Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת מדיניות חוזק סיסמה

עיקרון מרכזי ב-Chrome Enterprise Premium הוא 'הגישה לשירותים ניתנת על סמך מה שידוע לנו עליך ועל המכשיר שלך'. רמת הגישה שניתנת למשתמש יחיד או למכשיר יחיד נקבעת באופן דינמי על ידי בדיקה של כמה מקורות נתונים. אפשר להשתמש ברמת האמון הזו כחלק מתהליך קבלת ההחלטות.

מרכיב מרכזי בתהליך הערכת האמינות הוא עוצמת פרטי הכניסה של המשתמש, שבאמצעותם נקבעת הגישה לסוגים ספציפיים של אפליקציות. לדוגמה, משתמשים שמחוברים רק באמצעות סיסמה יכולים לגשת רק לאפליקציות שלא מכילות מידע רגיש, בעוד שמשתמש שמחובר באמצעות מפתח אבטחה פיזי כגורם אימות שני יכול לגשת לאפליקציות הארגוניות הרגישות ביותר.

מדיניות של חוזק פרטי הכניסה היא תכונה שמאפשרת לארגון להפעיל אמצעי בקרה לגישה על סמך חוזק פרטי הכניסה שמשמשים במהלך תהליך האימות. על ידי שימוש בחוזק האישורים כתנאי נוסף במדיניות בקרת הגישה, ארגונים יכולים לאכוף בקרת גישה על סמך השימוש במפתחות אבטחה לחומרה, באימות דו-שלבי או בשיטות אחרות לאימות חזק של אישורים.

סקירה כללית של מדיניות חוזק פרטי הכניסה

בעזרת Access Context Manager, אדמינים ארגוניים יכולים להגדיר בקרת גישה פרטנית שמבוססת על מאפיינים לפרויקטים ולמשאבים ב-Google Cloud. Google Cloud

רמות הגישה משמשות כדי לאפשר גישה למשאבים על סמך מידע הקשרי על הבקשה. בעזרת רמות גישה, אפשר להתחיל לארגן רמות של אמון. לדוגמה, אפשר ליצור רמת גישה בשם High_Level שתאפשר בקשות מקבוצה קטנה של אנשים עם הרשאות גבוהות. אפשר גם לזהות קבוצה כללית יותר שרוצים לתת לה אמון, כמו טווח כתובות IP שרוצים לאפשר שליחת בקשות ממנו. במקרה כזה, אפשר ליצור רמת גישה בשם Medium_Level כדי לאשר את הבקשות האלה.

ב-Access Context Manager יש שתי דרכים להגדיר רמות גישה: בסיסית ומותאמת אישית. בשלב הזה, בדיקת חוזק פרטי הכניסה מתבססת על רמות גישה בהתאמה אישית. המידע על חוזק פרטי הכניסה שמשמשים לאימות המשתמש נאסף במהלך תהליך הכניסה לחשבון Google. המידע הזה נאסף ומאוחסן בשירות אחסון הסשנים של Google.

בשלב הזה, בדיקת חוזק האישורים נתמכת בשרת Proxy לאימות זהויות (IAP), בשרת Proxy לאימות זהויות (IAP) עבור TCP וב-Google Workspace.

הגדרת מדיניות חוזק הסיסמה

אתם יכולים להשתמש בהגדרה של רמת גישה מותאמת אישית ב-Access Context Manager כדי להגדיר את המדיניות המתאימה. רמות גישה מותאמות אישית משתמשות בביטויים בוליאניים שנכתבים בקבוצת משנה של Common Expression Language (CEL) כדי לבדוק את המאפיינים של לקוח שמבצע בקשה.

ב Google Cloud מסוף, אפשר להגדיר רמות גישה מותאמות אישית במצב מתקדם כשיוצרים רמת גישה. כדי ליצור רמת גישה בהתאמה אישית, מבצעים את השלבים הבאים:

במסוף Google Cloud , פותחים את הדף Access Context Manager.
אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.
בחלק העליון של הדף Access Context Manager, לוחצים על חדש.
בחלונית New Access Level (רמת גישה חדשה), מבצעים את הפעולות הבאות:
1. בתיבה שם רמת הגישה, מזינים שם לרמת הגישה. השם צריך להיות באורך של עד 50 תווים, להתחיל באות ויכול להכיל רק מספרים, אותיות, קווים תחתונים ורווחים.
2. בקטע Create Conditions in (יצירת תנאים ב), בוחרים באפשרות Advanced Mode (מצב מתקדם).
3. בקטע Conditions (תנאים), מזינים את הביטויים לרמת הגישה המותאמת אישית.התנאי חייב להניב ערך בוליאני יחיד. דוגמאות ומידע נוסף על תמיכה ב-Common Expression Language ‏ (CEL) ועל רמות גישה מותאמות אישית זמינים במפרט של רמות גישה מותאמות אישית.
4. לוחצים על Save.

ערכים נתמכים של חוזק פרטי הכניסה

ערך	הגדרה של Google	דוגמה לרמת גישה בהתאמה אישית
`pwd`	המשתמש אומת באמצעות סיסמה.	`request.auth.claims.crd_str.pwd == true`
`push`	המשתמש עבר אימות באמצעות התראה בנייד.	`request.auth.claims.crd_str.push == true`
`sms`	המשתמש עבר אימות באמצעות קוד שנשלח ב-SMS או בשיחת טלפון.	`request.auth.claims.crd_str.sms == true`
`swk`	באימות הדו-שלבי נעשה שימוש במפתח אבטחה בתוכנה, כמו טלפון.	`request.auth.claims.crd_str.swk == true`
`hwk`	אימות דו-שלבי באמצעות מפתח אבטחה פיזי, כמו מפתח האבטחה Titan של Google.	`request.auth.claims.crd_str.hwk == true`
`otp`	המשתמש עבר אימות באמצעות שיטות של סיסמה חד-פעמית (מאמת החשבונות של Google וקודי גיבוי).	`request.auth.claims.crd_str.otp == true`
`mfa`	המשתמש עבר אימות באמצעות אחת מהשיטות שבטבלה הזו, חוץ מ`pwd`.	`request.auth.claims.crd_str.mfa == true`

מידע נוסף על אימות דו-שלבי

באימות הדו-שלבי של Google יש תכונה שמאפשרת למשתמשים לסמן את המכשיר שלהם כמכשיר מהימן, וכך להימנע מהצורך לעבור אתגרים נוספים של אימות דו-שלבי כשהם נכנסים שוב לחשבון באותו מכשיר. כשהתכונה הזו מופעלת, משתמש שמתנתק מהחשבון ומתחבר אליו מחדש לא מקבל אתגר אימות דו-שלבי בכניסה השנייה, ו-Google תדווח בצורה נכונה על חוזק האישורים בכניסה השנייה כסיסמה בלבד, ולא כאימות רב-גורמי, כי לא נעשה שימוש באתגר אימות דו-שלבי בכניסה השנייה.

אם יש לכם אפליקציות או תהליכי עבודה שדורשים מהמשתמשים להשתמש תמיד בפרטי כניסה חזקים, יכול להיות שתרצו להשבית את התכונה 'מכשיר מהימן'. מידע על הפעלה או השבתה של התכונה 'מכשיר מהימן' מופיע במאמר הוספה או הסרה של מחשבים מהימנים. חשוב לזכור שאם משביתים את התכונה, המשתמשים יצטרכו להציג את אמצעי האימות השני שלהם בכל פעם שהם נכנסים לחשבון, גם במכשירים שהם משתמשים בהם לעיתים קרובות. יכול להיות שהמשתמשים יצטרכו לצאת מהחשבון ולהיכנס אליו מחדש כדי שהכניסה האחרונה שלהם תכלול טענות לאימות רב-שלבי.