Method: challenge.verify

チャレンジ レスポンスを検証します。

HTTP リクエスト

POST https://verifiedaccess.googleapis.com/v2/challenge:verify

この URL は gRPC Transcoding 構文を使用します。

リクエストの本文

リクエストの本文には、次の構造のデータが含まれます。

JSON 表現 
{
  "challengeResponse": string,
  "expectedIdentity": string
}
フィールド
challengeResponse

string (bytes format)

必須。チャレンジに対して生成されたレスポンス。SignedData のバイト表現です。

Base64 でエンコードされた文字列。
expectedIdentity

string

省略可。サービスは必要に応じて、鍵に関連付けられているデバイスまたはユーザーに関する ID 情報を提供できます。EMK の場合、この値は登録されているドメインです。EUK の場合、この値はユーザーのメールアドレスになります。存在する場合、この値はレスポンスの内容と照合され、一致しない場合は検証は失敗します。

レスポンスの本文

VerifiedAccess.VerifyChallengeResponse の結果メッセージ。

成功した場合、レスポンスの本文には次の構造のデータが含まれます。

JSON 表現 
{
  "devicePermanentId": string,
  "virtualDeviceId": string,
  "customerId": string,
  "signedPublicKeyAndChallenge": string,
  "deviceSignal": string,
  "deviceSignals": {
    object (DeviceSignals)
  },
  "keyTrustLevel": enum (KeyTrustLevel),
  "profileCustomerId": string,
  "virtualProfileId": string,
  "profileKeyTrustLevel": enum (KeyTrustLevel),
  "attestedDeviceId": string,
  "deviceEnrollmentId": string
}
フィールド
devicePermanentId

string

このフィールドにはデバイスの永続 ID が返されます(マシンの応答の場合のみ)。
virtualDeviceId

string

デバイスの仮想デバイス ID。仮想デバイス ID の定義はプラットフォーム固有です。
customerId

string

このデバイスが属する一意のお客様 ID。Google Admin SDK(https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers)で定義されています。
signedPublicKeyAndChallenge

string

このフィールドで、証明書署名リクエスト(SPKAC 形式、base64 エンコード)が返されます。このフィールドは、デバイスのチャレンジ レスポンスに CSR が含まれている場合のみ設定されます。(CSR を含めるオプションは、ユーザーとマシンの両方の応答で使用可能になりました)
deviceSignal

string

非推奨です。JSON 文字列表現のデバイス シグナル。代わりに deviceSignals を使用することをおすすめします。
deviceSignals

object (DeviceSignals)

デバイス シグナル。
keyTrustLevel

enum (KeyTrustLevel)

デバイスが証明済みの鍵の信頼レベル。
profileCustomerId

string

このプロフィールが属する一意のお客様 ID。Google Admin SDK(https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers)で定義されています。
virtualProfileId

string

デバイス上のプロファイルの ID。
profileKeyTrustLevel

enum (KeyTrustLevel)

プロファイルが鍵の信頼レベルを証明しました。
attestedDeviceId

string

証明済みのデバイス ID(ADID)。
deviceEnrollmentId

string

ChromeOS デバイスのデバイス登録 ID。

認可スコープ

次の OAuth スコープが必要です。

  • https://www.googleapis.com/auth/verifiedaccess

詳細については、認証の概要をご覧ください。

DeviceSignals

Chrome によって報告されたデバイスのシグナル。特に記載のない限り、シグナルはすべてのプラットフォームで使用できます。

JSON 表現 
{
  "deviceManufacturer": string,
  "deviceModel": string,
  "operatingSystem": enum (OperatingSystem),
  "osVersion": string,
  "displayName": string,
  "diskEncryption": enum (DiskEncryption),
  "serialNumber": string,
  "osFirewall": enum (OsFirewall),
  "systemDnsServers": [
    string
  ],
  "hostname": string,
  "macAddresses": [
    string
  ],
  "screenLockSecured": enum (ScreenLockSecured),
  "allowScreenLock": boolean,
  "imei": [
    string
  ],
  "meid": [
    string
  ],
  "secureBootMode": enum (SecureBootMode),
  "windowsMachineDomain": string,
  "windowsUserDomain": string,
  "deviceEnrollmentDomain": string,
  "browserVersion": string,
  "deviceAffiliationIds": [
    string
  ],
  "profileAffiliationIds": [
    string
  ],
  "builtInDnsClientEnabled": boolean,
  "chromeRemoteDesktopAppBlocked": boolean,
  "safeBrowsingProtectionLevel": enum (SafeBrowsingProtectionLevel),
  "siteIsolationEnabled": boolean,
  "passwordProtectionWarningTrigger": enum (PasswordProtectionWarningTrigger),
  "realtimeUrlCheckMode": enum (RealtimeUrlCheckMode),
  "thirdPartyBlockingEnabled": boolean,
  "trigger": enum (Trigger),
  "profileEnrollmentDomain": string,
  "crowdStrikeAgent": {
    object (CrowdStrikeAgent)
  }
}
フィールド
deviceManufacturer

string

デバイスのメーカー名。
deviceModel

string

デバイスのモデル名。
operatingSystem

enum (OperatingSystem)

デバイスで現在実行中のオペレーティング システムの種類。
osVersion

string

オペレーティング システムの現在のバージョン。Windows と Linux では、この値にセキュリティ パッチ情報も含まれます。
displayName

string

ユーザーが定義したデバイスの表示名。
diskEncryption

enum (DiskEncryption)

ディスクの暗号化状態。ChromeOS では、メインディスクは常に暗号化されています。
serialNumber

string

デバイスのシリアル番号。Windows では、BIOS のシリアル番号を表します。ほとんどの Linux ディストリビューションでは利用できません。
osFirewall

enum (OsFirewall)

OS レベルのファイアウォールの状態。ChromeOS では、通常のデバイスでは値は常に ENABLED になり、デベロッパー モードのデバイスでは UNKNOWN になります。
systemDnsServers[]

string

デバイスのネットワーク設定に設定されているすべての OS レベルの DNS サーバーのアドレスのリストです。
hostname

string

デバイスのホスト名。
macAddresses[]

string

デバイスの MAC アドレス。
screenLockSecured

enum (ScreenLockSecured)

画面ロックのパスワード保護の状態。ChromeOS では、デバイスのロック解除時のパスワードや PIN の要求を無効にする方法がないため、この値は常に有効になります。
allowScreenLock

boolean

デバイスの AllowScreenLock ポリシーの値。詳しくは、https://chromeenterprise.google/policies/?policy=AllowScreenLock をご覧ください。ChromeOS でのみご利用いただけます。
imei[]

string

デバイスの国際移動機識別番号(IMEI)。ChromeOS でのみご利用いただけます。
meid[]

string

デバイスのモバイル機器識別子(MEID)。ChromeOS でのみご利用いただけます。
secureBootMode

enum (SecureBootMode)

デバイスの起動ソフトウェアでセキュアブート機能が有効になっているかどうか。Windows でのみ利用可能です。
windowsMachineDomain

string

現在のマシンが参加している Windows ドメイン。Windows でのみ利用可能です。
windowsUserDomain

string

現在の OS ユーザーの Windows ドメイン。Windows でのみ利用可能です。
deviceEnrollmentDomain

string

現在デバイスを管理しているお客様の登録ドメイン。
browserVersion

string

このシグナルセットを生成した Chrome ブラウザの現在のバージョン。値の例: 「107.0.5286.0」
deviceAffiliationIds[]

string

現在デバイスを管理している組織に所属している組織のアフィリエーション ID。デバイスとプロファイルのアフィリエーション ID が重複している場合は、デバイスとユーザーを管理している組織が関連していることになります。ユーザーの関連付けについて詳しくは、https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936 をご覧ください。
profileAffiliationIds[]

string

Chrome プロファイルのユーザーまたは ChromeOS ユーザーを現在管理している組織に所属している組織のアフィリエーション ID。
builtInDnsClientEnabled

boolean

Chrome の組み込み DNS クライアントを使用するかどうか。それ以外の場合は、OS DNS クライアントが使用されます。この値はエンタープライズ ポリシー(https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled)で制御されている可能性があります。
chromeRemoteDesktopAppBlocked

boolean

Chrome リモート デスクトップ アプリケーションへのアクセスをポリシーでブロックするかどうか。
safeBrowsingProtectionLevel

enum (SafeBrowsingProtectionLevel)

セーフ ブラウジング保護レベル。この設定は、エンタープライズ ポリシー(https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel)で制御されている可能性があります。
siteIsolationEnabled

boolean

サイト分離(プロセスごとのサイト)の設定を有効にするかどうか。この設定は、エンタープライズ ポリシー(https://chromeenterprise.google/policies/#SitePerProcess)で制御されている可能性があります。
passwordProtectionWarningTrigger

enum (PasswordProtectionWarningTrigger)

パスワード保護の警告機能が有効かどうか。パスワード保護により、不審な可能性のあるサイトで保護されたパスワードを再利用すると、ユーザーに警告が表示されます。この設定は、エンタープライズ ポリシー https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger で制御されています。

このポリシーを未設定のままにした場合、ポリシーを明示的に PASSWORD_PROTECTION_OFF に設定した場合と同じ効果は得られません。
realtimeUrlCheckMode

enum (RealtimeUrlCheckMode)

エンタープライズ クラス(カスタムなど)の安全でない URL スキャンが有効かどうか。この設定は、エンタープライズ ポリシー(https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode)で制御されている可能性があります。
thirdPartyBlockingEnabled

boolean

Chrome がサードパーティ ソフトウェアの挿入をブロックしているかどうか。この設定は、エンタープライズ ポリシー(https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled)で制御されている場合があります。Windows でのみ利用可能です。
trigger

enum (Trigger)

このシグナルセットを生成したトリガー。
profileEnrollmentDomain

string

現在プロファイルを管理しているお客様の登録ドメイン。
crowdStrikeAgent

object (CrowdStrikeAgent)

デバイスにインストールされている Crowdstrike エージェントのプロパティ(ある場合)。Windows と MacOS でのみご利用いただけます。

オペレーティング システム

サポートされるオペレーティング・システム

列挙型
OPERATING_SYSTEM_UNSPECIFIED 指定なし。
CHROME_OS ChromeOS です。
CHROMIUM_OS Chromium OS。
WINDOWS Windows。
MAC_OS_X Mac OS X
LINUX Linux

DiskEncryption

メインディスクの暗号化の取り得る状態。

列挙型
DISK_ENCRYPTION_UNSPECIFIED (指定なし)
DISK_ENCRYPTION_UNKNOWN Chrome は暗号化状態を評価できませんでした。
DISK_ENCRYPTION_DISABLED メインディスクは暗号化されません。
DISK_ENCRYPTION_ENCRYPTED メインディスクは暗号化されます。

OsFirewall

OS レベルのファイアウォールの状態。

列挙型
OS_FIREWALL_UNSPECIFIED (指定なし)
OS_FIREWALL_UNKNOWN Chrome で OS のファイアウォールの状態を評価できませんでした。
OS_FIREWALL_DISABLED OS ファイアウォールが無効になっている。
OS_FIREWALL_ENABLED OS ファイアウォールが有効になっている。

ScreenLockSecured

画面ロックのパスワード保護の状態。

列挙型
SCREEN_LOCK_SECURED_UNSPECIFIED (指定なし)
SCREEN_LOCK_SECURED_UNKNOWN Chrome で画面ロック メカニズムの状態を評価できませんでした。
SCREEN_LOCK_SECURED_DISABLED 画面ロックがパスワードで保護されていない。
SCREEN_LOCK_SECURED_ENABLED 画面ロックはパスワードで保護されています。

SecureBootMode

デバイスのセキュアブート モードの状態。

列挙型
SECURE_BOOT_MODE_UNSPECIFIED (指定なし)
SECURE_BOOT_MODE_UNKNOWN Chrome でセキュアブート モードを判別できませんでした。
SECURE_BOOT_MODE_DISABLED 起動ソフトウェアでセキュアブートが無効になりました。
SECURE_BOOT_MODE_ENABLED 起動ソフトウェアでセキュアブートが有効になっていた。

SafeBrowsingProtectionLevel

セーフ ブラウジング保護レベルの有効な値。

列挙型
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED (指定なし)
INACTIVE セーフ ブラウジングが無効になっています。
STANDARD セーフ ブラウジングを標準モードで有効にします。
ENHANCED セーフ ブラウジングを強化モードで有効にします。

PasswordProtectionWarningTrigger

パスワード保護の警告トリガーに指定可能な値。

列挙型
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED (指定なし)
POLICY_UNSET このポリシーは設定されていません。
PASSWORD_PROTECTION_OFF パスワード保護の警告は表示されません。
PASSWORD_REUSE 保護されたパスワードを再利用すると、パスワード保護の警告が表示されます。
PHISHING_REUSE 保護されているパスワードが既知のフィッシング ウェブサイトで再利用された場合、パスワード保護の警告が表示されます。

RealtimeUrlCheckMode

リアルタイム URL チェックモードで使用できる値。

列挙型
REALTIME_URL_CHECK_MODE_UNSPECIFIED (指定なし)
REALTIME_URL_CHECK_MODE_DISABLED 無効になりました。ユーザーのセーフ ブラウジング チェックが適用されます。
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME メインフレーム URL のリアルタイム チェックが有効になっています。

CrowdStrikeAgent

デバイスにインストールされている CrowdStrike エージェントのプロパティ。

JSON 表現 
{
  "agentId": string,
  "customerId": string
}
フィールド
agentId

string

Crowdstrike エージェントのエージェント ID。
customerId

string

エージェントが所属するお客様 ID。

トリガー

トリガーに指定可能な値。

列挙型
TRIGGER_UNSPECIFIED (指定なし)
TRIGGER_BROWSER_NAVIGATION ブラウザ内で URL に移動する場合。
TRIGGER_LOGIN_SCREEN ChromeOS のログイン画面でアカウントにログインする場合。

KeyTrustLevel

証明された鍵の信頼レベル。

列挙型
KEY_TRUST_LEVEL_UNSPECIFIED 指定なし。
CHROME_OS_VERIFIED_MODE 確認済みモードの ChromeOS デバイス。
CHROME_OS_DEVELOPER_MODE デベロッパー モードの ChromeOS デバイス。
CHROME_BROWSER_HW_KEY デバイスのハードウェアに保存されている鍵を持つ Chrome ブラウザ。
CHROME_BROWSER_OS_KEY 鍵が OS レベルで保存されている Chrome ブラウザ。
CHROME_BROWSER_NO_KEY 証明書鍵のない Chrome ブラウザ。