Réauthentification de l'IAP

La réauthentification IAP permet aux propriétaires ou aux propriétaires aux administrateurs Google Cloud d'exiger que les utilisateurs finaux authentifiés se réauthentifier après un certain temps lors de l'accès à un service ou à une application protégées par IAP. Elle limite la période pendant laquelle un utilisateur peuvent accéder à l'application ou au service protégés par IAP sont invités à s'authentifier à nouveau.

La réauthentification IAP est conçue pour appliquer les règles de réauthentification aux services et applications protégés par IAP. Vous pouvez le faire pour les services et applications critiques qui gèrent des informations confidentielles. Par exemple, vous pouvez spécifier que les utilisateurs qui accèdent à une application RH critique doivent se réauthentifier toutes les heures à l'aide d'un deuxième facteur.

Méthodes de réauthentification compatibles

Vous pouvez utiliser les méthodes suivantes pour gérer les paramètres de réauthentification :

  • Connexion : l'IAP force la réauthentification de l'application protégée et les utilisateurs doivent se reconnecter.
  • Clé sécurisée : les utilisateurs finaux doivent s'authentifier à nouveau à l'aide de leur authentification à deux facteurs basée sur une clé de sécurité configurée.
  • Seconds facteurs enregistrés : les utilisateurs finaux doivent s'authentifier de nouveau à l'aide de l'une des méthodes d'authentification à deux facteurs enregistrées.

Pour en savoir plus, consultez la section IapSettings.

Configurer une règle de réauthentification

Les reauthSettings font partie de IapSettings et peuvent donc être définis sur n'importe quel type de ressource dans la hiérarchie des ressources. Vous pouvez définir reauthSettings sur un service ou une application au niveau de l'organisation, du dossier, du projet ou du service pour appliquer des restrictions. Par exemple, vous pouvez limiter la durée de la session à une heure maximum pour toutes les applications d'une organisation ou pour une application spécifique.

Vous pouvez définir deux types de règles pour la réauthentification :

  • Minimum: si le type de règle est défini sur MINIMUM sur une ressource, telle qu'une organisation, les deux paramètres sont fusionnés lors de l'évaluation des paramètres de réauthentification sur la ressource de niveau inférieur, telle qu'un dossier. Si la ressource de niveau inférieur n'a pas de paramètres de réauthentification, les paramètres non vides de la ressource de niveau supérieur sont fusionnés. Sinon, la fusion prend la durée de session la plus courte et la méthode de réautorisation ayant la priorité la plus élevée entre les deux ressources. Le type de stratégie est toujours MINIMUM. Les paramètres de réauthentification fusionnés seront utilisés pour fusionner avec les paramètres de réauthentification de la ressource de niveau inférieur suivant, comme un projet.

    L'ordre de priorité des trois méthodes acceptées, du plus élevé au plus bas, est Secure key, Enrolled second factors et Login.

  • Par défaut: si le type de règle est défini sur DEFAULT sur une ressource, telle qu'une organisation, le paramètre de réauthentification est utilisé s'il est configuré lors de l'évaluation du paramètre de réauthentification sur la ressource de niveau inférieur, telle qu'un dossier. Sinon, le paramètre de réauthentification de la ressource de niveau supérieur est appliqué.

Pour les deux types de règles, le processus d'évaluation est répété afin de déterminer la valeur reauthSettings du service ou de l'application cibles. Les exemples suivants illustrent les paramètres avant et après l'évaluation. Lors de l'évaluation, le dossier et l'organisation reauthSettings sont fusionnés, ce qui entraîne le changement du type de règle du dossier en MINIMUM. Les paramètres fusionnés sont ensuite utilisés pour fusionner avec le service ou l'application reauthSettings.

Organisation IapSettings:

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

Paramètres IapSettings pour un dossier :

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "1200s"
    policyType: "DEFAULT"

Service ou application IapSettings :

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "7200s"
    policyType: "DEFAULT"

Paramètres après la fusion:

Organisation IapSettings:

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

Paramètres IapSettings pour un dossier :

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "1200s"
    policyType: "MINIMUM"

Service ou application IapSettings:

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "1200s"
    policyType: "MINIMUM"

Dans l'exemple, si le type de stratégie de chaque ressource est défini sur DEFAULT, le reauthSettings du service ou de l'application est utilisé.

MaxAge

Utilisez le paramètre MaxAge pour spécifier la périodicité, exprimée en secondes, selon laquelle un utilisateur final doit se réauthentifier. Par exemple, pour définir une règle de réauthentification d'une heure, définissez le paramètre des secondes sur 3 600, comme indiqué dans l'exemple suivant :

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

La valeur minimale de maxAge est de cinq minutes.

Pour définir une stratégie de réauthentification, procédez comme suit :

Console

  1. Accédez à la page Identity-Aware Proxy.
    Accéder à la page "Identity-Aware Proxy"

  2. Sélectionnez un projet, puis la ressource sur laquelle vous souhaitez définir une stratégie de réauthentification.

  3. Ouvrez les Paramètres de la ressource, puis sous Règles de réauthentification, sélectionnez Configurer la réauthentification.

  4. Spécifiez les paramètres de réauthentification, puis cliquez sur Enregistrer.

gcloud

Vous pouvez définir une règle de réauthentification sur les ressources et les services au niveau de l'organisation, du projet et du dossier. Vous trouverez ci-dessous quelques exemples de commandes permettant de définir une stratégie de réauthentification.

Pour en savoir plus, consultez la page gcloud iap settings set.

Exécutez la commande suivante :

gcloud iap settings set SETTING_FILE [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Pour définir une règle de réauthentification sur les ressources d'une organisation, exécutez la commande suivante: 

gcloud iap settings set SETTING_FILE --organization=ORGANIZATION

Pour définir une règle de réauthentification sur les ressources d'un dossier, exécutez la commande suivante: 

gcloud iap settings set SETTING_FILE --folder=FOLDER

Pour définir une stratégie de réauthentification sur toutes les ressources de type Web d'un projet, exécutez la commande suivante : 

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web

Pour définir une règle de réauthentification sur un service App Engine dans un projet, exécutez la commande suivante :

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE

SETTING_FILE correspond à :

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Remplacez les éléments suivants :

  • FOLDER : ID du dossier.
  • ORGANIZATION : ID de l'organisation.
  • PROJECT : ID du projet
  • RESOURCE_TYPE : type de ressource d'application intégrée. Doit être app-engine, iap_web, compute, organization ou folder.
  • SERVICE : le nom du service. Ce champ est facultatif lorsque resource-type est compute ou app-engine.
  • VERSION: nom de la version Ce champ n'est pas applicable à compute et est facultatif lorsque resource-type est app-engine.

API

Exécutez la commande suivante pour préparer un fichier iap_settings.json. Mettez à jour les valeurs si nécessaire.

cat << EOF > iap_settings.json
{
  "access_settings": {
      "reauth_settings": {
            "method": "LOGIN",
            "maxAge": "300s",
            "policy_type": "DEFAULT"
        }
    }
}
EOF

Obtenez le nom de la ressource en exécutant la commande gcloud iap settings get. Copiez le champ de nom indiqué dans le résultat. Vous en aurez besoin à l'étape suivante.

gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]

Remplacez RESOURCE_NAME dans la commande suivante par le nom de l'étape précédente. Le IapSettings sera mis à jour.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.reauthSettings"

Comprendre les identifiants de réauthentification

Après une réauthentification réussie, IAP crée un cookie sur le navigateur de l'utilisateur final. Pour empêcher les utilisateurs de se réauthentifier trop souvent lors de l'utilisation d'applications similaires, le cookie est défini sur le domaine privé de premier niveau et est valide pour l'ensemble de ce domaine.

Par exemple, foo.example.com est une ressource protégée par IAP qui dispose d'une règle de réauthentification IAP. Une fois la réauthentification réussie, IAP définit un cookie sur example.com, car il s'agit du domaine privé de premier niveau. les applications appartenant au même domaine privé de premier niveau, tels que bar.example.com utilisent les mêmes identifiants de réauthentification et ne invite l'utilisateur à s'authentifier à nouveau, tant que les identifiants sont valides.

Notez que pour les URL telles que myapp.appspot.com, appspot.com est une valeur le domaine privé de premier niveau est donc myapp.appspot.com.

Limitations connues

  • La réauthentification n'est possible que pour les flux de navigateur. L'accès programmatique au compte utilisateur n'est pas compatible. Par exemple, les applications mobiles et de bureau ne permettent pas de réauthentifier les utilisateurs, car les ressources nécessitant une réauthentification sont inaccessibles.
  • Les comptes de service et IAP-TCP ne sont pas soumis aux exigences de réauthentification.
  • La réauthentification ne fonctionne pas avec le type de membre IAM allUsers.
  • Les identités externes via Identity Platform ne sont pas compatibles avec la réauthentification, car les ressources nécessitant une réauthentification ne sont pas accessibles.