Method: challenge.verify

מאמת את התשובה לאתגר.

בקשת HTTP

POST https://verifiedaccess.googleapis.com/v2/challenge:verify

בכתובת ה-URL נעשה שימוש בתחביר המרת קידוד של gRPC.

גוף הבקשה

גוף הבקשה מכיל נתונים במבנה הבא:

ייצוג JSON 
{
  "challengeResponse": string,
  "expectedIdentity": string
}
שדות
challengeResponse

string (bytes format)

חובה. התגובה שנוצרה לאתגר, הייצוג הבייטים של SignedData.

מחרוזת בקידוד base64.
expectedIdentity

string

זה שינוי אופציונלי. השירות יכול לספק פרטי זהות לגבי המכשיר או המשתמש המשויכים למפתח. עבור EMK, הערך הזה הוא הדומיין הרשום. ל-EUK, הערך הזה הוא כתובת האימייל של המשתמש. אם הוא קיים, המערכת תבדוק את הערך הזה מול תוכן התשובה, והאימות ייכשל אם לא תהיה התאמה.

גוף התשובה

הודעת התוצאה של VerifiedAccess.VerifyChallengeResponse.

אם הפעולה בוצעה ללא שגיאות, גוף התשובה מכיל נתונים במבנה הבא:

ייצוג JSON 
{
  "devicePermanentId": string,
  "virtualDeviceId": string,
  "customerId": string,
  "signedPublicKeyAndChallenge": string,
  "deviceSignal": string,
  "deviceSignals": {
    object (DeviceSignals)
  },
  "keyTrustLevel": enum (KeyTrustLevel),
  "profileCustomerId": string,
  "virtualProfileId": string,
  "profileKeyTrustLevel": enum (KeyTrustLevel),
  "attestedDeviceId": string,
  "deviceEnrollmentId": string
}
שדות
devicePermanentId

string

המזהה הקבוע של המכשיר מוחזר בשדה הזה (לתגובת המכונה בלבד).
virtualDeviceId

string

מזהה המכשיר הווירטואלי של המכשיר. ההגדרה של מזהה מכשיר וירטואלי היא ספציפית לפלטפורמה.
customerId

string

מספר לקוח ייחודי שאליו שייך המכשיר, כפי שהוגדר על ידי Google Admin SDK בכתובת https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers
signedPublicKeyAndChallenge

string

בשדה הזה מוחזרת בקשה לחתימה על אישור (בפורמט SPKAC, בקידוד base64). השדה הזה יוגדר רק אם המכשיר כלל CSR בתגובתו לאתגר. (האפשרות לכלול CSR זמינה עכשיו גם לתשובות של משתמשים וגם לתשובות של מכונה)
deviceSignal

string

הוּצא משימוש. אות של מכשיר בייצוג של מחרוזת json. עדיף להשתמש במקום זאת ב-deviceSignals.
deviceSignals

object (DeviceSignals)

אותות מהמכשיר.
keyTrustLevel

enum (KeyTrustLevel)

רמת האמון של המפתח המאומתת במכשיר.
profileCustomerId

string

מספר לקוח ייחודי שאליו שייך הפרופיל, כפי שהוגדר על ידי Google Admin SDK בכתובת https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers
virtualProfileId

string

המזהה של פרופיל במכשיר.
profileKeyTrustLevel

enum (KeyTrustLevel)

רמת האמינות של המפתח שאומתה בפרופיל.
attestedDeviceId

string

מזהה מכשיר מאומת (ADID).
deviceEnrollmentId

string

מזהה השיוך של המכשיר למכשירי ChromeOS.

היקפי הרשאות

נדרש היקף ההרשאות הבא של OAuth:

  • https://www.googleapis.com/auth/verifiedaccess

מידע נוסף זמין בסקירה הכללית על אימות.

DeviceSignals

המכשיר מסמן כפי שדווח על ידי Chrome. אלא אם צוין אחרת, האותות זמינים בכל הפלטפורמות.

ייצוג JSON 
{
  "deviceManufacturer": string,
  "deviceModel": string,
  "operatingSystem": enum (OperatingSystem),
  "osVersion": string,
  "displayName": string,
  "diskEncryption": enum (DiskEncryption),
  "serialNumber": string,
  "osFirewall": enum (OsFirewall),
  "systemDnsServers": [
    string
  ],
  "hostname": string,
  "macAddresses": [
    string
  ],
  "screenLockSecured": enum (ScreenLockSecured),
  "allowScreenLock": boolean,
  "imei": [
    string
  ],
  "meid": [
    string
  ],
  "secureBootMode": enum (SecureBootMode),
  "windowsMachineDomain": string,
  "windowsUserDomain": string,
  "deviceEnrollmentDomain": string,
  "browserVersion": string,
  "deviceAffiliationIds": [
    string
  ],
  "profileAffiliationIds": [
    string
  ],
  "builtInDnsClientEnabled": boolean,
  "chromeRemoteDesktopAppBlocked": boolean,
  "safeBrowsingProtectionLevel": enum (SafeBrowsingProtectionLevel),
  "siteIsolationEnabled": boolean,
  "passwordProtectionWarningTrigger": enum (PasswordProtectionWarningTrigger),
  "realtimeUrlCheckMode": enum (RealtimeUrlCheckMode),
  "thirdPartyBlockingEnabled": boolean,
  "trigger": enum (Trigger),
  "profileEnrollmentDomain": string,
  "crowdStrikeAgent": {
    object (CrowdStrikeAgent)
  }
}
שדות
deviceManufacturer

string

שם היצרן של המכשיר.
deviceModel

string

שם הדגם של המכשיר.
operatingSystem

enum (OperatingSystem)

הסוג של מערכת ההפעלה שפועלת כרגע במכשיר.
osVersion

string

הגרסה הנוכחית של מערכת ההפעלה. ב-Windows וב-linux, הערך יכלול גם את המידע על תיקון האבטחה.
displayName

string

שם התצוגה של המכשיר, כפי שהוגדר על ידי המשתמש.
diskEncryption

enum (DiskEncryption)

מצב ההצפנה של הדיסק. ב-ChromeOS, הדיסק הראשי תמיד מוצפן.
serialNumber

string

המספר הסידורי של המכשיר. ב-Windows, מייצג את המספר הסידורי של ה-BIOS. לא זמין ברוב ההפצות של Linux.
osFirewall

enum (OsFirewall)

מצב חומת האש ברמת מערכת ההפעלה. ב-ChromeOS, הערך תמיד יהיה מופעל במכשירים רגילים והערך UNKNOWN במכשירים שנמצאים במצב פיתוח.
systemDnsServers[]

string

רשימת הכתובות של כל שרתי ה-DNS ברמת מערכת ההפעלה שהוגדרו בהגדרות הרשת של המכשיר.
hostname

string

שם המארח של המכשיר.
macAddresses[]

string

כתובות MAC של המכשיר.
screenLockSecured

enum (ScreenLockSecured)

מצב ההגנה באמצעות סיסמה באמצעות נעילת מסך. ב-ChromeOS, הערך הזה תמיד יהיה מופעל כי אין דרך להשבית את הדרישה לסיסמה או בקוד אימות במהלך ביטול הנעילה של המכשיר.
allowScreenLock

boolean

הערך של מדיניות AllowScreenLock במכשיר. פרטים נוספים זמינים בכתובת https://chromeenterprise.google/policies/?policy=AllowScreenLock. התכונה זמינה רק ב-ChromeOS.
imei[]

string

IMEI (International Mobile Equipment Identity) של המכשיר. התכונה זמינה רק ב-ChromeOS.
meid[]

string

מזהה ציוד נייד (MEID) של המכשיר. התכונה זמינה רק ב-ChromeOS.
secureBootMode

enum (SecureBootMode)

האם תכונת ההפעלה המאובטחת מופעלת בתוכנת ההפעלה של המכשיר. התכונה זמינה ב-Windows בלבד.
windowsMachineDomain

string

דומיין Windows שאליו המחשב הנוכחי הצטרף. התכונה זמינה ב-Windows בלבד.
windowsUserDomain

string

הדומיין של Windows בשביל המשתמש הנוכחי במערכת ההפעלה. התכונה זמינה ב-Windows בלבד.
deviceEnrollmentDomain

string

דומיין הרישום של הלקוח שמנהל כרגע את המכשיר.
browserVersion

string

הגרסה הנוכחית של דפדפן Chrome שיצרה את קבוצת האותות הזו. ערך לדוגמה: "107.0.5286.0".
deviceAffiliationIds[]

string

מזהי השיוך של הארגונים שמשויכים לארגון שמנהל כרגע את המכשיר. אם הקבוצות של מזהי השיוך של המכשיר והפרופיל חופפות, המשמעות היא שהארגונים שמנהלים את המכשיר והמשתמש משויכים. מידע נוסף על שיוך משתמשים זמין בכתובת https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936.
profileAffiliationIds[]

string

מזהי השיוך של הארגונים שמשויכים לארגון שמנהל כרגע את המשתמש או את משתמש ChromeOS בפרופיל Chrome.
builtInDnsClientEnabled

boolean

האם נעשה שימוש בלקוח ה-DNS המובנה של Chrome. אחרת נעשה שימוש בלקוח ה-DNS של מערכת ההפעלה. אפשר לקבוע את הערך הזה באמצעות מדיניות ארגונית: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled.
chromeRemoteDesktopAppBlocked

boolean

האם הגישה לאפליקציה 'Chrome Remote Desktop' חסומה באמצעות מדיניות.
safeBrowsingProtectionLevel

enum (SafeBrowsingProtectionLevel)

רמת ההגנה של הגלישה הבטוחה. אפשר לקבוע את ההגדרה הזו בהתאם למדיניות של הארגון: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel.
siteIsolationEnabled

boolean

האם ההגדרה 'בידוד של אתר' (שנקראת 'אתר לכל תהליך') מופעלת. אפשר לקבוע את ההגדרה הזו בהתאם למדיניות ארגונית: https://chromeenterprise.google/policies/#SitePerProcess
passwordProtectionWarningTrigger

enum (PasswordProtectionWarningTrigger)

אם התכונה 'אזהרת הגנת סיסמה' מופעלת או לא. הגנת סיסמה מזהירה את המשתמשים כשהם עושים שימוש חוזר בסיסמאות המוגנות שלהם באתרים שעשויים להיות חשודים. ההגדרה הזו נשלטת על ידי מדיניות הארגון: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger (https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger).

חשוב לשים לב שלמדיניות לא מוגדרת אותן השפעות כמו הגדרה מפורשת של המדיניות כ-PASSWORD_PROTECTION_OFF.
realtimeUrlCheckMode

enum (RealtimeUrlCheckMode)

האם סריקת כתובות URL לא בטוחה ברמת הארגון (כלומר בהתאמה אישית) מופעלת או לא. אפשר לקבוע את ההגדרה הזו בהתאם למדיניות של הארגון: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode
thirdPartyBlockingEnabled

boolean

האם Chrome חוסם החדרת תוכנה של צד שלישי או לא. אפשר לקבוע את ההגדרה הזו בהתאם למדיניות של הארגון: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. התכונה זמינה ב-Windows בלבד.
trigger

enum (Trigger)

הטריגר שיצר את קבוצת האותות הזו.
profileEnrollmentDomain

string

דומיין ההרשמה של הלקוח שמנהל כרגע את הפרופיל.
crowdStrikeAgent

object (CrowdStrikeAgent)

מאפייני סוכן Crowdstrike המותקנים במכשיר, אם יש כאלה. התכונה זמינה ב-Windows וב-MacOS בלבד.

OperatingSystem

מערכות הפעלה נתמכות.

טיפוסים בני מנייה (enums)
OPERATING_SYSTEM_UNSPECIFIED לא צוין.
CHROME_OS ChromeOS
CHROMIUM_OS ChromiumOS.
WINDOWS חלונות.
MAC_OS_X Mac OS X.
LINUX Linux

DiskEncryption

מצבי הצפנה אפשריים לדיסק הראשי.

טיפוסים בני מנייה (enums)
DISK_ENCRYPTION_UNSPECIFIED לא צוין.
DISK_ENCRYPTION_UNKNOWN Chrome לא הצליח להעריך את מצב ההצפנה.
DISK_ENCRYPTION_DISABLED הדיסק הראשי לא מוצפן.
DISK_ENCRYPTION_ENCRYPTED הדיסק הראשי מוצפן.

OsFirewall

מצבים אפשריים של חומת האש ברמת מערכת ההפעלה.

טיפוסים בני מנייה (enums)
OS_FIREWALL_UNSPECIFIED לא צוין.
OS_FIREWALL_UNKNOWN Chrome לא הצליח להעריך את מצב חומת האש של מערכת ההפעלה.
OS_FIREWALL_DISABLED חומת האש של מערכת ההפעלה מושבתת.
OS_FIREWALL_ENABLED חומת האש של מערכת ההפעלה מופעלת.

ScreenLockSecured

מצבים אפשריים של הגנה באמצעות סיסמה באמצעות נעילת מסך.

טיפוסים בני מנייה (enums)
SCREEN_LOCK_SECURED_UNSPECIFIED לא צוין.
SCREEN_LOCK_SECURED_UNKNOWN ל-Chrome לא הייתה אפשרות להעריך את מצב מנגנון נעילת המסך.
SCREEN_LOCK_SECURED_DISABLED נעילת המסך אינה מוגנת בסיסמה.
SCREEN_LOCK_SECURED_ENABLED נעילת המסך מוגנת באמצעות סיסמה.

SecureBootMode

מצבים אפשריים של מצב ההפעלה המאובטחת של המכשיר.

טיפוסים בני מנייה (enums)
SECURE_BOOT_MODE_UNSPECIFIED לא צוין.
SECURE_BOOT_MODE_UNKNOWN Chrome לא הצליח לזהות את מצב ההפעלה המאובטחת.
SECURE_BOOT_MODE_DISABLED ההפעלה המאובטחת הושבתה בתוכנת ההפעלה.
SECURE_BOOT_MODE_ENABLED ההפעלה המאובטחת הופעלה בתוכנת ההפעלה.

SafeBrowsingProtectionLevel

ערכים אפשריים ל'רמת ההגנה של גלישה בטוחה'.

טיפוסים בני מנייה (enums)
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED לא צוין.
INACTIVE הגלישה הבטוחה מושבתת.
STANDARD הגלישה הבטוחה פעילה במצב הרגיל.
ENHANCED הגלישה הבטוחה פעילה במצב המשופר.

PasswordProtectionWarningTrigger

ערכים אפשריים לטריגר מסוג Password Protection Alert.

טיפוסים בני מנייה (enums)
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED לא צוין.
POLICY_UNSET המדיניות לא מוגדרת.
PASSWORD_PROTECTION_OFF לא תוצג אזהרה של הגנת סיסמה.
PASSWORD_REUSE האזהרה של הגנת הסיסמה מוצגת במקרה של שימוש חוזר בסיסמה מוגנת.
PHISHING_REUSE האזהרה של הגנת הסיסמה מוצגת במקרה של שימוש חוזר בסיסמה מוגנת באתר פישינג מוכר.

RealtimeUrlCheckMode

ערכים אפשריים למצב הבדיקה של כתובת URL בזמן אמת.

טיפוסים בני מנייה (enums)
REALTIME_URL_CHECK_MODE_UNSPECIFIED לא צוין.
REALTIME_URL_CHECK_MODE_DISABLED מושבת. מופעלות בדיקות גלישה בטוחה של צרכנים.
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME מופעלת בדיקה בזמן אמת של כתובות ה-URL של המסגרת הראשית.

CrowdStrikeAgent

מאפיינים של סוכן CrowdStrike שמותקן במכשיר.

ייצוג JSON 
{
  "agentId": string,
  "customerId": string
}
שדות
agentId

string

מזהה הסוכן של סוכן Crowdstrike.
customerId

string

מספר הלקוח שאליו הנציג שייך.

Trigger

ערכים אפשריים לטריגר.

טיפוסים בני מנייה (enums)
TRIGGER_UNSPECIFIED לא צוין.
TRIGGER_BROWSER_NAVIGATION במהלך ניווט לכתובת URL בתוך דפדפן.
TRIGGER_LOGIN_SCREEN כשנכנסים לחשבון במסך ההתחברות של ChromeOS.

KeyTrustLevel

רמת המהימנות של המפתח המאומת.

טיפוסים בני מנייה (enums)
KEY_TRUST_LEVEL_UNSPECIFIED לא צוין.
CHROME_OS_VERIFIED_MODE מכשיר ChromeOS במצב מאומת.
CHROME_OS_DEVELOPER_MODE מכשיר ChromeOS במצב פיתוח.
CHROME_BROWSER_HW_KEY דפדפן Chrome עם המפתח שמאוחסן בחומרת המכשיר.
CHROME_BROWSER_OS_KEY דפדפן Chrome עם מפתח מאוחסן ברמת מערכת ההפעלה.
CHROME_BROWSER_NO_KEY דפדפן Chrome ללא מפתח אימות.