Como administrador, puedes controlar durante cuánto tiempo se permite acceder a distintos tipos de usuarios a la consola y al SDK de Google Cloud sin necesidad de volver a autenticarse. Por ejemplo, quizá quieras que los usuarios con privilegios superiores, como propietarios de proyectos, administradores de facturación u otros usuarios con roles de administrador, vuelvan a autenticarse con más frecuencia que los usuarios normales. Si defines una duración para las sesiones, tendrán que iniciar sesión de nuevo cuando transcurra el tiempo establecido.
El ajuste de duración de la sesión se aplica a los siguientes elementos:
- La consola de Google Cloud
- La herramienta de línea de comandos gcloud (SDK de Google Cloud)
- Cualquier aplicación (incluidas las de terceros o las tuyas) que requiera que el usuario esté autorizado para utilizar los permisos de Google Cloud. Para ver qué aplicaciones requieren permisos de Google Cloud en la interfaz de control de acceso de aplicaciones, consulta el artículo Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.
Nota: El ajuste de duración de la sesión de Cloud no se aplica a la aplicación móvil de la consola y tiene limitaciones en la consola. Te recomendamos que utilices esta función con el control de sesión de Google, que aplica una duración de sesión a todas las propiedades web de Google.
Configurar la política de reautenticación
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosControl de sesión de Google Cloud.
- En la parte izquierda, selecciona la unidad organizativa en la que quieres definir la duración de las sesiones.
Si quieres aplicar el ajuste a todos los usuarios, selecciona la unidad organizativa de nivel superior. Inicialmente, una unidad organizativa hereda la configuración de su unidad organizativa principal. - En Política de reautenticación, selecciona Requerir reautenticación y elige en la lista desplegable Frecuencia de reautenticación cada cuánto tiempo se va a pedir.
La frecuencia mínima permitida es de 1 hora, y la máxima, de 24 horas. Este ajuste no se ve afectado por el tiempo que un usuario ha estado inactivo en la sesión. Es el tiempo concreto que transcurre hasta que tiene que volver a iniciar sesión.
También puedes marcar la casilla Exceptuar aplicaciones de confianza para que esas aplicaciones queden exentas de la reautenticación. Las aplicaciones de confianza aparecen marcadas como tales en la página Control de acceso de aplicaciones. Para obtener más información, consulta la sección Preparación para el lanzamiento global que encontrarás abajo. Consulta también el artículo Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.
- En Método de reautenticación, selecciona Contraseña o Llave de seguridad para especificar cómo se debe reautenticar el usuario.
- Si vas a configurar la política de reautenticación en el nivel de unidad organizativa, haz clic en el botón Anular de la parte inferior derecha para que el ajuste no cambie aunque lo haga en el nivel organizativo superior.
- Si el estado de la unidad organizativa ya es Anulado, elige una de estas opciones:
- Heredar: el ajuste pasa a ser el de la unidad organizativa superior.
- Guardar: se mantiene el nuevo ajuste (incluso si se modifica el de la unidad organizativa superior).
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
Preparación para el lanzamiento global
La política de reautenticación que configuras aquí se aplica a todas las aplicaciones de Google y de terceros que acceden a los recursos de Google Cloud exigiendo el permiso de Google Cloud. Te recomendamos que pruebes detenidamente cómo funciona la política en cada una de las aplicaciones con un pequeño grupo de usuarios (añadiéndolos a la lista de aplicaciones de confianza), antes de pasar a un lanzamiento global.
Para obtener instrucciones sobre cómo revisar las aplicaciones que utiliza tu organización, consulta el artículo Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace. Recuerda filtrar las aplicaciones que requieren el servicio Google Cloud.
Cuando caduque la duración de la sesión configurada, la aplicación pedirá al usuario que vuelva a autenticarse para seguir funcionando; es lo mismo que pasaría si un administrador revocara los tokens de actualización de esa aplicación.
Es posible que algunas aplicaciones no gestionen de forma fluida las situaciones de reautenticación, y eso causa bloqueos en las aplicaciones o rastreos de la pila que resultan confusos. Algunas otras aplicaciones se implementan para casos prácticos de servidor a servidor usando las credenciales de usuario en lugar de las credenciales de la cuenta de servicio recomendada, en cuyo caso no hay ningún usuario que responda a las solicitudes periódicas de reautenticación.
Si te afectan estas situaciones, puedes añadir esas aplicaciones a una lista de confianza; esto las librará temporalmente de limitaciones en la duración de las sesiones y, al mismo tiempo, implementará controles de sesión en el resto de las áreas de administración de Google Cloud. Añade las aplicaciones a la lista de aplicaciones de confianza de Control de acceso de aplicaciones y marca la casilla Exceptuar aplicaciones de confianza en el ajuste Control de sesiones de Google Cloud.
Recuperación tras un error relacionado con la reautenticación
Es posible que recibas una respuesta de error relacionado con la reautenticación procedente de aplicaciones de terceros cuando caduque una sesión. Para seguir usando estas aplicaciones, los usuarios pueden volver a iniciar sesión en la aplicación para iniciar una nueva.
Las aplicaciones que utilizan credenciales de aplicación predeterminadas (ADC) con credenciales de usuario se consideran aplicaciones de terceros. Estas credenciales solo son válidas durante la duración de la sesión configurada. Cuando caduque esa sesión, las aplicaciones que usen ADC también pueden devolver una respuesta de error relacionado con la reautenticación. Los desarrolladores pueden volver a autorizar la aplicación ejecutando el comando gcloud auth application-default login
para obtener nuevas credenciales.
Cuestiones importantes
Cómo y cuándo inician sesión los usuarios
Si necesitas que algunos usuarios inicien sesión con más frecuencia que otros, colócalos en otras unidades organizativas. A continuación, configura una duración de sesión diferente para cada una. De esta forma, no tendrás que interrumpir a los usuarios para que vuelvan a iniciar sesión si no es necesario.
Si requieres que los usuarios utilicen una llave de seguridad, los que no tengan una no podrán utilizar la consola ni el SDK de Google Cloud hasta que la configuren. Una vez que tengan la llave de seguridad, podrán volver a iniciar sesión con su contraseña, si lo prefieren.
Proveedores de identidades externos
- Con la consola: si requieres que un usuario vuelva a autenticarse con su contraseña, se le redirigirá al proveedor de identidades (IdP). Si el usuario ya tiene una sesión activa con el IdP, porque está utilizando otra aplicación que la mantiene activa, es posible que el IdP no le pida que vuelva a introducir su contraseña para iniciar otra sesión en la consola.
Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo en la consola En ese caso, no se le redirigirá al IdP.
- Con el SDK de Google Cloud: si se requiere una contraseña para la reautenticación, gcloud requerirá que el usuario ejecute el comando gcloud auth login para renovar la sesión. Se mostrará una ventana del navegador y se dirigirá al usuario al IdP, donde tendrá que introducir las credenciales si no hay ninguna sesión activa con el IdP.
Si un usuario debe volver a autenticarse tocando su llave de seguridad, puede hacerlo en el SDK de Google Cloud. En ese caso, no se le redirigirá al IdP.