Google Cloud Console および gcloud CLI のセッション継続時間の管理
2019年9月28日土曜日
この記事は 9 月 16 日に英語版ブログに掲載された記事を翻訳したものです。
更新 ( 2019 年 9 月 25 日) : 以下の機能につきましては当初段階的に公開する予定でしたが、拡張的な展開へと変更になりました。(機能をご利用いただけるようになるまでに 15 日以上かかる場合があります)なお、展開につきましては、現時点では 2019 年 10 月 11 日までに完了する予定です。
新しい機能の概要G Suite、Google Cloud Platform(GCP)、Cloud Identity の管理者が特定のアプリおよびサービスに対して決まったセッション継続時間を設定できるように、公開ベータ版のご提供を開始することになりました。この機能を使用すると、セッションの有効期限が切れた場合にユーザーが引き続きアプリおよびサービスを利用するには、ログイン認証情報の再入力を求められます。
この機能はウェブ上で動作するように設計されています。ただし、この設定は、ウェブアプリとモバイルアプリ(ご利用の場合)を含むすべてのプラットフォーム上での認証に適用されます。そのため、この機能を有効にすると該当するモバイルアプリが適切に動作しない場合があります。
ご利用対象管理者のみ
利点多くのアプリおよびサービスには機密データが含まれているため、特定のユーザーのみがアクセスできるようにすることが重要です。再認証を必須にすると、デバイスへの不正アクセスが発生した場合も、機密データを不正に取得されにくくすることができます。
ご利用方法補足サードパーティの SAML ID プロバイダとセッション継続時間の設定
組織でサードパーティの SAML ベースの ID プロバイダをご利用の場合は、クラウド セッションの期限が切れても IdP とのセッションがその時点で有効であれば、ユーザーは透過的に再認証されます(認証情報の入力を求められません)。Google はユーザーを IdP にリダイレクトし、IdP から有効なアサーションを受け取るため、これは想定どおりの挙動です。ユーザーに再び本人確認を求めて認証するには、IdP のセッション タイムアウトと管理者が適用するセッション継続時間を必ず同じ長さにしてください。
時間制限のあるセッション管理(アクティビティベースの有効期限には非対応)
新しいセッション管理には決まった時間制限があり、セッションのアクティビティ(アイドル時間)は対象外となりますのでご注意ください。現時点では、Google Cloud と G Suite はアクティビティベースのセッションの有効期限をサポートしていません。
再認証オプション
セッション継続時間の設定時には、以下を設定できます。
関連情報ヘルプセンター: ベータ版: Google Cloud サービスのセッション継続時間を設定する (内容更新中)
リリース時期展開の詳細
G Suite および Cloud Identity のすべてのエディションが対象
デフォルト設定
この機能はデフォルトで無効になっていますが、組織部門単位で有効にすることができます。
G Suite の最新のリリース情報を入手する
更新 ( 2019 年 9 月 25 日) : 以下の機能につきましては当初段階的に公開する予定でしたが、拡張的な展開へと変更になりました。(機能をご利用いただけるようになるまでに 15 日以上かかる場合があります)なお、展開につきましては、現時点では 2019 年 10 月 11 日までに完了する予定です。
- GCP Cloud Console
- gcloud コマンドライン ツール
- Cloud 管理者のスコープを必要とするその他のアプリケーション
この機能はウェブ上で動作するように設計されています。ただし、この設定は、ウェブアプリとモバイルアプリ(ご利用の場合)を含むすべてのプラットフォーム上での認証に適用されます。そのため、この機能を有効にすると該当するモバイルアプリが適切に動作しない場合があります。
- 管理者: 管理コンソール > [セキュリティ] > [Google Cloud セッション管理(ベータ版)] でセッション継続時間を設定します。詳しくは、ヘルプセンターで Google Cloud サービスのセッション継続時間の設定についてのページ (内容更新中) をご覧ください。
- エンドユーザー: セッションが終了したら、通常の Google ログイン手順でアカウントに再びログインするだけで済みます。
組織でサードパーティの SAML ベースの ID プロバイダをご利用の場合は、クラウド セッションの期限が切れても IdP とのセッションがその時点で有効であれば、ユーザーは透過的に再認証されます(認証情報の入力を求められません)。Google はユーザーを IdP にリダイレクトし、IdP から有効なアサーションを受け取るため、これは想定どおりの挙動です。ユーザーに再び本人確認を求めて認証するには、IdP のセッション タイムアウトと管理者が適用するセッション継続時間を必ず同じ長さにしてください。
時間制限のあるセッション管理(アクティビティベースの有効期限には非対応)
新しいセッション管理には決まった時間制限があり、セッションのアクティビティ(アイドル時間)は対象外となりますのでご注意ください。現時点では、Google Cloud と G Suite はアクティビティベースのセッションの有効期限をサポートしていません。
再認証オプション
セッション継続時間の設定時には、以下を設定できます。
- 事前定義されたセッション継続時間の範囲内から選択するか、セッション継続時間を独自に設定することができます。
- ユーザーに通常のログイン認証情報(パスワードと、設定されている場合は 2 段階認証プロセスも)を求めるか、あるいは再認証にセキュリティ キーの使用を必須にするかを設定できます。
- 即時リリースを利用しているドメイン: 2019 年 9 月 16 日以降、段階的に公開(機能をご利用いただけるようになるまでに最長で 15 日かかります)
- 計画的リリースを利用しているドメイン: 2019 年 9 月 16 日以降、段階的に公開(機能をご利用いただけるようになるまでに最長で 15 日かかります)
G Suite および Cloud Identity のすべてのエディションが対象
デフォルト設定
この機能はデフォルトで無効になっていますが、組織部門単位で有効にすることができます。
G Suite の最新のリリース情報を入手する