Configurare i controlli della sessione per la riautenticazione
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
I controlli della sessione ti consentono di configurare la frequenza con cui gli utenti devono eseguire nuovamente l'autenticazione dopo aver ottenuto l'accesso e se è richiesto l'accesso completo, solo con password o con una chiave di sicurezza hardware.
Puoi applicare i controlli della sessione per:
Applica la riautenticazione frequente per gli utenti con privilegi Richiedi agli utenti
con privilegi elevati, come i proprietari dei progetti e gli amministratori della fatturazione,
di ripetere l'autenticazione con maggiore frequenza.
Configura sessioni più lunghe per determinate applicazioni Consenti a determinate applicazioni, come quelle di AI basate sul contesto come Gemini, di avere durate delle sessioni più lunghe per preservare la grande finestra contestuale necessaria per prestazioni ottimali.
Definisci la durata della sessione e i metodi di riautenticazione
Utilizza il flag --session-length per impostare la durata della sessione e il
flag --session-reauth-method per specificare il metodo di riautenticazione. Ad
esempio, puoi impostare una durata della sessione di 30 minuti (30 m) e un
metodo di riautenticazione LOGIN, PASSWORD o SECURITY_KEY.
Questa impostazione verrà applicata a tutte le applicazioni, a meno che non venga sostituita da impostazioni specifiche dell'applicazione.
Definisci scopedAccessSettings in un file YAML per specificare i controlli della sessione
per applicazioni specifiche utilizzando clientId. In questo modo puoi ignorare i controlli
delle sessioni predefiniti per queste applicazioni. Puoi quindi passare il file YAML
utilizzando --binding-file flag.
API
Definisci i campi sessionLength e sessionReauthMethod all'interno di sessionSettings object nel corpo JSON della richiesta POST per creare o aggiornare un binding GcpUserAccessBinding. Utilizza scopedAccessSettings per
definire i controlli di sessione specifici per l'applicazione.
Per maggiori dettagli, vedi Definire le configurazioni per applicazioni specifiche.
Considerazioni chiave per la definizione dei controlli delle sessioni:
Non puoi specificare la console Google Cloud utilizzando clientId. Per applicare i controlli
della sessione per la console Google Cloud , definiscila come predefinita e poi
crea eccezioni per altre applicazioni.
Quando vengono risolte le impostazioni di controllo della sessione, viene utilizzato solo il binding di accesso creato più di recente che corrisponde alla richiesta.
Configurazione dei criteri di esempio
Di seguito è riportato un esempio che mostra come creare un controllo della sessione che
richiede la riautenticazione ogni 18 ore per impostazione predefinita con LOGIN e ogni due
ore per un'applicazione specifica (SENSITIVE_APP_ID) con SECURITY_KEY.
Impostazioni predefinite
I flag --level, --session-length e --session-reauth-method nel comando Google Cloud CLI (o i campi corrispondenti nel corpo JSON per la chiamata API) impostano il comportamento predefinito per tutte le applicazioni non definite esplicitamente in scopedAccessSettings.
Impostazioni specifiche dell'applicazione
La sezione scopedAccessSettings nel file YAML (o nel corpo JSON) consente di
ignorare le impostazioni predefinite per applicazioni specifiche. Nell'esempio, abbiamo
impostato un requisito di riautenticazione di due ore con SECURITY_KEY per l'applicazione con l'ID client SENSITIVE_APP_ID.
Per esentare determinate app dal controllo della sessione, imposta il campo
sessionLength su 0s o sessionLengthEnabled
su false. Il metodo sessionReauthMethod verrà quindi ignorato.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["# Configure session controls for re-authentication\n\n| **Preview\n| --- Session controls**\n|\n|\n| This feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\nSession controls let you configure how often users must re-authenticate after\nbeing granted access, and whether a full login, password only, or hardware\nsecurity key is required.\n\nYou can apply session controls to do the following:\n\n- **Enforce frequent re-authentication for privileged users** Require users with elevated privileges, such as project owners and billing administrators, to re-authenticate more frequently.\n- **Configure longer sessions for certain applications** Allow certain applications, such as context-based AI applications like Gemini, to have longer session durations to preserve the large context window required for optimal performance.\n\n| **Warning:** If you previously managed session controls within Workspace based on Organizational Units (OUs), session controls defined through Access Context Manager bindings will supersede any OU-based policies.\n\nDefine session length and re-authentication methods\n---------------------------------------------------\n\nYou can define session controls when creating an Access Context Manager binding.\nFor details about the session controls, see [Apply policies to user groups using access bindings](/chrome-enterprise-premium/docs/apply-policies-to-user-groups). \n\n### gcloud\n\n- [**Set default session controls for all applications**](/chrome-enterprise-premium/docs/apply-policies-to-user-groups#use_a_single_configuration_for_all_applications)\n\n Use the `--session-length` flag to set the session duration and the\n `--session-reauth-method` flag to specify the re-authentication method. For\n example, you can set a session duration time of 30 minutes (30m) and a\n `LOGIN`, `PASSWORD`, or `SECURITY_KEY` re-authentication method.\n\n This will be applied to all applications unless overridden by\n application-specific settings.\n- [**Set application-specific session controls**](/chrome-enterprise-premium/docs/apply-policies-to-user-groups#define_configurations_for_specific_applications)\n\n Define `scopedAccessSettings` in a YAML file to specify session controls\n for specific applications using `clientId`. This lets you override the\n default session controls for those applications. You can then pass the YAML\n file using the `--binding-file flag`.\n\n### API\n\nDefine the `sessionLength` and `sessionReauthMethod` fields within the\n`sessionSettings object` in the JSON body of your POST request to create\nor update a `GcpUserAccessBinding` binding. Use `scopedAccessSettings` to\ndefine application-specific session controls.\nSee [Define configurations for specific applications](/chrome-enterprise-premium/docs/apply-policies-to-user-groups#api)\nfor details.\n\nKey considerations when defining session controls:\n\n- You cannot specify the Google Cloud console using `clientId`. To enforce session controls for the Google Cloud console, define it as a default and then create exceptions for other applications.\n- Only the most recently created access binding that matches the request is used when resolving session control settings.\n\nExample policy configuration\n----------------------------\n\nFollowing is an example that demonstrates how to create a session control that\nrequires re-authentication every 18 hours by default with `LOGIN`, and every two\nhours for a specific application (`SENSITIVE_APP_ID`) with `SECURITY_KEY`.\n\n**Default settings**\n\nThe `--level`, `--session-length`, and `--session-reauth-method` flags in the\nGoogle Cloud CLI command (or the corresponding fields in the JSON body for the\nAPI call) set the default behavior for all applications not explicitly defined\nin `scopedAccessSettings`.\n\n**Application-specific settings**\n\nThe `scopedAccessSettings` section in the YAML file (or JSON body) lets you\noverride the default settings for specific applications. In the example, we\nset a two hour re-authentication requirement with `SECURITY_KEY` for the\napplication with the client ID `SENSITIVE_APP_ID`.\n\nTo exempt certain apps from session control, set the\n`sessionLength` field to `0s` or `sessionLengthEnabled`\nto `false`. The `sessionReauthMethod` method will then be ignored. \n\n### gcloud\n\nThe settings configuration: \n\n scopedAccessSettings:\n scope:\n clientScope:\n restrictedClientApplication:\n clientId: SENSITIVE_APP_ID\n activeSettings:\n sessionSettings:\n sessionLength: 7200s\n sessionReauthMethod: SECURITY_KEY\n sessionLengthEnabled: true\n\nCreate the access binding: \n\n gcloud access-context-manager cloud-bindings create \\\n --organization ORG_ID \\\n --group-key GROUP_ID \\\n --binding-file BINDING_FILE_PATH \\\n --level DEFAULT_ACCESS_LEVEL\n --session-length 18h \\\n --session-reauth-method LOGIN\n\n### API\n\nJSON body: \n\n {\n \"groupKey\": \"GROUP_ID\",\n \"accessLevels\": [\n \"accessPolicies/POLICY_ID/accessLevels/DEFAULT_ACCESS_LEVEL\"\n ],\n \"scopedAccessSettings\": [\n {\n \"scope\": {\n \"clientScope\": {\n \"restrictedClientApplication\": {\n \"clientId\": \"SENSITIVE_APP_ID\"\n }\n }\n },\n \"activeSettings\": {\n \"accessLevels\": [\n \"accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME\"\n ],\n \"sessionSettings\": [\n {\n \"sessionLength\": \"2h\",\n \"sessionReauthMethod\": \"SECURITY_KEY\",\n \"sessionLengthEnabled\": true\n }\n ]\n }\n }\n ]\n\nPost request: \n\n POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"]]
