Configurer les contrôles de session pour la réauthentification

Les contrôles de session vous permettent de configurer la fréquence à laquelle les utilisateurs doivent se réauthentifier après avoir obtenu l'accès, et si une connexion complète, un mot de passe uniquement ou une clé de sécurité matérielle sont requis.

Vous pouvez appliquer des contrôles de session pour effectuer les opérations suivantes :

  • Appliquer une réauthentification fréquente pour les utilisateurs privilégiés : demandez aux utilisateurs disposant de droits élevés, tels que les propriétaires de projets et les administrateurs de facturation, de se réauthentifier plus souvent.
  • Configurer des sessions plus longues pour certaines applications : autorisez certaines applications, telles que les applications d'IA contextuelles comme Gemini, à avoir des durées de session plus longues afin de préserver la grande fenêtre de contexte requise pour des performances optimales.

Définir la durée de session et les méthodes de réauthentification

Vous pouvez définir des contrôles de session lorsque vous créez une liaison Access Context Manager. Pour en savoir plus sur les contrôles de session, consultez Appliquer des règles à des groupes d'utilisateurs à l'aide de liaisons d'accès.

gcloud

  • Définir des contrôles de session par défaut pour toutes les applications

    Utilisez l'option --session-length pour définir la durée de la session. La valeur doit être 0s ou comprise entre 1 et 24 heures. Spécifiez la durée en heures. Par exemple, utilisez "12h" pour définir une session de 12 heures. Utilisez l'option --session-reauth-method pour spécifier la méthode de réauthentification. Par exemple, vous pouvez définir une durée de la session de trois heures (3h) et une méthode de réauthentification LOGIN, PASSWORD ou SECURITY_KEY.

    Cette configuration s'appliquera à toutes les applications, sauf si elle est remplacée par des paramètres spécifiques à l'application.

  • Définir des contrôles de session spécifiques à l'application

    Définissez scopedAccessSettings dans un fichier YAML pour spécifier les contrôles de session pour des applications spécifiques à l'aide de clientId. Cela vous permet de remplacer les contrôles de session par défaut pour ces applications. Vous pouvez ensuite transmettre le fichier YAML à l'aide de l'option --binding-file flag.

API REST

Définissez les champs sessionLength et sessionReauthMethod dans l'objet sessionSettings du corps JSON de votre requête POST pour créer ou mettre à jour une liaison GcpUserAccessBinding.

  • sessionLength correspond à la durée de la session en secondes. La valeur doit être 0s ou comprise entre 1 et 24 heures, au format d'un nombre de secondes suivi de s (par exemple, 3600s, ce qui correspond à une durée de session d'une heure).
  • sessionReauthMethod peut être LOGIN, PASSWORD ou SECURITY_KEY.
  • Utilisez scopedAccessSettings pour définir des contrôles de session spécifiques à l'application. Pour en savoir plus, consultez Définir des configurations pour des applications spécifiques.

Terraform

Dans la ressource de liaison d'accès utilisateur Google Cloud Terraform , renseignez l'argument session_settings pour configurer les contrôles généraux de durée de session qui s'appliquent à tout le trafic utilisateur :

  • session_length : durée de la session en secondes. Par exemple, 3600s définit la durée de la session sur une heure. Le s à la fin est obligatoire.
  • session_length_enabled : définissez la valeur sur "false" pour désactiver les paramètres de session spécifiés.
  • session_reauth_method : type de défi d'authentification utilisé pour actualiser les identifiants. Les options sont LOGIN, PASSWORD ou SECURITY_KEY.
  • use_oidc_max_age: champ avancé utilisé pour configurer si la session respecte un paramètre facultatif d'âge maximal OIDC, qui est spécifié si l'identifiant d'authentification est un jeton OAuth.

Lors de la définition des contrôles de session, seule la liaison d'accès la plus récemment créée et correspondant à la requête est utilisée lors de la résolution des paramètres de contrôle de session.

Exemple de configuration de règle

L'exemple suivant montre comment créer un contrôle de session qui nécessite une réauthentification toutes les 18 heures avec LOGIN et toutes les deux heures pour une application spécifique (SENSITIVE_APP_ID) avec SECURITY_KEY.

Paramètres par défaut

Les options --level, --session-length et --session-reauth-method de la commande Google Cloud CLI (ou les champs correspondants dans le corps JSON de l'appel d'API) définissent le comportement par défaut pour toutes les applications qui ne sont pas explicitement définies dans scopedAccessSettings.

Paramètres spécifiques à l'application

La section scopedAccessSettings du fichier YAML (ou du corps JSON) vous permet de remplacer les paramètres par défaut pour des applications spécifiques. Dans l'exemple, nous définissons une exigence de réauthentification de deux heures avec SECURITY_KEY pour l' application dont l'ID client est SENSITIVE_APP_ID.

Pour exclure certaines applications du contrôle de session, définissez le sessionLength champ sur 0s ou sessionLengthEnabled sur false. La méthode sessionReauthMethod sera alors ignorée.

gcloud

L'exemple suivant montre la configuration des paramètres de session :

scopedAccessSettings:
  scope:
    clientScope:
      restrictedClientApplication:
        clientId: SENSITIVE_APP_ID
  activeSettings:
    sessionSettings:
      sessionLength: 7200s
      sessionReauthMethod: SECURITY_KEY
      sessionLengthEnabled: true

Créez la liaison d'accès :

gcloud access-context-manager cloud-bindings create \
    --organization=ORG_ID \
    --group-key=GROUP_ID \
    --binding-file=BINDING_FILE_PATH \
    --level=DEFAULT_ACCESS_LEVEL \
    --session-length=SESSION_LENGTH \
    --session-reauth-method LOGIN

Remplacez les éléments suivants :

  • ORG_ID : ID de l'organisation
  • GROUP_ID : clé du groupe
  • BINDING_FILE_PATH : chemin d'accès au fichier de liaison
  • DEFAULT_ACCESS_LEVEL : niveau d'accès par défaut
  • SESSION_LENGTH : durée de la session, par exemple 18h

API REST

Exemple de corps JSON de la requête d'API :

{
  "groupKey": "GROUP_ID",
  "accessLevels": [
    "accessPolicies/POLICY_ID/accessLevels/DEFAULT_ACCESS_LEVEL"
  ],
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "clientId": "SENSITIVE_APP_ID"
          }
        }
      },
      "activeSettings": {
        "accessLevels": [
          "accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME"
        ],
        "sessionSettings": [
          {
            "sessionLength": "2h",
            "sessionReauthMethod": "SECURITY_KEY",
            "sessionLengthEnabled": true
          }
        ]
      }
    }
  ]

Créez la requête POST au format suivant :

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

Remplacez ORG_ID par l'ID de l'organisation.

Terraform

Pour spécifier une durée de session pour les demandes d'accès des utilisateurs provenant de la "clé de groupe" dans toutes les applications :

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      session_settings {
        session_length = "3600s"
        session_length_enabled = true
        session_reauth_method = "LOGIN"
        use_oidc_max_age = false
      }

Pour spécifier une durée de session pour les requêtes des utilisateurs provenant d'un groupe Google spécifique à l'aide d'une application spécifique, telle que la Google Cloud console, renseignez l'argument scoped_access_settings approprié avec un argument session_settings dans active_settings. Les sous-arguments de session_settings sont identiques à l'argument de niveau supérieur.

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Cloud Console"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "3600s"
            session_length_enabled = true
            session_reauth_method = "LOGIN"
            use_oidc_max_age = false
          }
        }
      }
    }

Exemple de configuration de règle pour les Google Cloud applications

Vous pouvez configurer des contrôles de réauthentification spécifiques aux Google Cloud applications, par exemple en exigeant SECURITY_KEY pour Google Cloud SDK et LOGIN pour la Google Cloud console. L'exemple suivant montre comment créer un contrôle de session qui nécessite une réauthentification toutes les heures pour le Google Cloud SDK avec SECURITY_KEY, et toutes les quatre heures pour la Google Cloud console avec LOGIN.

La section scopedAccessSettings du fichier YAML (ou du corps JSON) vous permet de remplacer les paramètres par défaut pour des applications spécifiques. Dans cet exemple, nous définissons une exigence de réauthentification d'une heure avec SECURITY_KEY pour Google Cloud SDK, et une exigence de réauthentification de quatre heures avec LOGIN pour la Google Cloud console à l'aide du champ name pour identifier ces applications.

Pour exclure certaines applications du contrôle de session, définissez le sessionLength champ sur 0s ou sessionLengthEnabled sur false. La méthode sessionReauthMethod sera alors ignorée.

gcloud

L'exemple suivant montre la configuration des paramètres de session :

scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        name: Google Cloud SDK
  activeSettings:
    sessionSettings:
      sessionLength: 3600s
      sessionReauthMethod: SECURITY_KEY
      sessionLengthEnabled: true
- scope:
    clientScope:
      restrictedClientApplication:
        name: Cloud Console
  activeSettings:
    sessionSettings:
      sessionLength: 14400s
      sessionReauthMethod: LOGIN
      sessionLengthEnabled: true

Créez la liaison d'accès :

gcloud access-context-manager cloud-bindings create \
    --organization=ORG_ID \
    --group-key=GROUP_ID \
    --binding-file=BINDING_FILE_PATH

Remplacez les éléments suivants :

  • ORG_ID : ID de l'organisation
  • GROUP_ID : clé du groupe
  • BINDING_FILE_PATH : chemin d'accès au fichier de liaison

API REST

Exemple de corps JSON de la requête d'API :

{
  "groupKey": "GROUP_ID",
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "Google Cloud SDK"
          }
        }
      },
      "activeSettings": {
        "sessionSettings": {
            "sessionLength": "3600s",
            "sessionReauthMethod": "SECURITY_KEY",
            "sessionLengthEnabled": true
          }
      }
    },
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "Cloud Console"
          }
        }
      },
      "activeSettings": {
        "sessionSettings": {
            "sessionLength": "14400s",
            "sessionReauthMethod": "LOGIN",
            "sessionLengthEnabled": true
          }
      }
    }
  ]
}

Créez la requête POST au format suivant :

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

Remplacez ORG_ID par l'ID de l'organisation.

Terraform

Pour spécifier les paramètres de durée de session pour Google Cloud SDK et la Google Cloud console, renseignez l'argument scoped_access_settings approprié :

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Google Cloud SDK"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "3600s"
            session_length_enabled = true
            session_reauth_method = "SECURITY_KEY"
            use_oidc_max_age = false
          }
        }
      }
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Cloud Console"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "14400s"
            session_length_enabled = true
            session_reauth_method = "LOGIN"
            use_oidc_max_age = false
          }
        }
      }
    }