使用政策疑難排解工具進行疑難排解

本文說明如何使用政策疑難排解工具,分類及分析使用者的存取權。

Chrome Enterprise 進階版可讓您在企業層級建立進階規則,根據情境提供應用程式存取權。如果資源套用多項存取規則 (從位置限制到裝置規則),您可能難以瞭解政策的評估方式,以及使用者為何有權或無權存取目標資源。因此,對使用者的存取權進行分類和分析非常重要。

政策疑難排解工具可協助您找出存取成功或失敗的原因,並視需要變更政策,以及指示使用者修改情境以允許存取,或移除繫結來拒絕非預期的存取要求。如果機構需要為不同使用者群組的多個資源套用多項規則,政策疑難排解工具就是實用的好幫手。

事前準備

如要充分發揮政策疑難排解工具的效用,請確認您擁有安全性審查者角色 (roles/iam.securityReviewer),這樣就能讀取所有適用的 Cloud IAM 政策。

如要排解裝置存取權問題,您必須具備查看裝置詳細資料的權限。如果與目標資源相關聯的政策包含裝置政策 (例如要求裝置加密的存取層級),除非您已驗證擷取目標主體裝置詳細資料的權限,否則可能無法取得準確結果。Google Workspace 超級管理員、服務管理員和行動裝置管理員通常可以查看裝置詳細資料。如要允許非超級管理員、服務管理員或行動管理員的使用者排解存取權問題,請完成下列步驟:

  1. 建立自訂的 Google Workspace 管理員角色,其中包含「服務」>「行動裝置管理服務」>「管理裝置和設定」權限 (位於「管理控制台權限」下方)。
  2. 使用管理控制台將角色指派給使用者。

如要排解 Google Cloud 群組授予的資源存取權問題,您必須有權查看群組成員。如果政策包含群組,您必須具備查看群組詳細資料的權限,才能開啟政策。Google Workspace 超級管理員和群組管理員通常可以檢視群組成員。如要允許非超級使用者或群組管理員的使用者排解存取權問題,請完成下列步驟:

  1. 建立自訂 Google Workspace 管理員角色,授予「群組 > 讀取」權限 (位於「Admin API 權限」下方)。
  2. 將角色指派給使用者。如此一來,使用者便可以查看您網域中所有群組的成員身分,並更有效地解決存取問題。

自訂角色權限為選用項目。如果您沒有權限查看自訂角色,可能無法從含有自訂角色的繫結判斷主體是否具有存取權。

疑難排解工具工作流程總覽

排解存取遭拒問題

如要排解存取遭拒的問題,請在 IAP 設定中為 IAP 保護的應用程式啟用這項功能,方法是按一下應用程式右側的三點圖示,然後依序選取「設定」和「產生疑難排解網址」。如要充分發揮政策疑難排解工具的效用,請確認您擁有 IAP 設定管理員角色 (roles/iap.settingsAdmin)。這樣一來,您就能擷取及更新所有 IAP 資源的 IAP 設定。

啟用後,只有在預設 403 頁面上才會顯示疑難排解網址。

政策疑難排解工具提供使用者介面,方便您查看目標 IAP 資源所有有效政策的詳細評估結果。如果使用者無法存取,403 頁面會顯示疑難排解工具網址。政策疑難排解工具會顯示失敗繫結的詳細資料,以及失敗存取層級的分析結果 (如果繫結中存在這類層級)。您也可以使用疑難排解工具,詳細查看使用者對資源的存取權。

使用者存取遭拒

如果使用者沒有存取 IAP 資源的權限或不符合條件,系統會將使用者導向 403 存取遭拒錯誤頁面。403 頁面包含疑難排解網址,可供使用者複製並手動傳送給應用程式擁有者或安全管理員,也可以在使用者介面中點選「傳送電子郵件」

使用者點選「傳送電子郵件」後,系統會將電子郵件傳送至 OAuth 同意畫面中設定的支援電子郵件地址 (supportEmail)。如要進一步瞭解如何設定 OAuth 同意畫面,請參閱「以程式輔助方式建立 IAP 的 OAuth 用戶端」。

排解存取失敗問題

收到使用者傳送的存取要求失敗連結後,您可以點選該網址,系統會在預設瀏覽器中開啟該網址。如果預設瀏覽器未登入 Google Cloud 控制台,系統可能會將您重新導向至其他登入頁面,以便存取政策疑難排解工具分析頁面。

政策疑難排解工具分析頁面會提供摘要檢視畫面、身分與存取權管理政策檢視畫面,以及表格,分別顯示使用者和裝置的情境,例如主體地址、裝置 ID 和存取的 IAP 資源。

摘要檢視畫面會匯總顯示所有相關政策和會員資格的調查結果。IAM 政策檢視畫面會列出有效的 IAM 繫結評估結果 (已授予或未授予),以及發生失敗的高階檢視畫面,例如「主體不是成員,且不符合條件」

如要進一步分析存取失敗的原因,可以查看繫結詳細資料。在「繫結詳細資料」中,您可以查看繫結元件、角色主體條件。如果元件具備足夠的權限,系統會顯示「不需要採取任何動作」。存取失敗的元件,以及權限缺口,例如「主要類別:請將主體新增至下列群組」

請注意,使用者介面中的「相關繫結」部分預設為開啟。「相關繫結」部分列出的繫結並非完整清單,而是最相關的繫結,可供您在排解特定存取問題時參考。與特定資源相關聯的有效政策可能包含許多與資源無關的繫結,例如在專案層級授予的 Cloud Storage 權限。系統會篩除不相關的詳細資料。

您可以查看存取層級說明,進一步調查失敗的條件。「存取層級」詳細資料會指出發生失敗的位置,並建議修正方式來解決失敗問題。如有必要,您可以將必要動作傳回給使用者,或修正政策。舉例來說,您可以將下列動作傳回給使用者:「要求失敗,因為裝置並非為公司擁有」

為自訂 Access Denied 錯誤網頁啟用疑難排解網址

如要在客戶 Access Denied 錯誤頁面中加入政策疑難排解工具網址,請完成下列步驟:

  1. 完成「設定自訂存取遭拒錯誤頁面」步驟,將使用者重新導向至自訂頁面,而非預設的 IAP 錯誤頁面。
  2. 在 IAP 設定中開啟「政策疑難排解工具網址」功能。

在 IAP 設定中設定 access denied 網頁網址後,政策疑難排解工具網址會嵌入為逸出查詢參數。請確認您已取消逸出逸出的查詢參數,再開啟該參數。查詢參數的鍵為 troubleshooting-url

主動排解使用者存取權問題

您可以使用 Chrome Enterprise Premium 登陸頁面「安全性」面板中的政策疑難排解工具,排解假設事件,並深入瞭解安全性政策。舉例來說,您可以檢查使用者對特定 IAP 保護資源的存取權,並調查是否真的需要該存取權。另一個例子是您對 IAP 保護的資源進行政策變更,並想確認超級管理員是否仍有存取權。您可以前往 Google 管理裝置控制台,取得超級管理員擁有的裝置 ID,然後在政策疑難排解工具中使用裝置 ID 驗證存取權。

您可以針對假設要求進行疑難排解,在實際發生拒絕事件前,確認使用者是否擁有存取 IAP 資源的適當權限。方法是使用使用者電子郵件、目標 IAP 資源,以及任何選用的要求情境,包括 IP 位址、時間戳記、裝置 ID 或裝置情境。

使用裝置 ID 針對假設性要求進行疑難排解時,請確認裝置屬於目標主體電子郵件。您可以從 IAP 稽核記錄檔取得裝置 ID,也可以依序前往「Google 管理控制台」->「裝置」>「行動裝置和端點」>「裝置」

使用裝置環境資訊排解假設性要求時,疑難排解工具支援下列屬性:

  • is_secured_with_screenlock
  • encryption_status
  • os_type
  • os_version
  • verified_chrome_os
  • is_admin_approved_device
  • is_corp_owned_device

常見的疑難排解情境

以下是使用政策疑難排解工具時可能會遇到的常見情況:

  • 在完成疑難排解後,向使用者提供可執行的項目,例如指示使用者改用公司擁有的裝置,或更新作業系統。
  • 您發現自己未指派正確權限給使用者,因此在 IAP 介面 (roles/iap.httpsResourceAccessor) 中為目標主體建立新的繫結。
  • 您發現自己建立的存取層級有誤,原因如下:
    • 您建立了複雜的巢狀屬性限制 (例如公司子網路),但員工現在在家工作,因此這些限制不再適用。
    • 您套用了不正確的存取層級參數。舉例來說,您指定使用者可建立具有供應商限制的自訂層級,但比較屬性時使用了不同類型。例如,device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true"。請注意,左側會傳回布林值,右側則會傳回字串 true。由於屬性不相等,因此很難偵測政策建構中的錯誤。政策疑難排解工具會說明這項評估結果為錯誤,並提供雙方的詳細部分評估結果。

疑難排解工具的預期行為

系統會使用目前的政策和裝置資訊,以及目前的時間戳記,對受限存取權進行疑難排解。因此,如果您在拒絕受限存取權後同步處理裝置或變更政策,您就不是使用舊脈絡和資料進行疑難排解。您正在使用目前的環境和資料進行疑難排解。

排解繫結問題的訣竅

如果繫結的任何元件 (角色、主體、條件) 發生授權錯誤,請授予必要權限,以便查看這類繫結的疑難排解結果。

如果繫結中的角色檢查失敗,請完成下列動作:

  • 檢查其他繫結,或使用 IAP 介面建立新的繫結,視需要將 roles/iap.httpsResourceAccessor 角色授予已套用存取層級的主體。
  • 如果是自訂角色,您可以將目標權限新增至自訂角色,以授予權限 (修正任何主體失敗和條件失敗後,視情況而定)。請注意,為現有自訂角色新增權限後,其他繫結可能會獲得超出需求的權限。除非您瞭解自訂角色的範圍和作業風險,否則請勿執行這項操作。
  • 如果不是自訂角色,請檢查其他繫結,或使用 IAP 介面建立新繫結,視需要將 roles/iap.httpsResourceAccessor 角色授予已套用存取層級的主體。

如果角色檢查成功,但主體檢查失敗,請完成下列動作:

  • 如果成員包含群組,您可以將主體新增至群組,授予權限 (修正任何條件失敗問題後,適用時)。請注意,將主體新增至現有群組時,可能會授予該群組超出必要範圍的權限。除非您瞭解群組的範圍和作業風險,否則請勿執行這項操作。
  • 如果成員不包含群組,請檢查其他繫結,或使用 IAP 介面建立新的繫結,視需要將 roles/iap.httpsResourceAccessor 授予套用存取層級的主體。

如果角色和主體檢查成功,但條件檢查失敗,請檢查條件下列出的每個存取層級的疑難排解詳細資料 (如果條件只包含以 OR 邏輯運算子連結的存取層級)。