A reautenticação do IAP permite que os proprietários ou administradores de serviços e aplicativos exijam que os usuários finais autenticados façam uma nova autenticação após um período especificado ao acessar um serviço ou aplicativo protegido pelo IAP e limita o tempo que um usuário pode acessar um serviço ou aplicativo protegido pelo IAP antes que a autenticação seja necessária.Google Cloud
A reautenticação do IAP (ou reauth) foi projetada para aplicar políticas de reautenticação a serviços e aplicativos protegidos pelo IAP (ou apps). Usando esse serviço, é possível aplicar políticas de reautenticação para serviços e aplicativos críticos que processam informações confidenciais. Por exemplo, é possível especificar que os usuários que acessam um aplicativo de RH crítico façam uma nova autenticação a cada hora usando um segundo fator.
Métodos de reautenticação com suporte
Use os seguintes métodos para gerenciar as configurações de reautenticação:
- Login: os usuários finais fazem uma nova autenticação usando as credenciais de login.
- Chave segura: os usuários finais fazem uma nova autenticação usando a chave de segurança configurada.
- Segundos fatores registrados: os usuários finais fazem uma nova autenticação usando um dos segundos fatores registrados.
Para mais informações, consulte IapSettings.
Configurar uma política de reautenticação
Os reauthSettings são incluídos como parte de IapSettings e podem ser definidos em qualquer
tipo de recurso na
hierarquia de recursos. É possível definir reauthSettings no nível da organização, da pasta, do projeto ou do serviço para aplicar restrições. Por exemplo, é possível limitar a duração da sessão a no máximo uma hora para todos os aplicativos em uma organização ou para um aplicativo específico.
Há dois tipos de políticas que podem ser usados para configurar a reautenticação:
Mínimo: se o tipo de política estiver definido como
MINIMUMem um recurso, como uma organização, ao avaliar as configurações de reautenticação no recurso de nível inferior, como uma pasta, as duas configurações serão mescladas. Se o recurso de nível inferior não tiver configurações de reautenticação, o resultado da mesclagem será as configurações não vazias do recurso de nível superior. Caso contrário, a mesclagem vai usar a duração da sessão mais curta e o método de reautenticação de maior precedência entre os dois recursos. O tipo de política mesclada resultante é definido comoMINIMUM.Padrão: se o tipo de política estiver definido como
DEFAULTem um recurso, como uma organização, ao avaliar a configuração de reautenticação no recurso de nível inferior, como uma pasta, a configuração do recurso de nível inferior será usada se estiver configurada. Caso contrário, a configuração de reautenticação do recurso de nível superior será aplicada.
Para ambos os tipos de política, o processo de avaliação é repetido para determinar as reauthSettings do serviço ou aplicativo de destino. As reauthSettings efetivas em qualquer nível são determinadas da seguinte maneira:
Herança: as configurações do recurso de nível superior são mescladas com as configurações do recurso de nível inferior.
Regras de mesclagem: se o recurso de nível inferior não tiver configurações de reautenticação específicas, ele vai herdar as configurações do nível superior.
Se ambos os níveis tiverem
reauthSettings, o resultado mesclado vai usar o seguinte:- A duração da sessão mais curta.
- O método de reautenticação com a maior precedência.
- A precedência é
Secure key(mais alta),Enrolled second factors(média) eLogin(mais baixa).
Tipo de política resultante: o tipo de política das configurações mescladas é
MINIMUM.
Os exemplos a seguir mostram as configurações antes e depois da avaliação. Durante a avaliação, as reauthSettings da pasta e da organização são mescladas, resultando na mudança do tipo de política da pasta para MINIMUM. As configurações mescladas são usadas para mesclar com as reauthSettings do serviço ou aplicativo.
Organização IapSettings:
accessSettings:
reauthSettings:
method: "ENROLLED_SECOND_FACTORS"
maxAge: "3600s"
policyType: "MINIMUM"
Pasta IapSettings:
accessSettings:
reauthSettings:
method: "LOGIN"
maxAge: "1200s"
policyType: "DEFAULT"
Serviço ou aplicativo IapSettings:
accessSettings:
reauthSettings:
method: "SECURE_KEY"
maxAge: "7200s"
policyType: "DEFAULT"
Configurações após a mesclagem:
Organização IapSettings:
accessSettings:
reauthSettings:
method: "ENROLLED_SECOND_FACTORS"
maxAge: "3600s"
policyType: "MINIMUM"
Pasta IapSettings:
accessSettings:
reauthSettings:
method: "ENROLLED_SECOND_FACTORS"
maxAge: "1200s"
policyType: "MINIMUM"
Serviço ou aplicativo IapSettings:
accessSettings:
reauthSettings:
method: "SECURE_KEY"
maxAge: "1200s"
policyType: "MINIMUM"
Neste exemplo, se o tipo de política de cada recurso estiver definido como DEFAULT, as reauthSettings do serviço ou aplicativo serão usadas.
MaxAge
Use o parâmetro maxAge para especificar com que frequência um usuário final precisa fazer uma nova autenticação, denotada em segundos. Por exemplo, para definir uma política de reautenticação de uma hora, defina os segundos como 3.600, conforme mostrado no exemplo a seguir:
accessSettings:
reauthSettings:
method: "LOGIN"
maxAge: "3600s"
policyType: "MINIMUM"
O valor mínimo para maxAge é de 300 segundos ou cinco minutos.
Para definir uma política de reautenticação, siga estas etapas.
Console
- Acesse a página do IAP.
Acessar a página "Identity-Aware Proxy" Selecione um projeto e, em seguida, o recurso em que você quer definir uma política de reautenticação.
Abra as Configurações do recurso e, em Política de reautenticação, selecione Configurar reautenticação.
Especifique as configurações de reautenticação e clique em Salvar.
gcloud
É possível definir uma política de reautenticação em recursos e serviços no nível da organização, do projeto e da pasta. Confira alguns comandos de exemplo para definir uma política de reautenticação.
Para mais informações, consulte gcloud iap settings set.
Execute este comando:
gcloud iap settings set SETTING_FILE [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION
Para definir uma política de reautenticação nos recursos de uma organização, execute o seguinte comando:
gcloud iap settings set SETTING_FILE --organization=ORGANIZATION
Para definir uma política de reautenticação nos recursos de uma pasta, execute o seguinte comando:
gcloud iap settings set SETTING_FILE --folder=FOLDER
Para definir uma política de reautenticação em todos os recursos do tipo da Web em um projeto, execute o seguinte comando:
gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web
Para definir uma política de reautenticação em um serviço do App Engine em um projeto, execute o seguinte comando:
gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE
Em que SETTING_FILE é:
accessSettings:
reauthSettings:
method: "LOGIN"
maxAge: "3600s"
policyType: "MINIMUM"
Substitua:
- FOLDER: o ID da pasta.
- ORGANIZATION: o ID da organização.
- PROJECT: o ID do projeto.
- RESOURCE_TYPE: o tipo de recurso do IAP. Precisa ser
app-engine,iap_web,compute,organizationoufolder. - SERVICE: o nome do serviço. Isso é opcional quando
resource-typeestá definido comocomputeouapp-engine. - VERSION: o nome da versão. Isso não é aplicável ao tipo de recurso
computee é opcional para o tipo de recursoapp-engine.
API
Execute o comando a seguir para preparar um arquivo iap_settings.json. Atualize os valores conforme necessário.
cat << EOF > iap_settings.json
{
"access_settings": {
"reauth_settings": {
"method": "LOGIN",
"maxAge": "300s",
"policy_type": "DEFAULT"
}
}
}
EOF
Para receber o nome do recurso, execute o comando gcloud iap settings get. Copie o campo "name" da saída. Você vai precisar do nome na próxima etapa.
gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]
Substitua RESOURCE_NAME no comando a seguir pelo nome da etapa anterior. As IapSettings serão atualizadas.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @iap_settings.json \ "https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.reauthSettings"
Como entender as credenciais de reautenticação
Após uma nova autenticação bem-sucedida, o IAP cria um cookie no navegador do usuário final. Para evitar a reautenticação frequente de aplicativos no mesmo domínio, o cookie é definido no domínio particular de nível superior e é válido para todo o domínio.
Por exemplo, foo.example.com é um recurso protegido pelo IAP e tem uma política de reautenticação com o IAP. Após uma nova autenticação bem-sucedida, o IAP define um cookie em example.com, que é o domínio particular de nível superior. Aplicativos do mesmo domínio particular de nível superior, como bar.example.com, usam as mesmas credenciais de reautenticação e não solicitam que o usuário faça uma nova autenticação, desde que as credenciais sejam válidas.
Para URLs como myapp.appspot.com, appspot.com é um domínio público. Portanto, o domínio particular de nível superior é myapp.appspot.com.
Limitações conhecidas
- A reautenticação é compatível apenas com fluxos de navegador. O acesso programático à conta de usuário não é compatível. Por exemplo, aplicativos para dispositivos móveis e computadores não podem autenticar novamente os usuários porque os recursos que exigem reautenticação são inacessíveis a esses aplicativos.
- As contas de serviço e o IAP-TCP estão isentos dos requisitos de reautenticação.
- A reautenticação não funciona com o tipo de membro do Identity and Access Management
allUsers. - As identidades externas, como OAuth e SAML, não são compatíveis com a reautenticação.
- As identidades da federação de identidade de colaboradores não são compatíveis com a reautenticação do IAP.