Solucionar problemas con la herramienta para solucionar problemas de políticas

En este documento se describe cómo usar la herramienta de solución de problemas de políticas para evaluar y analizar el acceso de un usuario final.

Chrome Enterprise Premium te permite crear reglas avanzadas a nivel de empresa que proporcionan acceso a las aplicaciones en función del contexto. Cuando se aplican varias reglas de acceso a los recursos, desde restricciones de ubicación hasta reglas de dispositivo, puede resultar difícil entender cómo se evalúan las políticas y por qué un usuario tiene o no acceso al recurso de destino. Por eso es importante clasificar y analizar el acceso de los usuarios.

Solucionador de problemas de políticas te ayuda a identificar por qué se concede o se deniega el acceso y, si es necesario, a cambiar la política e indicar al usuario final que modifique su contexto para permitir el acceso o que elimine la vinculación para denegar el acceso inesperado. El solucionador de problemas de políticas es una herramienta muy útil para las organizaciones que necesitan aplicar varias reglas a varios recursos para diferentes grupos de usuarios.

Antes de empezar

Para maximizar la eficacia de la herramienta para solucionar problemas de políticas, comprueba que tienes el rol de revisor de seguridad (roles/iam.securityReviewer). Este rol te permite leer todas las políticas de gestión de identidades y accesos de Cloud aplicables.

Para solucionar problemas de acceso de un dispositivo, debes tener permiso para ver sus detalles. Si las políticas asociadas al recurso de destino contienen políticas de dispositivos, como un nivel de acceso que requiere que el dispositivo esté cifrado, es posible que no obtengas resultados precisos a menos que se verifique el permiso para recuperar los detalles del dispositivo de la entidad de seguridad de destino. Por lo general, los superadministradores, los administradores de servicios y los administradores móviles de Google Workspace tienen acceso para ver los detalles de los dispositivos. Para permitir que un usuario que no sea superadministrador, administrador de servicios o administrador de móviles solucione problemas de acceso, sigue estos pasos:

  1. Crea un rol de administrador de Google Workspace personalizado que incluya el privilegio Servicios > Gestión de Dispositivos Móviles > Gestionar dispositivos y ajustes (ubicado en Privilegios de la consola de administración).
  2. Asigna el rol a los usuarios mediante la consola de administración.

Para solucionar problemas de acceso a un recurso concedido por un Google Cloud grupo, debes tener permiso para ver sus miembros. Si las políticas contienen un grupo, debes tener permiso para ver los detalles del grupo antes de abrirlo. Los superadministradores y los administradores de grupos de Google Workspace suelen tener acceso para ver la pertenencia a los grupos. Para permitir que un usuario que no sea superadministrador o administrador de grupo solucione problemas de acceso, siga estos pasos:

  1. Crea un rol de administrador de Google Workspace personalizado que contenga el privilegio Grupos > Lectura (ubicado en Privilegios de la API de administración).
  2. Asigna el rol al usuario. De este modo, el usuario puede ver la pertenencia a todos los grupos de tu dominio y solucionar problemas de acceso de forma más eficaz.

El permiso de rol personalizado es opcional. Si no tienes permiso para ver un rol personalizado, es posible que no puedas saber si una entidad principal tiene acceso a él a partir de las vinculaciones con roles personalizados.

Descripción general del flujo de trabajo de la herramienta para solucionar problemas

Solucionar problemas de acceso denegado

Para solucionar problemas de acceso denegado, puedes activar la función en un recurso de compra en la aplicación en los ajustes de compra en la aplicación. Para ello, haz clic en los tres puntos situados a la derecha de la aplicación protegida por compra en la aplicación, selecciona Ajustes y, a continuación, Generar una URL para solucionar problemas. Para maximizar la eficacia de la herramienta de solución de problemas de políticas, compruebe que tiene el rol de administrador de configuración de IAP (roles/iap.settingsAdmin). Este rol le permite recuperar y actualizar la configuración de IAP de todos los recursos de IAP.

Las URLs de solución de problemas solo se muestran en las páginas 403 predeterminadas cuando están habilitadas.

La herramienta de solución de problemas de políticas proporciona una interfaz de usuario en la que puede ver los resultados detallados de la evaluación de todas las políticas vigentes del recurso de compra en la aplicación de destino. Cuando falla el acceso de un usuario, en la página 403 se muestra la URL de una herramienta para solucionar problemas. Cuando se visita, Solucionador de problemas de políticas muestra los detalles de los enlaces que fallan y el análisis de los niveles de acceso que fallan, si existen en los enlaces. También puedes usar la herramienta para solucionar problemas y ver una vista detallada del acceso de un usuario a un recurso.

Acceso de usuario denegado

Cuando un usuario no tiene el permiso o no cumple la condición necesaria para acceder a un recurso de IAP, se le dirige a una página de error 403 de acceso denegado. La página 403 incluye una URL de solución de problemas que se puede copiar y enviar manualmente al propietario de la aplicación o al administrador de seguridad. También se puede hacer clic en Enviar correo en la interfaz de usuario.

Cuando un usuario hace clic en Enviar correo, se envía un correo a la dirección de correo de asistencia (supportEmail) configurada en la pantalla de consentimiento de OAuth. Para obtener más información sobre cómo configurar la pantalla de consentimiento de OAuth, consulta Crear clientes de OAuth de forma programática para IAP.

Solucionar problemas de acceso

Cuando reciba el enlace de una solicitud de acceso fallida de un usuario final, puede hacer clic en la URL, que se abrirá en el navegador predeterminado. Si no has iniciado sesión en la Google Cloud consola en tu navegador predeterminado, es posible que se te redirija a otra página de inicio de sesión para acceder a la página de análisis del solucionador de problemas de políticas.

La página de análisis del solucionador de problemas de políticas ofrece una vista resumida, una vista de la política de gestión de identidades y accesos y una tabla que muestran el contexto de un usuario y del dispositivo, como la dirección principal, el ID del dispositivo y el recurso de IAP al que se accede.

La vista resumida ofrece una vista agregada de todos los resultados relevantes de las políticas y de los miembros. La vista de la política de gestión de identidades y accesos proporciona una lista de los resultados de la evaluación de las vinculaciones de gestión de identidades y accesos efectivas, tanto las concedidas como las no concedidas, junto con una vista general de dónde se han producido los errores, como El principal no es miembro y no cumple las condiciones.

Para analizar más a fondo el acceso fallido, puedes consultar los detalles de la vinculación. En Binding Details (Detalles de la vinculación), puede ver los componentes de la vinculación, Role (Rol), Principal (Principal) y Condition (Condición). El componente que tenga permisos suficientes mostrará el mensaje No es necesario hacer nada. Componentes en los que no se ha podido acceder. Se explican explícitamente las carencias de permisos, como Categoría principal: añade el principal a los grupos que se indican a continuación.

Tenga en cuenta que, en la interfaz de usuario, la sección Enlaces relevantes está activada de forma predeterminada. Los enlaces que se muestran en la sección Enlaces relevantes no son una lista exhaustiva, sino los enlaces más relevantes que pueden interesarte al solucionar un problema de acceso específico. Las políticas efectivas asociadas a un recurso específico pueden contener muchas vinculaciones que no sean relevantes para tu recurso, como un permiso de Cloud Storage concedido a nivel de proyecto. Se filtran los detalles irrelevantes.

Para investigar más a fondo una condición que no se haya cumplido, consulta las explicaciones del nivel de acceso. Los detalles del nivel de acceso indican dónde se ha producido el fallo y sugieren soluciones para resolverlo. Puedes comunicar las acciones necesarias al usuario o corregir las políticas, si es necesario. Por ejemplo, puedes enviar la siguiente acción al usuario: Request failed because the device is not corporate owned (La solicitud ha fallado porque el dispositivo no es propiedad de la empresa).

Habilitar la URL de solución de problemas de tu página de error Access Denied personalizada

Para añadir la URL de la herramienta de solución de problemas de políticas a la página de error Access Denied de su cliente, siga estos pasos:

  1. Para redirigir a los usuarios a tu página personalizada en lugar de a la página de error predeterminada de las compras en la aplicación, sigue estos pasos: Configurar una página de error de acceso denegado personalizada.
  2. Activa la función URL del solucionador de problemas de políticas en los ajustes de las compras en la aplicación.

Una vez que haya configurado la URL de la página access denied en los ajustes de las compras en aplicaciones, la URL del solucionador de problemas de políticas se insertará como un parámetro de consulta escapado. Verifica que descodificas el parámetro de consulta codificado antes de abrirlo. La clave del parámetro de consulta es troubleshooting-url.

Solucionar de forma proactiva los problemas de acceso de los usuarios

Puedes usar la herramienta de solución de problemas de políticas, que se encuentra en el panel Seguridad de la página de destino de Chrome Enterprise Premium, para solucionar problemas hipotéticos y obtener información valiosa y visibilidad sobre tus políticas de seguridad. Por ejemplo, puedes comprobar el acceso de un usuario a un recurso protegido por IAP concreto e investigar si realmente lo necesita. Otro ejemplo es cuando haces un cambio en la política de un recurso protegido por IAP y quieres verificar que el superadministrador sigue teniendo acceso. Puedes ir a la consola de dispositivos de Google Admin para obtener el ID del dispositivo propiedad del superadministrador y, a continuación, usarlo en la herramienta de solución de problemas de políticas para verificar el acceso.

Al solucionar problemas de solicitudes hipotéticas, puedes verificar que un usuario tiene los permisos adecuados para acceder a un recurso de compra en la aplicación antes de que se produzca un evento de denegación real. Para ello, puedes usar el correo electrónico del usuario, el recurso de compra en la aplicación de destino y cualquier contexto de solicitud opcional, como la dirección IP, la marca de tiempo, el ID del dispositivo o el contexto del dispositivo.

Cuando resuelvas problemas de solicitudes hipotéticas con el ID de dispositivo, asegúrate de que el dispositivo pertenezca al correo principal de destino. Puedes obtener el ID del dispositivo en el registro de auditoría de IAP o en Consola de administración de Google > Dispositivos > Móviles y endpoints > Dispositivos.

Cuando se solucionan problemas de solicitudes hipotéticas mediante el contexto del dispositivo, la herramienta admite los siguientes atributos:

  • is_secured_with_screenlock
  • encryption_status
  • os_type
  • os_version
  • verified_chrome_os
  • is_admin_approved_device
  • is_corp_owned_device

Situaciones habituales de solución de problemas

A continuación se indican algunos casos habituales que pueden surgir al trabajar con la herramienta de solución de problemas de las políticas:

  • Proporcionas un elemento práctico al usuario final después de solucionar el problema, como indicarle que cambie a un dispositivo propiedad de la empresa o que actualice el sistema operativo.
  • Descubres que no has asignado el permiso correcto al usuario final, así que creas un nuevo enlace para la entidad de seguridad de destino en la interfaz de IAP (roles/iap.httpsResourceAccessor).
  • Descubres que has creado un nivel de acceso incorrectamente por los siguientes motivos:
    • Has creado restricciones de atributos anidadas complejas, como subredes corporativas, que ya no se aplican porque los empleados ahora trabajan desde casa.
    • Has aplicado parámetros de nivel de acceso incorrectos. Por ejemplo, ha especificado que los usuarios pueden crear un nivel personalizado con restricciones de proveedor, pero ha comparado atributos con tipos diferentes. Por ejemplo, device.vendors["vendorX"].data.["should_contain_boolean_value"] == "true". Ten en cuenta que la parte izquierda devuelve un valor booleano, mientras que la parte derecha devuelve una cadena true. Debido a los atributos no equivalentes, es difícil detectar el error en la estructura de la política. La herramienta para solucionar problemas con las políticas explica que se considera un error y muestra resultados detallados de la evaluación parcial en ambos lados.

Comportamiento previsto de la herramienta para solucionar problemas

La solución de problemas se lleva a cabo en los accesos restringidos mediante las políticas y la información del dispositivo actuales, así como la marca de tiempo actual. Por lo tanto, si has sincronizado tu dispositivo o has cambiado las políticas después de que se denegara el acceso restringido, no estarás solucionando el problema con los contextos y los datos antiguos. Estás solucionando problemas con los contextos y los datos actuales.

Consejos para solucionar problemas con las vinculaciones

En el caso de los componentes (rol, principal y condición) de los enlaces con errores de autorización, concede los permisos necesarios si quieres consultar los resultados de la solución de problemas de dichos enlaces.

Si la comprobación de roles falla en un enlace, completa las siguientes acciones:

  • Comprueba otras vinculaciones o crea una vinculación con la interfaz de IAP para asignar el rol roles/iap.httpsResourceAccessor al principal con los niveles de acceso aplicados, si es necesario.
  • Si se trata de un rol personalizado, puedes añadir el permiso de destino al rol personalizado para conceder el permiso (después de corregir los errores principales y los errores de condición, si procede). Ten en cuenta que, si añades permisos a un rol personalizado, es posible que se concedan más permisos de los necesarios a otros enlaces con ese rol personalizado. No lo hagas a menos que conozcas el alcance del rol personalizado y el riesgo de tu operación.
  • Si no se trata de un rol personalizado, comprueba otras vinculaciones o crea una vinculación mediante la interfaz de IAP para asignar el rol roles/iap.httpsResourceAccessor al principal con los niveles de acceso aplicados, si es necesario.

Si la comprobación de roles se realiza correctamente, pero la de principales falla, haz lo siguiente:

  • Si los miembros contienen un grupo, puedes añadir la cuenta principal al grupo para conceder los permisos (después de corregir los errores de condición, si procede). Ten en cuenta que, si añades una entidad a un grupo, es posible que le concedas más permisos de los que necesita. No lo hagas a menos que conozcas el alcance del grupo y el riesgo de tu operación.
  • Si los miembros no contienen ningún grupo, comprueba otros enlaces o crea uno nuevo mediante la interfaz de IAP para conceder el roles/iap.httpsResourceAccessor al principal con los niveles de acceso aplicados, si es necesario.

Si se superan las comprobaciones de rol y de principal, pero no la de condición, consulta los detalles para solucionar problemas de cada nivel de acceso que se incluya en la condición, si esta solo consta de niveles de acceso conectados con el operador lógico OR.