- בקשת HTTP
- גוף הבקשה
- גוף התשובה
- היקפי ההרשאות
- DeviceSignals
- OperatingSystem
- DiskEncryption
- OsFirewall
- ScreenLockSecured
- SecureBootMode
- SafeBrowsingProtectionLevel
- PasswordProtectionWarningTrigger
- RealtimeUrlCheckMode
- CrowdStrikeAgent
- טריגר
- KeyTrustLevel
מאמת את התשובה לאתגר.
בקשת HTTP
POST https://verifiedaccess.googleapis.com/v2/challenge:verify
בכתובת ה-URL נעשה שימוש בתחביר המרת קידוד של gRPC.
גוף הבקשה
גוף הבקשה מכיל נתונים במבנה הבא:
ייצוג JSON |
---|
{ "challengeResponse": string, "expectedIdentity": string } |
שדות | |
---|---|
challengeResponse |
חובה. התגובה שנוצרה לאתגר, הייצוג הבייטים של SignedData. מחרוזת בקידוד base64. |
expectedIdentity |
זה שינוי אופציונלי. השירות יכול לספק פרטי זהות לגבי המכשיר או המשתמש המשויכים למפתח. עבור EMK, הערך הזה הוא הדומיין הרשום. ל-EUK, הערך הזה הוא כתובת האימייל של המשתמש. אם הוא קיים, המערכת תבדוק את הערך הזה מול תוכן התשובה, והאימות ייכשל אם לא תהיה התאמה. |
גוף התשובה
הודעת התוצאה של VerifiedAccess.VerifyChallengeResponse.
אם הפעולה בוצעה ללא שגיאות, גוף התשובה מכיל נתונים במבנה הבא:
ייצוג JSON |
---|
{ "devicePermanentId": string, "virtualDeviceId": string, "customerId": string, "signedPublicKeyAndChallenge": string, "deviceSignal": string, "deviceSignals": { object ( |
שדות | |
---|---|
devicePermanentId |
המזהה הקבוע של המכשיר מוחזר בשדה הזה (לתגובת המכונה בלבד). |
virtualDeviceId |
מזהה המכשיר הווירטואלי של המכשיר. ההגדרה של מזהה מכשיר וירטואלי היא ספציפית לפלטפורמה. |
customerId |
מספר לקוח ייחודי שאליו שייך המכשיר, כפי שהוגדר על ידי Google Admin SDK בכתובת https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers |
signedPublicKeyAndChallenge |
בשדה הזה מוחזרת בקשה לחתימה על אישור (בפורמט SPKAC, בקידוד base64). השדה הזה יוגדר רק אם המכשיר כלל CSR בתגובתו לאתגר. (האפשרות לכלול CSR זמינה עכשיו גם לתשובות של משתמשים וגם לתשובות של מכונה) |
deviceSignal |
הוּצא משימוש. אות של מכשיר בייצוג של מחרוזת json. עדיף להשתמש במקום זאת ב- |
deviceSignals |
אותות מהמכשיר. |
keyTrustLevel |
רמת האמון של המפתח המאומתת במכשיר. |
profileCustomerId |
מספר לקוח ייחודי שאליו שייך הפרופיל, כפי שהוגדר על ידי Google Admin SDK בכתובת https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers |
virtualProfileId |
המזהה של פרופיל במכשיר. |
profileKeyTrustLevel |
רמת האמינות של המפתח שאומתה בפרופיל. |
attestedDeviceId |
מזהה מכשיר מאומת (ADID). |
deviceEnrollmentId |
מזהה השיוך של המכשיר למכשירי ChromeOS. |
היקפי הרשאות
נדרש היקף ההרשאות הבא של OAuth:
https://www.googleapis.com/auth/verifiedaccess
מידע נוסף זמין בסקירה הכללית על אימות.
DeviceSignals
המכשיר מסמן כפי שדווח על ידי Chrome. אלא אם צוין אחרת, האותות זמינים בכל הפלטפורמות.
ייצוג JSON |
---|
{ "deviceManufacturer": string, "deviceModel": string, "operatingSystem": enum ( |
שדות | |
---|---|
deviceManufacturer |
שם היצרן של המכשיר. |
deviceModel |
שם הדגם של המכשיר. |
operatingSystem |
הסוג של מערכת ההפעלה שפועלת כרגע במכשיר. |
osVersion |
הגרסה הנוכחית של מערכת ההפעלה. ב-Windows וב-linux, הערך יכלול גם את המידע על תיקון האבטחה. |
displayName |
שם התצוגה של המכשיר, כפי שהוגדר על ידי המשתמש. |
diskEncryption |
מצב ההצפנה של הדיסק. ב-ChromeOS, הדיסק הראשי תמיד מוצפן. |
serialNumber |
המספר הסידורי של המכשיר. ב-Windows, מייצג את המספר הסידורי של ה-BIOS. לא זמין ברוב ההפצות של Linux. |
osFirewall |
מצב חומת האש ברמת מערכת ההפעלה. ב-ChromeOS, הערך תמיד יהיה מופעל במכשירים רגילים והערך UNKNOWN במכשירים שנמצאים במצב פיתוח. |
systemDnsServers[] |
רשימת הכתובות של כל שרתי ה-DNS ברמת מערכת ההפעלה שהוגדרו בהגדרות הרשת של המכשיר. |
hostname |
שם המארח של המכשיר. |
macAddresses[] |
כתובות MAC של המכשיר. |
screenLockSecured |
מצב ההגנה באמצעות סיסמה באמצעות נעילת מסך. ב-ChromeOS, הערך הזה תמיד יהיה מופעל כי אין דרך להשבית את הדרישה לסיסמה או בקוד אימות במהלך ביטול הנעילה של המכשיר. |
allowScreenLock |
הערך של מדיניות AllowScreenLock במכשיר. פרטים נוספים זמינים בכתובת https://chromeenterprise.google/policies/?policy=AllowScreenLock. התכונה זמינה רק ב-ChromeOS. |
imei[] |
IMEI (International Mobile Equipment Identity) של המכשיר. התכונה זמינה רק ב-ChromeOS. |
meid[] |
מזהה ציוד נייד (MEID) של המכשיר. התכונה זמינה רק ב-ChromeOS. |
secureBootMode |
האם תכונת ההפעלה המאובטחת מופעלת בתוכנת ההפעלה של המכשיר. התכונה זמינה ב-Windows בלבד. |
windowsMachineDomain |
דומיין Windows שאליו המחשב הנוכחי הצטרף. התכונה זמינה ב-Windows בלבד. |
windowsUserDomain |
הדומיין של Windows בשביל המשתמש הנוכחי במערכת ההפעלה. התכונה זמינה ב-Windows בלבד. |
deviceEnrollmentDomain |
דומיין הרישום של הלקוח שמנהל כרגע את המכשיר. |
browserVersion |
הגרסה הנוכחית של דפדפן Chrome שיצרה את קבוצת האותות הזו. ערך לדוגמה: "107.0.5286.0". |
deviceAffiliationIds[] |
מזהי השיוך של הארגונים שמשויכים לארגון שמנהל כרגע את המכשיר. אם הקבוצות של מזהי השיוך של המכשיר והפרופיל חופפות, המשמעות היא שהארגונים שמנהלים את המכשיר והמשתמש משויכים. מידע נוסף על שיוך משתמשים זמין בכתובת https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936. |
profileAffiliationIds[] |
מזהי השיוך של הארגונים שמשויכים לארגון שמנהל כרגע את המשתמש או את משתמש ChromeOS בפרופיל Chrome. |
builtInDnsClientEnabled |
האם נעשה שימוש בלקוח ה-DNS המובנה של Chrome. אחרת נעשה שימוש בלקוח ה-DNS של מערכת ההפעלה. אפשר לקבוע את הערך הזה באמצעות מדיניות ארגונית: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled. |
chromeRemoteDesktopAppBlocked |
האם הגישה לאפליקציה 'Chrome Remote Desktop' חסומה באמצעות מדיניות. |
safeBrowsingProtectionLevel |
רמת ההגנה של הגלישה הבטוחה. אפשר לקבוע את ההגדרה הזו בהתאם למדיניות של הארגון: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel. |
siteIsolationEnabled |
האם ההגדרה 'בידוד של אתר' (שנקראת 'אתר לכל תהליך') מופעלת. אפשר לקבוע את ההגדרה הזו בהתאם למדיניות ארגונית: https://chromeenterprise.google/policies/#SitePerProcess |
passwordProtectionWarningTrigger |
אם התכונה 'אזהרת הגנת סיסמה' מופעלת או לא. הגנת סיסמה מזהירה את המשתמשים כשהם עושים שימוש חוזר בסיסמאות המוגנות שלהם באתרים שעשויים להיות חשודים. ההגדרה הזו נשלטת על ידי מדיניות הארגון: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger (https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger). חשוב לשים לב שלמדיניות לא מוגדרת אותן השפעות כמו הגדרה מפורשת של המדיניות כ- |
realtimeUrlCheckMode |
האם סריקת כתובות URL לא בטוחה ברמת הארגון (כלומר בהתאמה אישית) מופעלת או לא. אפשר לקבוע את ההגדרה הזו בהתאם למדיניות של הארגון: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode |
thirdPartyBlockingEnabled |
האם Chrome חוסם החדרת תוכנה של צד שלישי או לא. אפשר לקבוע את ההגדרה הזו בהתאם למדיניות של הארגון: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. התכונה זמינה ב-Windows בלבד. |
trigger |
הטריגר שיצר את קבוצת האותות הזו. |
profileEnrollmentDomain |
דומיין ההרשמה של הלקוח שמנהל כרגע את הפרופיל. |
crowdStrikeAgent |
מאפייני סוכן Crowdstrike המותקנים במכשיר, אם יש כאלה. התכונה זמינה ב-Windows וב-MacOS בלבד. |
OperatingSystem
מערכות הפעלה נתמכות.
טיפוסים בני מנייה (enums) | |
---|---|
OPERATING_SYSTEM_UNSPECIFIED |
לא צוין. |
CHROME_OS |
ChromeOS |
CHROMIUM_OS |
ChromiumOS. |
WINDOWS |
חלונות. |
MAC_OS_X |
Mac OS X. |
LINUX |
Linux |
DiskEncryption
מצבי הצפנה אפשריים לדיסק הראשי.
טיפוסים בני מנייה (enums) | |
---|---|
DISK_ENCRYPTION_UNSPECIFIED |
לא צוין. |
DISK_ENCRYPTION_UNKNOWN |
Chrome לא הצליח להעריך את מצב ההצפנה. |
DISK_ENCRYPTION_DISABLED |
הדיסק הראשי לא מוצפן. |
DISK_ENCRYPTION_ENCRYPTED |
הדיסק הראשי מוצפן. |
OsFirewall
מצבים אפשריים של חומת האש ברמת מערכת ההפעלה.
טיפוסים בני מנייה (enums) | |
---|---|
OS_FIREWALL_UNSPECIFIED |
לא צוין. |
OS_FIREWALL_UNKNOWN |
Chrome לא הצליח להעריך את מצב חומת האש של מערכת ההפעלה. |
OS_FIREWALL_DISABLED |
חומת האש של מערכת ההפעלה מושבתת. |
OS_FIREWALL_ENABLED |
חומת האש של מערכת ההפעלה מופעלת. |
ScreenLockSecured
מצבים אפשריים של הגנה באמצעות סיסמה באמצעות נעילת מסך.
טיפוסים בני מנייה (enums) | |
---|---|
SCREEN_LOCK_SECURED_UNSPECIFIED |
לא צוין. |
SCREEN_LOCK_SECURED_UNKNOWN |
ל-Chrome לא הייתה אפשרות להעריך את מצב מנגנון נעילת המסך. |
SCREEN_LOCK_SECURED_DISABLED |
נעילת המסך אינה מוגנת בסיסמה. |
SCREEN_LOCK_SECURED_ENABLED |
נעילת המסך מוגנת באמצעות סיסמה. |
SecureBootMode
מצבים אפשריים של מצב ההפעלה המאובטחת של המכשיר.
טיפוסים בני מנייה (enums) | |
---|---|
SECURE_BOOT_MODE_UNSPECIFIED |
לא צוין. |
SECURE_BOOT_MODE_UNKNOWN |
Chrome לא הצליח לזהות את מצב ההפעלה המאובטחת. |
SECURE_BOOT_MODE_DISABLED |
ההפעלה המאובטחת הושבתה בתוכנת ההפעלה. |
SECURE_BOOT_MODE_ENABLED |
ההפעלה המאובטחת הופעלה בתוכנת ההפעלה. |
SafeBrowsingProtectionLevel
ערכים אפשריים ל'רמת ההגנה של גלישה בטוחה'.
טיפוסים בני מנייה (enums) | |
---|---|
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED |
לא צוין. |
INACTIVE |
הגלישה הבטוחה מושבתת. |
STANDARD |
הגלישה הבטוחה פעילה במצב הרגיל. |
ENHANCED |
הגלישה הבטוחה פעילה במצב המשופר. |
PasswordProtectionWarningTrigger
ערכים אפשריים לטריגר מסוג Password Protection Alert.
טיפוסים בני מנייה (enums) | |
---|---|
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED |
לא צוין. |
POLICY_UNSET |
המדיניות לא מוגדרת. |
PASSWORD_PROTECTION_OFF |
לא תוצג אזהרה של הגנת סיסמה. |
PASSWORD_REUSE |
האזהרה של הגנת הסיסמה מוצגת במקרה של שימוש חוזר בסיסמה מוגנת. |
PHISHING_REUSE |
האזהרה של הגנת הסיסמה מוצגת במקרה של שימוש חוזר בסיסמה מוגנת באתר פישינג מוכר. |
RealtimeUrlCheckMode
ערכים אפשריים למצב הבדיקה של כתובת URL בזמן אמת.
טיפוסים בני מנייה (enums) | |
---|---|
REALTIME_URL_CHECK_MODE_UNSPECIFIED |
לא צוין. |
REALTIME_URL_CHECK_MODE_DISABLED |
מושבת. מופעלות בדיקות גלישה בטוחה של צרכנים. |
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME |
מופעלת בדיקה בזמן אמת של כתובות ה-URL של המסגרת הראשית. |
CrowdStrikeAgent
מאפיינים של סוכן CrowdStrike שמותקן במכשיר.
ייצוג JSON |
---|
{ "agentId": string, "customerId": string } |
שדות | |
---|---|
agentId |
מזהה הסוכן של סוכן Crowdstrike. |
customerId |
מספר הלקוח שאליו הנציג שייך. |
Trigger
ערכים אפשריים לטריגר.
טיפוסים בני מנייה (enums) | |
---|---|
TRIGGER_UNSPECIFIED |
לא צוין. |
TRIGGER_BROWSER_NAVIGATION |
במהלך ניווט לכתובת URL בתוך דפדפן. |
TRIGGER_LOGIN_SCREEN |
כשנכנסים לחשבון במסך ההתחברות של ChromeOS. |
KeyTrustLevel
רמת המהימנות של המפתח המאומת.
טיפוסים בני מנייה (enums) | |
---|---|
KEY_TRUST_LEVEL_UNSPECIFIED |
לא צוין. |
CHROME_OS_VERIFIED_MODE |
מכשיר ChromeOS במצב מאומת. |
CHROME_OS_DEVELOPER_MODE |
מכשיר ChromeOS במצב פיתוח. |
CHROME_BROWSER_HW_KEY |
דפדפן Chrome עם המפתח שמאוחסן בחומרת המכשיר. |
CHROME_BROWSER_OS_KEY |
דפדפן Chrome עם מפתח מאוחסן ברמת מערכת ההפעלה. |
CHROME_BROWSER_NO_KEY |
דפדפן Chrome ללא מפתח אימות. |