- HTTP-Anfrage
- Anfragetext
- Antworttext
- Autorisierungsbereiche
- DeviceSignals
- OperatingSystem
- DiskEncryption
- OsFirewall
- ScreenLockSecured
- SecureBootMode
- SafeBrowsingProtectionLevel
- PasswordProtectionWarningTrigger
- RealtimeUrlCheckMode
- CrowdStrikeAgent
- Trigger
- KeyTrustLevel
Verifiziert die Herausforderungsantwort.
HTTP-Anfrage
POST https://verifiedaccess.googleapis.com/v2/challenge:verify
Die URL verwendet die Syntax der gRPC-Transcodierung.
Anfragetext
Der Anfragetext enthält Daten mit folgender Struktur:
JSON-Darstellung |
---|
{ "challengeResponse": string, "expectedIdentity": string } |
Felder | |
---|---|
challengeResponse |
Erforderlich. Die generierte Antwort auf die Herausforderung, die Bytedarstellung von SignedData. Ein base64-codierter String. |
expectedIdentity |
Optional. Der Dienst kann optional Identitätsinformationen zu dem mit dem Schlüssel verknüpften Gerät oder Nutzer zur Verfügung stellen. Bei einem EMK ist dieser Wert die registrierte Domain. Bei einem EUK ist dieser Wert die E-Mail-Adresse des Nutzers. Falls vorhanden, wird dieser Wert mit dem Inhalt der Antwort verglichen. Wenn keine Übereinstimmung vorliegt, schlägt die Überprüfung fehl. |
Antworttext
Ergebnisnachricht für VerifiedAccess.VerifyChallengeResponse
Bei Erfolg enthält der Antworttext Daten mit der folgenden Struktur:
JSON-Darstellung |
---|
{ "devicePermanentId": string, "virtualDeviceId": string, "customerId": string, "signedPublicKeyAndChallenge": string, "deviceSignal": string, "deviceSignals": { object ( |
Felder | |
---|---|
devicePermanentId |
In diesem Feld wird die permanente Geräte-ID zurückgegeben (nur für die Computerantwort). |
virtualDeviceId |
Virtuelle Geräte-ID des Geräts. Die Definition der virtuellen Geräte-ID ist plattformspezifisch. |
customerId |
Eindeutige Kundennummer, zu der dieses Gerät gehört, wie im Google Admin SDK unter https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers definiert |
signedPublicKeyAndChallenge |
In diesem Feld wird die Anfrage zur Zertifikatssignierung (im SPKAC-Format, base64-codiert) zurückgegeben. Dieses Feld wird nur festgelegt, wenn das Gerät in der Antwort einen Kundenbetreuer enthält. (Die Option zum Einbeziehen von CSR ist jetzt sowohl für Nutzer- als auch für maschinelle Antworten verfügbar.) |
deviceSignal |
Veraltet. Gerätesignal in JSON-Stringdarstellung. Ich bevorzuge die Verwendung von |
deviceSignals |
Gerätesignale. |
keyTrustLevel |
Das Gerät hat eine Schlüssel-Vertrauensstufe. |
profileCustomerId |
Eindeutige Kundennummer, zu der dieses Profil gehört, wie im Google Admin SDK unter https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers definiert |
virtualProfileId |
ID eines Profils auf dem Gerät. |
profileKeyTrustLevel |
Vom Profil attestiertes Vertrauensniveau für Schlüssel. |
attestedDeviceId |
Attestierte Geräte-ID (ADID). |
deviceEnrollmentId |
Geräteregistrierungs-ID für ChromeOS-Geräte. |
Autorisierungsbereiche
Erfordert den folgenden OAuth-Bereich:
https://www.googleapis.com/auth/verifiedaccess
Weitere Informationen finden Sie in der Authentifizierungsübersicht.
DeviceSignals
Die von Chrome gemeldeten Gerätesignale. Sofern nicht anders angegeben, sind Signale auf allen Plattformen verfügbar.
JSON-Darstellung |
---|
{ "deviceManufacturer": string, "deviceModel": string, "operatingSystem": enum ( |
Felder | |
---|---|
deviceManufacturer |
Der Name des Geräteherstellers. |
deviceModel |
Der Name des Gerätemodells. |
operatingSystem |
Der Typ des Betriebssystems, das aktuell auf dem Gerät ausgeführt wird. |
osVersion |
Die aktuelle Version des Betriebssystems. Unter Windows und Linux enthält der Wert auch die Informationen zum Sicherheitspatch. |
displayName |
Der vom Nutzer festgelegte Anzeigename des Geräts. |
diskEncryption |
Der Verschlüsselungsstatus des Laufwerks. Unter ChromeOS ist das Hauptlaufwerk immer verschlüsselt. |
serialNumber |
Die Seriennummer des Geräts. Unter Windows steht sie für die Seriennummer des BIOS. In den meisten Linux-Distributionen nicht verfügbar. |
osFirewall |
Der Status der Firewall auf Betriebssystemebene. Unter ChromeOS ist der Wert auf normalen Geräten immer AKTIVIERT und auf Geräten im Entwicklermodus immer UNBEKANNT. |
systemDnsServers[] |
Liste der Adressen aller DNS-Server auf Betriebssystemebene, die in den Netzwerkeinstellungen des Geräts konfiguriert sind. |
hostname |
Hostname des Geräts |
macAddresses[] |
MAC-Adressen des Geräts. |
screenLockSecured |
Der Status des Passwortschutzes für die Displaysperre. Unter ChromeOS ist dieser Wert immer AKTIVIERT, da es nicht möglich ist, die Anforderung eines Passworts oder einer PIN zum Entsperren des Geräts zu deaktivieren. |
allowScreenLock |
Wert der Richtlinie „AllowScreenLock“ auf dem Gerät. Weitere Informationen finden Sie unter https://chromeenterprise.google/policies/?policy=AllowScreenLock. Nur unter ChromeOS verfügbar. |
imei[] |
International Mobile Equipment Identity (IMEI) des Geräts Nur unter ChromeOS verfügbar. |
meid[] |
Mobile Equipment Identifier (MEID) des Geräts. Nur unter ChromeOS verfügbar. |
secureBootMode |
Gibt an, ob in der Startsoftware des Geräts die Funktion „Secure Boot“ aktiviert ist. Nur unter Windows verfügbar. |
windowsMachineDomain |
Die Windows-Domain, der der aktuelle Computer beigetreten ist. Nur unter Windows verfügbar. |
windowsUserDomain |
Windows-Domain für den aktuellen Nutzer des Betriebssystems. Nur unter Windows verfügbar. |
deviceEnrollmentDomain |
Registrierungsdomain des Kunden, der das Gerät derzeit verwaltet. |
browserVersion |
Dies ist die aktuelle Version des Chrome-Browsers, die diese Signale generiert hat. Beispielwert: „107.0.5286.0“. |
deviceAffiliationIds[] |
Affiliate-IDs der Organisationen, die mit der Organisation verbunden sind, die das Gerät derzeit verwaltet. Wenn sich die Gruppen von Geräte- und Profilzugehörigkeits-IDs überschneiden, bedeutet dies, dass die Organisationen, die das Gerät und den Nutzer verwalten, verknüpft sind. Weitere Informationen zur Nutzerzugehörigkeit finden Sie unter https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936. |
profileAffiliationIds[] |
Affiliate-IDs der Organisationen, die zu der Organisation gehören, die derzeit den Nutzer des Chrome-Profils oder ChromeOS-Nutzers verwaltet. |
builtInDnsClientEnabled |
Gibt an, ob der in Chrome integrierte DNS-Client verwendet wird. Andernfalls wird der DNS-Client des Betriebssystems verwendet. Dieser Wert wird möglicherweise durch eine Unternehmensrichtlinie gesteuert: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled. |
chromeRemoteDesktopAppBlocked |
Gibt an, ob der Zugriff auf die Chrome Remote Desktop App durch eine Richtlinie blockiert wird. |
safeBrowsingProtectionLevel |
Safe Browsing-Schutzniveau. Diese Einstellung kann über eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel. |
siteIsolationEnabled |
Gibt an, ob die Einstellung „Website-Isolierung (auch Website-pro-Prozess)“ aktiviert ist. Diese Einstellung kann über eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#SitePerProcess. |
passwordProtectionWarningTrigger |
Gibt an, ob die Funktion „Passwortschutzwarnung“ aktiviert ist oder nicht. Durch den Passwortschutz werden Nutzer gewarnt, wenn sie ihr geschütztes Passwort auf potenziell verdächtigen Websites wiederverwenden. Diese Einstellung wird durch eine Unternehmensrichtlinie gesteuert: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger. Hinweis: Wenn die Richtlinie nicht konfiguriert ist, hat das nicht dieselben Auswirkungen wie eine explizite Einstellung der Richtlinie auf „ |
realtimeUrlCheckMode |
Gibt an, ob das Scannen unsicherer URLs auf Unternehmensniveau (d.h. benutzerdefiniert) aktiviert ist oder nicht. Diese Einstellung kann über eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode. |
thirdPartyBlockingEnabled |
Ob Chrome die Einschleusung von Drittanbieter-Software blockiert oder nicht. Diese Einstellung kann über eine Unternehmensrichtlinie gesteuert werden: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. Nur unter Windows verfügbar. |
trigger |
Der Trigger, der diese Gruppe von Signalen generiert hat. |
profileEnrollmentDomain |
Registrierungsdomain des Kunden, der das Profil derzeit verwaltet. |
crowdStrikeAgent |
Gegebenenfalls sind auf dem Gerät installierte CrowdStrike-Agent-Eigenschaften. Nur unter Windows und macOS verfügbar. |
OperatingSystem
Unterstützte Betriebssysteme.
Enums | |
---|---|
OPERATING_SYSTEM_UNSPECIFIED |
OHNE ANGABE. |
CHROME_OS |
ChromeOS |
CHROMIUM_OS |
Chromium OS |
WINDOWS |
Windows. |
MAC_OS_X |
Mac OS X. |
LINUX |
Linux |
DiskEncryption
Mögliche Verschlüsselungsstatus für das Hauptlaufwerk.
Enums | |
---|---|
DISK_ENCRYPTION_UNSPECIFIED |
Nicht angegeben |
DISK_ENCRYPTION_UNKNOWN |
Chrome konnte den Verschlüsselungsstatus nicht auswerten. |
DISK_ENCRYPTION_DISABLED |
Das Hauptlaufwerk ist nicht verschlüsselt. |
DISK_ENCRYPTION_ENCRYPTED |
Das Hauptlaufwerk ist verschlüsselt. |
OsFirewall
Mögliche Status der Firewall auf Betriebssystemebene.
Enums | |
---|---|
OS_FIREWALL_UNSPECIFIED |
Nicht angegeben |
OS_FIREWALL_UNKNOWN |
Chrome konnte den Firewallstatus des Betriebssystems nicht auswerten. |
OS_FIREWALL_DISABLED |
Die Firewall des Betriebssystems ist deaktiviert. |
OS_FIREWALL_ENABLED |
Die Firewall des Betriebssystems ist aktiviert. |
ScreenLockSecured
Mögliche Status des Passwortschutzes für die Displaysperre.
Enums | |
---|---|
SCREEN_LOCK_SECURED_UNSPECIFIED |
Nicht angegeben |
SCREEN_LOCK_SECURED_UNKNOWN |
Chrome konnte den Status der Displaysperre nicht bewerten. |
SCREEN_LOCK_SECURED_DISABLED |
Die Displaysperre ist nicht passwortgeschützt. |
SCREEN_LOCK_SECURED_ENABLED |
Die Displaysperre ist passwortgeschützt. |
SecureBootMode
Mögliche Status des sicheren Startmodus des Geräts.
Enums | |
---|---|
SECURE_BOOT_MODE_UNSPECIFIED |
Nicht angegeben |
SECURE_BOOT_MODE_UNKNOWN |
Chrome konnte den Secure Boot-Modus nicht ermitteln. |
SECURE_BOOT_MODE_DISABLED |
Secure Boot wurde in der Startsoftware deaktiviert. |
SECURE_BOOT_MODE_ENABLED |
Secure Boot wurde in der Startsoftware aktiviert. |
SafeBrowsingProtectionLevel
Mögliche Werte für das Safe Browsing-Schutzniveau.
Enums | |
---|---|
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED |
Nicht angegeben |
INACTIVE |
Safe Browsing ist deaktiviert. |
STANDARD |
Safe Browsing ist im Standardmodus aktiv. |
ENHANCED |
Safe Browsing ist im erweiterten Modus aktiv. |
PasswordProtectionWarningTrigger
Mögliche Werte für den Trigger für die Passwortschutzwarnung.
Enums | |
---|---|
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED |
Nicht angegeben |
POLICY_UNSET |
Die Richtlinie ist nicht konfiguriert. |
PASSWORD_PROTECTION_OFF |
Es wird keine Passwortschutzwarnung angezeigt. |
PASSWORD_REUSE |
Die Passwortschutzwarnung wird angezeigt, wenn ein geschütztes Passwort wiederverwendet wird. |
PHISHING_REUSE |
Die Passwortschutzwarnung wird angezeigt, wenn ein geschütztes Passwort auf einer bekannten Phishing-Website wiederverwendet wird. |
RealtimeUrlCheckMode
Mögliche Werte für den Echtzeit-URL-Prüfungsmodus.
Enums | |
---|---|
REALTIME_URL_CHECK_MODE_UNSPECIFIED |
Nicht angegeben |
REALTIME_URL_CHECK_MODE_DISABLED |
Deaktiviert. Es findet eine Safe Browsing-Überprüfung für Verbraucher statt. |
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME |
Die Echtzeitprüfung für Mainframe-URLs ist aktiviert. |
CrowdStrikeAgent
Eigenschaften des auf einem Gerät installierten CrowdStrike-Agents.
JSON-Darstellung |
---|
{ "agentId": string, "customerId": string } |
Felder | |
---|---|
agentId |
Die Agent-ID des Crowdstrike-Agents. |
customerId |
Die Kundennummer, zu der der Agent gehört. |
Trigger
Mögliche Werte für den Trigger.
Enums | |
---|---|
TRIGGER_UNSPECIFIED |
Nicht angegeben |
TRIGGER_BROWSER_NAVIGATION |
Beim Aufrufen einer URL in einem Browser |
TRIGGER_LOGIN_SCREEN |
Bei der Anmeldung in einem Konto auf dem ChromeOS-Anmeldebildschirm |
KeyTrustLevel
Die Vertrauensebene des attestierten Schlüssels.
Enums | |
---|---|
KEY_TRUST_LEVEL_UNSPECIFIED |
OHNE ANGABE. |
CHROME_OS_VERIFIED_MODE |
ChromeOS-Gerät im bestätigten Modus. |
CHROME_OS_DEVELOPER_MODE |
ChromeOS-Gerät im Entwicklermodus. |
CHROME_BROWSER_HW_KEY |
Chrome-Browser mit dem auf der Gerätehardware gespeicherten Schlüssel. |
CHROME_BROWSER_OS_KEY |
Chrome-Browser mit dem auf Betriebssystemebene gespeicherten Schlüssel. |
CHROME_BROWSER_NO_KEY |
Chrome-Browser ohne Attestierungsschlüssel |