为重新身份验证配置会话控制

通过会话控制,您可以配置用户在获得访问权限后必须重新进行身份验证的频率,以及是需要完整登录、仅密码还是硬件安全密钥。

您可以应用会话控制来执行以下操作:

  • 强制要求特权用户频繁重新进行身份验证:要求拥有较高权限的用户(例如项目所有者和结算管理员)更频繁地重新进行身份验证。
  • 为某些应用配置更长的会话时长:允许某些应用(例如 Gemini 等基于上下文的 AI 应用)拥有更长的会话时长,以保留实现最佳性能所需的大型上下文窗口。

定义会话时长和重新进行身份验证的方法

您可以在创建 Access Context Manager 绑定时定义会话控制机制。如需详细了解会话控制,请参阅使用访问权限绑定将政策应用于用户群组

gcloud

  • 为所有应用设置默认会话控制

    使用 --session-length 标志设置会话时长。该值必须为 0s,或者介于 1 小时和 24 小时之间。以小时为单位指定时长。 例如,使用“12h”可设置时长为 12 小时的会话。 使用 --session-reauth-method 标志指定重新身份验证方法。例如,您可以将会话时长设置为 3 小时 (3h),并将重新身份验证方法设置为 LOGINPASSWORDSECURITY_KEY

    此设置将应用于所有应用,除非被应用专用设置覆盖。

  • 设置应用专属会话控制功能

    在 YAML 文件中定义 scopedAccessSettings,以使用 clientId 为特定应用指定会话控制。这样一来,您就可以替换这些应用的默认会话控制设置。然后,您可以使用 --binding-file flag 传递 YAML 文件。

REST API

在 POST 请求的 JSON 正文中,定义 sessionSettings 对象内的 sessionLengthsessionReauthMethod 字段,以创建或更新 GcpUserAccessBinding 绑定。

  • sessionLength 是会话时长(以秒为单位)。该值必须为 0s,或介于 1 小时和 24 小时之间,格式为秒数,后跟 s(例如 3600s,表示会话时长为 1 小时)。
  • sessionReauthMethod 可以是 LOGINPASSWORDSECURITY_KEY
  • 使用 scopedAccessSettings 定义特定于应用的会话控制。 如需了解详情,请参阅为特定应用定义配置

Terraform

Terraform Google Cloud 用户访问权限绑定资源中,填充 session_settings 实参以配置适用于所有用户流量的一般会话时长控制:

  • session_length:会话时长(以秒为单位)。例如,3600s 将会话时长设置为 1 小时。末尾必须包含 s
  • session_length_enabled:设置为 false 可停用指定的会话设置。
  • session_reauth_method:用于刷新凭据的身份验证质询类型。选项包括 LOGINPASSWORDSECURITY_KEY
  • use_oidc_max_age:一个高级字段,用于配置会话是否遵循可选的 OIDC 最大期限参数(如果身份验证凭据是 OAuth 令牌,则指定此参数)。

定义会话控制时,在解析会话控制设置时,系统只会使用与请求匹配的最近创建的访问权限绑定。

政策配置示例

以下示例展示了如何创建会话控制,以要求每 18 小时使用 LOGIN 重新进行身份验证,并要求每 2 小时使用 SECURITY_KEY 针对特定应用 (SENSITIVE_APP_ID) 重新进行身份验证。

默认设置

Google Cloud CLI 命令中的 --level--session-length--session-reauth-method 标志(或 API 调用的 JSON 正文中的相应字段)会为 scopedAccessSettings 中未明确定义的所有应用设置默认行为。

应用专属设置

您可以使用 YAML 文件(或 JSON 正文)中的 scopedAccessSettings 部分替换特定应用的默认设置。在此示例中,我们为客户端 ID 为 SENSITIVE_APP_ID 的应用设置了 2 小时的重新身份验证要求,并使用 SECURITY_KEY

如需将某些应用排除在会话控制之外,请将 sessionLength 字段设置为 0ssessionLengthEnabled,并将 false 设置为 false。然后,系统会忽略 sessionReauthMethod 方法。

gcloud

以下示例展示了会话设置配置:

scopedAccessSettings:
  scope:
    clientScope:
      restrictedClientApplication:
        clientId: SENSITIVE_APP_ID
  activeSettings:
    sessionSettings:
      sessionLength: 7200s
      sessionReauthMethod: SECURITY_KEY
      sessionLengthEnabled: true

创建访问权限绑定:

gcloud access-context-manager cloud-bindings create \
    --organization=ORG_ID \
    --group-key=GROUP_ID \
    --binding-file=BINDING_FILE_PATH \
    --level=DEFAULT_ACCESS_LEVEL \
    --session-length=SESSION_LENGTH \
    --session-reauth-method LOGIN

替换以下内容:

  • ORG_ID:组织的 ID
  • GROUP_ID:群组密钥
  • BINDING_FILE_PATH:绑定文件的路径
  • DEFAULT_ACCESS_LEVEL:默认访问权限级别
  • SESSION_LENGTH:会话时长,例如 18h

REST API

API 请求的 JSON 正文示例:

{
  "groupKey": "GROUP_ID",
  "accessLevels": [
    "accessPolicies/POLICY_ID/accessLevels/DEFAULT_ACCESS_LEVEL"
  ],
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "clientId": "SENSITIVE_APP_ID"
          }
        }
      },
      "activeSettings": {
        "accessLevels": [
          "accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME"
        ],
        "sessionSettings": [
          {
            "sessionLength": "2h",
            "sessionReauthMethod": "SECURITY_KEY",
            "sessionLengthEnabled": true
          }
        ]
      }
    }
  ]

以以下格式构建 POST 请求:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

ORG_ID 替换为组织的 ID。

Terraform

如需为来自“群组密钥”的用户在所有应用中的访问权限请求指定会话时长,请执行以下操作:

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      session_settings {
        session_length = "3600s"
        session_length_enabled = true
        session_reauth_method = "LOGIN"
        use_oidc_max_age = false
      }

如需为来自特定 Google 群组的用户使用特定应用(例如 Google Cloud 控制台)发出的请求指定会话时长,请在 active_settings 中使用 session_settings 实参填充相应的 scoped_access_settings 实参。session_settings 中的子实参与顶级实参相同。

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Cloud Console"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "3600s"
            session_length_enabled = true
            session_reauth_method = "LOGIN"
            use_oidc_max_age = false
          }
        }
      }
    }

针对 Google Cloud 应用的政策配置示例

您可以为 Google Cloud 应用配置应用专用重新身份验证控制,例如要求 Google Cloud SDK 使用 SECURITY_KEY,而 Google Cloud 控制台使用 LOGIN。以下示例展示了如何创建会话控制,以要求 Google Cloud SDK (SECURITY_KEY) 每小时重新进行身份验证,并要求控制台 ( Google Cloud ) 每 4 小时重新进行身份验证 (LOGIN)。

您可以使用 YAML 文件(或 JSON 正文)中的 scopedAccessSettings 部分替换特定应用的默认设置。在此示例中,我们使用 SECURITY_KEY 为 Google Cloud SDK 设置了 1 小时的重新身份验证要求,并使用 LOGIN 为 Google Cloud 控制台设置了 4 小时的重新身份验证要求,同时使用 name 字段来标识这些应用。

如需将某些应用排除在会话控制之外,请将 sessionLength 字段设置为 0ssessionLengthEnabled,以将 false。然后,系统会忽略 sessionReauthMethod 方法。

gcloud

以下示例展示了会话设置配置:

scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        name: Google Cloud SDK
  activeSettings:
    sessionSettings:
      sessionLength: 3600s
      sessionReauthMethod: SECURITY_KEY
      sessionLengthEnabled: true
- scope:
    clientScope:
      restrictedClientApplication:
        name: Cloud Console
  activeSettings:
    sessionSettings:
      sessionLength: 14400s
      sessionReauthMethod: LOGIN
      sessionLengthEnabled: true

创建访问权限绑定:

gcloud access-context-manager cloud-bindings create \
    --organization=ORG_ID \
    --group-key=GROUP_ID \
    --binding-file=BINDING_FILE_PATH

替换以下内容:

  • ORG_ID:组织的 ID
  • GROUP_ID:群组密钥
  • BINDING_FILE_PATH:绑定文件的路径

REST API

API 请求的 JSON 正文示例:

{
  "groupKey": "GROUP_ID",
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "Google Cloud SDK"
          }
        }
      },
      "activeSettings": {
        "sessionSettings": {
            "sessionLength": "3600s",
            "sessionReauthMethod": "SECURITY_KEY",
            "sessionLengthEnabled": true
          }
      }
    },
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "Cloud Console"
          }
        }
      },
      "activeSettings": {
        "sessionSettings": {
            "sessionLength": "14400s",
            "sessionReauthMethod": "LOGIN",
            "sessionLengthEnabled": true
          }
      }
    }
  ]
}

以以下格式构建 POST 请求:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

ORG_ID 替换为组织的 ID。

Terraform

如需为 Google Cloud SDK 和 Google Cloud 控制台指定会话时长设置,请填充相应的 scoped_access_settings 实参:

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Google Cloud SDK"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "3600s"
            session_length_enabled = true
            session_reauth_method = "SECURITY_KEY"
            use_oidc_max_age = false
          }
        }
      }
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Cloud Console"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "14400s"
            session_length_enabled = true
            session_reauth_method = "LOGIN"
            use_oidc_max_age = false
          }
        }
      }
    }