Configurazione della riautenticazione

La riautenticazione IAP consente ai proprietari delle risorse o agli amministratori di Google Cloud di richiedere agli utenti finali autenticati di ripetere l'autenticazione prima di accedere a una risorsa protetta da IAP.

Gestione delle impostazioni di riautenticazione

Per gestire le impostazioni di riautenticazione, puoi utilizzare i seguenti metodi:

  • Accesso: simula il comportamento di un utente che si è disconnesso e ha tentato di accedere di nuovo. Nella maggior parte dei casi, gli utenti finali saranno tenuti a reinserire la password.
  • Password: all'utente finale viene chiesto di inserire di nuovo la password.
  • Token di sicurezza: all'utente finale viene chiesto di toccare il token di sicurezza.

Per ulteriori informazioni, consulta IapSettings.

Impostazione di un criterio di riautenticazione

ReauthSettings fanno parte di IapSettings e, di conseguenza, possono essere impostati su più tipi di risorse nella gerarchia. A differenza di altre impostazioni IAP, dove la risorsa più bassa nella gerarchia ha la precedenza, anche l'impostazione dell'efficacia di riautenticazione dipende dal tipo di criterio.

Esistono due tipi di criteri che puoi utilizzare per impostare la riautenticazione:

  • Minimo: il criterio agirà come minimo per tutte le altre risorse nella gerarchia. Il criterio applicato può essere uguale o più rigoroso.
  • Predefinito: se non sono impostati altri criteri sulla risorsa, il criterio di riautenticazione che hai impostato diventa il criterio effettivo.

Puoi utilizzare la configurazione del tipo di criterio per impostare i criteri per un'intera organizzazione o per una cartella impostando il tipo di criterio su Minimum.

Nel caso di configurazioni gerarchiche con diversi metodi di riautenticazione, Password e Secure Key si trasformano in un metodo Login.

Esempio: nei seguenti esempi di cartelle e risorse IapSettings, il criterio cartella è più rigoroso e ha la precedenza, quindi il criterio di riautenticazione effettivo corrisponderà al criterio cartella.

Cartella IapSettings:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Risorsa IapSettings:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "7200s"
    policyType: "MINIMUM"

Età massima

Utilizza il parametro MaxAge per specificare la frequenza con cui un utente finale deve ripetere l'autenticazione, con dicitura espressa in secondi. Ad esempio, per impostare un criterio di riautenticazione di un'ora, imposta i secondi su 3600, come mostrato nell'esempio seguente:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Il valore minimo per maxAge è 5 minuti.

Informazioni sulle credenziali di riautenticazione

Dopo una nuova autenticazione riuscita, IAP crea un cookie nel browser dell'utente finale. Per evitare che gli utenti debbano ripetere l'autenticazione troppo spesso quando utilizzano app simili, il cookie è impostato nel dominio privato di primo livello ed è valido per tutto il dominio privato.

Ad esempio, foo.example.com è una risorsa protetta IAP e ha un criterio di riautenticazione IAP. Dopo una nuova autenticazione riuscita, IAP imposterà un cookie su example.com come dominio privato di primo livello. Le app dello stesso dominio privato di primo livello, come bar.example.come, userebbero le stesse credenziali di riautenticazione e non chiederebbero di nuovo l'autenticazione (purché le credenziali siano valide).

Tieni presente che per URL come myapp.appspot.com, appspot.com è un dominio pubblico, pertanto il dominio privato di primo livello è myapp.appspot.com.

Limitazioni note

  • La riautenticazione è supportata solo per i flussi di browser. L'accesso programmatico all'account utente non è supportato. Ad esempio, le app per dispositivi mobili e desktop non hanno modo di riautenticare gli utenti, perché le risorse che richiedono la riautenticazione sono inaccessibili.
  • Gli account di servizio e IAP-TCP sono esenti dai requisiti di riautenticazione.
  • L'autenticazione non funziona con il tipo di membro IAM allUsers.
  • Se utilizzi un provider di identità diverso da Google, la riautenticazione potrebbe non funzionare come previsto.
  • Le identità esterne tramite Identity Platform non sono supportate con la riautenticazione, perché le risorse che richiedono la riautenticazione non sono accessibili.