Configurer les contrôles de session pour la réauthentification

Les contrôles de session vous permettent de configurer la fréquence à laquelle les utilisateurs doivent se réauthentifier après avoir obtenu l'accès, et de déterminer si une connexion complète, un mot de passe uniquement ou une clé de sécurité matérielle sont requis.

Vous pouvez appliquer des contrôles de session pour effectuer les opérations suivantes :

  • Appliquer une réauthentification fréquente pour les utilisateurs privilégiés : exigez que les utilisateurs disposant de droits élevés, tels que les propriétaires de projets et les administrateurs de facturation, se réauthentifient plus souvent.
  • Configurer des sessions plus longues pour certaines applications : autorisez les applications compatibles, telles que la console Google Cloud , le Google Cloud SDK ou des applications OAuth spécifiques, à avoir des durées de session plus longues pour préserver la grande fenêtre de contexte requise pour des performances optimales.

Définir la durée des sessions et les méthodes de réauthentification

Vous pouvez définir des contrôles de session lorsque vous créez une liaison Access Context Manager. Pour en savoir plus sur les contrôles de session, consultez Appliquer des règles à des groupes d'utilisateurs à l'aide de liaisons d'accès.

gcloud

  • Définir des contrôles de session par défaut pour toutes les applications

    Utilisez l'option --session-length pour définir la durée de la session. La valeur doit être 0s ou comprise entre 1 et 24 heures. Spécifiez la durée en heures. Par exemple, utilisez "12h" pour définir une session de 12 heures. Utilisez l'option --session-reauth-method pour spécifier la méthode de réauthentification. Par exemple, vous pouvez définir une durée de la session de trois heures (3h) et une méthode de réauthentification LOGIN, PASSWORD ou SECURITY_KEY.

    Ce paramètre s'appliquera à toutes les applications, sauf s'il est remplacé par des paramètres spécifiques à une application.

  • Définir des contrôles de session spécifiques aux applications

    Définissez scopedAccessSettings dans un fichier YAML pour spécifier les contrôles de session pour des applications spécifiques à l'aide de clientId. Cela vous permet de remplacer les contrôles de session par défaut pour ces applications. Vous pouvez ensuite transmettre le fichier YAML à l'aide de --binding-file flag.

API REST

Définissez les champs sessionLength et sessionReauthMethod dans l'objet sessionSettings du corps JSON de votre requête POST pour créer ou mettre à jour une liaison GcpUserAccessBinding.

  • sessionLength correspond à la durée de la session en secondes. La valeur doit être 0s ou comprise entre 1 heure et 24 heures, au format nombre de secondes suivi de s (par exemple, 3600s, qui correspond à une durée de session de 1 heure).
  • Il peut s'agir de sessionReauthMethod, LOGIN, PASSWORD ou SECURITY_KEY.
  • Utilisez scopedAccessSettings pour définir des contrôles de session spécifiques à l'application. Pour en savoir plus, consultez Définir des configurations pour des applications spécifiques.

Terraform

Dans la ressource Terraform Google Cloud User Access Binding, renseignez l'argument session_settings pour configurer les contrôles généraux de la durée de session qui s'appliquent à tout le trafic utilisateur :

  • session_length : durée de la session en secondes. Par exemple, 3600s définit la durée de la session sur une heure. Le s à la fin est obligatoire.
  • session_length_enabled : définissez la valeur sur "false" pour désactiver les paramètres de session spécifiés.
  • session_reauth_method : type de défi d'authentification utilisé pour actualiser les identifiants. Les options sont LOGIN, PASSWORD ou SECURITY_KEY.
  • use_oidc_max_age : champ avancé utilisé pour configurer si la session respecte un paramètre OIDC facultatif d'âge maximal, qui est spécifié si l'identifiant d'authentification est un jeton OAuth.

Lorsque vous définissez des contrôles de session, seule la liaison d'accès la plus récente correspondant à la requête est utilisée pour résoudre les paramètres de contrôle de session.

Exemple de configuration de règle

L'exemple suivant montre comment créer un contrôle de session qui nécessite une réauthentification toutes les 18 heures avec LOGIN et toutes les deux heures pour une application spécifique (SENSITIVE_APP_ID) avec SECURITY_KEY.

Paramètres par défaut

Les indicateurs --level, --session-length et --session-reauth-method de la commande Google Cloud CLI (ou les champs correspondants dans le corps JSON de l'appel d'API) définissent le comportement par défaut de toutes les applications qui ne sont pas explicitement définies dans scopedAccessSettings.

Paramètres spécifiques aux applications

La section scopedAccessSettings du fichier YAML (ou du corps JSON) vous permet de remplacer les paramètres par défaut pour des applications spécifiques. Dans l'exemple, nous définissons une exigence de réauthentification de deux heures avec SECURITY_KEY pour l'application avec l'ID client SENSITIVE_APP_ID.

Pour exclure certaines applications du contrôle de session, définissez le champ sessionLength sur 0s ou sessionLengthEnabled sur false. La méthode sessionReauthMethod sera alors ignorée.

gcloud

L'exemple suivant montre la configuration des paramètres de session :

scopedAccessSettings:
  scope:
    clientScope:
      restrictedClientApplication:
        clientId: SENSITIVE_APP_ID
  activeSettings:
    sessionSettings:
      sessionLength: 7200s
      sessionReauthMethod: SECURITY_KEY
      sessionLengthEnabled: true

Créez la liaison d'accès :

gcloud access-context-manager cloud-bindings create \
    --organization=ORG_ID \
    --group-key=GROUP_ID \
    --binding-file=BINDING_FILE_PATH \
    --level=DEFAULT_ACCESS_LEVEL \
    --session-length=SESSION_LENGTH \
    --session-reauth-method LOGIN

Remplacez les éléments suivants :

  • ORG_ID : ID de l'organisation
  • GROUP_ID : clé du groupe
  • BINDING_FILE_PATH : chemin d'accès du fichier de liaison
  • DEFAULT_ACCESS_LEVEL : niveau d'accès par défaut
  • SESSION_LENGTH : durée de la session, par exemple 18h

API REST

Exemple de corps JSON de la requête API :

{
  "groupKey": "GROUP_ID",
  "accessLevels": [
    "accessPolicies/POLICY_ID/accessLevels/DEFAULT_ACCESS_LEVEL"
  ],
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "clientId": "SENSITIVE_APP_ID"
          }
        }
      },
      "activeSettings": {
        "accessLevels": [
          "accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME"
        ],
        "sessionSettings": [
          {
            "sessionLength": "2h",
            "sessionReauthMethod": "SECURITY_KEY",
            "sessionLengthEnabled": true
          }
        ]
      }
    }
  ]

Créez la requête POST au format suivant :

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

Remplacez ORG_ID par l'ID de l'organisation.

Terraform

Pour spécifier une durée de session pour les demandes d'accès des utilisateurs provenant de "Clé de groupe" dans toutes les applications :

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      session_settings {
        session_length = "3600s"
        session_length_enabled = true
        session_reauth_method = "LOGIN"
        use_oidc_max_age = false
      }

Pour spécifier une durée de session pour les requêtes des utilisateurs provenant d'un groupe Google spécifique à l'aide d'une application spécifique, telle que la console Google Cloud , renseignez l'argument scoped_access_settings approprié avec un argument session_settings dans active_settings. Les sous-arguments de session_settings sont identiques à l'argument de premier niveau.

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Cloud Console"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "3600s"
            session_length_enabled = true
            session_reauth_method = "LOGIN"
            use_oidc_max_age = false
          }
        }
      }
    }

Exemple de configuration de règles pour les applications Google Cloud

Vous pouvez configurer des contrôles de réauthentification spécifiques à des applications pour les applications Google Cloud . Par exemple, vous pouvez exiger SECURITY_KEY pour Google Cloud SDK et LOGIN pour la console Google Cloud . L'exemple suivant montre comment créer un contrôle de session qui nécessite une réauthentification toutes les heures pour Google Cloud SDK avec SECURITY_KEY, et toutes les quatre heures pour la console Google Cloud avec LOGIN.

La section scopedAccessSettings du fichier YAML (ou du corps JSON) vous permet de remplacer les paramètres par défaut pour des applications spécifiques. Dans cet exemple, nous définissons une exigence de réauthentification d'une heure avec SECURITY_KEY pour Google Cloud SDK et une exigence de réauthentification de quatre heures avec LOGIN pour la console Google Cloud à l'aide du champ name pour identifier ces applications.

Pour exclure certaines applications du contrôle de session, définissez le champ sessionLength sur 0s ou sessionLengthEnabled sur false. La méthode sessionReauthMethod sera alors ignorée.

gcloud

L'exemple suivant montre la configuration des paramètres de session :

scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        name: Google Cloud SDK
  activeSettings:
    sessionSettings:
      sessionLength: 3600s
      sessionReauthMethod: SECURITY_KEY
      sessionLengthEnabled: true
- scope:
    clientScope:
      restrictedClientApplication:
        name: Cloud Console
  activeSettings:
    sessionSettings:
      sessionLength: 14400s
      sessionReauthMethod: LOGIN
      sessionLengthEnabled: true

Créez la liaison d'accès :

gcloud access-context-manager cloud-bindings create \
    --organization=ORG_ID \
    --group-key=GROUP_ID \
    --binding-file=BINDING_FILE_PATH

Remplacez les éléments suivants :

  • ORG_ID : ID de l'organisation
  • GROUP_ID : clé du groupe
  • BINDING_FILE_PATH : chemin d'accès du fichier de liaison

API REST

Exemple de corps JSON de la requête API :

{
  "groupKey": "GROUP_ID",
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "Google Cloud SDK"
          }
        }
      },
      "activeSettings": {
        "sessionSettings": {
            "sessionLength": "3600s",
            "sessionReauthMethod": "SECURITY_KEY",
            "sessionLengthEnabled": true
          }
      }
    },
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "Cloud Console"
          }
        }
      },
      "activeSettings": {
        "sessionSettings": {
            "sessionLength": "14400s",
            "sessionReauthMethod": "LOGIN",
            "sessionLengthEnabled": true
          }
      }
    }
  ]
}

Créez la requête POST au format suivant :

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

Remplacez ORG_ID par l'ID de l'organisation.

Terraform

Pour spécifier les paramètres de durée de session pour Google Cloud SDK et la console Google Cloud , renseignez l'argument scoped_access_settings approprié :

    resource "google_access_context_manager_gcp_user_access_binding" "gcp_user_access_binding" {
      organization_id = "{Organization ID}"
      group_key = "{Group Key}"
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Google Cloud SDK"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "3600s"
            session_length_enabled = true
            session_reauth_method = "SECURITY_KEY"
            use_oidc_max_age = false
          }
        }
      }
      scoped_access_settings {
        scope {
          client_scope {
            restricted_client_application {
              name = "Cloud Console"
            }
          }
        }
        active_settings {
          session_settings {
            session_length = "14400s"
            session_length_enabled = true
            session_reauth_method = "LOGIN"
            use_oidc_max_age = false
          }
        }
      }
    }