Chrome Enterprise Premium 的一項重要原則是「根據我們對您本人與裝置的瞭解授予服務存取權」。系統會透過查詢多個資料來源,動態推斷單一使用者或單一裝置的存取權限層級。系統會將這個信任程度用於決策程序。
信任評估程序的關鍵要素是使用者登入憑證的強度,因為使用者如何驗證系統,將決定其能否存取特定類型的應用程式。舉例來說,使用者如果僅使用密碼登入,就只能存取不含任何機密資訊的應用程式;而以硬體安全金鑰做為第二重驗證條件登入的使用者,則可以存取敏感性最高的企業應用程式。
憑證強度為依據的政策是一項功能,可讓企業根據驗證程序中使用的憑證強度,啟用存取權控制項。企業可以利用憑證強度做為存取權控管政策中的另一個條件,根據硬體安全金鑰、兩步驟驗證或其他形式的高強度憑證,強制執行存取權控管機制。
憑證強度政策總覽
Access Context Manager 可讓 Google Cloud 機構管理員依屬性定義精細的存取權限,以利控管Google Cloud中的專案和資源。
存取層級可用於根據要求的背景資訊,授予存取資源的權限。您可以使用存取層級來安排信任層級。舉例來說,您可以建立名為 High_Level 的存取層級,允許少數擁有高度權限的使用者提出要求。您也可以指定更廣泛的群組,例如您要允許要求的 IP 範圍。在這種情況下,您可以建立名為 Medium_Level 的存取層級,允許這些要求。
Access Context Manager 提供兩種方式來定義存取層級:基本和自訂。憑證強度檢查目前會使用自訂存取層級。系統會在 Google 登入程序中擷取使用者驗證期間所用的憑證強度相關資訊。系統會擷取這項資訊,並儲存在 Google 的會話儲存服務中。
憑證強度檢查目前支援 Identity-Aware Proxy、Identity-Aware Proxy for TCP 和 Google Workspace。
設定憑證強度政策
您可以使用 Access Context Manager 的自訂存取層級定義來設定適當的政策。自訂存取層級會使用以一般運算語言 (CEL) 的子集編寫的布林運算式,測試提出要求的用戶端屬性。
在 Google Cloud 控制台中,您可以在建立存取層級時,在進階模式中設定自訂存取層級。如要建立自訂存取層級,請完成下列步驟:
- 在 Google Cloud 控制台中,開啟「Access Context Manager」頁面。
- 如果系統提示您選取機構,請依提示選取您的機構。
- 按一下「Access Context Manager」頁面頂端的「New」。
- 在「New Access Level」窗格中完成下列步驟:
- 在「Access level title」(存取層級標題) 方塊中輸入存取層級的標題。標題長度不得超過 50 個字元,開頭必須是英文字母,且只能包含數字、英文字母、底線和空格。
- 針對「在」部分,選取「進階模式」。
- 在「條件」部分中,輸入自訂存取層級的運算式。條件必須解析為單一布林值。如需一般運算語言 (CEL) 支援和自訂存取層級的範例和詳細資訊,請參閱「自訂存取層級規格」。
- 按一下 [儲存]。
支援的憑證強度值
| 值 | Google 定義 | 自訂存取層級範例 |
|---|---|---|
pwd |
使用者已透過密碼驗證。 | request.auth.claims.crd_str.pwd == true |
push |
使用者透過行動裝置推播通知進行驗證。 | request.auth.claims.crd_str.push == true |
sms |
使用者透過簡訊或語音通話收到的驗證碼進行驗證。 | request.auth.claims.crd_str.sms == true |
swk |
2SV 會使用軟體金鑰 (例如手機) 做為安全金鑰。 | request.auth.claims.crd_str.swk == true |
hwk |
兩步驟驗證會使用硬體金鑰,例如 Google Titan 安全金鑰。 | request.auth.claims.crd_str.hwk == true |
otp |
使用者透過一次性密碼方法 (Google Authenticator 和備用碼) 進行驗證。 | request.auth.claims.crd_str.otp == true |
mfa |
使用者透過 pwd 以外的任何方式進行驗證。 |
request.auth.claims.crd_str.mfa == true |
關於兩步驟驗證的其他資訊
Google 兩步驟驗證功能可讓使用者將裝置設為信任裝置,日後在同一部裝置上登入時,就不會再需要完成額外的兩步驟驗證。啟用這項功能後,如果使用者登出再登入,系統不會在第二次登入時要求使用者通過兩步驟驗證,因此 Google 會正確地將第二次登入的憑證強度回報為僅使用密碼,而非多重驗證,因為第二次登入時並未使用兩步驟驗證。
如果您有應用程式或工作流程,需要要求使用者一律使用強式憑證,建議您停用信任裝置功能。如要瞭解如何啟用或停用信任裝置功能,請參閱「新增或移除信任的電腦」。請注意,停用這項功能後,使用者每次登入時都必須提供第二個驗證因素,即使是經常使用的裝置也不例外。使用者可能必須登出再重新登入,才能在最近一次登入時進行多重驗證斷言。