Erneute Authentifizierung konfigurieren

Mit der erneuten IAP-Authentifizierung können Ressourceninhaber oder Google Cloud-Administratoren festlegen, dass sich authentifizierte Endnutzer neu authentifizieren müssen, bevor sie auf eine durch IAP geschützte Ressource zugreifen können.

Einstellungen für die erneute Authentifizierung verwalten

Sie können folgende Methoden verwenden, um die Einstellungen für die erneute Authentifizierung zu verwalten:

  • Anmeldung: Imitiert das Verhalten eines Nutzers, der sich abgemeldet hat und versucht hat, sich wieder anzumelden. In den meisten Fällen müssen Endnutzer ihr Passwort noch einmal eingeben.
  • Passwort: Endnutzer werden aufgefordert, ihr Passwort noch einmal einzugeben.
  • Sicherer Schlüssel: Endnutzer werden aufgefordert, auf ihre Sicherheitsschlüssel zu tippen.

Weitere Informationen finden Sie unter IapSettings.

Richtlinie zur erneuten Authentifizierung festlegen

ReauthSettings sind ein Teil von IapSettings und können daher für mehrere Ressourcentypen in der Hierarchie festgelegt werden. Im Gegensatz zu anderen IAP-Einstellungen, bei denen die niedrigste Ressource in der Hierarchie Vorrang hat, hängt die geltende Einstellung für die Bestätigung auch vom Richtlinientyp ab.

Es gibt zwei Richtlinientypen, mit denen Sie die erneute Authentifizierung festlegen können:

  • Minimum: Die Richtlinie fungiert als Minimum für alle anderen Ressourcen weiter unten in der Hierarchie. Die geltende Richtlinie kann identisch oder strenger sein.
  • Standard: Wenn für die Ressource keine andere Richtlinie festgelegt ist, wird die von Ihnen festgelegte Richtlinie für die erneute Authentifizierung zur geltenden Richtlinie.

Mit der Konfiguration des Richtlinientyps können Sie Richtlinien für die gesamte Organisation oder einen Ordner festlegen. Dazu legen Sie den Richtlinientyp auf Minimum fest.

In hierarchischen Konfigurationen mit unterschiedlichen Methoden zur erneuten Authentifizierung werden Password und Secure Key in eine Login-Methode umgewandelt.

Beispiel: In den folgenden Beispielen für Ordner- und Ressourcen-IapSettings ist die Ordnerrichtlinie strenger und hat Vorrang. Daher entspricht die geltende Richtlinie zur erneuten Authentifizierung der Ordnerrichtlinie.

Ordner IapSettings:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Resource IapSettings:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "7200s"
    policyType: "MINIMUM"

MaxAge

Verwenden Sie den Parameter "MaxAge", um anzugeben, wie oft ein Endnutzer sich neu authentifizieren muss. Dieser wird in Sekunden angegeben. Zum Festlegen einer Richtlinie für eine erneute Authentifizierung von einer Stunde setzen Sie beispielsweise den Sekundenwert auf 3.600, wie im folgenden Beispiel gezeigt:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Der Mindestwert für maxAge beträgt 5 Minuten.

Informationen zu den Anmeldedaten für die erneute Authentifizierung

Nach einer erfolgreichen erneuten Authentifizierung erstellt IAP ein Cookie im Browser des Endnutzers. Damit Nutzer nicht zu häufig eine erneute Authentifizierung bei Verwendung ähnlicher Anwendungen durchführen müssen, wird das Cookie für die private Top-Level-Domain festgelegt und ist für die gesamte Domain auf privater Ebene gültig.

Beispiel: foo.example.com ist eine durch IAP gesicherte Ressource und hat eine IAP-Richtlinie zur erneuten Authentifizierung. Nach einer erfolgreichen erneuten Authentifizierung legt IAP ein Cookie für example.com als private Top-Level-Domain fest. Anwendungen von derselben privaten Top-Level-Domain wie bar.example.come würden dieselben Anmeldedaten zur erneuten Authentifizierung verwenden und der Nutzer würde nicht aufgefordert werden, sich noch einmal zu authentifizieren, solange die Anmeldedaten gültig sind.

Bei URLs wie myapp.appspot.com ist appspot.com eine öffentliche Domain. Daher ist die private Top-Level-Domain myapp.appspot.com.

Bekannte Einschränkungen

  • Die erneute Authentifizierung wird nur für Browserabläufe unterstützt. Der programmatische Nutzerkontozugriff wird nicht unterstützt. Beispielsweise gibt es für mobile und Desktop-Anwendungen keine Möglichkeit, Nutzer neu zu authentifizieren, da Ressourcen, die eine erneute Authentifizierung erfordern, nicht zugänglich sind.
  • Dienstkonten und IAP-TCP sind von den Anforderungen zur erneuten Authentifizierung ausgenommen.
  • Die erneute Authentifizierung funktioniert mit dem IAM-Mitgliedstyp allUsers nicht.
  • Wenn Sie einen anderen Identitätsanbieter als Google verwenden, funktioniert die erneute Authentifizierung möglicherweise nicht wie erwartet.
  • Externe Identitäten über Identity Platform werden für die erneuten Authentifizierung nicht unterstützt, da auf Ressourcen, die eine erneute Authentifizierung erfordern, nicht zugegriffen werden kann.