IAP-Authentifizierung

Mit der IAP-Authentifizierung können Ressourceninhaber oder Google Cloud-Administratoren authentifizierte Endnutzer erst nach einer bestimmten Zeitspanne neu authentifizieren, wenn sie auf eine durch IAP geschützte Ressource zugreifen. Dadurch wird sichergestellt, dass ein Nutzer, der auf eine IAP-geschützte Ressource zugreift, dieselbe Person ist, die zu Beginn der Sitzung authentifiziert wurde.

Unterstützte Methoden zur erneuten Authentifizierung

Sie können folgende Methoden verwenden, um die Einstellungen für die erneute Authentifizierung zu verwalten:

  • Log-in: IAP erzwingt die erneute Authentifizierung der geschützten Anwendung und Nutzer müssen sich noch einmal anmelden.
  • Sicherer Schlüssel: Endnutzer müssen sich mit der konfigurierten Sicherheitsschlüssel-basierten Bestätigung in zwei Schritten neu authentifizieren.

Weitere Informationen finden Sie unter IapSettings.

Richtlinie für die erneute Authentifizierung einrichten

ReauthSettings sind ein Teil von IapSettings und können daher für mehrere Ressourcentypen in der Hierarchie festgelegt werden. Im Gegensatz zu anderen IAP-Einstellungen, bei denen die niedrigste Ressource in der Hierarchie Vorrang hat, hängt die geltende Einstellung für die Bestätigung auch vom Richtlinientyp ab.

Es gibt zwei Richtlinientypen, mit denen Sie die erneute Authentifizierung festlegen können:

  • Minimum: Die Richtlinie fungiert als Minimum für alle anderen Ressourcen weiter unten in der Hierarchie. Die geltende Richtlinie kann identisch oder strenger sein.
  • Standard: Wenn für die Ressource keine andere Richtlinie festgelegt ist, wird die von Ihnen festgelegte Richtlinie für die erneute Authentifizierung zur geltenden Richtlinie.

Mit der Konfiguration des Richtlinientyps können Sie Richtlinien für die gesamte Organisation oder einen Ordner festlegen. Dazu legen Sie den Richtlinientyp auf Minimum fest.

Bei hierarchischen Konfigurationen mit unterschiedlichen Methoden zur erneuten Authentifizierung wird Secure Key zu einer Login-Methode.

In den folgenden Beispielen für Ordner und Ressourcen IapSettings ist die Ordnerrichtlinie strenger und hat Vorrang, daher entspricht die geltende Richtlinie zur erneuten Authentifizierung der Ordnerrichtlinie.

Ordner IapSettings:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Resource IapSettings:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "7200s"
    policyType: "MINIMUM"

MaxAge

Verwenden Sie den Parameter "MaxAge", um anzugeben, wie oft ein Endnutzer sich neu authentifizieren muss. Dieser wird in Sekunden angegeben. Zum Festlegen einer Richtlinie für eine erneute Authentifizierung von einer Stunde setzen Sie beispielsweise den Sekundenwert auf 3.600, wie im folgenden Beispiel gezeigt:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Der Mindestwert für maxAge beträgt fünf Minuten.

Führen Sie die folgenden Schritte aus, um eine Richtlinie für die erneute Authentifizierung festzulegen.

Console

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"

  2. Wählen Sie ein Projekt und dann die Ressource aus, für die Sie eine Richtlinie zur erneuten Authentifizierung festlegen möchten.

  3. Öffnen Sie die Einstellungen für die Ressource und wählen Sie unter Richtlinie für die erneute Authentifizierung die Option Erneute Authentifizierung konfigurieren aus.

  4. Legen Sie die Einstellungen für die erneute Authentifizierung fest und klicken Sie dann auf Speichern.

gcloud

Sie können eine Richtlinie zur erneuten Authentifizierung für Ressourcen und Dienste auf Organisations-, Projekt- und Ordnerebene festlegen. Im Folgenden finden Sie einige Beispielbefehle zum Festlegen einer Richtlinie zur erneuten Authentifizierung.

Weitere Informationen finden Sie unter gcloud iap settings set.

Führen Sie dazu diesen Befehl aus:

gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Führen Sie den folgenden Befehl aus, um eine Richtlinie zur erneuten Authentifizierung für die Ressourcen in einer Organisation festzulegen: 

gcloud iap settings set SETTING_FILE --organization=ORGANIZATION

Führen Sie den folgenden Befehl aus, um eine Richtlinie zur erneuten Authentifizierung für die Ressourcen in einem Ordner festzulegen: 

gcloud iap settings set SETTING_FILE --folder=FOLDER

Führen Sie den folgenden Befehl aus, um eine Richtlinie zur erneuten Authentifizierung für alle Webtypressourcen in einem Projekt festzulegen: 

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap-web

Führen Sie den folgenden Befehl aus, um eine Richtlinie zur erneuten Authentifizierung für einen App Engine-Dienst in einem Projekt festzulegen:

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE

Wo SETTING_FILE Folgendes ist:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Dabei gilt:

  • FOLDER: Die Ordner-ID.
  • ORGANIZATION: Die Organisations-ID.
  • PROJECT: die Projekt-ID
  • RESOURCE_TYPE: Der IAP-Ressourcentyp. Muss app-engine, iap_web, compute, organization oder folder sein.
  • SERVICE: Der Dienstname. Das ist optional, wenn resource-type den Wert compute oder app-engine hat.
  • VERSION: Der Versionsname. Dies gilt nicht für compute und ist optional, wenn resource-type den Wert app-engine hat.

Informationen zu den Anmeldedaten für die erneute Authentifizierung

Nach erfolgreicher erneuten Authentifizierung erstellt IAP ein Cookie im Browser des Endnutzers. Damit Nutzer sich bei der Verwendung ähnlicher Anwendungen nicht zu oft neu authentifizieren müssen, wird das Cookie auf der privaten Top-Level-Domain gesetzt und ist für die gesamte Domain der privaten Ebene gültig.

foo.example.com ist beispielsweise eine IAP-geschützte Ressource und hat eine IAP-Richtlinie für die erneute Authentifizierung. Nach einer erfolgreichen erneuten Authentifizierung setzt IAP ein Cookie für example.com, da dies die private Top-Level-Domain ist. Anwendungen aus derselben privaten Top-Level-Domain, z. B. bar.example.come, verwenden dieselben Anmeldedaten für die erneute Authentifizierung und fordern den Nutzer nicht zur erneuten Authentifizierung auf, solange die Anmeldedaten gültig sind.

Bei URLs wie myapp.appspot.com ist appspot.com eine öffentliche Domain. Die Top-Level-Privatdomain ist daher myapp.appspot.com.

Bekannte Einschränkungen

  • Die erneute Authentifizierung wird nur für Browserabläufe unterstützt. Der programmatische Nutzerkontozugriff wird nicht unterstützt. Beispielsweise gibt es für mobile und Desktop-Anwendungen keine Möglichkeit, Nutzer neu zu authentifizieren, da Ressourcen, die eine erneute Authentifizierung erfordern, nicht zugänglich sind.
  • Dienstkonten und IAP-TCP sind von den Anforderungen zur erneuten Authentifizierung ausgenommen.
  • Die erneute Authentifizierung funktioniert mit dem IAM-Mitgliedstyp allUsers nicht.
  • Wenn Sie einen anderen Identitätsanbieter als Google verwenden, funktioniert die erneute Authentifizierung möglicherweise nicht wie erwartet.
  • Externe Identitäten über Identity Platform werden für die erneuten Authentifizierung nicht unterstützt, da auf Ressourcen, die eine erneute Authentifizierung erfordern, nicht zugegriffen werden kann.