Autentikasi ulang IAP

Autentikasi ulang IAP memungkinkan pemilik layanan dan aplikasi atau administrator untuk mewajibkan pengguna akhir yang telah diautentikasi melakukan autentikasi ulang setelah jangka waktu tertentu saat mengakses layanan atau aplikasi yang dilindungi oleh IAP.Google Cloud Setelan ini membatasi rentang waktu pengguna dapat mengakses layanan atau aplikasi yang dilindungi IAP sebelum pengguna diminta untuk melakukan autentikasi lagi.

Autentikasi ulang IAP dirancang untuk menerapkan kebijakan autentikasi ulang bagi layanan dan aplikasi yang dilindungi IAP. Anda dapat melakukannya untuk layanan dan aplikasi penting yang menangani informasi rahasia. Misalnya, Anda dapat menentukan bahwa pengguna yang mengakses aplikasi HR penting harus melakukan autentikasi ulang setiap jam menggunakan faktor kedua.

Metode autentikasi ulang yang didukung

Anda dapat menggunakan metode berikut untuk mengelola setelan autentikasi ulang:

  • Login: IAP memaksa autentikasi ulang aplikasi yang dilindungi dan pengguna harus login lagi.
  • Kunci aman: Pengguna akhir harus melakukan autentikasi ulang menggunakan autentikasi 2 langkah berbasis kunci keamanan yang dikonfigurasi.
  • Faktor kedua yang terdaftar: Pengguna akhir harus melakukan autentikasi ulang menggunakan salah satu metode autentikasi faktor kedua yang terdaftar.

Untuk mengetahui informasi selengkapnya, lihat IapSettings.

Menyiapkan kebijakan autentikasi ulang

reauthSettings adalah bagian dari IapSettings, dan dengan demikian dapat ditetapkan pada jenis resource apa pun dalam hierarki resource. Anda dapat menetapkan reauthSettings pada layanan atau aplikasi di tingkat organisasi, folder, project, atau layanan untuk menerapkan batasan. Misalnya, Anda dapat membatasi durasi sesi hingga maksimum satu jam untuk semua aplikasi dalam organisasi, atau untuk aplikasi tertentu.

Ada dua jenis kebijakan yang dapat Anda gunakan untuk menetapkan autentikasi ulang:

  • Minimum: Jika jenis kebijakan ditetapkan ke MINIMUM pada resource, seperti organisasi, maka saat mengevaluasi setelan autentikasi ulang pada resource level yang lebih rendah, seperti folder, kedua setelan tersebut akan digabungkan. Jika resource tingkat yang lebih rendah tidak memiliki setelan autentikasi ulang, hasil penggabungan adalah setelan yang tidak kosong dari resource tingkat yang lebih tinggi. Jika tidak, penggabungan akan mengambil durasi sesi yang lebih pendek dan metode autentikasi ulang dengan prioritas yang lebih tinggi di antara kedua resource. Jenis kebijakan akan selalu MINIMUM. Setelan autentikasi ulang yang digabungkan akan digunakan untuk menggabungkan dengan setelan autentikasi ulang resource tingkat yang lebih rendah berikutnya, seperti project.

    Urutan prioritas dari tiga metode yang didukung dari tertinggi ke terendah adalah Secure key, Enrolled second factors, dan Login.

  • Default: Jika jenis kebijakan ditetapkan sebagai DEFAULT pada resource, seperti organisasi, maka saat mengevaluasi setelan autentikasi ulang pada resource level yang lebih rendah, seperti folder, setelan resource level yang lebih rendah akan digunakan jika dikonfigurasi; jika tidak, setelan autentikasi ulang resource level yang lebih tinggi akan diterapkan.

Untuk kedua jenis kebijakan, proses evaluasi diulang untuk menentukan reauthSettings untuk layanan atau aplikasi target. Contoh berikut menunjukkan setelan sebelum dan sesudah evaluasi. Selama evaluasi, folder dan organisasi reauthSettings digabungkan, sehingga mengubah jenis kebijakan folder menjadi MINIMUM. Setelan yang digabungkan kemudian digunakan untuk menggabungkan dengan reauthSettings layanan atau aplikasi.

Organisasi IapSettings:

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

Folder IapSettings:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "1200s"
    policyType: "DEFAULT"

Layanan atau Aplikasi IapSettings:

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "7200s"
    policyType: "DEFAULT"

Setelan setelah penggabungan:

Organisasi IapSettings:

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "3600s"
    policyType: "MINIMUM"

Folder IapSettings:

accessSettings:
  reauthSettings:
    method: "ENROLLED_SECOND_FACTORS"
    maxAge: "1200s"
    policyType: "MINIMUM"

Layanan atau Aplikasi IapSettings:

accessSettings:
  reauthSettings:
    method: "SECURE_KEY"
    maxAge: "1200s"
    policyType: "MINIMUM"

Dalam contoh, jika jenis kebijakan setiap resource ditetapkan ke DEFAULT, reauthSettings layanan atau aplikasi akan digunakan.

MaxAge

Gunakan parameter MaxAge untuk menentukan seberapa sering pengguna akhir harus melakukan autentikasi ulang, yang dinyatakan dalam detik. Misalnya, untuk menetapkan kebijakan autentikasi ulang satu jam, tetapkan detik ke 3600, seperti yang ditunjukkan dalam contoh berikut:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Nilai minimum untuk maxAge adalah lima menit.

Untuk menetapkan kebijakan autentikasi ulang, selesaikan langkah-langkah berikut.

Konsol

  1. Buka halaman IAP.
    Buka halaman Identity-Aware Proxy

  2. Pilih project, lalu pilih resource yang ingin Anda tetapkan kebijakan autentikasi ulang.

  3. Buka Setelan untuk resource dan di bagian Kebijakan autentikasi ulang, pilih Konfigurasi autentikasi ulang.

  4. Tentukan setelan autentikasi ulang, lalu klik Simpan.

gcloud

Anda dapat menetapkan kebijakan autentikasi ulang pada resource dan layanan di tingkat organisasi, project, dan folder. Berikut adalah beberapa contoh perintah untuk menetapkan kebijakan autentikasi ulang.

Untuk informasi selengkapnya, lihat gcloud iap settings set.

Jalankan perintah berikut:

gcloud iap settings set SETTING_FILE [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION

Untuk menetapkan kebijakan autentikasi ulang pada resource dalam organisasi, jalankan perintah berikut: 

gcloud iap settings set SETTING_FILE --organization=ORGANIZATION

Untuk menetapkan kebijakan autentikasi ulang pada resource dalam folder, jalankan perintah berikut: 

gcloud iap settings set SETTING_FILE --folder=FOLDER

Untuk menetapkan kebijakan autentikasi ulang pada semua resource jenis web dalam project, jalankan perintah berikut: 

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=iap_web

Untuk menetapkan kebijakan autentikasi ulang pada layanan App Engine dalam project, jalankan perintah berikut:

gcloud iap settings set SETTING_FILE --project=PROJECT --resource-type=app-engine --service=SERVICE

Lokasi SETTING_FILE:

accessSettings:
  reauthSettings:
    method: "LOGIN"
    maxAge: "3600s"
    policyType: "MINIMUM"

Ganti kode berikut:

  • FOLDER: ID folder.
  • ORGANIZATION: ID organisasi.
  • PROJECT: Project ID.
  • RESOURCE_TYPE: Jenis resource IAP. Harus berupa app-engine, iap_web, compute, organization, atau folder.
  • SERVICE: Nama layanan. Ini bersifat opsional jika resource-type adalah compute atau app-engine.
  • VERSION: Nama versi. Atribut ini tidak berlaku untuk compute, dan bersifat opsional jika resource-type adalah app-engine.

API

Jalankan perintah berikut untuk menyiapkan file iap_settings.json. Perbarui nilai sesuai kebutuhan.

cat << EOF > iap_settings.json
{
  "access_settings": {
      "reauth_settings": {
            "method": "LOGIN",
            "maxAge": "300s",
            "policy_type": "DEFAULT"
        }
    }
}
EOF

Dapatkan nama resource dengan menjalankan perintah gcloud iap settings get. Salin kolom nama dari output. Anda akan memerlukan nama tersebut pada langkah berikutnya.

gcloud iap settings get [--organization=ORGANIZATION --folder=FOLDER --project=/PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION]

Ganti RESOURCE_NAME dalam perintah berikut dengan nama dari langkah sebelumnya. IapSettings akan diupdate.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.reauthSettings"

Memahami kredensial autentikasi ulang

Setelah berhasil melakukan autentikasi ulang, IAP membuat cookie di browser pengguna akhir. Untuk mencegah pengguna harus melakukan autentikasi ulang terlalu sering saat menggunakan aplikasi serupa, cookie disetel di domain pribadi level teratas dan valid untuk seluruh domain level pribadi tersebut.

Misalnya, foo.example.com adalah resource yang dilindungi IAP dan memiliki kebijakan autentikasi ulang IAP. Setelah berhasil mengautentikasi ulang, IAP menetapkan cookie di example.com karena domain pribadi tingkat teratas adalah example.com. Aplikasi dari domain pribadi tingkat teratas yang sama, seperti bar.example.com menggunakan kredensial autentikasi ulang yang sama dan tidak meminta pengguna untuk melakukan autentikasi ulang, selama kredensialnya valid.

Perhatikan bahwa untuk URL seperti myapp.appspot.com, appspot.com adalah domain publik, sehingga domain pribadi level teratasnya adalah myapp.appspot.com.

Batasan umum

  • Autentikasi ulang hanya didukung untuk alur browser. Akses akun pengguna secara terprogram tidak didukung. Misalnya, aplikasi seluler dan desktop tidak dapat mengautentikasi ulang pengguna, karena resource yang memerlukan autentikasi ulang tidak dapat diakses.
  • Akun layanan dan IAP-TCP dikecualikan dari persyaratan autentikasi ulang.
  • Autentikasi ulang tidak berfungsi dengan jenis anggota Identity and Access Management allUsers.
  • Identitas eksternal yang menggunakan Identity Platform tidak didukung dengan autentikasi ulang, karena resource yang memerlukan autentikasi ulang tidak dapat diakses.
  • Identitas Workforce Identity Federation tidak didukung untuk autentikasi ulang IAP.