La réauthentification IAP permet aux propriétaires de services et d'applications ou aux administrateursGoogle Cloud de demander aux utilisateurs finaux authentifiés de se réauthentifier après un certain temps lorsqu'ils accèdent à un service ou à une application protégés par IAP. Il limite la durée pendant laquelle un utilisateur peut accéder au service ou à l'application protégés par IAP avant qu'il ne soit invité à s'authentifier de nouveau.
La réauthentification IAP est conçue pour appliquer les règles de réauthentification aux services et applications protégés par IAP. Vous pouvez le faire pour les services et applications critiques qui gèrent des informations confidentielles. Par exemple, vous pouvez spécifier que les utilisateurs qui accèdent à une application RH critique doivent se réauthentifier toutes les heures à l'aide d'un deuxième facteur.
Méthodes de réauthentification compatibles
Vous pouvez utiliser les méthodes suivantes pour gérer les paramètres de réauthentification :
- Connexion: l'IAP force la réauthentification de l'application protégée et les utilisateurs doivent se reconnecter.
- Clé sécurisée: les utilisateurs finaux doivent s'authentifier à nouveau à l'aide de l'authentification à deux facteurs basée sur une clé de sécurité configurée.
- Seconds facteurs enregistrés: les utilisateurs finaux doivent s'authentifier de nouveau à l'aide de l'une des méthodes d'authentification à deux facteurs enregistrées.
Pour en savoir plus, consultez la section IapSettings.
Configurer une règle de réauthentification
Les paramètres reauthSettings
font partie des paramètres IapSettings
et peuvent donc être définis sur n'importe quel type de ressource dans la hiérarchie des ressources. Vous pouvez définir reauthSettings
sur un service ou une application au niveau de l'organisation, du dossier, du projet ou du service pour appliquer des restrictions. Par exemple, vous pouvez limiter la durée de la session à une heure maximum pour toutes les applications d'une organisation ou pour une application spécifique.
Vous pouvez définir deux types de règles pour la réauthentification :
Minimum: si le type de stratégie est défini sur
MINIMUM
pour une ressource, telle qu'une organisation, les deux paramètres sont fusionnés lors de l'évaluation des paramètres de réautorisation sur la ressource de niveau inférieur, telle qu'un dossier. Si la ressource de niveau inférieur ne comporte pas de paramètres de réautorisation, le résultat de la fusion correspond aux paramètres non vides de la ressource de niveau supérieur. Sinon, la fusion prend la durée de session la plus courte et la méthode de réautorisation ayant la priorité la plus élevée entre les deux ressources. Le type de stratégie est toujoursMINIMUM
. Les paramètres de réauthentification fusionnés seront utilisés pour fusionner avec les paramètres de réauthentification de la prochaine ressource de niveau inférieur, telle qu'un projet.L'ordre de priorité des trois méthodes compatibles, de la plus élevée à la plus faible, est
Secure key
,Enrolled second factors
etLogin
.Par défaut: si le type de stratégie est défini sur
DEFAULT
pour une ressource, telle qu'une organisation, le paramètre de la ressource de niveau inférieur (par exemple, un dossier) est utilisé lors de l'évaluation du paramètre de réauthentification. Si ce paramètre n'est pas configuré, le paramètre de réauthentification de la ressource de niveau supérieur est appliqué.
Pour les deux types de règles, le processus d'évaluation est répété pour déterminer le reauthSettings
du service ou de l'application cible.
Les exemples suivants montrent les paramètres avant et après l'évaluation. Lors de l'évaluation, le dossier et l'organisation reauthSettings
sont fusionnés, ce qui entraîne le changement du type de règle du dossier en MINIMUM
. Les paramètres fusionnés sont ensuite utilisés pour fusionner avec le service ou l'application reauthSettings
.
Organisation IapSettings
:
accessSettings:
reauthSettings:
method: "ENROLLED_SECOND_FACTORS"
maxAge: "3600s"
policyType: "MINIMUM"
Paramètres IapSettings
pour un dossier :
accessSettings:
reauthSettings:
method: "LOGIN"
maxAge: "1200s"
policyType: "DEFAULT"
Service ou application IapSettings
:
accessSettings:
reauthSettings:
method: "SECURE_KEY"
maxAge: "7200s"
policyType: "DEFAULT"
Paramètres après la fusion:
Organisation IapSettings
:
accessSettings:
reauthSettings:
method: "ENROLLED_SECOND_FACTORS"
maxAge: "3600s"
policyType: "MINIMUM"
Paramètres IapSettings
pour un dossier :
accessSettings:
reauthSettings:
method: "ENROLLED_SECOND_FACTORS"
maxAge: "1200s"
policyType: "MINIMUM"
Service ou application IapSettings
:
accessSettings:
reauthSettings:
method: "SECURE_KEY"
maxAge: "1200s"
policyType: "MINIMUM"
Dans l'exemple, si le type de règle de chaque ressource est défini sur DEFAULT
, le reauthSettings
du service ou de l'application est utilisé.
MaxAge
Utilisez le paramètre MaxAge pour spécifier la périodicité, exprimée en secondes, selon laquelle un utilisateur final doit se réauthentifier. Par exemple, pour définir une règle de réauthentification d'une heure, définissez le paramètre des secondes sur 3 600, comme indiqué dans l'exemple suivant :
accessSettings:
reauthSettings:
method: "LOGIN"
maxAge: "3600s"
policyType: "MINIMUM"
La valeur minimale de maxAge
est de cinq minutes.
Pour définir une stratégie de réauthentification, procédez comme suit :
Console
- Accédez à la page Identity-Aware Proxy.
Accéder à la page "Identity-Aware Proxy" Sélectionnez un projet, puis la ressource sur laquelle vous souhaitez définir une stratégie de réauthentification.
Ouvrez les Paramètres de la ressource, puis sous Règles de réauthentification, sélectionnez Configurer la réauthentification.
Spécifiez les paramètres de réauthentification, puis cliquez sur Enregistrer.
gcloud
Vous pouvez définir une règle de réauthentification sur les ressources et les services au niveau de l'organisation, du projet et du dossier. Vous trouverez ci-dessous quelques exemples de commandes permettant de définir une stratégie de réauthentification.
Pour en savoir plus, consultez la page gcloud iap settings set
.
Exécutez la commande suivante :
gcloud iap settings set SETTING_FILE [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
Pour définir une règle de réauthentification sur les ressources d'une organisation, exécutez la commande suivante:
gcloud iap settings set SETTING_FILE --organization=ORGANIZATION
Pour définir une stratégie de réauthentification sur les ressources d'un dossier, exécutez la commande suivante:
gcloud iap settings set SETTING_FILE --folder=FOLDER
Pour définir une stratégie de réauthentification sur toutes les ressources de type Web d'un projet, exécutez la commande suivante:
gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web
Pour définir une règle de réauthentification sur un service App Engine dans un projet, exécutez la commande suivante:
gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE
Où SETTING_FILE
correspond à :
accessSettings:
reauthSettings:
method: "LOGIN"
maxAge: "3600s"
policyType: "MINIMUM"
Remplacez les éléments suivants :
- FOLDER: ID du dossier.
- ORGANIZATION : ID de l'organisation.
- PROJECT : ID du projet
- RESOURCE_TYPE: type de ressource d'application intégrée. La valeur doit être
app-engine
,iap_web
,compute
,organization
oufolder
. - SERVICE : le nom du service. Ce champ est facultatif lorsque
resource-type
estcompute
ouapp-engine
. - VERSION: nom de la version. Ce champ n'est pas applicable à
compute
et est facultatif lorsqueresource-type
estapp-engine
.
API
Exécutez la commande suivante pour préparer un fichier iap_settings.json
. Modifiez les valeurs si nécessaire.
cat << EOF > iap_settings.json { "access_settings": { "reauth_settings": { "method": "LOGIN", "maxAge": "300s", "policy_type": "DEFAULT" } } } EOF
Obtenez le nom de la ressource en exécutant la commande gcloud iap settings get
. Copiez le champ de nom à partir de la sortie. Vous en aurez besoin à l'étape suivante.
gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]
Remplacez RESOURCE_NAME
dans la commande suivante par le nom de l'étape précédente. IapSettings
sera mis à jour.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @iap_settings.json \ "https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.reauthSettings"
Comprendre les identifiants de réauthentification
Une fois la réauthentification réussie, IAP crée un cookie dans le navigateur de l'utilisateur final. Pour empêcher les utilisateurs de se réauthentifier trop souvent lors de l'utilisation d'applications similaires, le cookie est défini sur le domaine privé de premier niveau et est valide pour l'ensemble de ce domaine.
Par exemple, foo.example.com
est une ressource protégée par IAP qui dispose d'une règle de réauthentification IAP. Après une réauthentification réussie, IAP définit un cookie sur example.com
, car il s'agit du domaine privé de premier niveau. Les applications du même domaine privé de premier niveau, telles que bar.example.com
, utilisent les mêmes identifiants de réauthentification et n'invitent pas l'utilisateur à se réauthentifier, tant que les identifiants sont valides.
Notez que pour les URL telles que myapp.appspot.com
, appspot.com
est un domaine public. Par conséquent, le domaine privé de premier niveau est myapp.appspot.com
.
Limitations connues
- La réauthentification n'est possible que pour les flux de navigateur. L'accès programmatique au compte utilisateur n'est pas compatible. Par exemple, les applications mobiles et de bureau ne permettent pas de réauthentifier les utilisateurs, car les ressources nécessitant une réauthentification sont inaccessibles.
- Les comptes de service et IAP-TCP ne sont pas soumis aux exigences de réauthentification.
- La réauthentification ne fonctionne pas avec le type de membre IAM
allUsers
. - Les identités externes via Identity Platform ne sont pas compatibles avec la réauthentification, car les ressources nécessitant une réauthentification ne sont pas accessibles.