- HTTP リクエスト
- リクエストの本文
- レスポンスの本文
- 認可スコープ
- DeviceSignals
- OperatingSystem
- DiskEncryption
- OsFirewall
- ScreenLockSecured
- SecureBootMode
- SafeBrowsingProtectionLevel
- PasswordProtectionWarningTrigger
- RealtimeUrlCheckMode
- CrowdStrikeAgent
- きっかけ
- KeyTrustLevel
チャレンジ レスポンスを検証します。
HTTP リクエスト
POST https://verifiedaccess.googleapis.com/v2/challenge:verify
この URL は gRPC Transcoding 構文を使用します。
リクエスト本文
リクエストの本文には、次の構造のデータが含まれます。
JSON 表現 |
---|
{ "challengeResponse": string, "expectedIdentity": string } |
フィールド | |
---|---|
challengeResponse |
必須。チャレンジに対して生成されたレスポンス(SignedData のバイト表現)。 Base64 でエンコードされた文字列。 |
expectedIdentity |
省略可。サービスは必要に応じて、鍵に関連付けられているデバイスまたはユーザーの ID 情報を提供できます。EMK の場合、この値は登録済みドメインです。EUK の場合、この値はユーザーのメールアドレスになります。この値が存在する場合は、レスポンスの内容と照合され、一致するものがない場合は検証が失敗します。 |
レスポンスの本文
VerifiedAccess.VerifyChallengeResponse の結果メッセージ。
成功すると、レスポンスの本文に次の構造のデータが含まれます。
JSON 表現 |
---|
{ "devicePermanentId": string, "virtualDeviceId": string, "customerId": string, "signedPublicKeyAndChallenge": string, "deviceSignal": string, "deviceSignals": { object ( |
フィールド | |
---|---|
devicePermanentId |
このフィールドにはデバイスの永続 ID が返されます(マシンのレスポンスのみ)。 |
virtualDeviceId |
デバイスの仮想デバイス ID。仮想デバイス ID の定義はプラットフォーム固有です。 |
customerId |
このデバイスが属する一意のお客様 ID。Google Admin SDK(https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers)で定義されています。 |
signedPublicKeyAndChallenge |
このフィールドに、証明書署名リクエスト(Base64 でエンコードされた SPKAC 形式)が返されます。このフィールドは、デバイスのチャレンジ レスポンスに CSR が含まれている場合のみ設定されます。(CSR を含めるオプションは、ユーザーとマシンの両方のレスポンスで利用できるようになりました) |
deviceSignal |
非推奨です。JSON 文字列表現のデバイス シグナル。代わりに |
deviceSignals |
デバイス シグナル。 |
keyTrustLevel |
デバイスが鍵の信頼レベルを証明しました。 |
profileCustomerId |
このプロファイルが属する一意のお客様 ID。Google Admin SDK(https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers)で定義されています。 |
virtualProfileId |
デバイス上のプロファイルの ID。 |
profileKeyTrustLevel |
プロファイルは鍵の信頼レベルを証明しました。 |
attestedDeviceId |
対応の有無がわかるデバイス ID(ADID)。 |
deviceEnrollmentId |
ChromeOS デバイスのデバイス登録 ID。 |
承認スコープ
次の OAuth スコープが必要です。
https://www.googleapis.com/auth/verifiedaccess
詳細については、認証の概要をご覧ください。
DeviceSignals
Chrome から報告されたデバイスのシグナルです。特に指定のない限り、シグナルはすべてのプラットフォームで利用できます。
JSON 表現 |
---|
{ "deviceManufacturer": string, "deviceModel": string, "operatingSystem": enum ( |
フィールド | |
---|---|
deviceManufacturer |
デバイスのメーカーの名前。 |
deviceModel |
デバイスのモデルの名前。 |
operatingSystem |
デバイスで現在実行中のオペレーティング システムのタイプ。 |
osVersion |
オペレーティング システムの現在のバージョン。Windows と Linux では、この値にはセキュリティ パッチ情報も含まれます。 |
displayName |
ユーザーが定義したデバイスの表示名。 |
diskEncryption |
ディスクの暗号化状態。ChromeOS では、メインディスクは常に暗号化されます。 |
serialNumber |
デバイスのシリアル番号。Windows の場合は、BIOS のシリアル番号を表します。ほとんどの Linux ディストリビューションでは使用できません。 |
osFirewall |
OS レベルのファイアウォールの状態。ChromeOS の場合、この値は通常のデバイスでは常に有効になり、デベロッパー モードのデバイスでは UNKNOWN になります。 |
systemDnsServers[] |
デバイスのネットワーク設定で設定されているすべての OS レベルの DNS サーバーのリストです。 |
hostname |
デバイスのホスト名。 |
macAddresses[] |
デバイスの MAC アドレス。 |
screenLockSecured |
画面ロックによるパスワード保護の状態。ChromeOS では、デバイスのロックを解除する際のパスワードや PIN の要求を無効にする方法がないため、この値は常に有効になります。 |
allowScreenLock |
デバイスの AllowScreenLock ポリシーの値。詳しくは、https://chromeenterprise.google/policies/?policy=AllowScreenLock をご覧ください。ChromeOS でのみご利用いただけます。 |
imei[] |
デバイスの国際移動体装置識別番号(IMEI)。ChromeOS でのみご利用いただけます。 |
meid[] |
デバイスのモバイル機器識別子(MEID)。ChromeOS でのみご利用いただけます。 |
secureBootMode |
デバイスの起動ソフトウェアでセキュアブート機能が有効になっているかどうか。Windows でのみご利用いただけます。 |
windowsMachineDomain |
現在のマシンが参加している Windows ドメイン。Windows でのみご利用いただけます。 |
windowsUserDomain |
現在の OS ユーザーの Windows ドメイン。Windows でのみご利用いただけます。 |
deviceEnrollmentDomain |
現在デバイスを管理しているお客様の登録ドメイン。 |
browserVersion |
このシグナルセットを生成した Chrome ブラウザの現在のバージョン。値の例: 「107.0.5286.0」。 |
deviceAffiliationIds[] |
現在デバイスを管理している組織に所属している組織のアフィリエーション ID。デバイスとプロファイルのアフィリエーション ID のセットが重複している場合は、デバイスとユーザーを管理している組織が提携していることを意味します。ユーザーの関連付けについて詳しくは、https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936 をご覧ください。 |
profileAffiliationIds[] |
現在 Chrome プロフィールのユーザーまたは ChromeOS ユーザーを管理している組織に所属している組織のアフィリエーション ID。 |
builtInDnsClientEnabled |
Chrome の組み込みの DNS クライアントを使用するかどうか。それ以外の場合は、OS DNS クライアントが使用されます。この値は、エンタープライズ ポリシー(https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled)で制御される場合があります。 |
chromeRemoteDesktopAppBlocked |
Chrome リモート デスクトップ アプリケーションへのアクセスをポリシーによってブロックするかどうか。 |
safeBrowsingProtectionLevel |
セーフ ブラウジング保護レベル。この設定はエンタープライズ ポリシー(https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel)で制御されている場合があります。 |
siteIsolationEnabled |
サイト分離(別名: プロセスごとのサイト)の設定が有効になっているかどうか。この設定はエンタープライズ ポリシー(https://chromeenterprise.google/policies/#SitePerProcess)で制御されている場合があります。 |
passwordProtectionWarningTrigger |
パスワード保護警告機能が有効かどうか。パスワード保護は、不審なサイトで保護済みのパスワードを再利用すると、ユーザーに警告を表示します。この設定はエンタープライズ ポリシー(https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger)で管理されています。 なお、ポリシーを未設定のままにした場合、ポリシーを明示的に |
realtimeUrlCheckMode |
エンタープライズ クラス(カスタム)の安全でない URL のスキャンが有効になっているかどうか。この設定はエンタープライズ ポリシー(https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode)で制御されている場合があります。 |
thirdPartyBlockingEnabled |
Chrome がサードパーティ ソフトウェアの挿入をブロックしているかどうかを示します。この設定は、エンタープライズ ポリシー(https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled)で制御されている場合があります。Windows でのみご利用いただけます。 |
trigger |
このシグナルセットを生成したトリガー。 |
profileEnrollmentDomain |
現在プロファイルを管理している顧客の登録ドメイン。 |
crowdStrikeAgent |
デバイスにインストールされている Crowdstrike エージェントのプロパティ(存在する場合)。Windows と macOS でのみご利用いただけます。 |
OperatingSystem
サポートされるオペレーティング・システム。
列挙型 | |
---|---|
OPERATING_SYSTEM_UNSPECIFIED |
指定なし。 |
CHROME_OS |
ChromeOS です。 |
CHROMIUM_OS |
Chromium OS。 |
WINDOWS |
Windows。 |
MAC_OS_X |
Mac OS X |
LINUX |
Linux |
DiskEncryption
メインディスクの暗号化の状態。
列挙型 | |
---|---|
DISK_ENCRYPTION_UNSPECIFIED |
(指定なし) |
DISK_ENCRYPTION_UNKNOWN |
Chrome で暗号化の状態を評価できませんでした。 |
DISK_ENCRYPTION_DISABLED |
メインディスクは暗号化されません。 |
DISK_ENCRYPTION_ENCRYPTED |
メインディスクは暗号化されます。 |
OsFirewall
OS レベルのファイアウォールの状態。
列挙型 | |
---|---|
OS_FIREWALL_UNSPECIFIED |
(指定なし) |
OS_FIREWALL_UNKNOWN |
Chrome で OS のファイアウォールの状態を評価できませんでした。 |
OS_FIREWALL_DISABLED |
OS ファイアウォールが無効になっている。 |
OS_FIREWALL_ENABLED |
OS ファイアウォールが有効になっている。 |
ScreenLockSecured
画面ロックによるパスワード保護について考えられる状態。
列挙型 | |
---|---|
SCREEN_LOCK_SECURED_UNSPECIFIED |
(指定なし) |
SCREEN_LOCK_SECURED_UNKNOWN |
Chrome で画面ロック メカニズムの状態を評価できませんでした。 |
SCREEN_LOCK_SECURED_DISABLED |
画面ロックはパスワードで保護されていません。 |
SCREEN_LOCK_SECURED_ENABLED |
画面ロックはパスワードで保護されています。 |
SecureBootMode
デバイスのセキュアブート モードの状態。
列挙型 | |
---|---|
SECURE_BOOT_MODE_UNSPECIFIED |
(指定なし) |
SECURE_BOOT_MODE_UNKNOWN |
Chrome でセキュアブート モードを判断できませんでした。 |
SECURE_BOOT_MODE_DISABLED |
起動ソフトウェアでセキュアブートが無効になっています。 |
SECURE_BOOT_MODE_ENABLED |
起動ソフトウェアでセキュアブートが有効になっている。 |
SafeBrowsingProtectionLevel
セーフ ブラウジング保護レベルの有効な値。
列挙型 | |
---|---|
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED |
(指定なし) |
INACTIVE |
セーフ ブラウジングが無効になっています。 |
STANDARD |
セーフ ブラウジングを標準モードで有効にする。 |
ENHANCED |
セーフ ブラウジングを強化モードで有効にします。 |
PasswordProtectionWarningTrigger
パスワード保護警告トリガーの有効な値。
列挙型 | |
---|---|
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED |
(指定なし) |
POLICY_UNSET |
このポリシーは設定されていません。 |
PASSWORD_PROTECTION_OFF |
パスワード保護の警告は表示されません。 |
PASSWORD_REUSE |
保護されたパスワードが再利用されると、パスワード保護に関する警告が表示されます。 |
PHISHING_REUSE |
既知のフィッシング ウェブサイトで保護されたパスワードが再利用されると、パスワード保護に関する警告が表示されます。 |
RealtimeUrlCheckMode
リアルタイム URL チェックモードの有効な値。
列挙型 | |
---|---|
REALTIME_URL_CHECK_MODE_UNSPECIFIED |
(指定なし) |
REALTIME_URL_CHECK_MODE_DISABLED |
無効になりました。コンシューマー セーフ ブラウジングのチェックが適用されます。 |
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME |
メインフレーム URL のリアルタイム チェックが有効になっています。 |
CrowdStrikeAgent
デバイスにインストールされている CrowdStrike エージェントのプロパティ。
JSON 表現 |
---|
{ "agentId": string, "customerId": string } |
フィールド | |
---|---|
agentId |
Crowdstrike エージェントのエージェント ID。 |
customerId |
エージェントが所属するお客様 ID。 |
トリガー
トリガーの有効な値。
列挙型 | |
---|---|
TRIGGER_UNSPECIFIED |
(指定なし) |
TRIGGER_BROWSER_NAVIGATION |
ブラウザ内で URL に移動するとき。 |
TRIGGER_LOGIN_SCREEN |
ChromeOS のログイン画面でアカウントにログインする場合。 |
KeyTrustLevel
証明された鍵の信頼レベル。
列挙型 | |
---|---|
KEY_TRUST_LEVEL_UNSPECIFIED |
指定なし。 |
CHROME_OS_VERIFIED_MODE |
確認済みモードの ChromeOS デバイス。 |
CHROME_OS_DEVELOPER_MODE |
デベロッパー モードの ChromeOS デバイス。 |
CHROME_BROWSER_HW_KEY |
デバイスのハードウェアに保存されている鍵を持つ Chrome ブラウザ。 |
CHROME_BROWSER_OS_KEY |
OS レベルで鍵が保存された Chrome ブラウザ。 |
CHROME_BROWSER_NO_KEY |
証明書キーのない Chrome ブラウザ。 |