Method: challenge.verify

Prüft die Antwort auf die Bestätigungsfrage.

HTTP-Anfrage

POST https://verifiedaccess.googleapis.com/v2/challenge:verify

Die URL verwendet die Syntax der gRPC-Transcodierung.

Anfragetext

Der Anfragetext enthält Daten mit folgender Struktur:

JSON-Darstellung 
{
  "challengeResponse": string,
  "expectedIdentity": string
}
Felder
challengeResponse

string (bytes format)

Erforderlich. Die generierte Antwort auf die Herausforderung, die Bytedarstellung von SignedData.

Ein base64-codierter String.
expectedIdentity

string

Optional. Der Dienst kann optional Identitätsinformationen zum Gerät oder Nutzer bereitstellen, die mit dem Schlüssel verknüpft sind. Bei einer EMK ist dies die registrierte Domain. Bei einem EUK ist dieser Wert die E-Mail-Adresse des Nutzers. Falls vorhanden, wird dieser Wert mit dem Inhalt der Antwort verglichen. Die Überprüfung schlägt fehl, wenn keine Übereinstimmung gefunden wird.

Antworttext

Ergebnismeldung für VerifiedAccess.VerifyChallengeResponse

Die Antwort, die zurückgegeben wird, wenn sie für verwaltete Profile in nicht verwalteten Browsern erfolgreich war, enthält NICHT die Felder „devicePermanentId“, „keyTrustLevel“, „virtualDeviceId“ und „customerId“. Verwaltete Profile enthalten STATTDESSEN die Felder „profileCustomerId“, „virtualProfileId“ und „profileKeyTrustLevel“.

Bei Erfolg enthält der Antworttext Daten mit der folgenden Struktur:

JSON-Darstellung 
{
  "devicePermanentId": string,
  "virtualDeviceId": string,
  "customerId": string,
  "signedPublicKeyAndChallenge": string,
  "deviceSignal": string,
  "deviceSignals": {
    object (DeviceSignals)
  },
  "keyTrustLevel": enum (KeyTrustLevel),
  "profileCustomerId": string,
  "virtualProfileId": string,
  "profileKeyTrustLevel": enum (KeyTrustLevel),
  "attestedDeviceId": string,
  "deviceEnrollmentId": string
}
Felder
devicePermanentId

string

Die permanente Geräte-ID wird in diesem Feld zurückgegeben (nur für die Maschinenantwort).
virtualDeviceId

string

Virtuelle Geräte-ID des Geräts. Die Definition der virtuellen Geräte-ID ist plattformspezifisch.
customerId

string

Die eindeutige Kunden-ID, zu der dieses Gerät gehört, wie im Google Admin SDK unter https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers definiert.
signedPublicKeyAndChallenge

string

In diesem Feld wird die Zertifikatsignaturanfrage (im SPKAC-Format, base64-codiert) zurückgegeben. Dieses Feld wird nur festgelegt, wenn das Gerät in der Antwort auf die Abfrage den CSR angegeben hat. (Die Option zum Einfügen von Kundenservicemitarbeitern ist jetzt sowohl für Nutzer- als auch für Maschinenantworten verfügbar.)
deviceSignal

string

Verworfen. Gerätesignal in JSON-Stringdarstellung. Verwenden Sie stattdessen deviceSignals.
deviceSignals

object (DeviceSignals)

Gerätesignale
keyTrustLevel

enum (KeyTrustLevel)

Vertrauensstellung des Schlüssels, der vom Gerät attestiert wurde.
profileCustomerId

string

Die eindeutige Kunden-ID, zu der dieses Profil gehört, wie im Google Admin SDK unter https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers definiert.
virtualProfileId

string

Die ID eines Profils auf dem Gerät.
profileKeyTrustLevel

enum (KeyTrustLevel)

Profil bestätigtes Schlüsselvertrauensniveau.
attestedDeviceId

string

Attestierte Geräte-ID (ADID)
deviceEnrollmentId

string

Die Geräteregistrierungs-ID für ChromeOS-Geräte.

Autorisierungsbereiche

Erfordert den folgenden OAuth-Bereich:

  • https://www.googleapis.com/auth/verifiedaccess

Weitere Informationen finden Sie in der Authentifizierungsübersicht.

DeviceSignals

Die von Chrome gemeldeten Gerätesignale. Sofern nicht anders angegeben, sind Signale auf allen Plattformen verfügbar.

JSON-Darstellung 
{
  "deviceManufacturer": string,
  "deviceModel": string,
  "operatingSystem": enum (OperatingSystem),
  "osVersion": string,
  "displayName": string,
  "diskEncryption": enum (DiskEncryption),
  "serialNumber": string,
  "osFirewall": enum (OsFirewall),
  "systemDnsServers": [
    string
  ],
  "hostname": string,
  "macAddresses": [
    string
  ],
  "screenLockSecured": enum (ScreenLockSecured),
  "allowScreenLock": boolean,
  "imei": [
    string
  ],
  "meid": [
    string
  ],
  "secureBootMode": enum (SecureBootMode),
  "windowsMachineDomain": string,
  "windowsUserDomain": string,
  "deviceEnrollmentDomain": string,
  "browserVersion": string,
  "deviceAffiliationIds": [
    string
  ],
  "profileAffiliationIds": [
    string
  ],
  "builtInDnsClientEnabled": boolean,
  "chromeRemoteDesktopAppBlocked": boolean,
  "safeBrowsingProtectionLevel": enum (SafeBrowsingProtectionLevel),
  "siteIsolationEnabled": boolean,
  "passwordProtectionWarningTrigger": enum (PasswordProtectionWarningTrigger),
  "realtimeUrlCheckMode": enum (RealtimeUrlCheckMode),
  "thirdPartyBlockingEnabled": boolean,
  "trigger": enum (Trigger),
  "profileEnrollmentDomain": string,
  "crowdStrikeAgent": {
    object (CrowdStrikeAgent)
  }
}
Felder
deviceManufacturer

string

Der Name des Geräteherstellers.
deviceModel

string

Der Name des Gerätemodells.
operatingSystem

enum (OperatingSystem)

Der Typ des Betriebssystems, das derzeit auf dem Gerät ausgeführt wird.
osVersion

string

Die aktuelle Version des Betriebssystems. Unter Windows und Linux enthält der Wert auch die Informationen zum Sicherheitspatch.
displayName

string

Der vom Nutzer definierte Anzeigename des Geräts.
diskEncryption

enum (DiskEncryption)

Der Verschlüsselungsstatus des Laufwerks. Unter ChromeOS ist das Hauptlaufwerk immer VERSCHLÜSSELT.
serialNumber

string

Die Seriennummer des Geräts. Unter Windows entspricht dies der Seriennummer des BIOS. Nicht auf den meisten Linux-Distributionen verfügbar.
osFirewall

enum (OsFirewall)

Der Status der Firewall auf Betriebssystemebene. Unter ChromeOS ist der Wert auf normalen Geräten immer AKTIVIERT und auf Geräten im Entwicklermodus UNBEKANNT. In Chrome M131 werden macOS 15 (Sequoia) und höher unterstützt.
systemDnsServers[]

string

Liste der Adressen aller DNS-Server auf Betriebssystemebene, die in den Netzwerkeinstellungen des Geräts konfiguriert wurden.
hostname

string

Hostname des Geräts.
macAddresses[]

string

MAC-Adressen des Geräts.
screenLockSecured

enum (ScreenLockSecured)

Der Status des Passwortschutzes für die Displaysperre. Unter ChromeOS ist dieser Wert immer AKTIVIERT, da es keine Möglichkeit gibt, die Eingabe eines Passworts oder einer PIN zum Entsperren des Geräts zu deaktivieren.
allowScreenLock

boolean

Wert der Richtlinie „AllowScreenLock“ auf dem Gerät. Weitere Informationen finden Sie unter https://chromeenterprise.google/policies/?policy=AllowScreenLock. Nur unter ChromeOS verfügbar.
imei[]

string

International Mobile Equipment Identifier (IMEI) des Geräts. Nur unter ChromeOS verfügbar.
meid[]

string

Die MEID-Nummer (Mobile Equipment Identifier) des Geräts. Nur unter ChromeOS verfügbar.
secureBootMode

enum (SecureBootMode)

Gibt an, ob die Secure Boot-Funktion in der Startsoftware des Geräts aktiviert ist. Nur für Windows verfügbar.
windowsMachineDomain

string

Windows-Domain, der der aktuelle Computer beigetreten ist. Nur für Windows verfügbar.
windowsUserDomain

string

Windows-Domain für den aktuellen Nutzer des Betriebssystems. Nur unter Windows verfügbar.
deviceEnrollmentDomain

string

Die Registrierungsdomain des Kunden, der das Gerät derzeit verwaltet.
browserVersion

string

Die aktuelle Version des Chrome-Browsers, mit dem diese Signale generiert wurden. Beispielwert: „107.0.5286.0“.
deviceAffiliationIds[]

string

Zugehörigkeits-IDs der Organisationen, die mit der Organisation verknüpft sind, die das Gerät derzeit verwaltet. Wenn sich die Geräte- und Profilzuordnungs-IDs überschneiden, sind die Organisationen, die das Gerät und den Nutzer verwalten, miteinander verbunden. Weitere Informationen zur Nutzerverknüpfung finden Sie unter https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936.
profileAffiliationIds[]

string

Zugehörigkeits-IDs der Organisationen, die mit der Organisation verbunden sind, die derzeit den Chrome-Nutzer oder ChromeOS-Nutzer des Chrome-Profils verwaltet.
builtInDnsClientEnabled

boolean

Gibt an, ob der integrierte DNS-Client von Chrome verwendet wird. Andernfalls wird der DNS-Client des Betriebssystems verwendet. Dieser Wert kann über eine Unternehmensrichtlinie festgelegt werden: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled.
chromeRemoteDesktopAppBlocked

boolean

Gibt an, ob der Zugriff auf die Chrome Remote Desktop-Anwendung über eine Richtlinie blockiert ist.
safeBrowsingProtectionLevel

enum (SafeBrowsingProtectionLevel)

Schutzniveau für Safe Browsing. Diese Einstellung kann durch eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel.
siteIsolationEnabled

boolean

Gibt an, ob die Einstellung „Website-Isolierung“ (auch „Website pro Prozess“ genannt) aktiviert ist. Diese Einstellung kann durch eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#SitePerProcess
passwordProtectionWarningTrigger

enum (PasswordProtectionWarningTrigger)

Ob die Funktion „Passwortschutzwarnung“ aktiviert ist oder nicht. Der Passwortschutz warnt Nutzer, wenn sie ihr geschütztes Passwort auf potenziell verdächtigen Websites wiederverwenden. Diese Einstellung wird über eine Unternehmensrichtlinie gesteuert: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger.

Hinweis: Wenn die Richtlinie nicht konfiguriert ist, hat dies nicht dieselben Auswirkungen wie eine explizite Festlegung der Richtlinie auf PASSWORD_PROTECTION_OFF.
realtimeUrlCheckMode

enum (RealtimeUrlCheckMode)

Gibt an, ob das Scannen unsicherer URLs auf Enterprise-Ebene (d.h. benutzerdefiniert) aktiviert ist oder nicht. Diese Einstellung kann durch eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode
thirdPartyBlockingEnabled

boolean

Gibt an, ob Chrome das Einschleusen von Drittanbieter-Software blockiert. Diese Einstellung kann durch eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. Nur unter Windows verfügbar.
trigger

enum (Trigger)

Der Trigger, durch den diese Signale generiert wurden.
profileEnrollmentDomain

string

Die Registrierungsdomain des Kunden, der das Profil derzeit verwaltet.
crowdStrikeAgent

object (CrowdStrikeAgent)

Auf dem Gerät installierte Crowdstrike-Agent-Eigenschaften, falls vorhanden. Nur für Windows und macOS verfügbar.

OperatingSystem

Unterstützte Betriebssysteme

Enums
OPERATING_SYSTEM_UNSPECIFIED UNGEFÜLLT.
CHROME_OS ChromeOS.
CHROMIUM_OS ChromiumOS
WINDOWS Windows
MAC_OS_X Mac OS X
LINUX Linux

DiskEncryption

Mögliche Verschlüsselungsstatus für das Hauptlaufwerk.

Enums
DISK_ENCRYPTION_UNSPECIFIED Nicht angegeben
DISK_ENCRYPTION_UNKNOWN Chrome konnte den Verschlüsselungsstatus nicht auswerten.
DISK_ENCRYPTION_DISABLED Das Hauptlaufwerk ist nicht verschlüsselt.
DISK_ENCRYPTION_ENCRYPTED Das Hauptlaufwerk ist verschlüsselt.

OsFirewall

Mögliche Status der Firewall auf Betriebssystemebene.

Enums
OS_FIREWALL_UNSPECIFIED Nicht angegeben
OS_FIREWALL_UNKNOWN Chrome konnte den Status der Betriebssystem-Firewall nicht prüfen.
OS_FIREWALL_DISABLED Die Betriebssystem-Firewall ist deaktiviert.
OS_FIREWALL_ENABLED Die Betriebssystem-Firewall ist aktiviert.

ScreenLockSecured

Mögliche Status des Passwortschutzes für die Displaysperre.

Enums
SCREEN_LOCK_SECURED_UNSPECIFIED Nicht angegeben
SCREEN_LOCK_SECURED_UNKNOWN Chrome konnte den Status des Bildschirmsperremechanismus nicht prüfen.
SCREEN_LOCK_SECURED_DISABLED Die Displaysperre ist nicht passwortgeschützt.
SCREEN_LOCK_SECURED_ENABLED Die Displaysperre ist passwortgeschützt.

SecureBootMode

Mögliche Status des Secure Boot-Modus des Geräts.

Enums
SECURE_BOOT_MODE_UNSPECIFIED Nicht angegeben
SECURE_BOOT_MODE_UNKNOWN Chrome konnte den Secure Boot-Modus nicht ermitteln.
SECURE_BOOT_MODE_DISABLED Secure Boot wurde in der Startsoftware deaktiviert.
SECURE_BOOT_MODE_ENABLED Secure Boot wurde in der Startsoftware aktiviert.

SafeBrowsingProtectionLevel

Mögliche Werte für das Safe Browsing-Schutzniveau.

Enums
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED Nicht angegeben
INACTIVE Safe Browsing ist deaktiviert.
STANDARD Safe Browsing ist im Standardmodus aktiv.
ENHANCED Safe Browsing ist im erweiterten Modus aktiv.

PasswordProtectionWarningTrigger

Mögliche Werte für den Auslöser für Passwortschutzwarnung.

Enums
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED Nicht angegeben
POLICY_UNSET Die Richtlinie ist nicht festgelegt.
PASSWORD_PROTECTION_OFF Es wird keine Passwortschutzwarnung angezeigt.
PASSWORD_REUSE Die Passwortschutzwarnung wird angezeigt, wenn ein geschütztes Passwort wiederverwendet wird.
PHISHING_REUSE Die Passwortschutzwarnung wird angezeigt, wenn ein geschütztes Passwort auf einer bekannten Phishing-Website wiederverwendet wird.

RealtimeUrlCheckMode

Mögliche Werte für den Echtzeitmodus für die URL-Prüfung.

Enums
REALTIME_URL_CHECK_MODE_UNSPECIFIED Nicht angegeben
REALTIME_URL_CHECK_MODE_DISABLED Deaktiviert. Es werden Consumer Safe Browsing-Prüfungen angewendet.
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME Die Echtzeitüberprüfung für Mainframe-URLs ist aktiviert.

CrowdStrikeAgent

Eigenschaften des auf einem Gerät installierten CrowdStrike-Agents.

JSON-Darstellung 
{
  "agentId": string,
  "customerId": string
}
Felder
agentId

string

Die Agent-ID des Crowdstrike-Agenten.
customerId

string

Die Kundennummer, zu der der Agent gehört.

Trigger

Mögliche Werte für den Trigger.

Enums
TRIGGER_UNSPECIFIED Nicht angegeben
TRIGGER_BROWSER_NAVIGATION Wenn Sie eine URL in einem Browser aufrufen.
TRIGGER_LOGIN_SCREEN Wenn Sie sich auf dem ChromeOS-Anmeldebildschirm in einem Konto anmelden.

KeyTrustLevel

Die Vertrauensebene des attestierten Schlüssels.

Enums
KEY_TRUST_LEVEL_UNSPECIFIED UNGEFÜLLT.
CHROME_OS_VERIFIED_MODE ChromeOS-Gerät im bestätigten Modus
CHROME_OS_DEVELOPER_MODE ChromeOS-Gerät im Entwicklermodus
CHROME_BROWSER_HW_KEY Chrome-Browser mit dem Schlüssel, der in der Gerätehardware gespeichert ist
CHROME_BROWSER_OS_KEY Chrome-Browser mit Schlüssel auf Betriebssystemebene
CHROME_BROWSER_NO_KEY Chrome-Browser ohne Attestationsschlüssel