Como configurar a reautenticação

A reautenticação do IAP permite que os proprietários de recursos ou os administradores do Google Cloud exijam que os usuários finais autenticados se autentiquem novamente antes de acessar um recurso protegido pelo IAP.

Como gerenciar as configurações de reautenticação

Use os seguintes métodos para gerenciar as configurações de reautenticação:

  • Login: imita o comportamento de um usuário que se desconectou e tentou fazer login novamente. Na maioria dos casos, os usuários finais precisarão digitar a senha novamente.
  • Senha: é solicitado que o usuário digite novamente a senha.
  • Chave segura: o usuário final precisa tocar na chave de segurança.

Para mais informações, consulte IapSettings.

Como configurar uma política de reautenticação

ReauthSettings fazem parte de IapSettings e, portanto, podem ser definidos em vários tipos de recurso na hierarquia. Ao contrário de outras configurações do IAP, em que o recurso mais baixo na hierarquia tem precedência, a configuração de reautenticação efetiva também depende do tipo de política.

Há dois tipos de políticas que podem ser usados para configurar a reautenticação:

  • Mínimo: a política será um mínimo para todos os outros recursos na hierarquia. A política vigente pode ser igual ou mais rígida.
  • Padrão: se nenhuma outra política for definida no recurso, a política de reautenticação definida se tornará a política vigente.

É possível usar a configuração do tipo de política para definir políticas para uma organização inteira ou para uma pasta definindo o tipo de política como Minimum.

Em casos de configurações hierárquicas com diferentes métodos de reautenticação, Password e Secure Key se transformam em um método Login.

Exemplo: nos exemplos de IapSettings e pasta a seguir, a política de pasta é mais rigorosa e tem precedência. Portanto, a política de reautenticação efetiva corresponderá à política de pasta.

IapSettings de pasta:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

IapSettings de recurso:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "7200s"
    policyType: "MINIMUM"

MaxAge

Use o parâmetro MaxAge para especificar a frequência com que um usuário final precisa se autenticar novamente, indicado em segundos. Por exemplo, para definir uma política de reautenticação de uma hora, defina os segundos como 3600, como mostrado no exemplo a seguir:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

O valor mínimo para maxAge é de 5 minutos.

Como entender as credenciais de reautenticação

Após uma nova autenticação bem-sucedida, o IAP cria um cookie no navegador do usuário final. Para impedir que os usuários façam uma nova autenticação com muita frequência ao usar apps semelhantes, o cookie é definido no domínio particular de nível superior e é válido para esse domínio inteiro.

Por exemplo, foo.example.com é um recurso protegido pelo IAP e tem uma política de reautenticação com o IAP. Após uma nova autenticação bem-sucedida, o IAP definirá um cookie em example.com, que é o domínio particular de nível superior. Apps do mesmo domínio particular de nível superior, como bar.example.come, usariam as mesmas credenciais de reautenticação e não solicitariam que o usuário se autenticasse novamente (contanto que as credenciais sejam válidas).

Observe que, para URLs como myapp.appspot.com, appspot.com é um domínio público. Portanto, o domínio privado de nível superior é myapp.appspot.com.

Limitações conhecidas

  • A reautenticação é compatível apenas com fluxos de navegador. O acesso programático à conta de usuário não é compatível. Por exemplo, não é possível autenticar novamente os usuários com apps para dispositivos móveis e computadores porque os recursos que exigem esse recurso não podem ser acessados.
  • As contas de serviço e o IAP-TCP estão isentos dos requisitos de reautenticação.
  • A reautenticação não funciona com o tipo de membro allUsers do IAM.
  • Se você usar outro provedor de identidade que não o Google, a reautenticação talvez não funcione como esperado.
  • As identidades externas via Identity Platform não são compatíveis com a reautenticação porque os recursos que exigem a reautenticação não são acessíveis.