- Żądanie HTTP
- Treść żądania
- Treść odpowiedzi
- Zakresy autoryzacji
- DeviceSignals
- System operacyjny
- DiskEncryption
- OsFirewall
- ScreenLockSecured
- SecureBootMode
- SafeBrowsingProtectionLevel
- PasswordProtectionWarningTrigger
- RealtimeUrlCheckMode
- CrowdStrikeAgent
- Aktywator
- KeyTrustLevel
Sprawdza odpowiedź na wyzwanie.
Żądanie HTTP
POST https://verifiedaccess.googleapis.com/v2/challenge:verify
Adres URL używa składni transkodowania gRPC.
Treść żądania
Treść żądania zawiera dane o następującej strukturze:
Zapis JSON |
---|
{ "challengeResponse": string, "expectedIdentity": string } |
Pola | |
---|---|
challenge |
Wymagane. Wygenerowana odpowiedź na wyzwanie, czyli bajtowa reprezentacja SignedData. Ciąg znaków zakodowany w formacie Base64. |
expected |
Opcjonalnie: Usługa może opcjonalnie udostępnić informacje o tożsamości urządzenia lub użytkownika powiązanego z kluczem. W przypadku EMK ta wartość to zarejestrowana domena. W przypadku EUK jest to adres e-mail użytkownika. Jeśli ta wartość jest dostępna, jest sprawdzana pod kątem zawartości odpowiedzi, a weryfikacja zakończy się niepowodzeniem w przypadku braku dopasowania. |
Treść odpowiedzi
Komunikat z wynikiem wywołania VerifiedAccess.VerifyChallengeResponse.
Odpowiedź zwrócona po pomyślnym użyciu profili zarządzanych w niezarządzanych przeglądarkach NIE będzie zawierać pól devicePermanentId, keyTrustLevel, virtualDeviceId i customerId. Profile zarządzane będą ZAMIAST tego zawierać pola profileCustomerId, virtualProfileId i profileKeyTrustLevel.
W przypadku powodzenia treść żądania zawiera dane o następującej strukturze:
Zapis JSON |
---|
{ "devicePermanentId": string, "virtualDeviceId": string, "customerId": string, "signedPublicKeyAndChallenge": string, "deviceSignal": string, "deviceSignals": { object ( |
Pola | |
---|---|
device |
W tym polu zwracany jest trwały identyfikator urządzenia (tylko w przypadku odpowiedzi maszynowej). |
virtual |
Identyfikator urządzenia wirtualnego. Definicja identyfikatora urządzenia wirtualnego zależy od platformy. |
customer |
Unikalny identyfikator klienta, do którego należy to urządzenie, zdefiniowany w pakiecie Google Admin SDK na stronie https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers. |
signed |
W tym polu zwracane jest żądanie podpisania certyfikatu (w formacie SPKAC, zakodowanym w formacie base64). To pole zostanie ustawione tylko wtedy, gdy urządzenie uwzględniło CSR w odpowiedzi na wyzwanie. (opcja uwzględniania żądania podpisania certyfikatu jest teraz dostępna zarówno w odpowiedziach użytkowników, jak i automatycznych) |
device |
Rola wycofana. sygnał urządzenia w postaci ciągu znaków JSON; Zamiast tego użyj elementu |
device |
Sygnały z urządzenia. |
key |
Poziom zaufania do klucza potwierdzonego przez urządzenie. |
profile |
Unikalny identyfikator klienta, do którego należy ten profil, zdefiniowany w pakiecie SDK Google Admin na stronie https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers. |
virtual |
Identyfikator profilu na urządzeniu. |
profile |
Profil poświadczony poziom zaufania klucza. |
attested |
Identyfikator atestowanego urządzenia (ADID). |
device |
Identyfikator rejestracji urządzenia z ChromeOS. |
Zakresy autoryzacji
Wymaga następującego zakresu OAuth:
https://www.googleapis.com/auth/verifiedaccess
Więcej informacji znajdziesz w artykule Omówienie uwierzytelniania.
DeviceSignals
Sygnał urządzenia zgodnie z raportem Chrome. O ile nie zaznaczono inaczej, sygnały są dostępne na wszystkich platformach.
Zapis JSON |
---|
{ "deviceManufacturer": string, "deviceModel": string, "operatingSystem": enum ( |
Pola | |
---|---|
device |
Nazwa producenta urządzenia. |
device |
Nazwa modelu urządzenia. |
operating |
Typ systemu operacyjnego, który jest obecnie uruchomiony na urządzeniu. |
os |
Aktualna wersja systemu operacyjnego. W systemach Windows i Linux wartość będzie zawierać również informacje o łatkach bezpieczeństwa. |
display |
Wyświetlana nazwa urządzenia określona przez użytkownika. |
disk |
Stan szyfrowania dysku. W ChromeOS dysk główny jest zawsze zaszyfrowany. |
serial |
Numer seryjny urządzenia. W systemie Windows jest to numer seryjny systemu BIOS. Niedostępne w większości dystrybucji Linuksa. |
os |
Stan zapory sieciowej na poziomie systemu operacyjnego. Na ChromeOS wartość zawsze będzie wynosić ENABLED (WŁĄCZONY) na zwykłych urządzeniach i UNKNOWN (NIEZNANY) na urządzeniach w trybie programisty. W Chrome M131 wprowadzono obsługę systemu MacOS 15 (Sequoia) i nowszych. |
system |
Lista adresów wszystkich serwerów DNS na poziomie systemu operacyjnego skonfigurowanych w ustawieniach sieci urządzenia. |
hostname |
Nazwa hosta urządzenia. |
mac |
adresy MAC urządzenia. |
screen |
Stan ochrony hasłem blokady ekranu. W ChromeOS ta wartość będzie zawsze włączona, ponieważ nie można wyłączyć wymagania hasła lub kodu PIN podczas odblokowywania urządzenia. |
allow |
Wartość zasady AllowScreenLock na urządzeniu. Więcej informacji znajdziesz na stronie https://chromeenterprise.google/policies/?policy=AllowScreenLock. Dostępne tylko w ChromeOS. |
imei[] |
Identyfikator IMEI urządzenia. Dostępne tylko w ChromeOS. |
meid[] |
Identyfikator MEID urządzenia. Dostępne tylko w ChromeOS. |
secure |
Czy oprogramowanie startowe urządzenia ma włączoną funkcję Bezpieczny rozruch. Dostępne tylko w systemie Windows. |
windows |
Domena Windows, do której należy bieżący komputer. Dostępne tylko w systemie Windows. |
windows |
Domena Windows dla bieżącego użytkownika systemu operacyjnego. Dostępne tylko w systemie Windows. |
device |
Domena rejestracji klienta, który obecnie zarządza urządzeniem. |
browser |
Aktualna wersja przeglądarki Chrome, która wygenerowała ten zestaw sygnałów. Przykładowa wartość: „107.0.5286.0”. |
device |
Identyfikatory organizacji powiązane z organizacją, która obecnie zarządza urządzeniem. Gdy zestawy identyfikatorów przynależności urządzenia i profilu nakładają się na siebie, oznacza to, że organizacje zarządzające urządzeniem i użytkownikiem są powiązane. Więcej informacji o przynależności użytkowników znajdziesz na https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936. |
profile |
Identyfikatory powiązań organizacji powiązanych z organizacją, która obecnie zarządza użytkownikiem profilu Chrome lub użytkownika ChromeOS. |
built |
Określa, czy jest używany wbudowany klient DNS w Chrome. W przeciwnym razie używany jest klient DNS systemu operacyjnego. Ta wartość może być kontrolowana przez zasady firmy: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled. |
chrome |
Określa, czy dostęp do aplikacji Pulpit zdalny Chrome jest blokowany przy użyciu zasad. |
safe |
Poziom ochrony Bezpiecznego przeglądania. To ustawienie może być kontrolowane przez zasady firmy: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel. |
site |
Czy włączone jest ustawienie Izolacja witryn (czyli witryna na proces). To ustawienie może być kontrolowane przez zasady firmy: https://chromeenterprise.google/policies/#SitePerProcess |
password |
Wskazuje, czy funkcja Ostrzeżenie dotyczące ochrony hasłem jest włączona. Ochrona haseł ostrzega użytkowników, gdy używają chronionego hasła w podejrzanych witrynach. To ustawienie jest kontrolowane przez zasadę firmową: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger. Pamiętaj, że nieskonfigurowana zasada nie działa tak samo jak ustawienie zasady |
realtime |
Określa, czy skanowanie niebezpiecznych adresów URL klasy korporacyjnej (czyli niestandardowych) jest włączone. To ustawienie może być kontrolowane przez zasadę przedsiębiorstwa: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode |
third |
Czy Chrome blokuje wstrzykiwanie kodu oprogramowania innych firm. To ustawienie może być kontrolowane przez zasadę przedsiębiorstwa: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. Dostępne tylko w systemie Windows. |
trigger |
Aktywator, który wygenerował ten zestaw sygnałów. |
profile |
Domena rejestracji klienta, który obecnie zarządza profilem. |
crowd |
Właściwości agenta Crowdstrike zainstalowane na urządzeniu (jeśli istnieją). Dostępne tylko w systemach Windows i macOS. |
System operacyjny
Obsługiwane systemy operacyjne.
Wartości w polu enum | |
---|---|
OPERATING_SYSTEM_UNSPECIFIED |
NIEOKREŚLONY. |
CHROME_OS |
ChromeOS. |
CHROMIUM_OS |
System operacyjny Chromium |
WINDOWS |
Windows. |
MAC_OS_X |
Mac OS X. |
LINUX |
Linux |
DiskEncryption
Możliwe stany szyfrowania dysku głównego.
Wartości w polu enum | |
---|---|
DISK_ENCRYPTION_UNSPECIFIED |
Nie określono. |
DISK_ENCRYPTION_UNKNOWN |
Przeglądarka Chrome nie mogła ocenić stanu szyfrowania. |
DISK_ENCRYPTION_DISABLED |
Dysk główny nie jest zaszyfrowany. |
DISK_ENCRYPTION_ENCRYPTED |
Dysk główny jest zaszyfrowany. |
OsFirewall
Możliwe stany zapory sieciowej na poziomie systemu operacyjnego.
Wartości w polu enum | |
---|---|
OS_FIREWALL_UNSPECIFIED |
Nie określono. |
OS_FIREWALL_UNKNOWN |
Chrome nie może ocenić stanu zapory systemu operacyjnego. |
OS_FIREWALL_DISABLED |
Zapora systemu operacyjnego jest wyłączona. |
OS_FIREWALL_ENABLED |
Zapora systemu operacyjnego jest włączona. |
ScreenLockSecured
Możliwe stany ochrony hasłem blokady ekranu
Wartości w polu enum | |
---|---|
SCREEN_LOCK_SECURED_UNSPECIFIED |
Nie określono. |
SCREEN_LOCK_SECURED_UNKNOWN |
Chrome nie udało się ocenić stanu mechanizmu blokady ekranu. |
SCREEN_LOCK_SECURED_DISABLED |
Blokada ekranu nie jest chroniona hasłem. |
SCREEN_LOCK_SECURED_ENABLED |
Blokada ekranu jest chroniona hasłem. |
SecureBootMode
Możliwe stany trybu bezpiecznego rozruchu urządzenia.
Wartości w polu enum | |
---|---|
SECURE_BOOT_MODE_UNSPECIFIED |
Nie określono. |
SECURE_BOOT_MODE_UNKNOWN |
Chrome nie udało się określić trybu bezpiecznego rozruchu. |
SECURE_BOOT_MODE_DISABLED |
Bezpieczny rozruch został wyłączony w oprogramowaniu startowym. |
SECURE_BOOT_MODE_ENABLED |
Bezpieczny rozruch był włączony w oprogramowaniu startowym. |
SafeBrowsingProtectionLevel
Możliwe wartości poziomu ochrony Bezpiecznego przeglądania.
Wartości w polu enum | |
---|---|
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED |
Nie określono. |
INACTIVE |
Bezpieczne przeglądanie jest wyłączone. |
STANDARD |
Bezpieczne przeglądanie działa w trybie standardowym. |
ENHANCED |
Bezpieczne przeglądanie działa w trybie rozszerzonym. |
PasswordProtectionWarningTrigger
Możliwe wartości wyzwalacza ostrzeżenia dotyczącego ochrony hasłem.
Wartości w polu enum | |
---|---|
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED |
Nie określono. |
POLICY_UNSET |
Zasada nie jest skonfigurowana. |
PASSWORD_PROTECTION_OFF |
Nie wyświetla się ostrzeżenie dotyczące ochrony hasłem. |
PASSWORD_REUSE |
Ostrzeżenie dotyczące ochrony hasłem jest wyświetlane, gdy chronione hasło jest ponownie używane. |
PHISHING_REUSE |
Ostrzeżenie dotyczące ochrony hasłem jest wyświetlane, jeśli chronione hasło zostanie użyte ponownie w znanej witrynie wyłudzającej informacje. |
RealtimeUrlCheckMode
Możliwe wartości dla opcji Sprawdzanie URL-i w czasie rzeczywistym.
Wartości w polu enum | |
---|---|
REALTIME_URL_CHECK_MODE_UNSPECIFIED |
Nie określono. |
REALTIME_URL_CHECK_MODE_DISABLED |
Wyłączono. Stosowane są testy Bezpiecznego przeglądania klienta. |
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME |
Sprawdzanie w czasie rzeczywistym adresów URL ramki głównej jest włączone. |
CrowdStrikeAgent
Właściwości agenta CrowdStrike zainstalowanego na urządzeniu.
Zapis JSON |
---|
{ "agentId": string, "customerId": string } |
Pola | |
---|---|
agent |
Identyfikator agenta Crowdstrike. |
customer |
Identyfikator klienta, do którego należy agent. |
Aktywator
Możliwe wartości dla reguły.
Wartości w polu enum | |
---|---|
TRIGGER_UNSPECIFIED |
Nie określono. |
TRIGGER_BROWSER_NAVIGATION |
Podczas przechodzenia do adresu URL w przeglądarce. |
TRIGGER_LOGIN_SCREEN |
podczas logowania się na konto na ekranie logowania w ChromeOS. |
KeyTrustLevel
Poziom zaufania do klucza poświadczonego.
Wartości w polu enum | |
---|---|
KEY_TRUST_LEVEL_UNSPECIFIED |
NIEOKREŚLONY. |
CHROME_OS_VERIFIED_MODE |
Urządzenie z ChromeOS w trybie zweryfikowanym. |
CHROME_OS_DEVELOPER_MODE |
Urządzenie z ChromeOS działa w trybie programisty. |
CHROME_BROWSER_HW_KEY |
przeglądarka Chrome z kluczem przechowywanym na sprzęcie urządzenia; |
CHROME_BROWSER_OS_KEY |
przeglądarka Chrome z kluczem przechowywanym na poziomie systemu operacyjnego, |
CHROME_BROWSER_NO_KEY |
przeglądarka Chrome bez klucza uwierzytelniania, |