OS Login mit Bestätigung in zwei Schritten einrichten

In diesem Thema werden die grundlegenden Schritte zum Einrichten von OS Login mit der Bestätigung in zwei Schritten beschrieben.

Wenn Sie den Zugriff auf virtuelle Maschinen mit OS Login verwalten, können Sie eine zusätzliche Sicherheitsebene hinzufügen: die Bestätigung in zwei Schritten (Two-Factor Authentication, 2FA). Weitere Informationen zu diesen und anderen Vorteilen von OS Login finden Sie unter OS Login.

So können Sie OS Login-2FA auf Ihren VMs nutzen:

  1. Installieren oder aktualisieren Sie die Gastumgebung.
  2. Optional: Wenn Sie Organisationsadministrator sind, lesen Sie die Informationen unter OS Login in einer Organisation verwalten.
  3. Aktivieren Sie die Bestätigung in zwei Schritten für Ihr Google-Konto oder Ihre Domain.

  4. Aktivieren Sie 2FA für Ihr Projekt oder Ihre VM.

  5. Weisen Sie sich selbst, den Projektmitarbeitern oder den Mitarbeitern in Ihrer Organisation die erforderlichen IAM-Rollen zu.

  6. (Optional) Sie können benutzerdefinierte SSH-Schlüssel zu den Nutzerkonten für sich selbst, die Projektmitarbeiter oder die Mitarbeiter der Organisation hinzufügen. Alternativ kann Compute Engine die Schlüssel automatisch generieren, wenn Sie eine Verbindung zu VMs herstellen.

  7. Verbindung zu VMs herstellen

  8. Prüfen Sie das erwartete Anmeldeverhalten.

Um den VM-Zugriff weiter einzuschränken, können Sie auch hardwarebasierte SSH-Schlüsselpaare einrichten. Weitere Informationen finden Sie unter SSH mit Sicherheitsschlüsseln.

Nach dem Einrichten von OS Login-2FA können Sie mithilfe von Audit-Logs Ihre Authentifizierungssitzungen überwachen.

Vorbereitung

Einschränkungen

  • OS Login wird von Google Kubernetes Engine (GKE) derzeit nicht unterstützt. GKE-Clusterknoten verwenden weiterhin Metadaten-SSH-Schlüssel, wenn OS Login aktiviert ist.

  • OS Login wird von Fedora CoreOS-Images derzeit nicht unterstützt. Verwenden Sie zum Verwalten des Instanzzugriffs auf VMs, die mit diesen Images erstellt wurden, das Ignition-System von Fedora CoreOS.

  • Windows Server- und SQL Server-Images unterstützen OS Login nicht.

Unterstützte Methoden der Identitätsbestätigung

OS Login unterstützt die folgenden Bestätigungsmethoden in zwei Schritten bzw. Arten der Identitätsbestätigung:

Schritt 1: Gastumgebung installieren oder aktualisieren

Auf der Instanz muss die neueste Version der Gastumgebung installiert sein. Bei den meisten öffentlichen Images ist die neueste Version bereits installiert.

Bei Instanzen, auf denen importierte benutzerdefinierte Images ausgeführt werden, installieren Sie die Gastumgebung auf diesen VMs.

Aktualisieren Sie die Gastumgebung ggf. auf die neueste Version.

Schritt 2: (Optional) Verwalten von OS Login in einer Organisation prüfen

Als Organisationsadministrator können Sie bestimmte Konfigurationen festlegen, wie z. B. die Aktivierung von OS Login auf Organisationsebene. Weitere Informationen finden Sie unter OS Login in einer Organisation verwalten.

Schritt 3: Bestätigung in zwei Schritten für Ihr Google-Konto oder Ihre Domain aktivieren

Bevor Sie OS Login-2FA für Ihr Projekt oder Ihre VM aktivieren können, müssen Sie zuerst die Bestätigung in zwei Schritten für Ihr Google-Konto oder Ihre Domain aktivieren. Achten Sie darauf, dass Sie die Bestätigung in zwei Schritten für die Domain aktivieren, die das Projekt oder die VMs enthält, oder für den Nutzer, der Inhaber des Projekts oder der VMs ist.

Aus Sicherheitsgründen sollten Sie die Bestätigung in zwei Schritten für Nutzerkonten in Ihrer Organisation erzwingen. Nutzer, für die die Bestätigung in zwei Schritten nicht konfiguriert ist, werden durch die Aktivierung von OS Login-2FA nicht an der Anmeldung gehindert.

Ein Google Workspace-Administrator kann die Bestätigung in zwei Schritten für eine ganze Domain aktivieren. Einzelne Google-Nutzer können sie wiederum für ihre eigenen Konten aktivieren.

Domain

Die Bestätigung in zwei Schritten für eine ganze Domain muss von einem Google Workspace-Administrator aktiviert werden.

Informationen zum Aktivieren der Bestätigung in zwei Schritten für eine Domain finden Sie im Leitfaden für Google Workspace-Administratoren unter Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen.

Nutzerkonto

Wenn Ihre Nutzerkonten nicht von einem Google Workspace-Administrator verwaltet werden, können Sie die Bestätigung in zwei Schritten für einzelne Google-Konten konfigurieren.

Informationen zum Konfigurieren der Bestätigung in zwei Schritten für ein einzelnes Google-Konto finden Sie unter Google-Bestätigung in zwei Schritten.

Schritt 4: OS Login-2FA für Ihr Projekt oder Ihre VM aktivieren

Nachdem Sie die Bestätigung in zwei Schritten auf Domain- oder Nutzerkontoebene aktiviert haben, können Sie einzelne VMs oder Projekte für die Verwendung von OS Login-2FA aktivieren.

Für eine VM oder ein Projekt muss OS Login aktiviert sein, damit OS Login-2FA verwendet werden kann.

Sie können bei der VM-Erstellung oder Projekteinrichtung sowohl OS Login als auch OS Login-2FA konfigurieren. OS Login-2FA lässt sich auch für eine vorhandene VM oder ein bestehendes Projekt konfigurieren, wenn OS Login bereits aktiviert ist.

Wenn Sie ein Projekt oder eine VM für die Verwendung der Bestätigung in zwei Schritten von OS Login konfigurieren möchten, legen Sie in den Metadaten des Projekts bzw. der Instanz enable-oslogin-2fa=TRUE und enable-oslogin=TRUE fest.

Console

Mit den folgenden Optionen können Sie Metadatenwerte auf Ihre Projekte oder VMs anwenden:

  • Option 1: Legen Sie beim Erstellen einer VM in den Instanzmetadaten enable-oslogin-2fa=TRUE und enable-oslogin=TRUE fest.

    1. Öffnen Sie in der Google Cloud Console die Seite "VM-Instanzen".

      Zur Seite "VM-Instanzen"

    2. Klicken Sie auf Instanz erstellen.
    3. Legen Sie auf der Seite Neue Instanz erstellen die gewünschten Attribute für Ihre Instanz fest.
    4. Fügen Sie im Abschnitt Metadaten die folgenden Metadateneinträge hinzu:

      • enable-oslogin und der Wert ist TRUE.
      • enable-oslogin-2fa und der Wert ist TRUE.
    5. Klicken Sie auf Erstellen, um die VM zu erstellen.

  • Option 2: Legen Sie enable-oslogin-2fa und enable-oslogin=TRUE in den projektweiten Metadaten fest, damit die Einstellung für alle VMs in Ihrem Projekt gilt.

    1. Öffnen Sie die Seite "Metadaten".

      Zur Seite "Metadaten"

    2. Klicken Sie auf Bearbeiten.
    3. Fügen Sie im Abschnitt Metadaten die folgenden Metadateneinträge hinzu:

      • enable-oslogin und der Wert ist TRUE.
      • enable-oslogin-2fa und der Wert ist TRUE.
    4. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

    Bei VMs, auf denen nicht CoreOS ausgeführt wird, wird diese Änderung sofort übernommen. Sie müssen die VM nicht neu starten. Bei CoreOS-Distributionen müssen Sie die VM neu starten, damit die Änderung wirksam wird. Beenden Sie dazu die VMs und starten Sie diese dann neu.

  • Option 3: Legen Sie enable-oslogin-2fa und enable-oslogin=TRUE in den Metadaten einer vorhandenen VM fest.

    1. Öffnen Sie die Seite der VM-Instanzen.

      Zur Seite "VM-Instanzen"

    2. Klicken Sie auf den Namen der VM, für die Sie den Metadatenwert festlegen möchten.
    3. Klicken Sie oben auf der Seite mit den Instanzdetails auf Bearbeiten, um die Instanzeinstellungen zu bearbeiten.
    4. Fügen Sie unter Benutzerdefinierte Metadaten die folgenden Metadateneinträge hinzu:

      • enable-oslogin und der Wert ist TRUE.
      • enable-oslogin-2fa und der Wert ist TRUE.
    5. Klicken Sie unten auf der Seite "Instanzdetails" auf Speichern, um die Änderungen für die Instanz zu übernehmen.

    Bei allen Betriebssystemen außer CoreOS wird diese Änderung sofort übernommen. Sie brauchen die VM nicht neu zu starten. Bei CoreOS-Distributionen müssen Sie die VM neu starten, damit die Änderung wirksam wird. Beenden Sie dazu die VMs und starten Sie diese dann neu.

gcloud

Mit den folgenden Optionen können Sie Metadatenwerte auf Ihre Projekte oder VMs anwenden:

  • Option 1: Legen Sie beim Erstellen einer VM in den Instanzmetadaten enable-oslogin-2fa=TRUE und enable-oslogin=TRUE fest.

    Ersetzen Sie vm-name durch den Namen Ihrer VM.

    gcloud compute instances create vm-name \
        --metadata enable-oslogin=True,enable-oslogin-2fa=True
    
  • Option 2: Geben Sie in den projektweiten Metadaten enable-oslogin-2fa=TRUE und enable-oslogin=TRUE an, damit die Einstellung für alle VMs im Projekt gilt:

    gcloud compute project-info add-metadata \
        --metadata enable-oslogin=True,enable-oslogin-2fa=True
    
  • Option 3: Legen Sie enable-oslogin-2fa=TRUE und enable-oslogin=TRUE in den Metadaten einer vorhandenen VM fest.

    Ersetzen Sie vm-name durch den Namen Ihrer VM.

    gcloud compute instances add-metadata \
        --metadata enable-oslogin=True,enable-oslogin-2fa=True vm-name
    

Schritt 5: OS Login-Rollen für Nutzerkonten konfigurieren

OS Login-IAM-Rollen erteilen

Nachdem Sie auf einer oder mehreren Instanzen in Ihrem Projekt OS Login aktiviert haben, akzeptieren diese VMs nur noch Verbindungen von Nutzerkonten mit den erforderlichen IAM-Rollen in Ihrem Projekt oder in Ihrer Organisation.

Dem Nutzer müssen die erforderlichen Rollen zugewiesen werden, um OS Login-Zugriff auf diese VMs zu ermöglichen. So gewähren Sie OS Login Zugriff:

  1. Weisen Sie eine der folgenden Rollen für den Instanzzugriff zu:

    Mit dem Befehl gcloud compute instances add-iam-policy-binding können Sie diese Instanzzugriffsrollen auf Instanzebene erteilen.

  2. Wenn Ihre VM-Instanz ein Dienstkonto verwendet, muss jeder Nutzer so konfiguriert sein, dass er die Rolle roles/iam.serviceAccountUser für das Dienstkonto hat. Informationen zum Hinzufügen des Zugriffs eines Nutzers auf ein Dienstkonto finden Sie unter Identitätswechsel für Dienstkonten verwalten.

  3. Erteilen Sie Nutzern außerhalb Ihrer Organisation, die auf Ihre VMs zugreifen, zusätzlich zur Instanzzugriffsrolle die Rolle roles/compute.osLoginExternalUser. Diese Rolle muss von einem Organisationsadministrator auf Organisationsebene zugewiesen werden. Weitere Informationen finden Sie unter Nutzern außerhalb Ihrer Organisation Instanzzugriff gewähren.

SSH-Zugriff für Dienstkonto gewähren

Sie können mithilfe von OS Login-Rollen Dienstkonten erlauben, SSH-Verbindungen zu Ihren Instanzen herzustellen. Dies ist für die folgenden Aufgaben nützlich:

So gewähren Sie Dienstkonten SSH-Zugriff:

  1. Erstellen Sie ein Dienstkonto.
  2. Weisen Sie dem Dienstkonto die erforderlichen OS Login-Rollen zu. Dienstkonten erfordern dieselben Rollen wie Nutzerkonten. Informationen zum Konfigurieren von Rollen und Berechtigungen für Dienstkonten finden Sie unter Dienstkonten Rollen zuweisen.
  3. Stellen Sie dem Dienstkonto die Standardanmeldedaten für Anwendungen zur Verfügung, damit es Anfragen an die notwendigen APIs autorisieren kann. Verwenden Sie dazu eine der folgenden Optionen:

Nachdem Sie den Dienstkonten SSH-Zugriff gewährt haben, können Sie die Anwendungen so konfigurieren, dass SSH-Schlüssel erstellt und SSH-Verbindungen zu anderen Instanzen in Ihren VPC-Netzwerken hergestellt werden. In der Anleitung Anwendungen über SSH mit Instanzen verbinden finden Sie eine Beispielanwendung, mit der ein Dienstkonto SSH-Verbindungen herstellen kann.

OS Login-IAM-Rollen entziehen

Um den Nutzerzugriff auf Instanzen mit aktiviertem OS Login aufzuheben, entfernen Sie die Nutzerrollen aus dem Nutzerkonto. Informationen zum Entziehen einer IAM-Rolle eines Nutzers finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Wenn der Zugriff eines Nutzers widerrufen wird, hat der Nutzer weiterhin öffentliche SSH-Schlüssel, die mit seinem Konto verknüpft sind. Diese Schlüssel funktionieren jedoch nicht mehr für die VM-Instanzen.

Schritt 6: (Optional) SSH-Schlüssel zu einem Nutzerkonto hinzufügen

Wenn Sie mit Drittanbietertools eine Verbindung zu Ihren VMs herstellen möchten, müssen Sie die SSH-Schlüssel zu Ihrem Nutzerkonto hinzufügen. Wenn Sie eine Verbindung zu Ihren Instanzen mit anderen Optionen wie dem gcloud-Befehlszeilentool oder SSH im Browser herstellen, können Sie diesen Schritt überspringen, da Compute Engine diese Schlüssel automatisch generiert.

Öffentliche SSH-Schlüssel können mit den folgenden Nutzerkontentypen verknüpft werden:

Mit dem gcloud-Befehlszeilentool oder der OS Login API können Sie Ihrem eigenen Konto SSH-Schlüssel hinzufügen. Als Domainadministrator einer Organisation können Sie alternativ die Directory API verwenden, um dem Nutzerkonto SSH-Schlüssel hinzuzufügen.

gcloud

gcloud compute os-login-Befehle sind nur in der Cloud SDK-Version 184 und höher verfügbar.

Verwenden Sie das gcloud-Befehlszeilentool, um öffentliche SSH-Schlüssel mit einem Konto zu verknüpfen.

gcloud compute os-login ssh-keys add \
    --key-file key-file-path \
    --ttl expire-time

Ersetzen Sie Folgendes:

  • key-file-path: Der Pfad zum öffentlichen SSH-Schlüssel auf Ihrer lokalen Workstation. Achten Sie darauf, dass der öffentliche SSH-Schlüssel richtig formatiert ist. Wenn Sie auf Linux-Systemen PuTTYgen verwenden, um die öffentlichen Schlüssel zu generieren, müssen Sie das Format public-openssh verwenden.
  • expire-time: Ein optionales Flag zum Festlegen einer Ablaufzeit für den öffentlichen SSH-Schlüssel. Sie können beispielsweise 30m angeben, damit der SSH-Schlüssel nach 30 Minuten abläuft. Dieses Flag verwendet die folgenden Einheiten:
    • s für Sekunden
    • m für Minuten
    • h für Stunden
    • d für Tage. Setzen Sie den Wert auf 0, wenn der Schlüssel nicht ablaufen soll.

OS Login API

Verwenden Sie die OS Login API, um öffentliche SSH-Schlüssel mit einem Konto zu verknüpfen:

POST https://oslogin.googleapis.com/v1/users/account-email:importSshPublicKey

{
 "key": "ssh-key",
 "expirationTimeUsec": "expiration-timestamp"
}

Ersetzen Sie Folgendes:

  • account-email: Die E-Mail-Adresse des verwalteten Nutzerkontos.
  • ssh-key: Der öffentliche Schlüssel, der auf das Konto angewendet werden soll. Achten Sie darauf, dass der öffentliche SSH-Schlüssel richtig formatiert ist. Wenn Sie auf Linux-Systemen PuTTYgen verwenden, um die öffentlichen Schlüssel zu generieren, müssen Sie das Format public-openssh verwenden.
  • expiration-timestamp: Die Ablaufzeit für den Schlüssel in Mikrosekunden seit der Unix-Epoche.

Directory API

Domainadministratoren einer Organisation können die Directory API-Referenz verwenden, um SSH-Schlüssel zum Konto eines anderen Nutzers in ihrer Organisation hinzuzufügen. Erstellen Sie beispielsweise eine PUT-Anfrage an die Methode directory.users.update mit einem oder mehreren SSH-sshPublicKeys-Einträgen:

PUT https://www.googleapis.com/admin/directory/v1/users/user-id-key

{
 "sshPublicKeys": [
  {
   "key": "ssh-key",
   "expirationTimeUsec": "expiration-timestamp"
  },
  {
   "key": "ssh-key",
   "expirationTimeUsec": "expiration-timestamp"
  }
 ]
}

Ersetzen Sie Folgendes:

  • user-id-key: Eine unveränderliche ID für den Nutzer.
  • ssh-key: Ein öffentlicher Schlüssel, der auf das Konto angewendet werden soll. Achten Sie darauf, dass der öffentliche SSH-Schlüssel richtig formatiert ist. Wenn Sie auf Linux-Systemen PuTTYgen verwenden, um die öffentlichen Schlüssel zu generieren, müssen Sie das Format public-openssh verwenden.
  • expiration-timestamp: Die Ablaufzeit für einen Schlüssel in Mikrosekunden seit der Epoche.

Wenn Sie alle Schlüssel aus einem Konto entfernen möchten, geben Sie "sshPublicKeys": null als Text an. Ersetzen Sie dabei user-id-key durch eine unveränderliche ID für den Nutzer:

PUT https://www.googleapis.com/admin/directory/v1/users/user-id-key

{
  "sshPublicKeys": null
}

Nachdem Sie die Schlüssel zum Konto hinzugefügt haben, können Sie mit dem Nutzernamen Ihres Kontos und mithilfe von Drittanbietertools eine Verbindung zu Instanzen herstellen. Der Administrator Ihrer Organisation kann diesen Nutzernamen ändern.

Führen Sie den Befehl gcloud compute os-login describe-profile aus, um den aktuellen Nutzernamen für Ihr Konto zu ermitteln:

Die Ausgabe könnte etwa so aussehen:

name: '314159265358979323846'
posixAccounts:
- gid: '27182818'
  homeDirectory: /home/user_example_com
  ⋮
  uid: '27182818'
  username: user_example_com
⋮

Schritt 7: Verbindung zu VMs herstellen

Wenn Sie eine Verbindung zu einer VM herstellen, haben Sie drei wesentliche Optionen:

Wenn Sie mithilfe des gcloud-Befehlszeilentools oder mit SSH über den Browser eine Verbindung zu einer VM herstellen, generiert Compute Engine automatisch SSH-Schlüssel und verknüpft sie mit Ihrem Nutzerkonto.

Wenn Sie mit einem Drittanbietertool eine Verbindung zu einer VM herstellen, müssen Sie die öffentlichen Schlüssel zu Ihrem Nutzerkonto hinzufügen. Die VM erhält den öffentlichen Schlüssel von Ihrem Nutzerkonto, sodass Sie eine Verbindung zur VM herstellen können, wenn Sie den richtigen Nutzernamen und den entsprechenden privaten SSH-Schlüssel angeben.

Wenn Sie eine Verbindung zu Ihrer VM herstellen, erhalten Sie eine Meldung, die davon abhängt, welche Bestätigungsmethode in zwei Schritten bzw. Art der Identitätsbestätigung Sie ausgewählt haben.

  • Im Fall von Google Authenticator wird die folgende Meldung angezeigt:

    "Enter your one-time password:"

  • Bei der Überprüfung per SMS oder Telefonanruf ist die folgende Meldung zu sehen:

    "A security code has been sent to your phone. Enter code to continue:"

  • Im Fall einer Smartphone-Aufforderung wird die folgende Meldung angezeigt:

    A login prompt has been sent to your enrolled device:"

    Bei Smartphone-Aufforderungen müssen Sie Ihren Anmeldeversuch auf Ihrem Smartphone oder Tablet bestätigen, um fortzufahren. Bei den anderen Methoden geben Sie Ihren Sicherheitscode oder Ihr einmaliges Passwort ein.

Schritt 8: Erwartetes Anmeldeverhalten

  • Auf einigen Instanzen, die OS Login verwenden, erhalten Sie die folgende Fehlermeldung, nachdem die Verbindung hergestellt wurde:

    /usr/bin/id: cannot find name for group ID 123456789

    Ignorieren Sie die Fehlermeldung. Dieser Fehler wirkt sich nicht auf Ihre Instanzen aus.

  • Cloud Identity-Administratoren können POSIX-Informationen konfigurieren und für Organisationsmitglieder einen Nutzernamen festlegen. Wenn von einem Cloud Identity-Administrator kein Nutzername festgelegt wurde, generiert OS Login einen Linux-Standardnutzernamen. Dazu fasst es den Nutzernamen und die Domain aus der E-Mail-Adresse zusammen, die dem Google-Profil des Nutzers zugeordnet sind. Diese Namenskonvention gewährleistet, dass der Nutzername eindeutig ist. Wenn die mit dem Google-Profil verknüpfte Nutzer-E-Mail-Adresse beispielsweise user@example.com lautet, wird als Nutzername user_example_com erstellt.

    G Suite-Organisationen können die Standardeinstellung ändern und das Domainsuffix für neu erstellte Nutzernamen entfernen. Wenn beispielsweise die mit dem Google-Profil verknüpfte Nutzer-E-Mail user@example.com lautet, wird als Nutzername user erstellt. Weitere Informationen finden Sie unter OS Login API verwalten.

    Wenn ein Nutzer aus einer anderen G Suite-Organisation stammt, wird dem generierten Nutzernamen das Präfix "ext_" vorangestellt. Wenn user@example.com beispielsweise auf eine VM in einer anderen Organisation zugreift, lautet der erstellte Nutzername ext_user_example_com.

  • Wenn Sie sich in einer Instanz mit dem Befehl gcloud compute ssh anmelden, hat die Login-Meldung das folgende Format für den Nutzer user, der zur Domain example.com gehört:

    Using OS Login user user_example_com instead of default user user

    Diese Meldung bestätigt, dass sich der Nutzer mit einem OS Login-Profil angemeldet hat.

OS Login-2FA-Audit-Logs aufrufen

Compute Engine stellt Audit-Logs bereit, mit denen Anfragen zur Bestätigung in zwei Schritten nachverfolgt werden können. Bei der Bestätigung in zwei Schritten gibt es zwei Anfragetypen:

  • StartSession. Startet eine neue Authentifizierungssitzung. Bei einem StartSession-Aufruf deklariert ein Client seine Funktionen gegenüber dem Server und erhält Informationen zur ersten Identitätsbestätigung. Bei einem StartSession-Aufruf wird Folgendes zurückgegeben:

    • eine Sitzungs-ID. Diese Sitzungs-ID wird an alle nachfolgenden ContinueSession-Aufrufe übergeben.
    • Informationen zur Identitätsbestätigung oder zur 2FA-Methode, die in dieser neuen Authentifizierungssitzung verwendet wird.
  • ContinueSession. Setzt eine bestehende Authentifizierungssitzung fort. Mithilfe der angegebenen Sitzungs-ID kann die ContinueSession API eine der folgenden zwei Aktionen ausführen:

    • Die Antwort auf eine Identitätsbestätigung oder Methode akzeptieren und dann entweder die Authentifizierung vornehmen oder ablehnen oder vom Nutzer weitere Identitätsbestätigungen anfordern.
    • Zu einer anderen Art der Identitätsbestätigung wechseln als jener, die der Server ursprünglich bei den vorherigen API-Aufrufen vorgeschlagen hat. Wenn sich ein Client für eine andere Art der Identitätsbestätigung entscheidet, z. B. Google Authenticator anstelle einer Smartphone-Aufforderung, kann der Client über einen Aufruf an den Server mit einer request.challengeId des gewünschten Typs eine andere Art der Identitätsbestätigung anfordern.

Zum Ansehen der Logs benötigen Sie Berechtigungen für die Loganzeige oder die Anzeige bzw. Bearbeitung des Projekts.

  1. Öffnen Sie in der Cloud Console die Seite "Logs".

    Zur Seite "Logs"

  2. Maximieren Sie das Drop-down-Menü und wählen Sie Audited Resource aus.
  3. Geben Sie in die Suchleiste oslogin.googleapis.com ein und drücken Sie die Eingabetaste.
  4. Es wird eine Liste von Audit-Logs angezeigt, in denen die Anfragen zur Bestätigung in zwei Schritten beschrieben werden. Sie können jeden der Einträge erweitern, um zusätzliche Informationen zu erhalten:

    Audit-Logs für die Bestätigung in zwei Schritten.

Bei allen Audit-Logs können Sie Folgendes tun:

  1. Maximieren Sie das Attribut protoPayload.

    Audit-Logmesswerte für Authentifizierung in zwei Schritten.

  2. Suchen Sie nach methodName, um die Aktivität zu sehen, auf die sich dieses Log bezieht – entweder eine StartSession- oder eine ContinueSession-Anfrage. Wenn mit diesem Log beispielsweise eine StartSession-Anfrage nachverfolgt wird, lautet der Methodenname "google.cloud.oslogin.OsLoginService.v1.StartSession". Entsprechend würde ein ContinueSession-Log "google.cloud.oslogin.OsLoginService.v1.ContinueSession" heißen. Für jede Anfrage zum Starten und Fortsetzen einer Sitzung wird ein Audit-Logeintrag erstellt.

Es gibt verschiedene Audit-Logattribute für verschiedene Logtypen. Audit-Logs, die sich auf StartSession beziehen, haben z. B. spezielle Attribute für das Starten von Sitzungen. Ebenso haben Audit-Logs für ContinueSession eigene Attribute. Es gibt bestimmte Attribute von Audit-Logs, die bei beiden Logtypen vorkommen.

Alle Audit-Logs der Bestätigung in zwei Schritten

Attribut Wert
serviceName oslogin.googleapis.com
resourceName Ein String, der die Projektnummer enthält. Diese Projektnummer gibt an, zu welcher Anmeldeanfrage das Audit-Log gehört. Beispiel: projects/myproject12345
severity Der Schweregrad der Lognachricht. Beispiel: INFO oder WARNING.
request.email Die E-Mail-Adresse des Nutzers, der über den API-Aufruf authentifiziert wird.
request.numericProjectId Die Projektnummer des Google Cloud-Projekts.
response.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartOrContinueSessionResponse
response.sessionId Ein ID-String, mit dem die Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird an den nächsten API-Aufruf in der Sequenz übergeben.
response.authenticationStatus Der Status der Sitzung. Beispiel: Authenticated, Challenge required oder Challenge pending.
response.challenges Die Identitätsbestätigungen, die Sie versuchen können, um diese Authentifizierungsrunde erfolgreich durchzuführen. Höchstens eine dieser Identitätsbestätigungen wird gestartet und hat den Status READY. Die anderen werden als Optionen angeboten. Der Nutzer kann diese als Alternative zur vorgeschlagenen primären Identitätsbestätigung verwenden.

StartSession-Audit-Logs

Attribut Wert
methodName google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes Die Liste der Identitätsbestätigungsarten oder 2FA-Methoden, zwischen denen Sie wählen können.

ContinueSession-Audit-Logs

Attribut Wert
methodName google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId Ein ID-String, mit dem die vorherige Sitzung eindeutig identifiziert wird. Diese Sitzungs-ID wird vom vorherigen API-Aufruf in der Sequenz übergeben.
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId Ein ID-String, der angibt, welche Art der Identitätsbestätigung gestartet oder durchgeführt werden soll. Diese ID muss zu einer Art der Identitätsbestätigung gehören, die vom Aufruf response.challenges in einer früheren API-Antwort zurückgegeben wurde.
request.action Die erforderliche Aktion.

Weitere Informationen