IAP 重新身份验证

通过 IAP 重新身份验证，服务和应用所有者或 Google Cloud 管理员可以要求经过身份验证的最终用户在指定时间过后重新进行身份验证，从而访问受 IAP 保护的服务或应用时。它限制了用户在被要求再次进行身份验证之前可以访问受 IAP 保护的服务或应用的时间跨度。

IAP 重新身份验证旨在对受 IAP 保护的服务和应用强制执行重新身份验证政策。您可以为处理机密信息的关键服务和应用执行此操作。例如，您可以指定访问关键 HR 应用的用户每小时使用第二重身份验证重新进行身份验证。

支持的重新身份验证方法

您可以使用以下方法来管理重新身份验证设置：

• 登录：IAP 会强制对受保护的应用重新进行身份验证，并且用户必须重新登录。
• 安全密钥：最终用户必须使用已配置的基于安全密钥的双重身份验证重新进行身份验证。
• 已注册的双重身份验证：最终用户必须使用其中一种已注册的双重身份验证方法重新进行身份验证。

如需了解详情，请参阅 IapSettings。

设置重新进行身份验证政策

reauthSettings 是 IapSettings 的一部分，因此可在资源层次结构中的任何资源类型上设置。您可以在组织、文件夹、项目或服务级别为服务或应用设置 reauthSettings 以应用限制。例如，您可以将一个组织内所有应用或特定应用的会话时长限制为不超过 1 小时。

有两种政策类型可用于设置重新身份验证：

• 最低：如果资源（例如组织）的政策类型设置为 MINIMUM，那么在评估较低级别资源（例如文件夹）的重新验证设置时，这两项设置会合并。如果较低级别的资源没有重新身份验证设置，则合并结果为较高级别资源的非空设置。否则，合并采用两个资源之间较短的会话时长和优先级较高的重新验证方法。政策类型将始终为 MINIMUM。合并的重新身份验证设置将与下一级资源（例如项目）的重新身份验证设置合并。

  这三种受支持方法的优先顺序分别为 Secure key、Enrolled second factors 和 Login。

• 默认：如果在资源（例如组织）中将政策类型设置为 DEFAULT，那么在评估较低级别资源（例如文件夹）的重新身份验证设置时，系统会应用较低级别的资源设置（如已配置）；否则，系统会应用较高级别的资源重新身份验证设置。

对于这两种政策类型，系统会重复评估过程以确定目标服务或应用的 reauthSettings。 以下示例展示了评估前后的设置。在评估期间，文件夹和组织“reauthSettings”会合并，导致文件夹的政策类型更改为“MINIMUM”。合并后的设置会用于与服务或应用 reauthSettings 合并。

组织 IapSettings：

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

文件夹 IapSettings：

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "1200s"
    policyType: "DEFAULT"

服务或应用IapSettings：

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "7200s"
    policyType: "DEFAULT"

合并后的设置：

组织 IapSettings：

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

文件夹 IapSettings：

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "1200s"
    policyType: "MINIMUM"

服务或应用IapSettings：

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "1200s"
    policyType: "MINIMUM"

在本例中，如果每个资源的政策类型都设置为 DEFAULT，则系统会使用服务或应用的 reauthSettings。

MaxAge

使用 MaxAge 参数指定最终用户必须重新进行身份验证的频率，以秒为单位。例如，如需设置一小时的重新身份验证政策，请将秒数设置为 3600，如以下示例所示：

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

maxAge 的最小值为 5 分钟。

如需设置重新进行身份验证政策，请完成以下步骤。

gcloud iap settings set SETTING_FILE [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

gcloud iap settings set SETTING_FILE --organization=ORGANIZATION

gcloud iap settings set SETTING_FILE --folder=FOLDER

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

cat << EOF > iap_settings.json
{
  "access_settings": {
      "reauth_settings": {
            "method": "LOGIN",
            "maxAge": "300s",
            "policy_type": "DEFAULT"
        }
    }
}
EOF

gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.reauthSettings"

了解重新身份验证凭据

成功重新进行身份验证后，IAP 会在最终用户的浏览器上创建 Cookie。为避免用户在使用类似应用时必须过于频繁地重新进行身份验证，Cookie 设置在顶级专用网域上，并且对整个专用级网域有效。

例如，foo.example.com 是受 IAP 保护的资源，并且具有 IAP 重新身份验证政策。成功重新进行身份验证后，IAP 会在 example.com 上设置 Cookie，因为它是顶级专用网域。来自同一顶级专用网域的应用（如 bar.example.com）使用相同的重新身份验证凭据，只要凭据有效，就不会提示用户重新进行身份验证。

请注意，对于 myapp.appspot.com 等网址，appspot.com 是公共网域，因此顶级专用网域为 myapp.appspot.com。

已知限制

• 只有浏览器流支持重新身份验证。不支持程序化用户账号访问。例如，移动应用和桌面应用无法重新验证用户身份，因为无法访问需要重新身份验证的资源。
• 服务账号和 IAP-TCP 不受重新身份验证要求的约束。
• 重新身份验证不适用于 IAM 成员类型 allUsers。
• 重新身份验证不支持通过 Identity Platform 启用的外部身份，因为无法访问需要重新身份验证的资源。