IAP 重新身份验证

IAP 重新身份验证可让服务和应用所有者 Google Cloud 管理员要求经过身份验证的最终用户 在访问服务或应用时，在指定的一段时间后重新进行身份验证 受 IAP 保护。它限制了 可以先访问受 IAP 保护的服务或应用 重新进行身份验证

IAP 重新身份验证旨在强制执行重新身份验证 受 IAP 保护的服务和应用的政策。 对于处理机密信息的关键服务和应用，您可能需要执行此操作。例如，您可以指定访问关键人力资源部门的用户 应用每小时都会使用第二重身份验证重新进行身份验证。

支持的重新身份验证方法

您可以使用以下方法来管理重新身份验证设置：

• 登录：IAP 会强制重新验证受保护的应用，用户必须重新登录。
• 安全密钥：最终用户必须使用其配置的基于安全密钥的双重身份验证重新进行身份验证。
• 已注册的双重身份验证方法：最终用户必须使用已注册的双重身份验证方法之一重新进行身份验证。

如需了解详情，请参阅 IapSettings。

设置重新身份验证政策

reauthSettings 是 IapSettings 的一部分，因此可以在资源层次结构中的任何资源类型上设置。您可以在组织、文件夹、项目或服务级别为服务或应用设置 reauthSettings，以应用限制。例如，您可以将组织中的所有应用或特定应用的会话时长限制为最多 1 小时。

有两种政策类型可用于设置重新身份验证：

• 最低：如果在某个资源（例如组织）上将政策类型设置为 MINIMUM，那么在评估更低级别资源（例如文件夹）上的重新授权设置时，这两项设置会合并。如果较低级别资源没有重新授权设置，则合并结果为较高级别资源的非空设置。否则，合并会采用两个资源中时长较短且优先级更高的重新授权方法。政策类型始终为 MINIMUM。合并后的重新身份验证设置将与下一个更低级别资源（例如项目）的重新身份验证设置合并。

  三个支持的方法的优先级从高到低的顺序为 Secure key、Enrolled second factors 和 Login。

• 默认值：如果对资源（例如组织）将政策类型设置为 DEFAULT，则评估对较低级别资源（例如文件夹）的重新验证设置时，如果配置了较低级别的资源设置，则使用较低级别的资源设置；否则，系统会应用更高级别的资源重新验证设置。

对于这两种政策类型，系统都会重复评估过程，以确定目标服务或应用的 reauthSettings。 以下示例展示了评估前后的设置。在评估期间，系统会合并文件夹和组织 reauthSettings，导致文件夹的政策类型更改为 MINIMUM。然后，合并后的设置会与服务或应用 reauthSettings 合并。

组织 IapSettings：

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

文件夹 IapSettings：

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "1200s"
    policyType: "DEFAULT"

服务或应用 IapSettings：

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "7200s"
    policyType: "DEFAULT"

合并后的设置：

组织 IapSettings：

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

文件夹 IapSettings：

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "1200s"
    policyType: "MINIMUM"

服务或应用 IapSettings：

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "1200s"
    policyType: "MINIMUM"

在该示例中，如果每个资源的政策类型都设置为 DEFAULT，则系统会使用服务或应用的 reauthSettings。

MaxAge

使用 MaxAge 参数指定最终用户必须重新进行身份验证的频率，以秒为单位。例如，如需设置一小时的重新身份验证政策，请将秒数设置为 3600，如以下示例所示：

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

maxAge 的最小值为五分钟。

如需设置重新身份验证政策，请完成以下步骤。

gcloud iap settings set SETTING_FILE [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

gcloud iap settings set SETTING_FILE --organization=ORGANIZATION

gcloud iap settings set SETTING_FILE --folder=FOLDER

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

cat << EOF > iap_settings.json
{
  "access_settings": {
      "reauth_settings": {
            "method": "LOGIN",
            "maxAge": "300s",
            "policy_type": "DEFAULT"
        }
    }
}
EOF

gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.reauthSettings"

了解重新身份验证凭据

成功重新进行身份验证后，IAP 会在 最终用户的浏览器为了避免用户在使用相似应用时不得不频繁地重新进行身份验证，该 Cookie 在顶级专用网域上设置，并且对该级别的整个专用网域有效。

例如，foo.example.com 是受 IAP 保护的资源，具有 IAP 重新身份验证政策。成功完成重新身份验证后，由于 example.com 是顶级专用网域，IAP 会在其上设置一个 Cookie。来自同一顶级专用网域（例如 bar.example.com）的应用将使用相同的重新身份验证凭据，并且不会提示用户重新进行身份验证（只要凭据有效）。

请注意，对于 myapp.appspot.com 等网址，appspot.com 是公共网域，因此顶级专用网域是 myapp.appspot.com。

已知限制

• 只有浏览器流支持重新身份验证。不支持程序化用户账号访问。例如，移动应用和桌面应用无法重新验证用户身份，因为无法访问需要重新身份验证的资源。
• 服务账号和 IAP-TCP 不受重新身份验证要求的约束。
• 重新身份验证不适用于 IAM 成员类型 allUsers。
• 重新身份验证不支持通过 Identity Platform 启用的外部身份，因为无法访问需要重新身份验证的资源。