Prinsip utama Chrome Enterprise Premium adalah "Akses ke layanan diberikan berdasarkan apa yang kami ketahui tentang Anda dan perangkat Anda." Tingkat akses yang diberikan kepada satu pengguna atau satu perangkat disimpulkan secara dinamis dengan menginterogasi beberapa sumber data. Tingkat kepercayaan ini kemudian dapat digunakan sebagai bagian dari proses pengambilan keputusan.
Elemen utama dalam proses evaluasi kepercayaan adalah kekuatan kredensial login pengguna, yang mana akses ke jenis aplikasi tertentu ditentukan oleh cara pengguna diautentikasi ke sistem. Misalnya, pengguna yang login hanya dengan sandi hanya dapat mengakses aplikasi yang tidak berisi informasi sensitif, sedangkan pengguna yang login dengan kunci keamanan hardware sebagai faktor kedua dapat mengakses aplikasi perusahaan yang paling sensitif.
Kebijakan berbasis kekuatan kredensial adalah fitur yang memungkinkan perusahaan mengaktifkan kontrol akses berdasarkan kekuatan kredensial yang digunakan selama proses autentikasi. Dengan memanfaatkan kekuatan kredensial sebagai kondisi lain dalam kebijakan kontrol akses, perusahaan dapat menerapkan kontrol akses berdasarkan penggunaan kunci keamanan hardware, verifikasi 2 langkah, atau bentuk kredensial kuat lainnya.
Ringkasan kebijakan kekuatan kredensial
Access Context Manager memungkinkan administrator organisasi menentukan kontrol akses berbasis atribut yang terperinci untuk project dan resource diGoogle Cloud. Google Cloud
Tingkat akses digunakan untuk memberikan akses ke resource berdasarkan informasi kontekstual tentang permintaan. Dengan tingkat akses, Anda dapat mulai mengatur tingkat kepercayaan. Misalnya, Anda dapat membuat tingkat akses bernama High_Level yang akan mengizinkan permintaan dari sekelompok kecil individu dengan hak istimewa tinggi. Anda juga dapat mengidentifikasi grup yang lebih umum untuk dipercaya, seperti rentang IP yang permintaannya ingin Anda izinkan. Dalam hal ini, Anda dapat membuat tingkat akses bernama Medium_Level untuk mengizinkan permintaan tersebut.
Access Context Manager menyediakan dua cara untuk menentukan tingkat akses: dasar dan kustom. Pemeriksaan kekuatan kredensial saat ini menggunakan tingkat akses kustom. Informasi tentang kekuatan kredensial yang digunakan selama autentikasi pengguna dicatat selama proses login Google. Informasi tersebut diambil dan disimpan di layanan penyimpanan sesi Google.
Pemeriksaan kekuatan kredensial saat ini didukung untuk Identity-Aware Proxy, Identity-Aware Proxy untuk TCP, dan Google Workspace.
Mengonfigurasi kebijakan kekuatan kredensial
Anda dapat menggunakan definisi tingkat akses kustom Access Context Manager untuk menetapkan kebijakan yang sesuai. Tingkat akses kustom menggunakan ekspresi boolean yang ditulis dalam subset Common Expression Language (CEL) untuk menguji atribut klien yang membuat permintaan.
Di konsol Google Cloud , Anda dapat mengonfigurasi tingkat akses kustom dalam Mode Lanjutan saat membuat tingkat akses. Untuk membuat tingkat akses kustom, selesaikan langkah-langkah berikut:
- Di Google Cloud console, buka halaman Access Context Manager.
- Jika diminta, pilih organisasi Anda.
- Di bagian atas halaman Access Context Manager, klik Baru.
- Di panel New Access Level, selesaikan langkah-langkah berikut:
- Di kotak Judul tingkat akses, masukkan judul untuk tingkat akses. Judul maksimal 50 karakter, diawali dengan huruf, dan hanya boleh berisi angka, huruf, garis bawah, dan spasi.
- Untuk Buat Kondisi di, pilih Mode Lanjutan.
- Di bagian Kondisi, masukkan ekspresi untuk tingkat akses kustom Anda.Kondisi harus diselesaikan ke satu nilai boolean. Untuk mengetahui contoh dan informasi selengkapnya tentang dukungan Common Expression Language (CEL) dan tingkat akses kustom, lihat Spesifikasi tingkat akses kustom.
- Klik Simpan.
Nilai kekuatan kredensial yang didukung
| Nilai | Definisi Google | Contoh Tingkat Akses Kustom |
|---|---|---|
pwd |
Pengguna diautentikasi dengan sandi. | request.auth.claims.crd_str.pwd == true |
push |
Pengguna diautentikasi dengan notifikasi push ke perangkat seluler. | request.auth.claims.crd_str.push == true |
sms |
Pengguna diautentikasi menggunakan kode yang dikirim ke SMS atau melalui panggilan telepon. | request.auth.claims.crd_str.sms == true |
swk |
2SV menggunakan kunci software, seperti ponsel, sebagai kunci keamanan. | request.auth.claims.crd_str.swk == true |
hwk |
Verifikasi 2 Langkah menggunakan kunci hardware, seperti Kunci Titan Google. | request.auth.claims.crd_str.hwk == true |
otp |
Pengguna diautentikasi dengan metode sandi sekali pakai (Google Authenticator dan Kode Cadangan). | request.auth.claims.crd_str.otp == true |
mfa |
Pengguna diautentikasi dengan salah satu metode dalam tabel ini, kecuali pwd. |
request.auth.claims.crd_str.mfa == true |
Informasi tambahan tentang verifikasi 2 langkah
Verifikasi 2 Langkah Google memiliki fitur yang memungkinkan pengguna menandai perangkat mereka sebagai tepercaya dan tidak memerlukan verifikasi 2 langkah tambahan saat login lagi di perangkat yang sama. Jika fitur ini diaktifkan, pengguna yang logout dan login kembali tidak akan menerima tantangan 2 langkah pada login kedua, dan Google akan melaporkan kekuatan kredensial untuk login kedua dengan benar sebagai hanya sandi, dan bukan Autentikasi Multi-Faktor, karena tantangan 2 langkah tidak digunakan pada login kedua.
Jika Anda memiliki aplikasi atau alur kerja yang bergantung pada persyaratan agar pengguna selalu menggunakan kredensial yang kuat, Anda mungkin ingin menonaktifkan fitur perangkat tepercaya. Untuk mengetahui informasi tentang cara mengaktifkan atau menonaktifkan fitur perangkat tepercaya, lihat Menambahkan atau menghapus komputer tepercaya. Perhatikan bahwa menonaktifkan fitur ini akan mewajibkan pengguna untuk memberikan faktor kedua mereka setiap kali mereka login, bahkan di perangkat yang sering digunakan. Pengguna mungkin harus logout dan login kembali agar login terakhir mereka memiliki pernyataan Autentikasi Multi-Faktor.