Method: challenge.verify

Verifiziert die Herausforderungsantwort.

HTTP-Anfrage

POST https://verifiedaccess.googleapis.com/v2/challenge:verify

Die URL verwendet die Syntax der gRPC-Transcodierung.

Anfragetext

Der Anfragetext enthält Daten mit folgender Struktur:

JSON-Darstellung 
{
  "challengeResponse": string,
  "expectedIdentity": string
}
Felder
challengeResponse

string (bytes format)

Erforderlich. Die generierte Antwort auf die Herausforderung, die Bytedarstellung von SignedData.

Ein base64-codierter String.
expectedIdentity

string

Optional. Der Dienst kann optional Identitätsinformationen zu dem mit dem Schlüssel verknüpften Gerät oder Nutzer zur Verfügung stellen. Bei einem EMK ist dieser Wert die registrierte Domain. Bei einem EUK ist dieser Wert die E-Mail-Adresse des Nutzers. Falls vorhanden, wird dieser Wert mit dem Inhalt der Antwort verglichen. Wenn keine Übereinstimmung vorliegt, schlägt die Überprüfung fehl.

Antworttext

Ergebnisnachricht für VerifiedAccess.VerifyChallengeResponse

Bei Erfolg enthält der Antworttext Daten mit der folgenden Struktur:

JSON-Darstellung 
{
  "devicePermanentId": string,
  "virtualDeviceId": string,
  "customerId": string,
  "signedPublicKeyAndChallenge": string,
  "deviceSignal": string,
  "deviceSignals": {
    object (DeviceSignals)
  },
  "keyTrustLevel": enum (KeyTrustLevel),
  "profileCustomerId": string,
  "virtualProfileId": string,
  "profileKeyTrustLevel": enum (KeyTrustLevel),
  "attestedDeviceId": string,
  "deviceEnrollmentId": string
}
Felder
devicePermanentId

string

In diesem Feld wird die permanente Geräte-ID zurückgegeben (nur für die Computerantwort).
virtualDeviceId

string

Virtuelle Geräte-ID des Geräts. Die Definition der virtuellen Geräte-ID ist plattformspezifisch.
customerId

string

Eindeutige Kundennummer, zu der dieses Gerät gehört, wie im Google Admin SDK unter https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers definiert
signedPublicKeyAndChallenge

string

In diesem Feld wird die Anfrage zur Zertifikatssignierung (im SPKAC-Format, base64-codiert) zurückgegeben. Dieses Feld wird nur festgelegt, wenn das Gerät in der Antwort einen Kundenbetreuer enthält. (Die Option zum Einbeziehen von CSR ist jetzt sowohl für Nutzer- als auch für maschinelle Antworten verfügbar.)
deviceSignal

string

Veraltet. Gerätesignal in JSON-Stringdarstellung. Ich bevorzuge die Verwendung von deviceSignals.
deviceSignals

object (DeviceSignals)

Gerätesignale.
keyTrustLevel

enum (KeyTrustLevel)

Das Gerät hat eine Schlüssel-Vertrauensstufe.
profileCustomerId

string

Eindeutige Kundennummer, zu der dieses Profil gehört, wie im Google Admin SDK unter https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers definiert
virtualProfileId

string

ID eines Profils auf dem Gerät.
profileKeyTrustLevel

enum (KeyTrustLevel)

Vom Profil attestiertes Vertrauensniveau für Schlüssel.
attestedDeviceId

string

Attestierte Geräte-ID (ADID).
deviceEnrollmentId

string

Geräteregistrierungs-ID für ChromeOS-Geräte.

Autorisierungsbereiche

Erfordert den folgenden OAuth-Bereich:

  • https://www.googleapis.com/auth/verifiedaccess

Weitere Informationen finden Sie in der Authentifizierungsübersicht.

DeviceSignals

Die von Chrome gemeldeten Gerätesignale. Sofern nicht anders angegeben, sind Signale auf allen Plattformen verfügbar.

JSON-Darstellung 
{
  "deviceManufacturer": string,
  "deviceModel": string,
  "operatingSystem": enum (OperatingSystem),
  "osVersion": string,
  "displayName": string,
  "diskEncryption": enum (DiskEncryption),
  "serialNumber": string,
  "osFirewall": enum (OsFirewall),
  "systemDnsServers": [
    string
  ],
  "hostname": string,
  "macAddresses": [
    string
  ],
  "screenLockSecured": enum (ScreenLockSecured),
  "allowScreenLock": boolean,
  "imei": [
    string
  ],
  "meid": [
    string
  ],
  "secureBootMode": enum (SecureBootMode),
  "windowsMachineDomain": string,
  "windowsUserDomain": string,
  "deviceEnrollmentDomain": string,
  "browserVersion": string,
  "deviceAffiliationIds": [
    string
  ],
  "profileAffiliationIds": [
    string
  ],
  "builtInDnsClientEnabled": boolean,
  "chromeRemoteDesktopAppBlocked": boolean,
  "safeBrowsingProtectionLevel": enum (SafeBrowsingProtectionLevel),
  "siteIsolationEnabled": boolean,
  "passwordProtectionWarningTrigger": enum (PasswordProtectionWarningTrigger),
  "realtimeUrlCheckMode": enum (RealtimeUrlCheckMode),
  "thirdPartyBlockingEnabled": boolean,
  "trigger": enum (Trigger),
  "profileEnrollmentDomain": string,
  "crowdStrikeAgent": {
    object (CrowdStrikeAgent)
  }
}
Felder
deviceManufacturer

string

Der Name des Geräteherstellers.
deviceModel

string

Der Name des Gerätemodells.
operatingSystem

enum (OperatingSystem)

Der Typ des Betriebssystems, das aktuell auf dem Gerät ausgeführt wird.
osVersion

string

Die aktuelle Version des Betriebssystems. Unter Windows und Linux enthält der Wert auch die Informationen zum Sicherheitspatch.
displayName

string

Der vom Nutzer festgelegte Anzeigename des Geräts.
diskEncryption

enum (DiskEncryption)

Der Verschlüsselungsstatus des Laufwerks. Unter ChromeOS ist das Hauptlaufwerk immer verschlüsselt.
serialNumber

string

Die Seriennummer des Geräts. Unter Windows steht sie für die Seriennummer des BIOS. In den meisten Linux-Distributionen nicht verfügbar.
osFirewall

enum (OsFirewall)

Der Status der Firewall auf Betriebssystemebene. Unter ChromeOS ist der Wert auf normalen Geräten immer AKTIVIERT und auf Geräten im Entwicklermodus immer UNBEKANNT.
systemDnsServers[]

string

Liste der Adressen aller DNS-Server auf Betriebssystemebene, die in den Netzwerkeinstellungen des Geräts konfiguriert sind.
hostname

string

Hostname des Geräts
macAddresses[]

string

MAC-Adressen des Geräts.
screenLockSecured

enum (ScreenLockSecured)

Der Status des Passwortschutzes für die Displaysperre. Unter ChromeOS ist dieser Wert immer AKTIVIERT, da es nicht möglich ist, die Anforderung eines Passworts oder einer PIN zum Entsperren des Geräts zu deaktivieren.
allowScreenLock

boolean

Wert der Richtlinie „AllowScreenLock“ auf dem Gerät. Weitere Informationen finden Sie unter https://chromeenterprise.google/policies/?policy=AllowScreenLock. Nur unter ChromeOS verfügbar.
imei[]

string

International Mobile Equipment Identity (IMEI) des Geräts Nur unter ChromeOS verfügbar.
meid[]

string

Mobile Equipment Identifier (MEID) des Geräts. Nur unter ChromeOS verfügbar.
secureBootMode

enum (SecureBootMode)

Gibt an, ob in der Startsoftware des Geräts die Funktion „Secure Boot“ aktiviert ist. Nur unter Windows verfügbar.
windowsMachineDomain

string

Die Windows-Domain, der der aktuelle Computer beigetreten ist. Nur unter Windows verfügbar.
windowsUserDomain

string

Windows-Domain für den aktuellen Nutzer des Betriebssystems. Nur unter Windows verfügbar.
deviceEnrollmentDomain

string

Registrierungsdomain des Kunden, der das Gerät derzeit verwaltet.
browserVersion

string

Dies ist die aktuelle Version des Chrome-Browsers, die diese Signale generiert hat. Beispielwert: „107.0.5286.0“.
deviceAffiliationIds[]

string

Affiliate-IDs der Organisationen, die mit der Organisation verbunden sind, die das Gerät derzeit verwaltet. Wenn sich die Gruppen von Geräte- und Profilzugehörigkeits-IDs überschneiden, bedeutet dies, dass die Organisationen, die das Gerät und den Nutzer verwalten, verknüpft sind. Weitere Informationen zur Nutzerzugehörigkeit finden Sie unter https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936.
profileAffiliationIds[]

string

Affiliate-IDs der Organisationen, die zu der Organisation gehören, die derzeit den Nutzer des Chrome-Profils oder ChromeOS-Nutzers verwaltet.
builtInDnsClientEnabled

boolean

Gibt an, ob der in Chrome integrierte DNS-Client verwendet wird. Andernfalls wird der DNS-Client des Betriebssystems verwendet. Dieser Wert wird möglicherweise durch eine Unternehmensrichtlinie gesteuert: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled.
chromeRemoteDesktopAppBlocked

boolean

Gibt an, ob der Zugriff auf die Chrome Remote Desktop App durch eine Richtlinie blockiert wird.
safeBrowsingProtectionLevel

enum (SafeBrowsingProtectionLevel)

Safe Browsing-Schutzniveau. Diese Einstellung kann über eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel.
siteIsolationEnabled

boolean

Gibt an, ob die Einstellung „Website-Isolierung (auch Website-pro-Prozess)“ aktiviert ist. Diese Einstellung kann über eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#SitePerProcess.
passwordProtectionWarningTrigger

enum (PasswordProtectionWarningTrigger)

Gibt an, ob die Funktion „Passwortschutzwarnung“ aktiviert ist oder nicht. Durch den Passwortschutz werden Nutzer gewarnt, wenn sie ihr geschütztes Passwort auf potenziell verdächtigen Websites wiederverwenden. Diese Einstellung wird durch eine Unternehmensrichtlinie gesteuert: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger.

Hinweis: Wenn die Richtlinie nicht konfiguriert ist, hat das nicht dieselben Auswirkungen wie eine explizite Einstellung der Richtlinie auf „PASSWORD_PROTECTION_OFF“.
realtimeUrlCheckMode

enum (RealtimeUrlCheckMode)

Gibt an, ob das Scannen unsicherer URLs auf Unternehmensniveau (d.h. benutzerdefiniert) aktiviert ist oder nicht. Diese Einstellung kann über eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode.
thirdPartyBlockingEnabled

boolean

Ob Chrome die Einschleusung von Drittanbieter-Software blockiert oder nicht. Diese Einstellung kann über eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. Nur unter Windows verfügbar.
trigger

enum (Trigger)

Der Trigger, der diese Gruppe von Signalen generiert hat.
profileEnrollmentDomain

string

Registrierungsdomain des Kunden, der das Profil derzeit verwaltet.
crowdStrikeAgent

object (CrowdStrikeAgent)

Gegebenenfalls sind auf dem Gerät installierte CrowdStrike-Agent-Eigenschaften. Nur unter Windows und macOS verfügbar.

OperatingSystem

Unterstützte Betriebssysteme.

Enums
OPERATING_SYSTEM_UNSPECIFIED OHNE ANGABE.
CHROME_OS ChromeOS
CHROMIUM_OS Chromium OS
WINDOWS Windows.
MAC_OS_X Mac OS X.
LINUX Linux

DiskEncryption

Mögliche Verschlüsselungsstatus für das Hauptlaufwerk.

Enums
DISK_ENCRYPTION_UNSPECIFIED Nicht angegeben
DISK_ENCRYPTION_UNKNOWN Chrome konnte den Verschlüsselungsstatus nicht auswerten.
DISK_ENCRYPTION_DISABLED Das Hauptlaufwerk ist nicht verschlüsselt.
DISK_ENCRYPTION_ENCRYPTED Das Hauptlaufwerk ist verschlüsselt.

OsFirewall

Mögliche Status der Firewall auf Betriebssystemebene.

Enums
OS_FIREWALL_UNSPECIFIED Nicht angegeben
OS_FIREWALL_UNKNOWN Chrome konnte den Firewallstatus des Betriebssystems nicht auswerten.
OS_FIREWALL_DISABLED Die Firewall des Betriebssystems ist deaktiviert.
OS_FIREWALL_ENABLED Die Firewall des Betriebssystems ist aktiviert.

ScreenLockSecured

Mögliche Status des Passwortschutzes für die Displaysperre.

Enums
SCREEN_LOCK_SECURED_UNSPECIFIED Nicht angegeben
SCREEN_LOCK_SECURED_UNKNOWN Chrome konnte den Status der Displaysperre nicht bewerten.
SCREEN_LOCK_SECURED_DISABLED Die Displaysperre ist nicht passwortgeschützt.
SCREEN_LOCK_SECURED_ENABLED Die Displaysperre ist passwortgeschützt.

SecureBootMode

Mögliche Status des sicheren Startmodus des Geräts.

Enums
SECURE_BOOT_MODE_UNSPECIFIED Nicht angegeben
SECURE_BOOT_MODE_UNKNOWN Chrome konnte den Secure Boot-Modus nicht ermitteln.
SECURE_BOOT_MODE_DISABLED Secure Boot wurde in der Startsoftware deaktiviert.
SECURE_BOOT_MODE_ENABLED Secure Boot wurde in der Startsoftware aktiviert.

SafeBrowsingProtectionLevel

Mögliche Werte für das Safe Browsing-Schutzniveau.

Enums
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED Nicht angegeben
INACTIVE Safe Browsing ist deaktiviert.
STANDARD Safe Browsing ist im Standardmodus aktiv.
ENHANCED Safe Browsing ist im erweiterten Modus aktiv.

PasswordProtectionWarningTrigger

Mögliche Werte für den Trigger für die Passwortschutzwarnung.

Enums
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED Nicht angegeben
POLICY_UNSET Die Richtlinie ist nicht konfiguriert.
PASSWORD_PROTECTION_OFF Es wird keine Passwortschutzwarnung angezeigt.
PASSWORD_REUSE Die Passwortschutzwarnung wird angezeigt, wenn ein geschütztes Passwort wiederverwendet wird.
PHISHING_REUSE Die Passwortschutzwarnung wird angezeigt, wenn ein geschütztes Passwort auf einer bekannten Phishing-Website wiederverwendet wird.

RealtimeUrlCheckMode

Mögliche Werte für den Echtzeit-URL-Prüfungsmodus.

Enums
REALTIME_URL_CHECK_MODE_UNSPECIFIED Nicht angegeben
REALTIME_URL_CHECK_MODE_DISABLED Deaktiviert. Es findet eine Safe Browsing-Überprüfung für Verbraucher statt.
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME Die Echtzeitprüfung für Mainframe-URLs ist aktiviert.

CrowdStrikeAgent

Eigenschaften des auf einem Gerät installierten CrowdStrike-Agents.

JSON-Darstellung 
{
  "agentId": string,
  "customerId": string
}
Felder
agentId

string

Die Agent-ID des Crowdstrike-Agents.
customerId

string

Die Kundennummer, zu der der Agent gehört.

Trigger

Mögliche Werte für den Trigger.

Enums
TRIGGER_UNSPECIFIED Nicht angegeben
TRIGGER_BROWSER_NAVIGATION Beim Aufrufen einer URL in einem Browser
TRIGGER_LOGIN_SCREEN Bei der Anmeldung in einem Konto auf dem ChromeOS-Anmeldebildschirm

KeyTrustLevel

Die Vertrauensebene des attestierten Schlüssels.

Enums
KEY_TRUST_LEVEL_UNSPECIFIED OHNE ANGABE.
CHROME_OS_VERIFIED_MODE ChromeOS-Gerät im bestätigten Modus.
CHROME_OS_DEVELOPER_MODE ChromeOS-Gerät im Entwicklermodus.
CHROME_BROWSER_HW_KEY Chrome-Browser mit dem auf der Gerätehardware gespeicherten Schlüssel.
CHROME_BROWSER_OS_KEY Chrome-Browser mit dem auf Betriebssystemebene gespeicherten Schlüssel.
CHROME_BROWSER_NO_KEY Chrome-Browser ohne Attestierungsschlüssel