Resolva problemas com a resolução de problemas de políticas

Este documento descreve como usar a ferramenta de resolução de problemas de políticas para classificar e analisar o acesso de um utilizador final.

O Chrome Enterprise Premium permite-lhe criar regras avançadas ao nível da empresa que fornecem acesso a aplicações com base no contexto. Quando são aplicadas várias regras de acesso aos recursos, desde restrições de localização a regras de dispositivos, pode ser difícil compreender como as políticas são avaliadas e por que motivo um utilizador tem ou não tem acesso ao recurso de destino. É aqui que a triagem e a análise do acesso de um utilizador são importantes.

A ferramenta de resolução de problemas de políticas ajuda a identificar o motivo pelo qual o acesso é bem-sucedido ou falha e, se necessário, a alterar a política e dar instruções ao utilizador final para modificar o respetivo contexto de modo a permitir o acesso ou remover a associação para negar o acesso inesperado. A ferramenta de resolução de problemas de políticas é uma ferramenta valiosa para organizações que precisam de aplicar várias regras a vários recursos para diferentes grupos de utilizadores.

Antes de começar

Para maximizar a eficácia da resolução de problemas de políticas, verifique se tem a função de revisor de segurança (roles/iam.securityReviewer). Isto permite-lhe ler todas as políticas de IAM do Google Cloud aplicáveis.

Para resolver problemas de acesso de um dispositivo, tem de ter autorização para ver os respetivos detalhes. Se as políticas associadas ao recurso de destino contiverem políticas de dispositivos, como um nível de acesso que exija que o dispositivo esteja encriptado, pode não obter resultados precisos, a menos que a autorização para obter os detalhes do dispositivo do principal de destino seja validada. Normalmente, o superadministrador, o administrador de serviços e o administrador de dispositivos móveis do Google Workspace têm acesso à visualização dos detalhes dos dispositivos. Para permitir que um utilizador que não seja um administrador de serviços, de dispositivos móveis ou um superadministrador resolva problemas de acesso, conclua os seguintes passos:

1. Crie uma função de administrador do Google Workspace personalizada que contenha o privilégio Serviços > Gestão de dispositivos móveis > Gerir dispositivos e definições (localizado em Privilégios da consola do administrador).
2. Atribua a função aos utilizadores através da consola do administrador.

Para resolver problemas de acesso a um recurso concedido por um Google Cloud grupo, tem de ter autorização para ver os respetivos membros. Se as políticas contiverem um grupo, deve ter autorização para ver os detalhes do grupo antes de o abrir. Normalmente, os superadministradores e os administradores de grupos do Google Workspace têm acesso para ver a associação a grupos. Para permitir que um utilizador que não seja um superadministrador ou um administrador do grupo resolva problemas de acesso, conclua os seguintes passos:

1. Crie uma função de administrador do Google Workspace personalizada que contenha o privilégio Grupos > Ler (localizado em Privilégios da API Admin).
2. Atribua a função ao utilizador. Isto permite que o utilizador veja a associação de todos os grupos no seu domínio e resolva problemas de acesso de forma mais eficaz.

A autorização da função personalizada é opcional. Se não tiver autorização para ver uma função personalizada, pode não conseguir saber se um principal tem acesso à mesma a partir de associações com funções personalizadas.

Vista geral do fluxo de trabalho de resolução de problemas

Resolução de problemas de acesso negado

Para resolver problemas de acesso recusado, pode ativar a funcionalidade para um recurso de IAP nas definições de IAP clicando nos três pontos à direita da aplicação protegida por IAP, em Definições e, de seguida, selecionando Gerar um URL de resolução de problemas. Para maximizar a eficácia da ferramenta de resolução de problemas de políticas, verifique se tem a função de administrador das definições do IAP (roles/iap.settingsAdmin). Isto permite-lhe obter e atualizar as definições do IAP de todos os recursos do IAP.

Os URLs de resolução de problemas só são apresentados nas páginas 403 predefinidas, quando ativados.

A resolução de problemas de políticas oferece uma interface do utilizador onde pode ver os resultados detalhados da avaliação de todas as políticas eficazes para o recurso de IAP de destino. Quando o acesso de um utilizador falha, a página 403 mostra um URL de resolução de problemas. Quando é acedido, o resolutor de problemas de políticas mostra os detalhes das associações com falhas e a análise dos níveis de acesso com falhas, se existirem nas associações. Também pode usar a resolução de problemas para ver uma vista detalhada do acesso de um utilizador a um recurso.

Acesso do utilizador negado

Quando um utilizador não tem a autorização ou não cumpre a condição necessária para aceder a um recurso de IAP, é direcionado para uma página de erro de acesso recusado 403. A página 403 inclui um URL de resolução de problemas que pode ser copiado e enviado manualmente ao proprietário da aplicação ou ao administrador de segurança, ou o utilizador pode clicar em Enviar email na interface do utilizador.

Quando um utilizador clica em Enviar email, é enviado um email para o endereço de email de apoio técnico (supportEmail) configurado no ecrã de consentimento OAuth. Para mais informações sobre a configuração do ecrã de consentimento OAuth, consulte o artigo Criar programaticamente clientes OAuth para IAP.

Resolução de problemas de acesso falhado

Quando recebe o link de um pedido de acesso falhado de um utilizador final, pode clicar no URL, que é aberto no navegador predefinido. Se não tiver sessão iniciada na Google Cloud consola no seu navegador predefinido, pode ser feito um redirecionamento para outra página de início de sessão para aceder à página de análise da resolução de problemas de políticas.

A página de análise da resolução de problemas de políticas apresenta uma vista resumida, uma vista da política de IAM e uma tabela que mostram o contexto de um utilizador e do dispositivo, como o endereço principal, o ID do dispositivo e o recurso do IAP a que se está a aceder.

A vista resumida oferece uma vista agregada de todas as conclusões relevantes sobre políticas e associações. A vista da política de IAM apresenta uma lista dos resultados da avaliação das associações de IAM eficazes, concedidas ou não, juntamente com uma vista de alto nível de onde ocorreram as falhas, como O principal não é membro e não cumpre as condições.

Para analisar mais detalhadamente o acesso falhado, pode ver os detalhes da associação. Nos Detalhes da associação, pode ver os componentes da associação, a Função, o Principal e a Condição. O componente com autorizações suficientes indica Não é necessária nenhuma ação. Componentes onde o acesso falhou, as lacunas nas autorizações são explicadas explicitamente, como Categoria principal: adicione o principal aos grupos abaixo.

Tenha em atenção que, na interface do utilizador, a secção Associações relevantes está ativada por predefinição. As associações apresentadas na secção Associações relevantes não são uma lista exaustiva, mas sim as associações mais relevantes que podem ser do seu interesse quando resolve um problema de acesso específico. As políticas eficazes associadas a um recurso específico podem conter muitas associações não relevantes para o seu recurso, como uma autorização do Cloud Storage concedida ao nível do projeto. Os detalhes irrelevantes são filtrados.

Pode investigar mais detalhadamente uma condição com falhas consultando as explicações do nível de acesso. Os detalhes do Nível de acesso indicam onde ocorreu a falha e sugerem correções para a resolver. Pode propagar as ações necessárias ao utilizador ou corrigir as políticas, se necessário. Por exemplo, pode enviar a seguinte ação de volta ao utilizador: O pedido falhou porque o dispositivo não é propriedade da empresa.

Ativar o URL de resolução de problemas para a sua página de erro Access Denied personalizada

Pode adicionar o URL da resolução de problemas de políticas à página de erro Access Denied do cliente concluindo os seguintes passos:

1. Redirecione os utilizadores para a sua página personalizada em vez da página de erro de IAP predefinida, concluindo o seguinte passo: Definir uma página de erro de acesso negado personalizada.
2. Ative a funcionalidade de URL do solucionador de problemas de políticas nas definições de IAP.

Depois de configurar o URL da página access denied nas definições de IAP, o URL da ferramenta de resolução de problemas de políticas é incorporado como um parâmetro de consulta com carateres de escape. Verifique se descodifica o parâmetro de consulta codificado antes de o abrir. A chave do parâmetro de consulta é troubleshooting-url.

Resolução proativa de problemas de acesso dos utilizadores

Pode usar a ferramenta de resolução de problemas de políticas, localizada no painel Segurança da página de destino do Chrome Enterprise Premium, para resolver problemas de eventos hipotéticos e obter informações e visibilidade sobre as suas políticas de segurança. Por exemplo, pode verificar o acesso de um utilizador a um recurso protegido por IAP e investigar se é realmente necessário. Outro exemplo é quando faz uma alteração de política a um recurso protegido pelo IAP e quer verificar se o superadministrador ainda tem acesso. Pode aceder à consola de dispositivos do administrador Google para obter o ID do dispositivo pertencente ao superadministrador e, em seguida, usar o ID do dispositivo na resolução de problemas de políticas para validar o acesso.

Ao resolver problemas de pedidos hipotéticos, pode verificar se um utilizador tem as autorizações certas para aceder a um recurso de IAP antes de ocorrer um evento de recusa real. Pode fazê-lo através do email do utilizador, do recurso de CAsI de destino e de quaisquer contextos de pedido opcionais, incluindo o endereço IP, a data/hora, o ID do dispositivo ou o contexto do dispositivo.

Quando resolver problemas de pedidos hipotéticos com o ID do dispositivo, certifique-se de que o dispositivo pertence ao email principal de destino. Pode obter o ID do dispositivo no registo de auditoria da IAP ou acedendo a Consola do administrador da Google -> Dispositivos > Dispositivos móveis e pontos finais > Dispositivos.

Quando resolve problemas de pedidos hipotéticos com o contexto do dispositivo, o solucionador de problemas suporta os seguintes atributos:

• is_secured_with_screenlock
• encryption_status
• os_type
• os_version
• verified_chrome_os
• is_admin_approved_device
• is_corp_owned_device

Cenários de resolução de problemas comuns

Seguem-se alguns cenários comuns que podem surgir quando trabalha com a ferramenta de resolução de problemas de políticas:

• Fornece um item acionável ao utilizador final após a resolução de problemas, como dar instruções ao utilizador final para mudar para um dispositivo pertencente à empresa ou atualizar o sistema operativo.
• Descobre que não atribuiu a autorização certa ao utilizador final, pelo que cria uma nova associação para o principal de destino na interface da IAP (roles/iap.httpsResourceAccessor).
• Descobre que criou um nível de acesso incorretamente pelos seguintes motivos de exemplo:
  • Criou restrições de atributos aninhadas complexas, como sub-redes empresariais, que já não se aplicam porque os funcionários estão agora a trabalhar a partir de casa.
  • Aplicou parâmetros de nível de acesso incorretos. Por exemplo, especificou que os utilizadores podem criar um nível personalizado com restrições de fornecedores, mas comparou atributos com tipos diferentes. Por exemplo, device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Tenha em atenção que o lado esquerdo devolve um valor booleano, enquanto o lado direito devolve uma string true. Devido aos atributos não equivalentes, é difícil detetar o erro na construção da política. A resolução de problemas de políticas ajuda a explicar que isto é avaliado como um erro com resultados detalhados da avaliação parcial em ambos os lados.

Resolução de problemas de comportamento pretendido

A resolução de problemas é feita nos acessos restritos através das políticas atuais e das informações do dispositivo com a data/hora atual. Por conseguinte, se sincronizou o dispositivo ou alterou as políticas após a recusa de acesso restrito, não está a resolver problemas com os contextos e os dados antigos. Está a resolver problemas com os contextos e os dados atuais.

Sugestões para resolver problemas de associações

Para quaisquer componentes (função, principal, condição) de quaisquer associações com erros de autorização, conceda as autorizações necessárias se quiser verificar os resultados da resolução de problemas de tais associações.

Se a verificação de funções falhar numa associação, conclua as seguintes ações:

• Verifique outras associações ou crie uma nova associação através da interface do IAP para conceder a função roles/iap.httpsResourceAccessor ao principal com níveis de acesso aplicados, se necessário.
• Se for uma função personalizada, pode adicionar a autorização de destino à função personalizada para conceder a autorização (depois de corrigir quaisquer falhas principais e quaisquer falhas de condição, quando aplicável). Tenha em atenção que a adição de autorizações a uma função personalizada existente pode conceder outras associações com esta função personalizada com mais autorizações do que o necessário. Não o faça, a menos que tenha conhecimento do âmbito da função personalizada e do risco da sua operação.
• Se não for uma função personalizada, verifique outras associações ou crie uma nova associação através da interface do IAP para conceder a função roles/iap.httpsResourceAccessor ao principal com níveis de acesso aplicados, se necessário.

Se a verificação de funções for bem-sucedida, mas a verificação de entidades falhar, conclua as seguintes ações:

• Se os membros contiverem um grupo, pode adicionar o principal ao grupo para conceder as autorizações (depois de corrigir quaisquer falhas de condições, quando aplicável). Tenha em atenção que adicionar um principal a um grupo existente pode conceder ao grupo mais autorizações do que o necessário. Não o faça, a menos que esteja a par do âmbito do grupo e do risco da sua operação.
• Se os membros não contiverem um grupo, verifique outras associações ou crie uma nova associação através da interface do IAP para conceder o roles/iap.httpsResourceAccessor ao principal com níveis de acesso aplicados, se necessário.

Se a verificação de função e principal for bem-sucedida, mas a condição falhar, verifique os detalhes de resolução de problemas de cada nível de acesso individual listado na condição, se a condição consistir apenas em níveis de acesso ligados ao operador lógico OR.