal bukan anggota dan tidak memenuhi kondisi.

Untuk menganalisis akses yang gagal lebih lanjut, Anda dapat melihat Detail binding. Dalam Binding Details, Anda dapat melihat komponen binding, Role, Principal, dan Condition. Komponen yang memiliki izin yang memadai akan mencatat Tidak ada tindakan yang diperlukan. Komponen yang gagal aksesnya, kesenjangan dalam izin dijelaskan secara eksplisit, seperti Kategori Utama: Tambahkan Utama ke grup di bawah.

Perhatikan bahwa di antarmuka pengguna, bagian Binding yang relevan diaktifkan secara default. Binding yang tercantum di bagian Binding yang relevan bukan merupakan daftar yang lengkap, tetapi merupakan binding paling relevan yang mungkin menarik bagi Anda saat memecahkan masalah akses tertentu. Kebijakan efektif yang terkait dengan resource tertentu mungkin berisi banyak binding yang tidak relevan dengan resource Anda, seperti izin Cloud Storage yang diberikan di level project. Detail yang tidak relevan akan difilter.

Anda dapat menyelidiki Kondisi yang gagal lebih lanjut dengan melihat Penjelasan Tingkat Akses. Detail Tingkat Akses menunjukkan lokasi terjadinya kegagalan dan menyarankan perbaikan untuk mengatasi kegagalan tersebut. Anda dapat menerapkan kembali tindakan yang diperlukan kepada pengguna atau memperbaiki kebijakan, jika perlu. Misalnya, Anda dapat mengirim kembali tindakan berikut kepada pengguna: Permintaan gagal karena perangkat bukan milik perusahaan.

Mengaktifkan URL pemecahan masalah untuk halaman error Access Denied khusus Anda

Anda dapat menambahkan URL Pemecah Masalah Kebijakan ke halaman error Access Denied pelanggan Anda dengan menyelesaikan langkah-langkah berikut:

  1. Alihkan pengguna ke halaman kustom Anda, bukan ke halaman error IAP default dengan menyelesaikan langkah berikut: Menetapkan halaman error akses kustom ditolak.
  2. Aktifkan fitur URL Pemecah Masalah Kebijakan di setelan IAP.

Setelah Anda mengonfigurasi URL halaman access denied di setelan IAP, URL Pemecah Masalah Kebijakan disematkan sebagai parameter kueri escaped. Pastikan Anda unescape parameter kueri yang di-escape sebelum membukanya. Kunci parameter kueri adalah troubleshooting-url.

Secara proaktif memecahkan masalah akses pengguna

Anda dapat menggunakan Pemecah Masalah Kebijakan yang terletak di panel Keamanan di halaman landing BeyondCorp Enterprise, untuk memecahkan masalah peristiwa yang mungkin terjadi serta mendapatkan insight dan visibilitas tentang kebijakan keamanan Anda. Misalnya, Anda dapat memeriksa akses pengguna ke resource yang dilindungi IAP tertentu dan menyelidiki apakah resource tersebut benar-benar diperlukan atau tidak. Contoh lainnya adalah ketika Anda mengubah kebijakan pada resource yang dilindungi IAP dan ingin memastikan Admin Super masih memiliki akses. Anda dapat membuka Konsol Perangkat Google Admin untuk mendapatkan ID perangkat yang dimiliki oleh Admin Super, lalu menggunakan ID perangkat di pemecah masalah untuk memverifikasi akses.

Dengan memecahkan masalah permintaan hipotetis, Anda dapat memverifikasi bahwa pengguna memiliki izin yang tepat untuk mengakses resource IAP sebelum peristiwa penolakan yang sebenarnya terjadi. Anda dapat melakukannya dengan menggunakan email pengguna, resource IAP target, dan konteks permintaan opsional apa pun, termasuk alamat IP, stempel waktu, ID perangkat, atau konteks perangkat.

Saat memecahkan masalah permintaan fiktif menggunakan ID perangkat, pastikan perangkat merupakan email utama target. Anda bisa mendapatkan ID Perangkat dari Log Audit IAP atau dengan membuka Konsol Google Admin -> Perangkat > Seluler dan endpoint > Perangkat.

Saat memecahkan masalah permintaan hipotetis menggunakan konteks perangkat, atribut berikut didukung oleh pemecah masalah:

  • is_secured_with_screenlock
  • encryption_status
  • os_type
  • os_version
  • verified_chrome_os
  • is_admin_approved_device
  • is_corp_owned_device

Skenario pemecahan masalah umum

Berikut adalah beberapa skenario umum yang mungkin Anda temui saat menggunakan Pemecah Masalah Kebijakan:

  • Anda memberikan item yang dapat ditindaklanjuti kepada pengguna akhir setelah pemecahan masalah, seperti meminta pengguna akhir untuk beralih ke perangkat milik perusahaan atau mengupdate sistem operasi.
  • Anda mendapati bahwa Anda tidak menetapkan izin yang tepat ke pengguna akhir, jadi Anda membuat binding baru untuk akun utama target di antarmuka IAP (roles/iap.httpsResourceAccessor).
  • Anda mendapati bahwa Anda salah membuat tingkat akses karena contoh alasan berikut:
    • Anda membuat pembatasan atribut bertingkat yang rumit, seperti subjaringan perusahaan, yang tidak lagi berlaku karena karyawan kini bekerja dari rumah.
    • Anda menerapkan parameter tingkat akses yang salah. Misalnya, Anda menentukan bahwa pengguna dapat membuat tingkat kustom dengan pembatasan vendor, tetapi membandingkan atribut dengan jenis yang berbeda. Misalnya, device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Perhatikan bahwa sisi kiri menampilkan nilai boolean sedangkan sisi kanan menampilkan string true. Karena atribut yang tidak setara, sulit untuk mendeteksi error dalam konstruksi kebijakan. Pemecah Masalah Kebijakan membantu dengan menjelaskan bahwa hal ini dievaluasi sebagai error dengan hasil evaluasi sebagian yang mendetail di kedua sisi.

Perilaku yang dimaksudkan untuk pemecah masalah

Pemecahan masalah dilakukan pada akses terbatas menggunakan kebijakan saat ini dan informasi perangkat dengan stempel waktu saat ini. Oleh karena itu, jika Anda menyinkronkan perangkat atau mengubah kebijakan setelah penolakan akses terbatas, Anda tidak memecahkan masalah menggunakan konteks dan data lama. Anda memecahkan masalah menggunakan konteks dan data saat ini.

Tips untuk memecahkan masalah binding

Untuk komponen apa pun (Peran, Utama, Kondisi) dari setiap binding dengan error otorisasi, berikan izin yang diperlukan jika Anda ingin memeriksa hasil pemecahan masalah dari binding tersebut.

Jika pemeriksaan peran gagal dalam binding, selesaikan tindakan berikut:

  • Periksa binding lain atau buat binding baru dengan menggunakan antarmuka IAP untuk memberikan peran roles/iap.httpsResourceAccessor ke akun utama dengan tingkat akses yang diterapkan, jika perlu.
  • Jika ini adalah peran khusus, Anda dapat menambahkan izin target ke peran khusus untuk memberikan izin (setelah Anda memperbaiki kegagalan utama dan kegagalan kondisi, jika berlaku). Perhatikan bahwa menambahkan izin ke peran khusus yang sudah ada dapat memberikan binding lain dengan peran khusus ini dengan izin lebih banyak daripada yang diperlukan. Jangan lakukan hal ini kecuali Anda mengetahui cakupan peran khusus dan risiko operasi Anda.
  • Jika bukan peran khusus, periksa binding lain atau buat binding baru dengan menggunakan antarmuka IAP untuk memberikan peran roles/iap.httpsResourceAccessor ke akun utama dengan tingkat akses yang diterapkan, jika perlu.

Jika pemeriksaan peran berhasil tetapi pemeriksaan utama gagal, selesaikan tindakan berikut:

  • Jika anggota berisi grup, Anda dapat menambahkan akun utama ke grup untuk memberikan izin (setelah Anda memperbaiki kegagalan kondisi, jika memungkinkan). Perlu diketahui bahwa menambahkan akun utama ke grup yang ada dapat memberi grup lebih banyak izin daripada yang diperlukan. Jangan lakukan hal ini kecuali Anda mengetahui cakupan grup dan risiko operasi Anda.
  • Jika anggota tidak berisi grup, periksa binding lain atau buat binding baru dengan menggunakan antarmuka IAP untuk memberikan roles/iap.httpsResourceAccessor ke akun utama dengan tingkat akses yang diterapkan, jika perlu.

Jika pemeriksaan peran dan utama berhasil tetapi kondisi gagal, periksa detail pemecahan masalah setiap tingkat akses individu yang tercantum dalam kondisi, jika kondisi hanya terdiri dari tingkat akses yang terhubung dengan operator logika OR.