Risolvere i problemi utilizzando lo strumento per la risoluzione dei problemi relativi ai criteri

Questo documento descrive come utilizzare Policy Troubleshooter per eseguire il triage e analizzare l'accesso di un utente finale.

Chrome Enterprise Premium ti consente di creare regole avanzate a livello aziendale che forniscono l'accesso alle applicazioni basato sul contesto. Quando vengono applicate più regole di accesso alle risorse, dalle limitazioni della località alle regole per i dispositivi, può essere difficile capire come vengono valutati i criteri e perché un utente ha o non ha accesso alla risorsa di destinazione. È qui che la valutazione e l'analisi dell'accesso di un utente sono importanti.

Lo strumento per la risoluzione dei problemi relativi ai criteri ti aiuta a identificare il motivo per cui l'accesso viene concesso o negato e, se necessario, a modificare il criterio e a indicare all'utente finale di modificare il contesto per consentire l'accesso o rimuovere il binding per negare l'accesso imprevisto. Lo strumento per la risoluzione dei problemi relativi ai criteri è uno strumento prezioso per le organizzazioni che devono applicare più regole a più risorse per diversi gruppi di utenti.

Prima di iniziare

Per massimizzare l'efficacia di Policy Troubleshooter, verifica di disporre del ruolo Revisore della sicurezza (roles/iam.securityReviewer). In questo modo puoi leggere tutte le policy Cloud IAM applicabili.

Per risolvere i problemi di accesso per un dispositivo, devi disporre dell'autorizzazione per visualizzarne i dettagli. Se i criteri associati alla risorsa di destinazione contengono criteri del dispositivo, ad esempio un livello di accesso che richiede la crittografia del dispositivo, potresti non ottenere risultati accurati a meno che non venga verificata l'autorizzazione per recuperare i dettagli del dispositivo dell'entità di destinazione. In genere, i super amministratori, gli amministratori dei servizi e gli amministratori di Google Workspace hanno accesso alla visualizzazione dei dettagli del dispositivo. Per consentire a un utente che non è un amministratore super, di servizio o mobile di risolvere i problemi di accesso, completa i seguenti passaggi:

1. Crea un ruolo amministratore di Google Workspace personalizzato che contenga il privilegio Servizi > Gestione dei dispositivi mobili > Gestisci dispositivi e impostazioni (disponibile in Privilegi della Console di amministrazione).
2. Assegna il ruolo agli utenti utilizzando la Console di amministrazione.

Per risolvere i problemi di accesso a una risorsa concessa da un gruppo, devi disporre dell'autorizzazione per visualizzarne i membri. Google Cloud Se i criteri contengono un gruppo, devi disporre dell'autorizzazione per visualizzare i dettagli del gruppo prima di aprirlo. I super amministratori e gli amministratori dei gruppi di Google Workspace in genere hanno accesso alla visualizzazione dell'appartenenza ai gruppi. Per consentire a un utente che non è un super amministratore o un amministratore del gruppo di risolvere i problemi di accesso, completa i seguenti passaggi:

1. Crea un amministratore di Google Workspace personalizzato che contenga il privilegio Gruppi > Lettura (disponibile in Privilegi delle API amministrative).
2. Assegna il ruolo all'utente. In questo modo, l'utente può visualizzare l'appartenenza a tutti i gruppi all'interno del tuo dominio e risolvere i problemi di accesso in modo più efficace.

L'autorizzazione del ruolo personalizzato è facoltativa. Se non disponi dell'autorizzazione per visualizzare un ruolo personalizzato, potresti non essere in grado di stabilire se un'entità ha accesso da associazioni con ruoli personalizzati.

Panoramica del flusso di lavoro dello strumento per la risoluzione dei problemi

Risoluzione dei problemi relativi all'accesso negato

Per risolvere i problemi di accesso negato, puoi attivare la funzionalità per una risorsa IAP nelle impostazioni IAP facendo clic sui tre puntini a destra dell'applicazione protetta da IAP, Impostazioni e poi selezionando Genera un URL per la risoluzione dei problemi. Per massimizzare l'efficacia di Policy Troubleshooter, verifica di disporre del ruolo Amministratore impostazioni IAP (roles/iap.settingsAdmin). In questo modo puoi recuperare e aggiornare le impostazioni IAP di tutte le risorse IAP.

Gli URL per la risoluzione dei problemi vengono visualizzati solo sulle pagine 403 predefinite, se abilitati.

Lo strumento per la risoluzione dei problemi relativi ai criteri fornisce un'interfaccia utente in cui puoi visualizzare i risultati dettagliati della valutazione di tutte le policy effettive per la risorsa IAP di destinazione. Quando l'accesso di un utente non va a buon fine, la pagina 403 mostra un URL per la risoluzione dei problemi. Quando viene visitato, lo strumento per la risoluzione dei problemi relativi ai criteri mostra i dettagli delle associazioni non riuscite e l'analisi dei livelli di accesso non riusciti, se esistono nelle associazioni. Puoi anche utilizzare lo strumento per la risoluzione dei problemi per visualizzare una panoramica dettagliata dell'accesso di un utente a una risorsa.

Accesso utente negato

Quando un utente non dispone dell'autorizzazione o non soddisfa la condizione richiesta per accedere a una risorsa IAP, viene indirizzato a una pagina di errore 403 Accesso negato. La pagina 403 include un URL per la risoluzione dei problemi che può essere copiato e inviato manualmente al proprietario dell'applicazione o all'amministratore della sicurezza oppure l'utente può fare clic su Invia email nell'interfaccia utente.

Quando un utente fa clic su Invia email, viene inviata un'email all'indirizzo email di assistenza (supportEmail) configurato nella schermata di consenso OAuth. Per saperne di più sulla configurazione della schermata per il consenso OAuth, consulta la pagina Creare client OAuth a livello di programmazione per IAP.

Risoluzione dei problemi relativi all'accesso non riuscito

Quando ricevi il link per una richiesta di accesso non riuscita da un utente finale, puoi fare clic sull'URL, che si aprirà nel browser predefinito. Se non hai eseguito l'accesso alla console Google Cloud nel browser predefinito, potresti essere reindirizzato a un'altra pagina di accesso per accedere alla pagina di analisi dello strumento per la risoluzione dei problemi relativi ai criteri.

La pagina di analisi dello strumento per la risoluzione dei problemi relativi ai criteri fornisce una visualizzazione riepilogativa, una visualizzazione dei criteri IAM e una tabella che mostrano il contesto per un utente e il dispositivo, ad esempio l'indirizzo dell'entità, l'ID dispositivo e la risorsa IAP a cui si accede.

La visualizzazione riepilogativa fornisce una visione aggregata di tutti i risultati pertinenti relativi alle norme e all'iscrizione. La visualizzazione dei criteri IAM fornisce un elenco dei risultati della valutazione delle associazioni IAM effettive, concesse o meno, insieme a una visione di alto livello di dove si sono verificati gli errori, ad esempio Principal not a member and does not meet conditions.

Per analizzare ulteriormente l'accesso non riuscito, puoi visualizzare i dettagli del binding. In Dettagli associazione, puoi visualizzare i componenti dell'associazione, Ruolo, Entità e Condizione. Il componente con autorizzazioni sufficienti indicherà Nessuna azione richiesta. Componenti per i quali l'accesso non è riuscito, le lacune nelle autorizzazioni sono spiegate in modo esplicito, ad esempio Categoria principale: aggiungi l'entità ai gruppi di seguito.

Tieni presente che nell'interfaccia utente la sezione Binding pertinenti è attivata per impostazione predefinita. I binding elencati nella sezione Binding pertinenti non sono un elenco completo, ma i binding più pertinenti che potrebbero interessarti durante la risoluzione di un problema di accesso specifico. I criteri effettivi associati a una risorsa specifica potrebbero contenere molti binding non pertinenti alla risorsa, ad esempio un'autorizzazione Cloud Storage concessa a livello di progetto. I dettagli non pertinenti vengono filtrati.

Puoi analizzare ulteriormente una condizione non riuscita esaminando le spiegazioni del livello di accesso. I dettagli del livello di accesso indicano dove si è verificato l'errore e suggeriscono correzioni per risolverlo. Puoi propagare le azioni necessarie all'utente o correggere i criteri, se necessario. Ad esempio, puoi inviare all'utente la seguente azione: Richiesta non riuscita perché il dispositivo non è di proprietà dell'azienda.

Attivazione dell'URL per la risoluzione dei problemi per la pagina di errore Access Denied personalizzata

Per aggiungere l'URL dello strumento per la risoluzione dei problemi relativi alle norme alla pagina di errore Access Denied del cliente, segui questi passaggi:

1. Reindirizza gli utenti alla tua pagina personalizzata anziché alla pagina di errore IAP predefinita completando il seguente passaggio: Impostazione di una pagina di errore personalizzata di accesso negato.
2. Attiva la funzionalità URL di Policy Troubleshooter nelle impostazioni IAP.

Dopo aver configurato l'URL della pagina access denied nelle impostazioni di IAP, l'URL dello strumento per la risoluzione dei problemi relativi alle norme viene incorporato come parametro di query escaped. Verifica di aver annullato l'escape del parametro di query prima di aprirlo. La chiave del parametro di ricerca è troubleshooting-url.

Risoluzione proattiva dei problemi di accesso degli utenti

Puoi utilizzare Policy Troubleshooter, che si trova nel pannello Sicurezza della pagina di destinazione di Chrome Enterprise Premium, per risolvere i problemi relativi a eventi ipotetici e ottenere informazioni e visibilità sui tuoi criteri di sicurezza. Ad esempio, puoi controllare l'accesso di un utente a una determinata risorsa protetta da IAP e verificare se è effettivamente necessario. Un altro esempio è quando apporti una modifica ai criteri a una risorsa protetta da IAP e vuoi verificare che il super amministratore abbia ancora accesso. Puoi andare alla Console di amministrazione dei dispositivi Google per ottenere l'ID dispositivo di proprietà del super amministratore, quindi utilizzare l'ID dispositivo in Policy Troubleshooter per verificare l'accesso.

Risolvendo i problemi relativi alle richieste ipotetiche, puoi verificare che un utente disponga delle autorizzazioni giuste per accedere a una risorsa IAP prima che si verifichi un evento di negazione reale. Puoi farlo utilizzando l'email dell'utente, la risorsa IAP di destinazione e qualsiasi contesto di richiesta facoltativo, inclusi indirizzo IP, timestamp, ID dispositivo o contesto del dispositivo.

Quando risolvi i problemi relativi alle richieste ipotetiche utilizzando l'ID dispositivo, assicurati che il dispositivo appartenga all'email del principal di destinazione. Puoi ottenere l'ID dispositivo dal log di controllo IAP o andando a Console di amministrazione Google -> Dispositivi > Dispositivi mobili ed endpoint > Dispositivi.

Quando risolvi i problemi relativi a richieste ipotetiche utilizzando il contesto del dispositivo, lo strumento per la risoluzione dei problemi supporta i seguenti attributi:

• is_secured_with_screenlock
• encryption_status
• os_type
• os_version
• verified_chrome_os
• is_admin_approved_device
• is_corp_owned_device

Scenari comuni di risoluzione dei problemi

Di seguito sono riportati alcuni scenari comuni che potresti riscontrare quando utilizzi lo strumento per la risoluzione dei problemi relativi alle norme:

• Fornisci un elemento azionabile all'utente finale dopo la risoluzione dei problemi, ad esempio chiedendogli di passare a un dispositivo di proprietà aziendale o di aggiornare il sistema operativo.
• Scopri di non aver assegnato l'autorizzazione corretta all'utente finale, quindi crei un nuovo binding per l'entità di destinazione nell'interfaccia IAP (roles/iap.httpsResourceAccessor).
• Scopri di aver creato un livello di accesso in modo errato per i seguenti motivi di esempio:
  • Hai creato restrizioni complesse per gli attributi nidificati, come le sottoreti aziendali, che non si applicano più perché i dipendenti ora lavorano da casa.
  • Hai applicato parametri del livello di accesso errati. Ad esempio, hai specificato che gli utenti possono creare un livello personalizzato con limitazioni del fornitore, ma hai confrontato attributi con tipi diversi. Ad esempio, device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Tieni presente che il lato sinistro restituisce un valore booleano, mentre il lato destro restituisce una stringa true. A causa degli attributi non equivalenti, è difficile rilevare l'errore nel costrutto del criterio. Lo strumento per la risoluzione dei problemi relativi alle norme spiega che questo errore viene valutato con risultati parziali dettagliati su entrambi i lati.

Comportamento previsto dello strumento per la risoluzione dei problemi

La risoluzione dei problemi viene eseguita sugli accessi limitati utilizzando le norme e le informazioni sul dispositivo correnti con il timestamp attuale. Pertanto, se hai sincronizzato il dispositivo o modificato i criteri dopo il rifiuto dell'accesso limitato, non stai risolvendo i problemi utilizzando i vecchi contesti e dati. Stai risolvendo i problemi utilizzando i contesti e i dati attuali.

Suggerimenti per la risoluzione dei problemi relativi alle rilegature

Per tutti i componenti (ruolo, entità, condizione) di tutti i binding con errori di autorizzazione, concedi le autorizzazioni necessarie se vuoi controllare i risultati della risoluzione dei problemi di questi binding.

Se il controllo del ruolo non va a buon fine in un binding, completa le seguenti azioni:

• Controlla altri binding o creane uno nuovo utilizzando l'interfaccia IAP per concedere il ruolo roles/iap.httpsResourceAccessor al principal con i livelli di accesso applicati, se necessario.
• Se si tratta di un ruolo personalizzato, puoi aggiungere l'autorizzazione di destinazione al ruolo personalizzato per concederla (dopo aver corretto eventuali errori dell'entità e della condizione, se applicabile). Tieni presente che l'aggiunta di autorizzazioni a un ruolo personalizzato esistente potrebbe concedere ad altre associazioni con questo ruolo personalizzato più autorizzazioni del necessario. Non farlo a meno che tu non sia a conoscenza dell'ambito del ruolo personalizzato e del rischio dell'operazione.
• Se non si tratta di un ruolo personalizzato, controlla altri binding o crea un nuovo binding utilizzando l'interfaccia IAP per concedere il ruolo roles/iap.httpsResourceAccessor al principal con i livelli di accesso applicati, se necessario.

Se il controllo del ruolo va a buon fine, ma quello dell'entità di servizio non riesce, completa le seguenti azioni:

• Se i membri contengono un gruppo, puoi aggiungere l'entità al gruppo per concedere le autorizzazioni (dopo aver corretto eventuali errori di condizione, se applicabile). Tieni presente che l'aggiunta di un'entità a un gruppo esistente potrebbe concedere al gruppo più autorizzazioni del necessario. Non farlo a meno che tu non sia a conoscenza dell'ambito del gruppo e del rischio della tua operazione.
• Se i membri non contengono un gruppo, controlla altri binding o creane uno nuovo utilizzando l'interfaccia IAP per concedere roles/iap.httpsResourceAccessor al principal con i livelli di accesso applicati, se necessario.

Se il controllo del ruolo e dell'entità ha esito positivo, ma la condizione non viene soddisfatta, controlla i dettagli per la risoluzione dei problemi di ogni singolo livello di accesso elencato nella condizione, se la condizione è costituita solo da livelli di accesso collegati con l'operatore logico OR.