BeyondCorp Enterprise fornisce uno strumento per la risoluzione dei problemi che gli amministratori possono utilizzare per classificare e analizzare l'accesso di un utente finale.
BeyondCorp Enterprise consente alle aziende di creare regole avanzate che forniscono l'accesso alle applicazioni basato sul contesto. Tuttavia, quando applichi più regole di accesso alle risorse, dalle limitazioni relative alla località alle regole per i dispositivi, può essere difficile comprendere come vengono valutati i criteri e perché un utente finale ha o non ha accesso alla risorsa di destinazione.
Lo strumento per la risoluzione dei problemi relativi ai criteri consente di identificare il motivo per cui l'accesso ha esito positivo o negativo e, se necessario, modifica il criterio e indica all'utente finale di modificare il proprio contesto per consentire l'accesso o di rimuovere l'associazione per negare l'accesso imprevisto.
Lo strumento per la risoluzione dei problemi relativi ai criteri è uno strumento prezioso per le organizzazioni che devono applicare più regole a più risorse per diversi gruppi di utenti.
Prima di iniziare
Lo strumento per la risoluzione dei problemi relativi ai criteri è una funzionalità premium che richiede una licenza BeyondCorp Enterprise.
Per massimizzare l'efficacia dello strumento per la risoluzione dei problemi relativi ai criteri, assicurati di disporre del ruolo di revisore della sicurezza (roles/iam.securityReviewer). In questo modo potrai leggere tutti i criteri Cloud IAM applicabili.
Per risolvere i problemi di accesso di un dispositivo, devi disporre dell'autorizzazione per visualizzarne i dettagli. Se i criteri associati alla risorsa di destinazione contengono criteri relativi ai dispositivi, ad esempio un livello di accesso che richiede che il dispositivo venga criptato, potresti non ottenere risultati precisi a meno che non venga verificata l'autorizzazione per recuperare i dettagli del dispositivo dell'entità di destinazione. Il super amministratore di Google Workspace, l'amministratore di servizi e l'amministratore dei dispositivi mobili in genere hanno accesso per visualizzare i dettagli del dispositivo. Per consentire a un utente che non è un super amministratore, un servizio o un amministratore di dispositivi mobili di risolvere i problemi di accesso, completa i seguenti passaggi:
- Crea un amministratore di Google Workspace personalizzato che contenga il privilegio Servizi > Gestione dei dispositivi mobili > Gestione dispositivi e impostazioni (che si trova nella sezione Privilegi della Console di amministrazione).
- Assegna il ruolo agli utenti utilizzando la Console di amministrazione.
Per risolvere i problemi di accesso a una risorsa fornita da un gruppo Google Cloud, devi disporre dell'autorizzazione per visualizzare i relativi membri. Se i criteri contengono un gruppo, devi avere l'autorizzazione per visualizzare i dettagli del gruppo prima di aprirlo. I super amministratori di Google Workspace e gli amministratori dei gruppi di solito dispongono dell'accesso per visualizzare le iscrizioni ai gruppi. Per consentire a un utente che non è un super amministratore o un amministratore di gruppi di risolvere i problemi di accesso, completa i seguenti passaggi:
- Crea un amministratore di Google Workspace personalizzato che contenga il privilegio Gruppi > Lettura (che si trova in Privilegi delle API amministrative).
- Assegna il ruolo all'utente. In questo modo l'utente può vedere l'appartenenza di tutti i gruppi all'interno del tuo dominio e risolvere i problemi di accesso in modo più efficace.
L'autorizzazione del ruolo personalizzato è facoltativa. Se non hai l'autorizzazione per visualizzare un ruolo personalizzato, potresti non essere in grado di capire se un'entità può accedervi da associazioni con ruoli personalizzati.
Panoramica del flusso di lavoro dello strumento per la risoluzione dei problemi
Risoluzione dei problemi relativi all'accesso negato
Per risolvere i problemi di accesso negato, puoi attivare la funzionalità per una risorsa IAP nelle impostazioni IAP facendo clic sui tre puntini a destra dell'applicazione protetta da IAP, facendo clic su Impostazioni e selezionando Genera un URL per la risoluzione dei problemi. Per massimizzare l'efficacia dello strumento per la risoluzione dei problemi relativi ai criteri, assicurati di disporre del ruolo Amministratore impostazioni IAP (roles/iap.settingsAdmin). In questo modo potrai recuperare e aggiornare le impostazioni IAP di tutte le risorse IAP.
Gli URL per la risoluzione dei problemi vengono presentati solo nelle pagine 403 predefinite, quando sono attive.
Lo strumento per la risoluzione dei problemi relativi ai criteri fornisce un'interfaccia utente in cui è possibile visualizzare i risultati della valutazione dettagliati di tutti i criteri effettivi per la risorsa IAP di destinazione. Quando l'accesso di un utente non riesce, la pagina 403 mostra l'URL di uno strumento per la risoluzione dei problemi. Una volta visitato, lo strumento per la risoluzione dei problemi relativi ai criteri mostra i dettagli delle associazioni con errori e l'analisi dei livelli di accesso con errori, se presenti nelle associazioni. Puoi anche utilizzare lo strumento per la risoluzione dei problemi per avere una visualizzazione dettagliata dell'accesso di un utente a una risorsa.
Accesso utente negato
Quando un utente non dispone dell'autorizzazione o non soddisfa la condizione necessaria per accedere a una risorsa IAP, l'utente viene indirizzato a una pagina di errore 403 Accesso negato. La pagina 403 include un URL per la risoluzione dei problemi che può essere copiato e inviato manualmente al proprietario dell'applicazione o all'amministratore della sicurezza oppure l'utente può fare clic su Invia email nell'interfaccia utente.
Quando un utente fa clic su Invia email, viene inviata un'email all'indirizzo email dell'assistenza (supportEmail) configurato nella schermata per il consenso OAuth. Per ulteriori informazioni sulla configurazione della schermata per il consenso OAuth, consulta Creazione programmatica di client OAuth per IAP.
Risoluzione dei problemi relativi all'accesso non riuscito
Quando ricevi il link per una richiesta di accesso non riuscita da un utente finale, puoi fare clic sull'URL, che si aprirà nel browser predefinito. Se non hai eseguito l'accesso alla console Google Cloud nel browser predefinito, è possibile che il sistema ti reindirizzerà a un'altra pagina di accesso per accedere alla pagina di analisi dello strumento per la risoluzione dei problemi relativi ai criteri.
La pagina di analisi dello strumento per la risoluzione dei problemi relativi ai criteri fornisce una visualizzazione riepilogativa, una visualizzazione dei criteri IAM e una tabella che mostra il contesto di un utente e del dispositivo, ad esempio indirizzo principale, ID dispositivo, risorsa IAP a cui si accede e così via.
La visualizzazione riepilogativa offre una visualizzazione aggregata di tutti i risultati pertinenti relativi a norme e appartenenza. La visualizzazione dei criteri IAM fornisce un elenco dei risultati della valutazione delle associazioni IAM effettive, concessi o meno, insieme a una visualizzazione ad alto livello di dove si sono verificati gli errori, ad esempio L'entità non è membro e non soddisfa le condizioni.
Per analizzare ulteriormente l'accesso non riuscito, puoi visualizzare i dettagli dell'associazione. In Dettagli associazione, puoi vedere i componenti dell'associazione, Ruolo, Entità e Condizione. Il componente che dispone di autorizzazioni sufficienti riporterà l'indicazione Nessuna azione richiesta. I componenti in cui l'accesso non è riuscito, le lacune nelle autorizzazioni sono spiegate in modo esplicito, ad esempio Categoria principale: aggiungi l'entità ai gruppi seguenti.
Tieni presente che nell'interfaccia utente la sezione Associazioni pertinenti è attivata per impostazione predefinita. Le associazioni elencate nella sezione Associazioni pertinenti non sono un elenco completo, ma sono le associazioni più pertinenti che potrebbero interessarti durante la risoluzione di un problema di accesso specifico. I criteri effettivi associati a una risorsa specifica potrebbero contenere molte associazioni non pertinenti alla tua risorsa, ad esempio un'autorizzazione Cloud Storage concessa a livello di progetto. I dettagli non pertinenti vengono filtrati.
Puoi esaminare ulteriormente una condizione non riuscita esaminando le spiegazioni sul livello di accesso. I dettagli del livello di accesso indicano dove si è verificato l'errore e suggeriscono le correzioni per risolverlo. Puoi propagare le azioni necessarie all'utente o correggere i criteri, se necessario. Ad esempio, puoi inviare all'utente la seguente azione: Richiesta non riuscita perché il dispositivo non è di proprietà dell'azienda.
Attivazione dell'URL per la risoluzione dei problemi per la pagina di errore personalizzata Access Denied
Per aggiungere l'URL dello strumento per la risoluzione dei problemi relativi ai criteri alla pagina di errore Access Denied del cliente, procedi nel seguente modo:
- Reindirizza gli utenti alla tua pagina personalizzata anziché alla pagina di errore IAP predefinita completando il seguente passaggio: Impostazione di una pagina di errore personalizzata di accesso negato.
- Attiva la funzionalità URL dello strumento per la risoluzione dei problemi relativi ai criteri nelle impostazioni IAP.
Dopo aver configurato l'URL della pagina access denied nelle impostazioni IAP, l'URL dello strumento per la risoluzione dei problemi relativi ai criteri viene incorporato come parametro di ricerca con caratteri di escape. Assicurati di unescape per il parametro di query prima di aprirlo. La chiave del parametro di ricerca è troubleshooting-url.
Risolvere i problemi di accesso degli utenti in modo proattivo
Puoi utilizzare lo strumento per la risoluzione dei problemi relativi ai criteri, disponibile nel riquadro Sicurezza della pagina di destinazione di BeyondCorp Enterprise, per risolvere i problemi relativi a eventi ipotetici e ottenere informazioni e visibilità sui criteri di sicurezza. Ad esempio, puoi verificare l'accesso di un utente a una determinata risorsa protetta da IAP e verificare se è davvero necessaria. Un altro esempio è la modifica di un criterio a una risorsa protetta da IAP e vuoi assicurarti che il super amministratore abbia ancora accesso. Puoi accedere alla Console dispositivo di amministrazione Google per ottenere l'ID dispositivo di proprietà del super amministratore, quindi utilizzare l'ID dispositivo nello strumento per la risoluzione dei problemi per verificare l'accesso.
Risolvendo i problemi relativi alle richieste ipotetiche, puoi verificare che un utente disponga delle autorizzazioni corrette per accedere a una risorsa IAP prima che si verifichi un evento di negazione reale. Per farlo, puoi utilizzare l'indirizzo email dell'utente, la risorsa IAP di destinazione ed eventuali contesti di richiesta facoltativi, tra cui indirizzo IP, timestamp, ID dispositivo o contesto del dispositivo.
Quando risolvi i problemi relativi a richieste ipotetiche utilizzando l'ID dispositivo, assicurati che il dispositivo appartenga all'email dell'entità di destinazione. Puoi trovare l'ID dispositivo dal log di controllo di IAP oppure andando su Console di amministrazione Google -> Dispositivi > Dispositivi mobili ed endpoint > Dispositivi.
Quando risolvi i problemi relativi a richieste ipotetiche utilizzando il contesto del dispositivo, lo strumento per la risoluzione dei problemi supporta i seguenti attributi:
is_secured_with_screenlockencryption_statusos_typeos_versionverified_chrome_osis_admin_approved_deviceis_corp_owned_device
Scenari comuni di risoluzione dei problemi
Di seguito sono riportati alcuni scenari comuni che potresti riscontrare quando utilizzi lo strumento per la risoluzione dei problemi relativi ai criteri:
- Devi fornire un elemento utilizzabile all'utente finale dopo la risoluzione dei problemi, ad esempio indicando all'utente finale di passare a un dispositivo di proprietà dell'azienda o di aggiornare il sistema operativo.
- Scopri di non aver assegnato l'autorizzazione corretta all'utente finale, quindi crei una nuova associazione per l'entità di destinazione nell'interfaccia IAP (
roles/iap.httpsResourceAccessor). - Scopri di aver creato erroneamente un livello di accesso per i seguenti motivi di esempio:
- Hai creato limitazioni complicate per gli attributi nidificati, ad esempio le subnet aziendali, che non sono più applicabili perché i dipendenti ora lavorano da casa.
- Hai applicato parametri del livello di accesso errati. Ad esempio, hai specificato che gli utenti possono creare un livello personalizzato con limitazioni dei fornitori, ma hai confrontato gli attributi con tipi diversi. Ad esempio,
device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Tieni presente che il lato sinistro restituisce un valore booleano, mentre il lato destro restituisce una stringatrue. A causa degli attributi inequivalenti, è difficile rilevare l'errore nella struttura del criterio. Lo strumento per la risoluzione dei problemi relativi ai criteri aiuta spiegando che questo viene valutato come un errore e fornisce risultati di valutazione parziali dettagliati su entrambi i lati.
Comportamento previsto dello strumento per la risoluzione dei problemi
La risoluzione dei problemi viene eseguita sugli accessi limitati utilizzando i criteri attuali e le informazioni del dispositivo con il timestamp attuale. Pertanto, se hai sincronizzato il dispositivo o modificato i criteri dopo il rifiuto dell'accesso limitato, non potrai risolvere i problemi utilizzando i contesti e i dati precedenti. Stai risolvendo i problemi utilizzando i contesti e i dati attuali.
Suggerimenti per la risoluzione dei problemi relativi alle associazioni
Per tutti i componenti (Ruolo, Entità, Condizione) di eventuali associazioni con errori di autorizzazione, concedi le autorizzazioni necessarie se vuoi verificare i risultati della risoluzione dei problemi di queste associazioni.
Se il controllo del ruolo non va a buon fine in un'associazione, completa le seguenti azioni:
- Controlla le altre associazioni o crea una nuova associazione utilizzando l'interfaccia IAP per concedere il ruolo
roles/iap.httpsResourceAccessorall'entità con i livelli di accesso applicati, se necessario. - Se si tratta di un ruolo personalizzato, puoi aggiungere al ruolo personalizzato l'autorizzazione di destinazione in modo da concederla (dopo aver risolto eventuali errori relativi all'entità e alla condizione, se applicabile). Tieni presente che l'aggiunta di autorizzazioni a un ruolo personalizzato esistente potrebbe concedere altre associazioni a questo ruolo personalizzato con più autorizzazioni del necessario. Non eseguire questa operazione se non conosci l'ambito del ruolo personalizzato e il rischio dell'operazione.
- Se non è un ruolo personalizzato, controlla le altre associazioni o crea una nuova associazione utilizzando l'interfaccia IAP per concedere il ruolo
roles/iap.httpsResourceAccessorall'entità con livelli di accesso applicati, se necessario.
Se il controllo del ruolo ha esito positivo, ma il controllo dell'entità non va a buon fine, completa le seguenti azioni:
- Se i membri contengono un gruppo, puoi aggiungere l'entità al gruppo per concedere le autorizzazioni (dopo aver corretto eventuali errori relativi alla condizione, se applicabile). Tieni presente che l'aggiunta di un'entità a un gruppo esistente potrebbe concedere al gruppo più autorizzazioni del necessario. Non farlo a meno che tu non sia a conoscenza dell'ambito del gruppo e del rischio dell'operazione.
- Se i membri non contengono un gruppo, controlla le altre associazioni o crea una nuova associazione utilizzando l'interfaccia IAP per concedere
roles/iap.httpsResourceAccessorall'entità con i livelli di accesso applicati, se necessario.
Se il controllo del ruolo e dell'entità ha esito positivo, ma la condizione non va a buon fine, controlla i dettagli per la risoluzione dei problemi di ogni singolo livello di accesso elencato nella condizione, se la condizione è costituita solo da livelli di accesso collegati all'operatore logico OR.