Dokumen ini menjelaskan cara menggunakan Pemecah Masalah Kebijakan untuk memilah dan menganalisis akses pengguna akhir.
Chrome Enterprise Premium memungkinkan Anda membuat aturan lanjutan di tingkat perusahaan yang memberikan akses aplikasi berbasis konteks. Jika beberapa aturan akses diterapkan ke resource, mulai dari pembatasan lokasi hingga aturan perangkat, akan sulit untuk memahami cara kebijakan dievaluasi dan alasan pengguna memiliki atau tidak memiliki akses ke resource target. Di sinilah pentingnya menyeleksi dan menganalisis akses pengguna.
Pemecah Masalah Kebijakan membantu Anda mengidentifikasi alasan akses berhasil atau gagal, dan jika diperlukan, mengubah kebijakan serta menginstruksikan pengguna akhir untuk mengubah konteksnya agar akses diizinkan atau menghapus binding untuk menolak akses yang tidak terduga. Pemecah Masalah Kebijakan adalah alat yang berharga bagi organisasi yang perlu menerapkan beberapa aturan ke beberapa resource untuk berbagai grup pengguna.
Sebelum memulai
Untuk memaksimalkan efektivitas Pemecah Masalah Kebijakan, pastikan Anda memiliki peran Peninjau Keamanan (roles/iam.securityReviewer). Dengan demikian, Anda dapat membaca semua kebijakan Cloud IAM yang berlaku.
Untuk memecahkan masalah akses perangkat, Anda harus memiliki izin untuk melihat detailnya. Jika kebijakan yang terkait dengan resource target berisi kebijakan perangkat, seperti tingkat akses yang mengharuskan perangkat dienkripsi, Anda mungkin tidak mendapatkan hasil yang akurat kecuali jika izin untuk mengambil detail perangkat dari pokok target diverifikasi. Admin Super Google Workspace, Admin Layanan, dan Admin Seluler biasanya memiliki akses untuk melihat detail perangkat. Untuk mengizinkan pengguna yang bukan Admin Super, Layanan, atau Seluler memecahkan masalah akses, selesaikan langkah-langkah berikut:
- Buat peran administrator Google Workspace kustom yang berisi hak istimewa Layanan > Pengelolaan Perangkat Seluler > Kelola Perangkat dan Setelan (terdapat di bagian Hak Istimewa Konsol Admin).
- Tetapkan peran kepada pengguna menggunakan konsol Admin.
Untuk memecahkan masalah akses ke resource yang diberikan oleh Google Cloud grup, Anda harus memiliki izin untuk melihat anggotanya. Jika kebijakan berisi grup, Anda harus memiliki izin untuk melihat detail grup sebelum membukanya. Admin Super dan Admin Grup Google Workspace biasanya memiliki akses untuk melihat keanggotaan grup. Untuk mengizinkan pengguna yang bukan admin Super atau Grup memecahkan masalah akses, selesaikan langkah-langkah berikut:
- Buat peran administrator Google Workspace kustom yang berisi hak istimewa Grup > Baca (terletak di bagian Hak Istimewa Admin API).
- Tetapkan peran kepada pengguna. Hal ini memungkinkan pengguna melihat keanggotaan semua grup dalam domain Anda, dan memecahkan masalah akses secara lebih efektif.
Izin Peran Khusus bersifat opsional. Jika Anda tidak memiliki izin untuk melihat peran khusus, Anda mungkin tidak dapat mengetahui apakah akun utama memiliki akses ke peran tersebut dari binding dengan peran khusus.
Ringkasan alur kerja pemecah masalah
Memecahkan masalah akses yang ditolak
Untuk memecahkan masalah akses yang ditolak, Anda dapat mengaktifkan fitur ini untuk resource IAP di setelan IAP dengan mengklik tiga titik di sebelah kanan aplikasi yang dilindungi IAP, Setelan, lalu memilih Buat URL pemecahan masalah. Untuk memaksimalkan efektivitas Pemecah Masalah Kebijakan, pastikan Anda memiliki peran Admin Setelan IAP (roles/iap.settingsAdmin). Peran ini memungkinkan Anda mengambil dan memperbarui setelan IAP semua resource IAP.
URL pemecahan masalah hanya ditampilkan di halaman 403 default, jika diaktifkan.
Pemecah Masalah Kebijakan menyediakan antarmuka pengguna tempat Anda dapat melihat hasil evaluasi mendetail dari semua kebijakan yang berlaku untuk resource IAP target. Jika akses pengguna gagal, halaman 403 akan menampilkan URL pemecah masalah. Saat dikunjungi, Pemecah Masalah Kebijakan akan menampilkan detail binding yang gagal dan analisis tingkat akses yang gagal, jika ada di binding. Anda juga dapat menggunakan pemecah masalah untuk melihat tampilan mendetail akses pengguna ke resource.
Akses pengguna ditolak
Jika pengguna tidak memiliki izin atau tidak memenuhi kondisi yang diperlukan untuk mengakses resource IAP, pengguna akan diarahkan ke halaman error 403 akses ditolak. Halaman 403 menyertakan URL pemecahan masalah yang dapat disalin dan dikirim secara manual ke pemilik aplikasi atau administrator keamanan, atau pengguna dapat mengklik Kirim Email di antarmuka pengguna.
Saat pengguna mengklik Kirim Email, email akan dikirim ke alamat email dukungan (supportEmail) yang dikonfigurasi di layar izin OAuth. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi layar izin OAuth, lihat Membuat klien OAuth secara terprogram untuk IAP.
Memecahkan masalah akses yang gagal
Saat menerima link untuk permintaan akses yang gagal dari pengguna akhir, Anda dapat mengklik URL tersebut, yang akan terbuka di browser default. Jika Anda tidak login ke konsol di browser default, Anda mungkin dialihkan ke halaman login lain untuk mengakses halaman analisis Pemecahan Masalah Kebijakan. Google Cloud
Halaman analisis Pemecah Masalah Kebijakan memberikan tampilan ringkasan, tampilan kebijakan IAM, dan tabel yang masing-masing menampilkan konteks untuk pengguna dan perangkat, seperti alamat akun utama, ID perangkat, resource IAP yang diakses.
Tampilan ringkasan memberikan tampilan gabungan dari semua temuan kebijakan dan keanggotaan yang relevan. Tampilan kebijakan IAM memberikan daftar hasil evaluasi binding IAM yang efektif, yang diberikan atau tidak, bersama dengan tampilan tingkat tinggi tentang tempat terjadinya kegagalan, seperti Akun utama bukan anggota dan tidak memenuhi kondisi.
Untuk menganalisis lebih lanjut akses yang gagal, Anda dapat melihat Detail binding. Dalam Detail Binding, Anda dapat melihat komponen binding, Peran, Principal, dan Kondisi. Komponen yang memiliki izin yang memadai akan mencantumkan Tidak perlu tindakan. Komponen yang aksesnya gagal, kesenjangan dalam izin dijelaskan secara eksplisit, seperti Kategori Akun Utama: Tambahkan Akun Utama ke grup di bawah.
Perhatikan bahwa di antarmuka pengguna, bagian Binding yang relevan diaktifkan secara default. Binding yang tercantum di bagian Binding yang relevan bukanlah daftar lengkap, melainkan binding yang paling relevan yang mungkin menarik bagi Anda saat memecahkan masalah akses tertentu. Kebijakan efektif yang terkait dengan resource tertentu mungkin berisi banyak binding yang tidak relevan dengan resource Anda, seperti izin Cloud Storage yang diberikan di tingkat project. Detail yang tidak relevan akan difilter.
Anda dapat menyelidiki lebih lanjut Kondisi yang gagal dengan melihat Penjelasan Tingkat Akses. Detail Tingkat Akses menunjukkan tempat terjadinya kegagalan dan menyarankan perbaikan untuk mengatasi kegagalan tersebut. Anda dapat meneruskan tindakan yang diperlukan kembali kepada pengguna atau memperbaiki kebijakan, jika perlu. Misalnya, Anda dapat mengirimkan kembali tindakan berikut kepada pengguna: Permintaan gagal karena perangkat bukan milik perusahaan.
Mengaktifkan URL pemecahan masalah untuk halaman error Access Deniedkustom
Anda dapat menambahkan URL Pemecah Masalah Kebijakan ke halaman error Access Denied pelanggan dengan menyelesaikan langkah-langkah berikut:
- Alihkan pengguna ke halaman kustom, bukan halaman error IAP default, dengan menyelesaikan langkah berikut: Menetapkan halaman error akses ditolak kustom.
- Aktifkan fitur URL Pemecah Masalah Kebijakan di setelan IAP.
Setelah Anda mengonfigurasi URL halaman access denied di setelan IAP, URL Pemecah Masalah Kebijakan akan disematkan sebagai parameter kueri yang di-escape. Pastikan Anda melepas escape parameter kueri yang di-escape sebelum membukanya. Kunci parameter kueri adalah troubleshooting-url.
Memecahkan masalah akses pengguna secara proaktif
Anda dapat menggunakan Pemecah Masalah Kebijakan, yang ada di panel Keamanan halaman landing Chrome Enterprise Premium, untuk memecahkan masalah peristiwa hipotetis serta mendapatkan insight dan visibilitas terkait kebijakan keamanan Anda. Misalnya, Anda dapat memeriksa akses pengguna ke resource tertentu yang dilindungi IAP dan menyelidiki apakah akses tersebut benar-benar diperlukan atau tidak. Contoh lainnya adalah saat Anda membuat perubahan kebijakan pada resource yang dilindungi IAP dan Anda ingin memverifikasi bahwa Admin Super masih memiliki akses. Anda dapat membuka Konsol Perangkat Google Admin untuk mendapatkan ID perangkat yang dimiliki oleh Admin Super, lalu menggunakan ID perangkat di Pemecah Masalah Kebijakan untuk memverifikasi akses.
Dengan memecahkan masalah permintaan hipotetis, Anda dapat memverifikasi bahwa pengguna memiliki izin yang tepat untuk mengakses resource IAP sebelum peristiwa penolakan yang sebenarnya terjadi. Anda dapat melakukannya dengan menggunakan email pengguna, resource IAP target, dan konteks permintaan opsional, termasuk alamat IP, stempel waktu, ID perangkat, atau konteks perangkat.
Saat memecahkan masalah permintaan hipotetis menggunakan ID perangkat, pastikan perangkat tersebut termasuk dalam email pokok target. Anda bisa mendapatkan ID Perangkat dari Log Audit IAP atau dengan membuka Konsol Admin Google -> Perangkat > Perangkat seluler dan endpoint > Perangkat.
Saat memecahkan masalah permintaan hipotetis menggunakan konteks perangkat, atribut berikut didukung oleh pemecah masalah:
is_secured_with_screenlockencryption_statusos_typeos_versionverified_chrome_osis_admin_approved_deviceis_corp_owned_device
Skenario pemecahan masalah umum
Berikut adalah beberapa skenario umum yang mungkin Anda temui saat menggunakan Pemecah Masalah Kebijakan:
- Anda memberikan item yang dapat ditindaklanjuti kepada pengguna akhir setelah memecahkan masalah, seperti menginstruksikan pengguna akhir untuk beralih ke perangkat milik perusahaan atau mengupdate sistem operasi.
- Anda menemukan bahwa Anda tidak menetapkan izin yang tepat kepada pengguna akhir, jadi Anda membuat binding baru untuk pokok sasaran di antarmuka IAP (
roles/iap.httpsResourceAccessor). - Anda menemukan bahwa Anda membuat tingkat akses secara tidak benar karena alasan contoh berikut:
- Anda membuat pembatasan atribut bertingkat yang rumit, seperti sub-jaringan perusahaan, yang tidak lagi berlaku karena karyawan kini bekerja dari rumah.
- Anda menerapkan parameter tingkat akses yang salah. Misalnya, Anda menentukan bahwa pengguna dapat membuat level kustom dengan batasan vendor, tetapi membandingkan atribut dengan jenis yang berbeda. Misalnya,
device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Perhatikan bahwa sisi kiri menampilkan nilai boolean, sedangkan sisi kanan menampilkan stringtrue. Karena atribut yang tidak setara, error dalam konstruksi kebijakan sulit dideteksi. Pemecah Masalah Kebijakan membantu dengan menjelaskan bahwa hal ini dievaluasi sebagai error dengan hasil evaluasi parsial yang mendetail di kedua sisi.
Perilaku yang dimaksudkan dari pemecah masalah
Pemecahan masalah dilakukan pada akses terbatas menggunakan kebijakan saat ini dan informasi perangkat dengan stempel waktu saat ini. Oleh karena itu, jika Anda menyinkronkan perangkat atau mengubah kebijakan setelah penolakan akses terbatas, Anda tidak memecahkan masalah menggunakan konteks dan data lama. Anda memecahkan masalah menggunakan konteks dan data saat ini.
Tips untuk memecahkan masalah binding
Untuk setiap komponen (Peran, Akun Utama, Kondisi) dari setiap binding dengan error otorisasi, berikan izin yang diperlukan jika Anda ingin memeriksa hasil pemecahan masalah dari binding tersebut.
Jika pemeriksaan peran gagal dalam binding, selesaikan tindakan berikut:
- Periksa binding lain atau buat binding baru menggunakan antarmuka IAP untuk memberikan peran
roles/iap.httpsResourceAccessorkepada prinsipal dengan tingkat akses yang diterapkan, jika perlu. - Jika merupakan peran khusus, Anda dapat menambahkan izin target ke peran khusus untuk memberikan izin (setelah Anda memperbaiki kegagalan akun utama dan kegagalan kondisi, jika berlaku). Perhatikan bahwa menambahkan izin ke peran khusus yang ada dapat memberikan lebih banyak izin kepada binding lain dengan peran khusus ini daripada yang diperlukan. Jangan lakukan ini kecuali jika Anda mengetahui cakupan peran kustom dan risiko operasi Anda.
- Jika bukan peran kustom, periksa binding lain atau buat binding baru menggunakan antarmuka IAP untuk memberikan peran
roles/iap.httpsResourceAccessorkepada prinsipal dengan tingkat akses yang diterapkan, jika perlu.
Jika pemeriksaan peran berhasil, tetapi pemeriksaan akun utama gagal, selesaikan tindakan berikut:
- Jika anggota berisi grup, Anda dapat menambahkan akun utama ke grup untuk memberikan izin (setelah Anda memperbaiki kegagalan kondisi, jika berlaku). Perhatikan bahwa menambahkan akun utama ke grup yang ada dapat memberikan izin yang lebih banyak kepada grup tersebut daripada yang diperlukan. Jangan lakukan hal ini kecuali jika Anda mengetahui cakupan grup dan risiko operasi Anda.
- Jika anggota tidak berisi grup, periksa binding lain atau buat binding baru menggunakan antarmuka IAP untuk memberikan
roles/iap.httpsResourceAccessorkepada prinsipal dengan tingkat akses yang diterapkan, jika perlu.
Jika pemeriksaan peran dan prinsipal berhasil, tetapi kondisi gagal, periksa detail pemecahan masalah setiap tingkat akses individual yang tercantum dalam kondisi, jika kondisi hanya terdiri dari tingkat akses yang terhubung dengan operator logika OR.