Sitzungslänge für Google Cloud-Dienste festlegen – Google Workspace-Administratorhilfe [gg-a-en]

Legen Sie die Sitzungslänge für Google Cloud-Dienste fest

Als Administrator können Sie steuern, wie lange verschiedene Benutzer auf die Google Cloud Console und das Cloud SDK zugreifen können, ohne sich erneut authentifizieren zu müssen. Beispielsweise möchten Sie möglicherweise, dass sich Benutzer mit erhöhten Berechtigungen, wie Projektbesitzer, Abrechnungsadministratoren oder andere mit Administratorrollen, häufiger erneut authentifizieren als normale Benutzer.​​​​​​ Wenn Sie eine Sitzungslänge festlegen, ist dies der Fall Sie werden aufgefordert, sich erneut anzumelden, um eine neue Sitzung zu starten.

Die Einstellung der Sitzungslänge gilt für:

• Die Google Cloud-Konsole
• Das gcloud-Befehlszeilentool (Cloud SDK)
• Alle Anwendungen (einschließlich Anwendungen von Drittanbietern oder Ihrer eigenen Anwendungen), die eine Benutzerautorisierung für Google Cloud-Bereiche erfordern. Informationen zu den Apps, die Google Cloud-Bereiche in der Benutzeroberfläche der Apps-Zugriffskontrolle benötigen, finden Sie unter Steuern, welche Drittanbieter- und internen Apps auf Google Workspace-Daten zugreifen .

Hinweis : Die Einstellung der Cloud-Sitzungslänge gilt nicht für die mobile Konsolen-App und unterliegt Einschränkungen innerhalb der Konsole. Wir empfehlen Ihnen, diese Funktion mit der Google-Sitzungssteuerung zu verwenden, die eine Sitzungslänge auf alle Google-Webeigenschaften anwendet.

Legen Sie die Richtlinie zur erneuten Authentifizierung fest

1. Melden Sie sich bei Ihrer Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).

2. Gehen Sie in der Admin-Konsole zu Menü Sicherheit Zugangs- und Datenkontrolle Google Cloud-Sitzungssteuerung .
3. Wählen Sie links die Organisationseinheit aus, in der Sie die Sitzungsdauer festlegen möchten.
   Wählen Sie für alle Benutzer die oberste Organisationseinheit aus. Zunächst erbt eine Organisationseinheit die Einstellungen ihrer übergeordneten Einheit.
4. Wählen Sie unter „Richtlinie zur erneuten Authentifizierung" die Option „Erneute Authentifizierung erforderlich" aus und wählen Sie die Häufigkeit der erneuten Authentifizierung aus der Dropdown-Liste aus.
   
   Die zulässige Mindesthäufigkeit beträgt 1 Stunde und die Höchsthäufigkeit 24 Stunden. Die Häufigkeit berücksichtigt nicht, wie lange ein Benutzer in der Sitzung inaktiv war. Dies ist die festgelegte Zeit, die vergeht, bevor sich der Benutzer erneut anmelden muss.
   
   Sie können auch das Kontrollkästchen „Vertrauenswürdige Apps ausschließen" aktivieren, um vertrauenswürdige Apps von der erneuten Authentifizierung auszunehmen. (Vertrauenswürdige Apps werden auf der Seite „App-Zugriffskontrolle" als „Vertrauenswürdig" markiert. Weitere Einzelheiten finden Sie weiter unten im Abschnitt „Vorbereitung für die umfassende Einführung" . Siehe auch „Kontrollieren, welche Drittanbieter- und internen Apps auf Google Workspace-Daten zugreifen" .)
   
5. Wählen Sie unter „Reauthentifizierungsmethode" „Passwort " oder „Sicherheitsschlüssel" aus, um anzugeben, wie sich der Benutzer erneut authentifizieren muss.
6. Wenn Sie die Richtlinie zur erneuten Authentifizierung auf der Ebene der Organisationseinheit festlegen, klicken Sie unten rechts auf die Schaltfläche „Überschreiben" , um die Einstellung auch dann beizubehalten, wenn sich die übergeordnete Einstellung ändert.
7. Wenn der Status der Organisationseinheit bereits „Überschrieben" lautet, wählen Sie eine Option:
   • Erben – Kehrt zur gleichen Einstellung wie das übergeordnete Element zurück.
   • Speichern – Speichert Ihre neue Einstellung (auch wenn sich die übergeordnete Einstellung ändert).

Änderungen können bis zu 24 Stunden dauern, erfolgen jedoch in der Regel schneller. Erfahren Sie mehr

Vorbereitung für den breiten Rollout

Die hier konfigurierte Richtlinie zur erneuten Authentifizierung gilt für alle Google- und Drittanbieter-Apps, die auf Google Cloud-Ressourcen zugreifen, indem sie den Google Cloud-Bereich erfordern. Wir empfehlen Ihnen, sorgfältig zu testen, wie die Richtlinie für jede der Apps mit einer kleinen Gruppe von Benutzern funktioniert, indem Sie diese Benutzer zur Liste der vertrauenswürdigen Apps hinzufügen, bevor Sie mit einer umfassenderen Einführung fortfahren.

Anweisungen zum Überprüfen der Apps, die derzeit von Ihrer Organisation verwendet werden, finden Sie unter Steuern, welche Drittanbieter- und internen Apps auf Google Workspace-Daten zugreifen . Stellen Sie sicher, dass Sie nach Apps filtern, die den Google Cloud- Dienst erfordern.

Wenn die konfigurierte Sitzungsdauer abläuft, muss sich der Benutzer für die Anwendung erneut authentifizieren, um den Betrieb fortzusetzen – analog zu dem, was passieren würde, wenn ein Administrator die Aktualisierungstoken für diese Anwendung widerrufen würde.

Einige Anwendungen verarbeiten das Szenario der erneuten Authentifizierung möglicherweise nicht ordnungsgemäß, was zu verwirrenden Anwendungsabstürzen oder Stack-Traces führt. Einige andere Anwendungen werden für Server-zu-Server-Anwendungsfälle mit Benutzeranmeldeinformationen anstelle der empfohlenen Anmeldeinformationen für das Dienstkonto bereitgestellt. In diesem Fall gibt es keinen Benutzer, der sich regelmäßig neu authentifizieren muss.

Wenn Sie von diesen Szenarien betroffen sind, können Sie diese Apps zu einer vertrauenswürdigen Liste hinzufügen, die Apps vorübergehend von Beschränkungen der Sitzungslänge ausnehmen und gleichzeitig Sitzungskontrollen für alle anderen Google Cloud-Administratoroberflächen implementieren. Fügen Sie die Apps zur Liste der vertrauenswürdigen Apps in der Apps-Zugriffskontrolle hinzu und aktivieren Sie das Kontrollkästchen „Vertrauenswürdige Apps ausschließen" in der Einstellung „Cloud-Sitzungssteuerung" .

Wiederherstellung nach Fehler im Zusammenhang mit der erneuten Authentifizierung

Nach Ablauf einer Sitzung erhalten Sie möglicherweise eine Fehlerantwort im Zusammenhang mit der erneuten Authentifizierung von Drittanbieter-Apps. Um die Nutzung dieser Apps fortzusetzen, können sich Benutzer erneut bei der App anmelden und eine neue Sitzung starten.

Apps, die Application Default Credentials (ADC) mit Benutzeranmeldeinformationen verwenden, gelten als Drittanbieter-Apps. Diese Anmeldeinformationen sind nur für die konfigurierte Sitzungsdauer gültig. Wenn diese Sitzung abläuft, geben Apps, die ADC verwenden, möglicherweise auch eine Fehlerantwort im Zusammenhang mit der erneuten Authentifizierung zurück. Entwickler können die App erneut autorisieren, indem sie den Befehl gcloud auth application-default login ausführen, um neue Anmeldeinformationen zu erhalten.

Überlegungen

Wann und wie sich Benutzer anmelden

Wenn Sie möchten, dass sich einige Benutzer häufiger anmelden als andere, ordnen Sie sie unterschiedlichen Organisationseinheiten zu. Wenden Sie dann unterschiedliche Sitzungslängen auf sie an. Auf diese Weise werden bestimmte Benutzer nicht davon abgehalten, sich erneut anzumelden, wenn dies nicht erforderlich ist.

Wenn Sie einen Sicherheitsschlüssel benötigen, können Benutzer, die keinen Sicherheitsschlüssel haben, die Konsole oder das Cloud SDK erst verwenden, wenn sie es eingerichtet haben. Sobald sie einen Sicherheitsschlüssel haben, können sie bei Bedarf stattdessen ihr Passwort verwenden.

Identitätsanbieter von Drittanbietern

• Mit der Konsole – Wenn Sie von einem Benutzer eine erneute Authentifizierung mit seinem Passwort verlangen, wird er zum Identitätsanbieter (IdP) weitergeleitet. Der IdP verlangt möglicherweise nicht, dass der Benutzer sein Passwort erneut eingibt, um eine weitere Konsolensitzung zu starten, wenn der Benutzer bereits eine aktive Sitzung mit dem IdP hat – weil er eine andere Anwendung verwendet, die dazu geführt hat, dass die Sitzung aktiv blieb.

  Wenn sich ein Benutzer durch Berühren seines Sicherheitsschlüssels erneut authentifizieren muss, kann er dies tun, während er die Konsole verwendet. Sie werden nicht an den IdP weitergeleitet.

• Mit dem Cloud SDK – Wenn für die erneute Authentifizierung ein Passwort erforderlich ist, fordert gcloud den Benutzer auf, den gcloud auth login- Befehl auszuführen, um die Sitzung zu erneuern. Dadurch wird ein Browserfenster geöffnet und der Benutzer wird zum IdP weitergeleitet, wo er möglicherweise zur Eingabe von Anmeldeinformationen aufgefordert wird, wenn keine aktive Sitzung mit dem IdP besteht.
  
  Wenn sich ein Benutzer durch Berühren seines Sicherheitsschlüssels erneut authentifizieren muss, kann er dies im Cloud SDK tun. Sie werden nicht an den IdP weitergeleitet.

verwandte Themen

• Legen Sie die Sitzungsdauer für Google-Dienste fest
• Sehen Sie sich die Administratoraktivität in der Admin-Konsole an