Durée de session par défaut réduite pour améliorer votre sécurité
Thursday, March 23, 2023
Cet article est la traduction en anglais du post publié sur le blog le 15 mars.
Pour améliorer encore votre sécurité, nous réduisons la durée de session par défaut à 16h pour les clients Google Cloud existants. Notez que ce changement concerne les connexions utilisateur aux services Google Cloud (console Google Cloud, par exemple), et non les connexions aux services Google (comme Gmail sur le Web).
Pour les clients existants, nous réduisons à 16h la durée de session qui était configurée sur "Aucun délai d'expiration". Vous trouverez plus d'informations ci-dessous.
Les administrateurs, les utilisateurs finaux et les développeurs
De nombreux services et applications peuvent accéder à des données sensibles ou effectuer des opérations sensibles. Il est donc essentiel de gérer la durée des sessions pour assurer la sécurité et la conformité sur le cloud. En définissant une limite pour accéder à Google Cloud Platform après l'étape d'authentification, nous contribuons à dissuader les acteurs malintentionnés qui pourraient mettre la main sur vos identifiants ou vos appareils.
Options de contrôle des sessions Google Cloud
Pour les clients existants, nous réduisons à 16h la durée de session qui était configurée sur "Aucun délai d'expiration". Ainsi, les clients ne peuvent pas définir par erreur une durée de session infinie pour des utilisateurs ou des applications avec habilitation OAuth. Une fois la session expirée, les utilisateurs doivent de nouveau saisir leurs identifiants de connexion pour conserver leur accès. Les éléments suivants sont affectés :
- Console Google Cloud
- Outil de ligne de commande gcloud
- Toute autre application nécessitant un niveau d'accès Google Cloud
Vous pouvez personnaliser les paramètres pour des organisations spécifiques, et tous les utilisateurs de cette organisation seront affectés. La session expirera une fois la limite atteinte, quoi que l'utilisateur soit en train de faire. Lorsque les administrateurs sélectionnent une durée de session, ils disposent des options suivantes :
- Choisir parmi une plage de durées de session prédéfinies ou définir une durée de session personnalisée comprise entre 1 et 24 heures
- Décider si les utilisateurs auront simplement besoin d'un mot de passe ou s'ils devront obtenir une clé de sécurité pour se réauthentifier
Fournisseurs d'identité SAML tiers et options de contrôle de la durée de session
Si votre organisation fait appel à un fournisseur d'identité (IdP, identity provider) SAML tiers, les sessions cloud expirent, mais l'utilisateur peut être réauthentifié de façon transparente (sans être invité à fournir ses identifiants) si sa session avec l'IdP est valide à ce moment-là. Cela est tout à fait normal, car Google redirige l'utilisateur vers l'IdP et accepte une assertion valide de sa part. Pour vous assurer que les utilisateurs sont tenus de se réauthentifier à la bonne fréquence, examinez les options de configuration de votre IdP et consultez l'article Configurer l'authentification unique via un fournisseur d'identité tiers dans le centre d'aide.
Applications de confiance
En raison de leur conception, certaines applications gèrent mal la réauthentification, ce qui peut affecter leur fonctionnement. D'autres sont déployées pour l'authentification serveur à serveur avec des identifiants utilisateur : comme elles n'ont pas besoin des identifiants d'un compte de service, elles ne sont pas invitées régulièrement à se réauthentifier.
Si vous utilisez des applications spécifiques comme celles-ci et que vous ne voulez pas qu'elles soient affectées par les contraintes de réauthentification, l'administrateur de l'organisation peut les ajouter à la liste des applications de confiance. Ces applications ne seront pas concernées par les durées de session limitées, contrairement aux autres applications et utilisateurs de l'organisation.
- Administrateurs : Pour les clients ayant défini la durée de session sur "Aucun délai d'expiration", la durée sera réduite à 16h par défaut. Vous pouvez désactiver ce paramètre ou le modifier à l'échelle de l'unité organisationnelle (UO). Consultez le centre d'aide pour savoir comment définir la durée de session pour les services Google Cloud pour votre organisation.
- Utilisateurs finaux : Si une session se termine, les utilisateurs doivent simplement se reconnecter à leur compte à l'aide du processus de connexion habituel de Google.
Quand ?
- Domaines à lancement rapide ou planifié : Déploiement étendu à partir du 15 mars 2023 (fonctionnalités visibles dans un délai potentiellement supérieur à 15 jours)
- Tous les clients Google Workspace et Cloud Identity, ainsi que les clients des anciennes éditions G Suite Basic et Business
- Aide Administrateur Google Workspace :Définir la durée de session pour les services Google Cloud
- Aide Administrateur Google Workspace :Contrôler quelles applications tierces et internes ont accès aux données Google Workspace
- Aide Administrateur Google Workspace :Configurer l'authentification unique via un fournisseur d'identité tiers
- Aide Google : Utiliser une clé de sécurité pour la validation en deux étapes
- Documentation Google Cloud : Créer et gérer des organisations
- Documentation Google Identity : Utiliser OAuth 2.0 pour l'authentification serveur à serveur