IAP 重新验证

IAP 重新身份验证可让服务和应用所有者或Google Cloud 管理员要求经过身份验证的最终用户在指定的时间后再次访问受 IAP 保护的服务或应用时重新进行身份验证,并限制用户在需要进行身份验证之前可以访问受 IAP 保护的服务或应用的时间。

IAP 重新身份验证(或重新验证)旨在为受 IAP 保护的服务和应用(或应用)强制执行重新身份验证政策。借助此服务,您可以针对处理机密信息的关键服务和应用强制执行重新身份验证政策。例如,您可以指定访问关键人力资源应用的用户每小时使用第二重验证方式重新进行身份验证。

支持的重新验证方法

您可以使用以下方法来管理重新身份验证设置:

  • 登录:最终用户使用其登录凭据重新进行身份验证。
  • 安全密钥:最终用户使用已配置的安全密钥重新进行身份验证。
  • 已注册的双重身份验证方法:最终用户使用已注册的第二重身份验证方法重新进行身份验证。

如需了解详情,请参阅 IapSettings

设置重新身份验证政策

reauthSettingsIapSettings 的一部分,可以在资源层次结构中的任何资源类型上设置。您可以在组织、文件夹、项目或服务级设置 reauthSettings 以应用限制。例如,您可以将组织中所有应用或特定应用的会话时长限制为最多一小时。

有两种政策类型可用于设置重新身份验证:

  • 最低:如果对组织等资源将政策类型设置为 MINIMUM,那么在评估文件夹等较低级资源的重新身份验证设置时,这两个设置会合并。如果较低层级的资源没有重新验证设置,合并结果将是较高层级资源的非空设置。否则,合并会采用两个资源中较短的会话时长和优先级较高的重新身份验证方法。合并后的政策类型设置为 MINIMUM

  • 默认:如果政策类型在资源(例如组织)上设置为 DEFAULT,那么在评估较低级资源(例如文件夹)的重新身份验证设置时,如果配置了较低级资源设置,则使用该设置;否则,应用较高级资源的重新身份验证设置。

对于这两种政策类型,系统都会重复执行评估流程,以确定目标服务或应用的 reauthSettings。任何级别的有效 reauthSettings 均按如下方式确定:

  • 继承:将较高级别资源的设置与较低级别资源的设置合并。

  • 合并规则:如果较低层级的资源没有特定的重新身份验证设置,则会继承较高层级的设置。

    如果这两个级别都有 reauthSettings,合并后的结果将使用以下内容:

    • 较短的会话时长。
    • 优先级较高的重新身份验证方法。
    • 优先级为 Secure key(最高)、Enrolled second factors(中等)和 Login(最低)。

  • 合并后的政策类型:合并后的设置的政策类型为 MINIMUM

以下示例展示了评估前后的设置。在评估期间,文件夹和组织 reauthSettings 会合并,导致文件夹的政策类型更改为 MINIMUM。然后,合并后的设置会与服务或应用 reauthSettings 合并。

组织 IapSettings

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

文件夹 IapSettings

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "1200s"
    policyType: "DEFAULT"

服务或应用 IapSettings

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "7200s"
    policyType: "DEFAULT"

合并后的设置:

组织 IapSettings

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

文件夹 IapSettings

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "1200s"
    policyType: "MINIMUM"

服务或应用 IapSettings

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "1200s"
    policyType: "MINIMUM"

在此示例中,如果每个资源的政策类型都设置为 DEFAULT,则使用服务或应用的 reauthSettings

MaxAge

使用 maxAge 参数指定最终用户必须重新进行身份验证的频率,以秒为单位。例如,如需设置一小时的重新身份验证政策,请将秒数设置为 3600,如以下示例所示:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

maxAge 的最小值为 300 秒,即 5 分钟。

如需设置重新验证政策,请完成以下步骤。

控制台

  1. 前往 IAP 页面
    转到 Identity-Aware Proxy 页面

  2. 选择一个项目,然后选择要为其设置重新身份验证政策的资源。

  3. 打开资源的设置,然后在重新身份验证政策下,选择配置重新身份验证

  4. 指定重新验证设置,然后点击保存

gcloud

您可以在组织、项目和文件夹级层为资源和服务设置重新身份验证政策。以下是一些用于设置重新验证政策的命令示例。

如需了解详情,请参阅 gcloud iap settings set

运行以下命令:

gcloud iap settings set SETTING_FILE [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

如需在组织内的资源上设置重新身份验证政策,请运行以下命令: 

gcloud iap settings set SETTING_FILE --organization=ORGANIZATION

如需在文件夹中的资源上设置重新身份验证政策,请运行以下命令:

gcloud iap settings set SETTING_FILE --folder=FOLDER

如需在项目中的所有 Web 类型资源上设置重新身份验证政策,请运行以下命令: 

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web

如需在项目内对 App Engine 服务设置重新身份验证政策,请运行以下命令:

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE

其中 SETTING_FILE 为:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

替换以下内容:

  • FOLDER:文件夹 ID。
  • ORGANIZATION:组织 ID。
  • PROJECT:项目 ID。
  • RESOURCE_TYPE:IAP 资源类型。必须为 app-engineiap_webcomputeorganizationfolder
  • SERVICE:服务名称。当 resource-type 设置为 computeapp-engine 时,此参数为可选参数。
  • VERSION:版本名称。此参数不适用于 compute 资源类型,对于 app-engine 资源类型,此参数是可选的。

API

运行以下命令以准备 iap_settings.json 文件。根据需要更新值。

cat << EOF > iap_settings.json
{
  "access_settings": {
      "reauth_settings": {
            "method": "LOGIN",
            "maxAge": "300s",
            "policy_type": "DEFAULT"
        }
    }
}
EOF

运行 gcloud iap settings get 命令获取资源名称。从输出中复制名称字段。您将在下一步中用到该名称。

gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]

将以下命令中的 RESOURCE_NAME 替换为上一步中的名称。IapSettings 将会更新。

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.reauthSettings"

了解重新身份验证凭据

成功完成重新身份验证后,IAP 会在最终用户的浏览器上创建 Cookie。为了避免同一网域上的应用频繁重新进行身份验证,该 Cookie 在顶级专用网域上设置,并且对该网域的整个范围有效。

例如,foo.example.com 是受 IAP 保护的资源,具有 IAP 重新身份验证政策。成功完成重新身份验证后,由于 example.com 是顶级专用网域,IAP 会在其上设置一个 Cookie。来自同一顶级专用网域(例如 bar.example.com)的应用将使用相同的重新身份验证凭据,并且不会提示用户重新进行身份验证(只要凭据有效)。

对于 myapp.appspot.com 等网址,appspot.com 是公共网域,因此顶级专用网域是 myapp.appspot.com

已知限制

  • 只有浏览器流支持重新身份验证。不支持程序化用户账号访问。例如,移动应用和桌面应用无法重新验证用户身份,因为这些应用无法访问需要重新身份验证的资源。
  • 服务账号和 IAP-TCP 不受重新身份验证要求的约束。
  • 重新身份验证不适用于 Identity and Access Management 成员类型 allUsers
  • 重新身份验证不支持 OAuth 和 SAML 等外部身份
  • IAP 重新身份验证不支持员工身份联合身份。