- Solicitud HTTP
- Cuerpo de la solicitud
- Cuerpo de la respuesta
- Alcances de la autorización
- DeviceSignals
- OperatingSystem
- DiskEncryption
- OsFirewall
- ScreenLockSecured
- SecureBootMode
- SafeBrowsingProtectionLevel
- PasswordProtectionWarningTrigger
- RealtimeUrlCheckMode
- CrowdStrikeAgent
- Activador
- KeyTrustLevel
Verifica la respuesta al desafío.
Solicitud HTTP
POST https://verifiedaccess.googleapis.com/v2/challenge:verify
La URL usa la sintaxis de la transcodificación gRPC.
Cuerpo de la solicitud
El cuerpo de la solicitud contiene datos con la siguiente estructura:
| Representación JSON |
|---|
{ "challengeResponse": string, "expectedIdentity": string } |
| Campos | |
|---|---|
challengeResponse |
Obligatorio. La respuesta generada al desafío, la representación de bytes de SignedData. String codificada en base64. |
expectedIdentity |
Opcional. De manera opcional, el servicio puede proporcionar información de identidad sobre el dispositivo o el usuario asociado con la clave. Para una EMK, este valor es el dominio inscrito. Para un EUK, este valor es la dirección de correo electrónico del usuario. Si está presente, este valor se verificará con el contenido de la respuesta y la verificación fallará si no hay coincidencia. |
Cuerpo de la respuesta
Mensaje del resultado para VerifiedAccess.VerifyChallengeResponse.
Si se ejecuta correctamente, el cuerpo de la respuesta contendrá datos con la siguiente estructura:
| Representación JSON |
|---|
{ "devicePermanentId": string, "virtualDeviceId": string, "customerId": string, "signedPublicKeyAndChallenge": string, "deviceSignal": string, "deviceSignals": { object ( |
| Campos | |
|---|---|
devicePermanentId |
En este campo, se muestra el ID permanente del dispositivo (solo para la respuesta de la máquina). |
virtualDeviceId |
Es el ID del dispositivo virtual. La definición de ID de dispositivo virtual es específica de la plataforma. |
customerId |
ID de cliente único al que pertenece este dispositivo, según lo define el SDK de Google Admin en https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers |
signedPublicKeyAndChallenge |
La solicitud de firma de certificado (en formato SPKAC, codificado en base64) se muestra en este campo. Este campo solo se establecerá si el dispositivo incluyó CSR en su respuesta al desafío. (la opción de incluir CSR ahora está disponible para las respuestas del usuario y de la máquina) |
deviceSignal |
Ya no está disponible. Indicador del dispositivo en la representación de la cadena JSON. En su lugar, es preferible usar |
deviceSignals |
Señales del dispositivo |
keyTrustLevel |
Nivel de confianza de la clave certificado por el dispositivo. |
profileCustomerId |
ID de cliente único al que pertenece este perfil, según lo define el SDK de Google Admin en https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers |
virtualProfileId |
El ID de un perfil en el dispositivo. |
profileKeyTrustLevel |
Nivel de confianza certificado de la clave del perfil. |
attestedDeviceId |
ID de dispositivo presentado (ADID). |
deviceEnrollmentId |
ID de inscripción de dispositivos ChromeOS. |
Permisos de autorización
Requiere el siguiente alcance de OAuth:
https://www.googleapis.com/auth/verifiedaccess
Para obtener más información, consulta Descripción general de la autenticación.
DeviceSignals
Las señales del dispositivo según lo informado por Chrome A menos que se especifique lo contrario, los indicadores están disponibles en todas las plataformas.
| Representación JSON |
|---|
{ "deviceManufacturer": string, "deviceModel": string, "operatingSystem": enum ( |
| Campos | |
|---|---|
deviceManufacturer |
Es el nombre del fabricante del dispositivo. |
deviceModel |
Es el nombre del modelo del dispositivo. |
operatingSystem |
Indica el tipo de sistema operativo que se ejecuta actualmente en el dispositivo. |
osVersion |
La versión actual del sistema operativo. En Windows y Linux, el valor también incluirá información sobre el parche de seguridad. |
displayName |
Es el nombre visible del dispositivo, tal como lo definió el usuario. |
diskEncryption |
El estado de encriptación del disco. En ChromeOS, el disco principal siempre está ENCRYPTO. |
serialNumber |
Es el número de serie del dispositivo. En Windows, representa el número de serie del BIOS. No está disponible en la mayoría de las distribuciones de Linux. |
osFirewall |
El estado del firewall a nivel del SO. En ChromeOS, el valor siempre estará HABILITADO en los dispositivos normales y UNKNOWN en los dispositivos en modo de desarrollador. |
systemDnsServers[] |
Lista de las direcciones de todos los servidores DNS a nivel del SO configurados en la configuración de red del dispositivo. |
hostname |
Es el nombre de host del dispositivo. |
macAddresses[] |
Direcciones MAC del dispositivo. |
screenLockSecured |
El estado de la protección por contraseña del bloqueo de pantalla. En ChromeOS, este valor siempre estará HABILITADO, ya que no hay forma de inhabilitar la opción de requerir una contraseña o un PIN para desbloquear el dispositivo. |
allowScreenLock |
Valor de la política AllowScreenLock en el dispositivo. Para obtener más información, consulta https://chromeenterprise.google/policies/?policy=AllowScreenLock. Disponible solo en ChromeOS. |
imei[] |
Identidad internacional de equipo móvil (IMEI) del dispositivo. Disponible solo en ChromeOS. |
meid[] |
Es el identificador de equipo móvil (MEID) del dispositivo. Disponible solo en ChromeOS. |
secureBootMode |
Indica si el software de inicio del dispositivo tiene habilitada la función de inicio seguro. Disponible solo en Windows. |
windowsMachineDomain |
Dominio de Windows al que se unió la máquina actual. Disponible solo en Windows. |
windowsUserDomain |
Dominio de Windows para el usuario actual del SO. Disponible solo en Windows. |
deviceEnrollmentDomain |
Dominio de inscripción del cliente que actualmente administra el dispositivo. |
browserVersion |
Versión actual del navegador Chrome que generó este conjunto de indicadores. Valor de ejemplo: “107.0.5286.0”. |
deviceAffiliationIds[] |
IDs de afiliación de las organizaciones afiliadas a la que administra actualmente el dispositivo Cuando los conjuntos de ID de afiliación de perfil y dispositivo se superponen, significa que las organizaciones que administran el dispositivo y el usuario están afiliadas. Para obtener más información sobre la afiliación de usuarios, visita https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936. |
profileAffiliationIds[] |
Los IDs de afiliación de las organizaciones afiliadas a la organización que administra actualmente el usuario del perfil de Chrome o el usuario de ChromeOS. |
builtInDnsClientEnabled |
Si se utiliza el cliente DNS integrado de Chrome. De lo contrario, se usa el cliente DNS del SO. Es posible que este valor se controle mediante una política empresarial: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled. |
chromeRemoteDesktopAppBlocked |
Indica si una política bloquea el acceso a la aplicación de Escritorio remoto de Chrome. |
safeBrowsingProtectionLevel |
Nivel de protección de la Navegación segura. Es posible que esa configuración se controle con una política empresarial: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel. |
siteIsolationEnabled |
Indica si está habilitada la configuración de Aislamiento de sitios (también conocida como Sitio por proceso). Es posible que una política empresarial controle esa configuración: https://chromeenterprise.google/policies/#SitePerProcess |
passwordProtectionWarningTrigger |
Indica si la función Advertencia de protección de contraseñas está habilitada o no. La protección de contraseñas alerta a los usuarios cuando reutilizan su contraseña protegida en sitios potencialmente sospechosos. Una política empresarial controla esta configuración: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger. Ten en cuenta que si no estableces la política, no se producirán los mismos efectos que establecerla explícitamente como |
realtimeUrlCheckMode |
Si está habilitado o no el análisis de URLs no seguras de nivel empresarial (es decir, personalizado). Es posible que una política empresarial controle esta configuración: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode. |
thirdPartyBlockingEnabled |
Si Chrome bloquea o no la inserción de software de terceros Esta configuración puede estar controlada por una política empresarial: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. Disponible solo en Windows. |
trigger |
Es el activador que generó este conjunto de indicadores. |
profileEnrollmentDomain |
Dominio de inscripción del cliente que actualmente administra el perfil. |
crowdStrikeAgent |
Propiedades del agente de Crowdstrike instaladas en el dispositivo, si las hay. Disponible solo en Windows y MacOS. |
OperatingSystem
Sistemas operativos compatibles
| Enumeradores | |
|---|---|
OPERATING_SYSTEM_UNSPECIFIED |
NO ESPECIFICADO. |
CHROME_OS |
ChromeOS |
CHROMIUM_OS |
Chromium OS |
WINDOWS |
en Windows. |
MAC_OS_X |
Mac OS X. |
LINUX |
Linux |
DiskEncryption
Posibles estados de encriptación para el disco principal.
| Enumeradores | |
|---|---|
DISK_ENCRYPTION_UNSPECIFIED |
No se especifica. |
DISK_ENCRYPTION_UNKNOWN |
Chrome no pudo evaluar el estado de encriptación. |
DISK_ENCRYPTION_DISABLED |
El disco principal no está encriptado. |
DISK_ENCRYPTION_ENCRYPTED |
El disco principal está encriptado. |
OsFirewall
Los posibles estados del firewall a nivel del SO
| Enumeradores | |
|---|---|
OS_FIREWALL_UNSPECIFIED |
No se especifica. |
OS_FIREWALL_UNKNOWN |
Chrome no pudo evaluar el estado del firewall del SO. |
OS_FIREWALL_DISABLED |
El firewall del SO está inhabilitado. |
OS_FIREWALL_ENABLED |
El firewall del SO está habilitado. |
ScreenLockSecured
Posibles estados de la protección por contraseña del bloqueo de pantalla
| Enumeradores | |
|---|---|
SCREEN_LOCK_SECURED_UNSPECIFIED |
No se especifica. |
SCREEN_LOCK_SECURED_UNKNOWN |
Chrome no pudo evaluar el estado del mecanismo de bloqueo de pantalla. |
SCREEN_LOCK_SECURED_DISABLED |
El bloqueo de pantalla no está protegido con contraseña. |
SCREEN_LOCK_SECURED_ENABLED |
El bloqueo de pantalla está protegido con contraseña. |
SecureBootMode
Estados posibles del modo de inicio seguro del dispositivo
| Enumeradores | |
|---|---|
SECURE_BOOT_MODE_UNSPECIFIED |
No se especifica. |
SECURE_BOOT_MODE_UNKNOWN |
Chrome no pudo determinar el modo de inicio seguro. |
SECURE_BOOT_MODE_DISABLED |
Se inhabilitó el inicio seguro en el software de inicio. |
SECURE_BOOT_MODE_ENABLED |
Se habilitó el inicio seguro en el software de inicio. |
SafeBrowsingProtectionLevel
Valores posibles para el nivel de protección de la Navegación segura.
| Enumeradores | |
|---|---|
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED |
No se especifica. |
INACTIVE |
Se inhabilitó la Navegación segura. |
STANDARD |
La Navegación segura está activa en el modo estándar. |
ENHANCED |
La Navegación segura está activa en el modo mejorado. |
PasswordProtectionWarningTrigger
Valores posibles para el activador de advertencia de protección de contraseñas.
| Enumeradores | |
|---|---|
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED |
No se especifica. |
POLICY_UNSET |
No se estableció la política. |
PASSWORD_PROTECTION_OFF |
No se mostrará ninguna advertencia de protección de contraseña. |
PASSWORD_REUSE |
La advertencia de protección de contraseña aparece si se vuelve a usar una contraseña protegida. |
PHISHING_REUSE |
La advertencia de protección de la contraseña aparece si una contraseña protegida se vuelve a usar en un sitio web de suplantación de identidad (phishing) conocido. |
RealtimeUrlCheckMode
Valores posibles para el modo de verificación de URL en tiempo real.
| Enumeradores | |
|---|---|
REALTIME_URL_CHECK_MODE_UNSPECIFIED |
No se especifica. |
REALTIME_URL_CHECK_MODE_DISABLED |
Inhabilitada. Se aplican las verificaciones de la Navegación segura para consumidores. |
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME |
La verificación en tiempo real de las URLs del marco principal está habilitada. |
CrowdStrikeAgent
Propiedades del agente de CrowdStrike instalado en un dispositivo.
| Representación JSON |
|---|
{ "agentId": string, "customerId": string } |
| Campos | |
|---|---|
agentId |
El ID de agente del agente de Crowdstrike. |
customerId |
El ID de cliente al que pertenece el agente. |
Activador
Los valores posibles para el activador.
| Enumeradores | |
|---|---|
TRIGGER_UNSPECIFIED |
No se especifica. |
TRIGGER_BROWSER_NAVIGATION |
Cuando navegas a una URL en un navegador. |
TRIGGER_LOGIN_SCREEN |
Cuando accedes a una cuenta en la pantalla de acceso de ChromeOS. |
KeyTrustLevel
El nivel de confianza de la clave certificada.
| Enumeradores | |
|---|---|
KEY_TRUST_LEVEL_UNSPECIFIED |
NO ESPECIFICADO. |
CHROME_OS_VERIFIED_MODE |
Dispositivo ChromeOS en modo verificado. |
CHROME_OS_DEVELOPER_MODE |
Dispositivo ChromeOS en modo de desarrollador. |
CHROME_BROWSER_HW_KEY |
Navegador Chrome con la clave almacenada en el hardware del dispositivo. |
CHROME_BROWSER_OS_KEY |
Navegador Chrome con la clave almacenada a nivel del SO. |
CHROME_BROWSER_NO_KEY |
Navegador Chrome sin una clave de certificación. |