- คำขอ HTTP
- เนื้อความของคำขอ
- เนื้อหาการตอบกลับ
- ขอบเขตการให้สิทธิ์
- DeviceSignals
- OperatingSystem
- DiskEncryption
- OsFirewall
- ScreenLockSecured
- SecureBootMode
- SafeBrowsingProtectionLevel
- PasswordProtectionWarningTrigger
- RealtimeUrlCheckMode
- CrowdStrikeAgent
- ทริกเกอร์
- KeyTrustLevel
ยืนยันคำตอบของคำท้า
คำขอ HTTP
POST https://verifiedaccess.googleapis.com/v2/challenge:verify
URL ใช้ไวยากรณ์การแปลง gRPC
เนื้อหาของคำขอ
เนื้อความของคำขอมีข้อมูลซึ่งมีโครงสร้างดังต่อไปนี้
การแสดง JSON |
---|
{ "challengeResponse": string, "expectedIdentity": string } |
ช่อง | |
---|---|
challengeResponse |
ต้องระบุ การตอบสนองต่อโจทย์ที่สร้างขึ้นซึ่งเป็นจำนวนไบต์ที่แทน SignedData สตริงที่เข้ารหัสฐาน 64 |
expectedIdentity |
ไม่บังคับ บริการอาจให้ข้อมูลประจำตัวเกี่ยวกับอุปกรณ์หรือผู้ใช้ที่เชื่อมโยงกับคีย์ สำหรับ EMK ค่านี้คือโดเมนที่ลงทะเบียน สำหรับ EUK ค่านี้คืออีเมลของผู้ใช้ หากมี ระบบจะตรวจสอบค่านี้กับเนื้อหาของคำตอบ และยืนยันไม่สำเร็จหากไม่พบรายการที่ตรงกัน |
เนื้อหาการตอบกลับ
ข้อความผลลัพธ์สำหรับ VerifiedAccess.VerifyChallengeResponse
การตอบกลับที่แสดงเมื่อโปรไฟล์ที่จัดการในเบราว์เซอร์ที่ไม่ได้รับการจัดการดำเนินการเสร็จสมบูรณ์จะไม่มีช่อง devicePermanentId, keyTrustLevel, virtualDeviceId และ customerId โปรไฟล์ที่มีการจัดการจะมีช่อง profileCustomerId, VirtualProfileId และ profileKeyTrustLevel แทน
หากทำสำเร็จ เนื้อหาการตอบกลับจะมีข้อมูลซึ่งมีโครงสร้างดังต่อไปนี้
การแสดง JSON |
---|
{ "devicePermanentId": string, "virtualDeviceId": string, "customerId": string, "signedPublicKeyAndChallenge": string, "deviceSignal": string, "deviceSignals": { object ( |
ช่อง | |
---|---|
devicePermanentId |
ระบบจะแสดงรหัสถาวรของอุปกรณ์ในช่องนี้ (สำหรับการตอบกลับของเครื่องเท่านั้น) |
virtualDeviceId |
รหัสอุปกรณ์เสมือนจริงของอุปกรณ์ คำจำกัดความของรหัสอุปกรณ์เสมือนจะแตกต่างกันไปตามแพลตฟอร์ม |
customerId |
รหัสลูกค้าที่ไม่ซ้ำกันซึ่งเป็นเจ้าของอุปกรณ์นี้ตามที่ Google Admin SDK กำหนดไว้ที่ https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers |
signedPublicKeyAndChallenge |
ระบบจะแสดงคำขอการรับรองใบรับรอง (ในรูปแบบ SPKAC ซึ่งเข้ารหัสฐาน 64) ในช่องนี้ ระบบจะตั้งค่าฟิลด์นี้เฉพาะเมื่ออุปกรณ์ได้รวม CSR ไว้ในการตอบคำถาม (ตอนนี้ตัวเลือกในการรวม CSR พร้อมใช้งานสำหรับทั้งคำตอบของผู้ใช้และคำตอบจากเครื่องแล้ว) |
deviceSignal |
เลิกใช้งานแล้ว สัญญาณของอุปกรณ์ในการแสดงสตริง JSON ขอแนะนำให้ใช้ |
deviceSignals |
สัญญาณอุปกรณ์ |
keyTrustLevel |
ระดับความน่าเชื่อถือของคีย์ที่อุปกรณ์รับรอง |
profileCustomerId |
รหัสลูกค้าที่ไม่ซ้ำกันซึ่งมีโปรไฟล์นี้อยู่ ตามที่ Google Admin SDK กำหนดที่ https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers |
virtualProfileId |
รหัสของโปรไฟล์ในอุปกรณ์ |
profileKeyTrustLevel |
ระดับความน่าเชื่อถือของคีย์ที่รับรองโดยโปรไฟล์ |
attestedDeviceId |
รหัสอุปกรณ์ที่ผ่านการรับรอง (ADID) |
deviceEnrollmentId |
รหัสการลงทะเบียนอุปกรณ์สำหรับอุปกรณ์ ChromeOS |
ขอบเขตการให้สิทธิ์
ต้องใช้ขอบเขต OAuth ต่อไปนี้
https://www.googleapis.com/auth/verifiedaccess
สำหรับข้อมูลเพิ่มเติม โปรดดูที่ภาพรวมการตรวจสอบสิทธิ์
DeviceSignals
อุปกรณ์จะส่งสัญญาณตามที่ Chrome รายงาน สัญญาณพร้อมใช้งานในทุกแพลตฟอร์ม เว้นแต่จะระบุไว้เป็นอย่างอื่น
การแสดง JSON |
---|
{ "deviceManufacturer": string, "deviceModel": string, "operatingSystem": enum ( |
ช่อง | |
---|---|
deviceManufacturer |
ชื่อผู้ผลิตอุปกรณ์ |
deviceModel |
ชื่อรุ่นของอุปกรณ์ |
operatingSystem |
ประเภทของระบบปฏิบัติการที่ทำงานอยู่ในอุปกรณ์ |
osVersion |
เวอร์ชันปัจจุบันของระบบปฏิบัติการ ใน Windows และ Linux ค่านี้จะรวมข้อมูลแพตช์การรักษาความปลอดภัยด้วย |
displayName |
ชื่อที่แสดงของอุปกรณ์ตามที่ผู้ใช้กำหนด |
diskEncryption |
สถานะการเข้ารหัสของดิสก์ ใน ChromeOS ดิสก์หลักจะเข้ารหัสอยู่เสมอ |
serialNumber |
หมายเลขซีเรียลของอุปกรณ์ ใน Windows ข้อมูลนี้คือหมายเลขซีเรียลของ BIOS ไม่พร้อมใช้งานในระบบปฏิบัติการ Linux ส่วนใหญ่ |
osFirewall |
สถานะของไฟร์วอลล์ระดับระบบปฏิบัติการ ใน ChromeOS ค่าจะเป็น "เปิดใช้" เสมอในอุปกรณ์ปกติและ "ไม่ทราบ" ในอุปกรณ์ที่อยู่ในโหมดนักพัฒนาซอฟต์แวร์ ขณะนี้สัญญาณยังไม่พร้อมใช้งานใน macOS 15 (Sequoia) ขึ้นไป |
systemDnsServers[] |
รายการที่อยู่ของเซิร์ฟเวอร์ DNS ระดับระบบปฏิบัติการทั้งหมดที่กำหนดค่าไว้ในการตั้งค่าเครือข่ายของอุปกรณ์ |
hostname |
ชื่อโฮสต์ของอุปกรณ์ |
macAddresses[] |
ที่อยู่ MAC ของอุปกรณ์ |
screenLockSecured |
สถานะของการป้องกันด้วยรหัสผ่านด้วยการล็อกหน้าจอ ใน ChromeOS ค่านี้จะถูกเปิดใช้งานเสมอ เนื่องจากไม่มีวิธีปิดใช้งานการกำหนดให้ต้องใช้รหัสผ่านหรือ PIN เมื่อปลดล็อกอุปกรณ์ |
allowScreenLock |
ค่าของนโยบาย AllowScreenLock ในอุปกรณ์ ดูรายละเอียดเพิ่มเติมได้ที่ https://chromeenterprise.google/policies/?policy=AllowScreenLock ใช้ได้ใน ChromeOS เท่านั้น |
imei[] |
หมายเลข International Mobile Equipment Identifier (IMEI) ของอุปกรณ์ ใช้ได้ใน ChromeOS เท่านั้น |
meid[] |
Mobile Device Identifier (MEID) ของอุปกรณ์ ใช้ได้ใน ChromeOS เท่านั้น |
secureBootMode |
ซอฟต์แวร์เริ่มต้นของอุปกรณ์เปิดใช้ฟีเจอร์การเปิดเครื่องที่ปลอดภัยหรือไม่ ใช้ได้ใน Windows เท่านั้น |
windowsMachineDomain |
โดเมน Windows ที่เครื่องปัจจุบันเข้าร่วม พร้อมให้ใช้งานบน Windows เท่านั้น |
windowsUserDomain |
โดเมน Windows สำหรับผู้ใช้ระบบปฏิบัติการปัจจุบัน พร้อมให้ใช้งานบน Windows เท่านั้น |
deviceEnrollmentDomain |
โดเมนการลงทะเบียนของลูกค้าซึ่งกำลังจัดการอุปกรณ์อยู่ในขณะนี้ |
browserVersion |
เวอร์ชันปัจจุบันของเบราว์เซอร์ Chrome ที่สร้างชุดสัญญาณนี้ ค่าตัวอย่าง ได้แก่ "107.0.5286.0" |
deviceAffiliationIds[] |
รหัสการเชื่อมโยงขององค์กรที่เชื่อมโยงกับองค์กรที่จัดการอุปกรณ์อยู่ในปัจจุบัน เมื่อรหัสการเป็นพาร์ทเนอร์ของอุปกรณ์กับโปรไฟล์ทับซ้อนกัน หมายความว่าองค์กรที่จัดการอุปกรณ์และผู้ใช้เป็นแอฟฟิลิเอตกัน หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการเชื่อมโยงผู้ใช้ โปรดไปที่ https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936 |
profileAffiliationIds[] |
รหัสแอฟฟิลิเอตขององค์กรที่เชื่อมโยงกับองค์กรที่จัดการผู้ใช้ของโปรไฟล์ Chrome หรือผู้ใช้ ChromeOS อยู่ในปัจจุบัน |
builtInDnsClientEnabled |
มีการใช้ไคลเอ็นต์ DNS ในตัวของ Chrome หรือไม่ ไม่เช่นนั้นจะใช้ไคลเอ็นต์ DNS ของระบบปฏิบัติการ นโยบายนี้อาจควบคุมโดยนโยบายระดับองค์กร: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled |
chromeRemoteDesktopAppBlocked |
นโยบายบล็อกการเข้าถึงแอปพลิเคชัน Chrome Remote Desktop หรือไม่ |
safeBrowsingProtectionLevel |
ระดับการปกป้องของ Google Safe Browsing การตั้งค่าดังกล่าวอาจควบคุมโดยนโยบายระดับองค์กร: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel |
siteIsolationEnabled |
การตั้งค่าการแยกเว็บไซต์ (หรือที่เรียกว่าเว็บไซต์ต่อกระบวนการ) เปิดใช้อยู่หรือไม่ การตั้งค่าดังกล่าวอาจควบคุมโดยนโยบายขององค์กร https://chromeenterprise.google/policies/#SitePerProcess |
passwordProtectionWarningTrigger |
ฟีเจอร์คำเตือนการปกป้องรหัสผ่านเปิดใช้งานอยู่หรือไม่ การปกป้องรหัสผ่านจะแจ้งเตือนผู้ใช้เมื่อใช้รหัสผ่านที่มีการปกป้องซ้ำในเว็บไซต์ที่น่าสงสัย การตั้งค่านี้ควบคุมโดยนโยบายขององค์กร: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger โปรดทราบว่าการไม่ได้ตั้งค่านโยบายไว้จะไม่มีผลเหมือนกับการตั้งค่านโยบายเป็น |
realtimeUrlCheckMode |
เปิดใช้การสแกน URL ที่ไม่เป็นอันตรายระดับองค์กร (เช่น ที่กำหนดเอง) หรือไม่ การตั้งค่านี้อาจควบคุมโดยนโยบายองค์กร: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode |
thirdPartyBlockingEnabled |
Chrome บล็อกการแทรกซอฟต์แวร์ของบุคคลที่สามอยู่หรือไม่ การตั้งค่านี้อาจควบคุมโดยนโยบายระดับองค์กร: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled พร้อมให้ใช้งานบน Windows เท่านั้น |
trigger |
ทริกเกอร์ที่สร้างสัญญาณชุดนี้ |
profileEnrollmentDomain |
โดเมนการลงทะเบียนของลูกค้าซึ่งกำลังจัดการโปรไฟล์อยู่ |
crowdStrikeAgent |
พร็อพเพอร์ตี้ของตัวแทน Crowdstrike ที่ติดตั้งในอุปกรณ์ (หากมี) ใช้ได้ใน Windows และ MacOS เท่านั้น |
ระบบปฏิบัติการ
ระบบปฏิบัติการที่รองรับ
Enum | |
---|---|
OPERATING_SYSTEM_UNSPECIFIED |
ไม่ระบุ |
CHROME_OS |
ChromeOS |
CHROMIUM_OS |
ChromiumOS |
WINDOWS |
Windows |
MAC_OS_X |
Mac OS X |
LINUX |
Linux |
DiskEncryption
สถานะการเข้ารหัสที่เป็นไปได้สำหรับดิสก์หลัก
Enum | |
---|---|
DISK_ENCRYPTION_UNSPECIFIED |
ไม่ระบุ |
DISK_ENCRYPTION_UNKNOWN |
Chrome ประเมินสถานะการเข้ารหัสไม่ได้ |
DISK_ENCRYPTION_DISABLED |
ดิสก์หลักไม่ได้เข้ารหัส |
DISK_ENCRYPTION_ENCRYPTED |
ดิสก์หลักได้รับการเข้ารหัสแล้ว |
OsFirewall
สถานะที่เป็นไปได้ของไฟร์วอลล์ระดับระบบปฏิบัติการ
Enum | |
---|---|
OS_FIREWALL_UNSPECIFIED |
ไม่ระบุ |
OS_FIREWALL_UNKNOWN |
Chrome ประเมินสถานะไฟร์วอลล์ของระบบปฏิบัติการไม่ได้ |
OS_FIREWALL_DISABLED |
ไฟร์วอลล์ของระบบปฏิบัติการปิดอยู่ |
OS_FIREWALL_ENABLED |
เปิดใช้งานไฟร์วอลล์ระบบปฏิบัติการแล้ว |
ScreenLockSecured
สถานะที่เป็นไปได้ของการป้องกันด้วยรหัสผ่านสำหรับการล็อกหน้าจอ
Enum | |
---|---|
SCREEN_LOCK_SECURED_UNSPECIFIED |
ไม่ระบุ |
SCREEN_LOCK_SECURED_UNKNOWN |
Chrome ประเมินสถานะกลไกการล็อกหน้าจอไม่ได้ |
SCREEN_LOCK_SECURED_DISABLED |
การล็อกหน้าจอไม่ได้ป้องกันด้วยรหัสผ่าน |
SCREEN_LOCK_SECURED_ENABLED |
การล็อกหน้าจอได้รับการปกป้องด้วยรหัสผ่าน |
SecureBootMode
สถานะที่เป็นไปได้ของโหมดการเปิดเครื่องที่ปลอดภัยของอุปกรณ์
Enum | |
---|---|
SECURE_BOOT_MODE_UNSPECIFIED |
ไม่ระบุ |
SECURE_BOOT_MODE_UNKNOWN |
Chrome ไม่สามารถระบุโหมดการเปิดเครื่องที่ปลอดภัย |
SECURE_BOOT_MODE_DISABLED |
ปิดใช้ Secure Boot ในซอฟต์แวร์เริ่มต้น |
SECURE_BOOT_MODE_ENABLED |
การเปิดเครื่องที่ปลอดภัยเปิดใช้ในซอฟต์แวร์เริ่มต้น |
SafeBrowsingProtectionLevel
ค่าที่เป็นไปได้สำหรับระดับการป้องกันของ Google Safe Browsing
Enum | |
---|---|
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED |
ไม่ระบุ |
INACTIVE |
Google Safe Browsing ปิดใช้อยู่ |
STANDARD |
Google Safe Browsing ทำงานในโหมดมาตรฐาน |
ENHANCED |
Google Safe Browsing ทำงานในโหมดเพิ่มประสิทธิภาพ |
PasswordProtectionWarningTrigger
ค่าที่เป็นไปได้สำหรับทริกเกอร์คำเตือนให้ใช้รหัสผ่านป้องกัน
Enum | |
---|---|
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED |
ไม่ระบุ |
POLICY_UNSET |
ไม่ได้ตั้งค่านโยบาย |
PASSWORD_PROTECTION_OFF |
จะไม่มีการแสดงคำเตือนเพื่อการป้องกันรหัสผ่าน |
PASSWORD_REUSE |
คำเตือนให้ปกป้องรหัสผ่านจะแสดงขึ้นหากมีการใช้รหัสผ่านที่ได้รับการปกป้องซ้ำ |
PHISHING_REUSE |
คำเตือนให้ปกป้องรหัสผ่านจะแสดงขึ้นหากมีการใช้รหัสผ่านที่ได้รับการปกป้องซ้ำในเว็บไซต์ฟิชชิงที่รู้จัก |
RealtimeUrlCheckMode
ค่าที่เป็นไปได้สำหรับโหมดการตรวจสอบ URL แบบเรียลไทม์
Enum | |
---|---|
REALTIME_URL_CHECK_MODE_UNSPECIFIED |
ไม่ระบุ |
REALTIME_URL_CHECK_MODE_DISABLED |
ปิดใช้อยู่ ใช้การตรวจสอบกับ Google Safe Browsing สำหรับผู้บริโภค |
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME |
เปิดใช้การตรวจสอบแบบเรียลไทม์สำหรับ URL เฟรมหลักอยู่ |
CrowdStrikeAgent
พร็อพเพอร์ตี้ของตัวแทน CrowdStrike ที่ติดตั้งในอุปกรณ์
การแสดง JSON |
---|
{ "agentId": string, "customerId": string } |
ช่อง | |
---|---|
agentId |
รหัสตัวแทนของตัวแทน Crowdstrike |
customerId |
รหัสลูกค้าของตัวแทน |
ทริกเกอร์
ค่าที่เป็นไปได้สำหรับทริกเกอร์
Enum | |
---|---|
TRIGGER_UNSPECIFIED |
ไม่ระบุ |
TRIGGER_BROWSER_NAVIGATION |
เมื่อไปยัง URL ภายในเบราว์เซอร์ |
TRIGGER_LOGIN_SCREEN |
เมื่อลงชื่อเข้าใช้บัญชีในหน้าจอการเข้าสู่ระบบ ChromeOS |
KeyTrustLevel
ระดับความน่าเชื่อถือของคีย์ที่ผ่านการรับรอง
Enum | |
---|---|
KEY_TRUST_LEVEL_UNSPECIFIED |
ไม่ได้ระบุ |
CHROME_OS_VERIFIED_MODE |
อุปกรณ์ ChromeOS ในโหมดที่ยืนยันแล้ว |
CHROME_OS_DEVELOPER_MODE |
อุปกรณ์ ChromeOS ในโหมดนักพัฒนาซอฟต์แวร์ |
CHROME_BROWSER_HW_KEY |
เบราว์เซอร์ Chrome ซึ่งมีคีย์ที่จัดเก็บอยู่ในฮาร์ดแวร์อุปกรณ์ |
CHROME_BROWSER_OS_KEY |
เบราว์เซอร์ Chrome ที่มีคีย์ที่จัดเก็บไว้ที่ระดับระบบปฏิบัติการ |
CHROME_BROWSER_NO_KEY |
เบราว์เซอร์ Chrome ที่ไม่มีคีย์เอกสารรับรอง |