IAP 重新身份验证

IAP 重新身份验证可让服务和应用所有者 Google Cloud 管理员要求经过身份验证的最终用户 在访问服务或应用时,在指定的一段时间后重新进行身份验证 受 IAP 保护。它限制了 可以先访问受 IAP 保护的服务或应用 重新进行身份验证

IAP 重新身份验证旨在强制执行重新身份验证 受 IAP 保护的服务和应用的政策。 对于处理机密信息的关键服务和应用,您可能需要执行此操作。例如,您可以指定访问关键人力资源部门的用户 应用每小时都会使用第二重身份验证重新进行身份验证。

支持的重新身份验证方法

您可以使用以下方法来管理重新身份验证设置:

  • 登录:IAP 会强制重新验证受保护的应用,用户必须重新登录。
  • 安全密钥:最终用户必须使用其配置的基于安全密钥的双重身份验证重新进行身份验证。
  • 已注册的双重身份验证方法:最终用户必须使用已注册的双重身份验证方法之一重新进行身份验证。

如需了解详情,请参阅 IapSettings

设置重新身份验证政策

reauthSettingsIapSettings 的一部分,因此可以在资源层次结构中的任何资源类型上设置。您可以在组织、文件夹、项目或服务级别为服务或应用设置 reauthSettings,以应用限制。例如,您可以将组织中的所有应用或特定应用的会话时长限制为最多 1 小时。

有两种政策类型可用于设置重新身份验证:

  • 最低:如果在某个资源(例如组织)上将政策类型设置为 MINIMUM,那么在评估更低级别资源(例如文件夹)上的重新授权设置时,这两项设置会合并。如果较低级别资源没有重新授权设置,则合并结果为较高级别资源的非空设置。否则,合并会采用两个资源中时长较短且优先级更高的重新授权方法。政策类型始终为 MINIMUM。合并后的重新身份验证设置将与下一个更低级别资源(例如项目)的重新身份验证设置合并。

    三个支持的方法的优先级从高到低的顺序为 Secure keyEnrolled second factorsLogin

  • 默认值:如果对资源(例如组织)将政策类型设置为 DEFAULT,则评估对较低级别资源(例如文件夹)的重新验证设置时,如果配置了较低级别的资源设置,则使用较低级别的资源设置;否则,系统会应用更高级别的资源重新验证设置。

对于这两种政策类型,系统都会重复评估过程,以确定目标服务或应用的 reauthSettings。 以下示例展示了评估前后的设置。在评估期间,系统会合并文件夹和组织 reauthSettings,导致文件夹的政策类型更改为 MINIMUM。然后,合并后的设置会与服务或应用 reauthSettings 合并。

组织 IapSettings

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

文件夹 IapSettings

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "1200s"
    policyType: "DEFAULT"

服务或应用 IapSettings

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "7200s"
    policyType: "DEFAULT"

合并后的设置:

组织 IapSettings

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

文件夹 IapSettings

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "1200s"
    policyType: "MINIMUM"

服务或应用 IapSettings

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "1200s"
    policyType: "MINIMUM"

在该示例中,如果每个资源的政策类型都设置为 DEFAULT,则系统会使用服务或应用的 reauthSettings

MaxAge

使用 MaxAge 参数指定最终用户必须重新进行身份验证的频率,以秒为单位。例如,如需设置一小时的重新身份验证政策,请将秒数设置为 3600,如以下示例所示:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

maxAge 的最小值为五分钟。

如需设置重新身份验证政策,请完成以下步骤。

控制台

  1. 转到 Identity-Aware Proxy 页面
    转到 Identity-Aware Proxy 页面
  2. 选择一个项目,然后选择要为其设置重新身份验证政策的资源。

  3. 打开资源的设置,然后在重新身份验证政策下选择配置重新身份验证

  4. 指定重新身份验证设置,然后点击保存

gcloud

您可以在组织、项目和文件夹级别为资源和服务设置重新身份验证政策。以下是一些用于设置重新身份验证政策的示例命令。

如需了解详情,请参阅 gcloud iap settings set

运行以下命令:

gcloud iap settings set SETTING_FILE [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

如需对组织内的资源设置重新身份验证政策,请运行以下命令:

gcloud iap settings set SETTING_FILE --organization=ORGANIZATION

如需对文件夹中的资源设置重新身份验证政策,请运行以下命令:

gcloud iap settings set SETTING_FILE --folder=FOLDER

如需对项目中的所有网站类型资源设置重新身份验证政策,请运行以下命令:

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web

如需针对项目中的 App Engine 服务设置重新身份验证政策,请运行以下命令:

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE

其中 SETTING_FILE 为:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

替换以下内容:

  • FOLDER:文件夹 ID。
  • ORGANIZATION:组织 ID。
  • PROJECT:项目 ID。
  • RESOURCE_TYPE:IAP 资源类型。必须为 app-engineiap_webcomputeorganizationfolder
  • SERVICE:服务名称。当 resource-typecomputeapp-engine 时,此字段为可选字段。
  • VERSION:版本名称。这不适用于 compute;当 resource-typeapp-engine 时,此字段是可选的。

API

运行以下命令以准备 iap_settings.json 文件。根据需要更新值。

cat << EOF > iap_settings.json
{
  "access_settings": {
      "reauth_settings": {
            "method": "LOGIN",
            "maxAge": "300s",
            "policy_type": "DEFAULT"
        }
    }
}
EOF

通过运行 gcloud iap settings get 命令获取资源名称。从输出中复制名称字段。您在下一步中需要用到该名称。

gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]

将以下命令中的 RESOURCE_NAME 替换为上一步中的名称。IapSettings 将会更新。

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.reauthSettings"

了解重新身份验证凭据

成功重新进行身份验证后,IAP 会在 最终用户的浏览器为了避免用户在使用相似应用时不得不频繁地重新进行身份验证,该 Cookie 在顶级专用网域上设置,并且对该级别的整个专用网域有效。

例如,foo.example.com 是受 IAP 保护的资源,具有 IAP 重新身份验证政策。成功完成重新身份验证后,由于 example.com 是顶级专用网域,IAP 会在其上设置一个 Cookie。来自同一顶级专用网域(例如 bar.example.com)的应用将使用相同的重新身份验证凭据,并且不会提示用户重新进行身份验证(只要凭据有效)。

请注意,对于 myapp.appspot.com 等网址,appspot.com 是公共网域,因此顶级专用网域是 myapp.appspot.com

已知限制

  • 只有浏览器流支持重新身份验证。不支持程序化用户账号访问。例如,移动应用和桌面应用无法重新验证用户身份,因为无法访问需要重新身份验证的资源。
  • 服务账号和 IAP-TCP 不受重新身份验证要求的约束。
  • 重新身份验证不适用于 IAM 成员类型 allUsers
  • 重新身份验证不支持通过 Identity Platform 启用的外部身份,因为无法访问需要重新身份验证的资源。