- Żądanie HTTP
- Treść żądania
- Treść odpowiedzi
- Zakresy autoryzacji
- DeviceSignals
- OperatingSystem
- DiskEncryption
- OsFirewall
- ScreenLockSecured
- SecureBootMode
- SafeBrowsingProtectionLevel
- PasswordProtectionWarningTrigger
- RealtimeUrlCheckMode
- CrowdStrikeAgent
- Aktywator
- KeyTrustLevel
Weryfikuje odpowiedź na wyzwanie.
Żądanie HTTP
POST https://verifiedaccess.googleapis.com/v2/challenge:verify
Adres URL używa składni transkodowania gRPC.
Treść żądania
Treść żądania zawiera dane o następującej strukturze:
Zapis JSON |
---|
{ "challengeResponse": string, "expectedIdentity": string } |
Pola | |
---|---|
challengeResponse |
To pole jest wymagane. Wygenerowana odpowiedź na wyzwanie, reprezentacja SignedData w postaci bajtów. Ciąg zakodowany w standardzie base64. |
expectedIdentity |
Opcjonalnie. Usługa może opcjonalnie udostępniać informacje o tożsamości urządzenia lub użytkownika powiązanego z kluczem. W przypadku EMK wartość to zarejestrowana domena. W przypadku EUK tą wartością jest adres e-mail użytkownika. Jeśli ta wartość jest obecna, zostanie ona porównana z treścią odpowiedzi. W przypadku braku dopasowania weryfikacja się nie powiedzie. |
Treść odpowiedzi
Komunikat o wyniku dla VerifiedAccess.VerifyChallengeResponse.
W przypadku powodzenia treść żądania zawiera dane o następującej strukturze:
Zapis JSON |
---|
{ "devicePermanentId": string, "virtualDeviceId": string, "customerId": string, "signedPublicKeyAndChallenge": string, "deviceSignal": string, "deviceSignals": { object ( |
Pola | |
---|---|
devicePermanentId |
W tym polu jest zwracany stały identyfikator urządzenia (tylko w przypadku odpowiedzi maszyny). |
virtualDeviceId |
Identyfikator urządzenia wirtualnego. Definicja identyfikatora urządzenia wirtualnego zależy od platformy. |
customerId |
Unikalny identyfikator klienta, do którego należy to urządzenie, określony w pakiecie Google Admin SDK na stronie https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers. |
signedPublicKeyAndChallenge |
Żądanie podpisania certyfikatu (w formacie SPKAC, zakodowanym w formacie base64) jest zwracane w tym polu. To pole zostanie skonfigurowane tylko wtedy, gdy urządzenie będzie zawierać żądanie podpisania certyfikatu w odpowiedzi na wyzwanie. (opcja uwzględniania przedstawiciela obsługi klienta jest teraz dostępna zarówno w przypadku odpowiedzi użytkownika, jak i komputera) |
deviceSignal |
Rola wycofana. Sygnał urządzenia w postaci ciągu tekstowego json. Wolę użyć |
deviceSignals |
Sygnały z urządzenia. |
keyTrustLevel |
Klucz bezpieczeństwa atestowanego urządzenia. |
profileCustomerId |
Unikalny identyfikator klienta, do którego należy ten profil określony w pakiecie Google Admin SDK na stronie https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers. |
virtualProfileId |
Identyfikator profilu na urządzeniu. |
profileKeyTrustLevel |
Atestowany kluczowy poziom zaufania profilu. |
attestedDeviceId |
Identyfikator atestowanego urządzenia (ADID). |
deviceEnrollmentId |
Identyfikator rejestracji urządzeń z ChromeOS. |
Zakresy autoryzacji
Wymaga następującego zakresu OAuth:
https://www.googleapis.com/auth/verifiedaccess
Więcej informacji znajdziesz w artykule Omówienie uwierzytelniania.
DeviceSignals
Sygnały urządzenia zgłaszane przez Chrome. O ile nie wskazano inaczej, sygnały są dostępne na wszystkich platformach.
Zapis JSON |
---|
{ "deviceManufacturer": string, "deviceModel": string, "operatingSystem": enum ( |
Pola | |
---|---|
deviceManufacturer |
Nazwa producenta urządzenia. |
deviceModel |
Nazwa modelu urządzenia. |
operatingSystem |
Typ systemu operacyjnego aktualnie działającego na urządzeniu. |
osVersion |
Bieżąca wersja systemu operacyjnego. W systemach Windows i Linux wartość ta zawiera też informacje o poprawce zabezpieczeń. |
displayName |
Wyświetlana nazwa urządzenia określona przez użytkownika. |
diskEncryption |
Stan szyfrowania dysku. W ChromeOS dysk główny jest zawsze szyfrowany. |
serialNumber |
Numer seryjny urządzenia. W systemie Windows jest to numer seryjny BIOS. Funkcja niedostępna w większości dystrybucji Linuksa. |
osFirewall |
Stan zapory sieciowej na poziomie systemu operacyjnego. W systemie ChromeOS wartość będzie zawsze WŁĄCZONA na zwykłych urządzeniach i UNKNOWN na urządzeniach w trybie programisty. |
systemDnsServers[] |
Lista adresów wszystkich serwerów DNS na poziomie systemu operacyjnego skonfigurowanych w ustawieniach sieci urządzenia. |
hostname |
Nazwa hosta urządzenia. |
macAddresses[] |
Adresy MAC urządzenia. |
screenLockSecured |
Stan ochrony hasłem blokady ekranu. W ChromeOS ta wartość jest zawsze WŁĄCZONA, ponieważ nie można wyłączyć wymogu podawania hasła lub kodu PIN podczas odblokowywania urządzenia. |
allowScreenLock |
Wartość zasady allowScreenLock na urządzeniu. Więcej informacji znajdziesz na stronie https://chromeenterprise.google/policies/?policy=AllowScreenLock. Funkcja dostępna tylko na ChromeOS. |
imei[] |
Identyfikator IMEI urządzenia. Funkcja dostępna tylko na ChromeOS. |
meid[] |
Identyfikator MEID urządzenia. Funkcja dostępna tylko na ChromeOS. |
secureBootMode |
Określa, czy oprogramowanie startowe urządzenia ma włączoną funkcję bezpiecznego rozruchu. Funkcja dostępna tylko w systemie Windows. |
windowsMachineDomain |
Domena Windows, do której dołączył bieżący komputer. Funkcja dostępna tylko w systemie Windows. |
windowsUserDomain |
Domena Windows bieżącego użytkownika systemu operacyjnego. Funkcja dostępna tylko w systemie Windows. |
deviceEnrollmentDomain |
Domena rejestracji klienta, który obecnie zarządza urządzeniem. |
browserVersion |
Bieżąca wersja przeglądarki Chrome, która wygenerowała ten zestaw sygnałów. Przykładowa wartość: „107.0.5286.0”. |
deviceAffiliationIds[] |
Identyfikatory organizacji powiązanych z organizacją, która obecnie zarządza urządzeniem. Gdy zestawy identyfikatorów przynależności urządzenia i profilu nakładają się, oznacza to, że organizacje zarządzające urządzeniem i użytkownik są powiązane. Więcej informacji o powiązaniach użytkowników znajdziesz na stronie https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936. |
profileAffiliationIds[] |
Identyfikatory organizacji powiązanych z organizacją, która obecnie zarządza użytkownikiem profilu Chrome lub użytkownika ChromeOS. |
builtInDnsClientEnabled |
Określa, czy używany jest wbudowany klient DNS w Chrome. W innym przypadku używany jest klient DNS systemu operacyjnego. Tą wartością może zarządzać zasada przedsiębiorstwa: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled. |
chromeRemoteDesktopAppBlocked |
Określa, czy dostęp do aplikacji Pulpit zdalny Chrome jest zablokowany za pomocą zasad. |
safeBrowsingProtectionLevel |
Poziom ochrony Bezpiecznego przeglądania. Tym ustawieniem może zarządzać zasada przedsiębiorstwa: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel. |
siteIsolationEnabled |
Określa, czy ustawienie Izolacja witryn (inaczej: izolacja witryn według procesu) jest włączone. Tym ustawieniem może zarządzać zasada przedsiębiorstwa: https://chromeenterprise.google/policies/#SitePerProcess |
passwordProtectionWarningTrigger |
Określa, czy funkcja ostrzeżenia dotyczącego ochrony hasłem jest włączona. Ochrona haseł ostrzega użytkowników, gdy używają chronionego hasła ponownie w podejrzanych witrynach. To ustawienie jest kontrolowane przez zasadę przedsiębiorstwa: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger. Pamiętaj, że zasada nieskonfigurowana nie ma takich samych skutków jak sytuacja, w której zasada ma wartość |
realtimeUrlCheckMode |
Wskazuje, czy jest włączone skanowanie niebezpiecznych adresów URL klasy korporacyjnej (tj. niestandardowe). Tym ustawieniem może zarządzać zasada przedsiębiorstwa: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode |
thirdPartyBlockingEnabled |
Określa, czy Chrome blokuje wstrzykiwanie oprogramowania innych firm. To ustawienie może być kontrolowane przez zasadę przedsiębiorstwa: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. Funkcja dostępna tylko w systemie Windows. |
trigger |
Reguła, która wygenerowała ten zestaw sygnałów. |
profileEnrollmentDomain |
Domena rejestracji klienta, który obecnie zarządza profilem. |
crowdStrikeAgent |
Właściwości agenta Crowdstrike zainstalowane na urządzeniu (jeśli występują). Funkcja dostępna tylko w systemach Windows i MacOS. |
OperatingSystem
Obsługiwane systemy operacyjne.
Wartości w polu enum | |
---|---|
OPERATING_SYSTEM_UNSPECIFIED |
BRAK DANYCH. |
CHROME_OS |
ChromeOS. |
CHROMIUM_OS |
System operacyjny Chromium. |
WINDOWS |
Windows. |
MAC_OS_X |
macOS X |
LINUX |
Linux |
DiskEncryption
Możliwe stany szyfrowania dysku głównego.
Wartości w polu enum | |
---|---|
DISK_ENCRYPTION_UNSPECIFIED |
Nie określono. |
DISK_ENCRYPTION_UNKNOWN |
Przeglądarka Chrome nie mogła ocenić stanu szyfrowania. |
DISK_ENCRYPTION_DISABLED |
Dysk główny nie jest zaszyfrowany. |
DISK_ENCRYPTION_ENCRYPTED |
Dysk główny jest zaszyfrowany. |
OsFirewall
Możliwe stany zapory sieciowej na poziomie systemu operacyjnego.
Wartości w polu enum | |
---|---|
OS_FIREWALL_UNSPECIFIED |
Nie określono. |
OS_FIREWALL_UNKNOWN |
Chrome nie może ocenić stanu zapory sieciowej systemu operacyjnego. |
OS_FIREWALL_DISABLED |
Zapora sieciowa systemu operacyjnego jest wyłączona. |
OS_FIREWALL_ENABLED |
Zapora sieciowa systemu operacyjnego jest włączona. |
ScreenLockSecured
Możliwe stany ochrony hasłem blokady ekranu.
Wartości w polu enum | |
---|---|
SCREEN_LOCK_SECURED_UNSPECIFIED |
Nie określono. |
SCREEN_LOCK_SECURED_UNKNOWN |
Przeglądarka Chrome nie mogła ocenić stanu mechanizmu blokady ekranu. |
SCREEN_LOCK_SECURED_DISABLED |
Blokada ekranu nie jest chroniona hasłem. |
SCREEN_LOCK_SECURED_ENABLED |
Blokada ekranu jest chroniona hasłem. |
SecureBootMode
Możliwe stany trybu bezpiecznego rozruchu urządzenia.
Wartości w polu enum | |
---|---|
SECURE_BOOT_MODE_UNSPECIFIED |
Nie określono. |
SECURE_BOOT_MODE_UNKNOWN |
Przeglądarka Chrome nie mogła określić trybu bezpiecznego rozruchu. |
SECURE_BOOT_MODE_DISABLED |
Bezpieczny rozruch został wyłączony w oprogramowaniu startowym. |
SECURE_BOOT_MODE_ENABLED |
Bezpieczny rozruch został włączony w oprogramowaniu startowym. |
SafeBrowsingProtectionLevel
Możliwe wartości poziomu ochrony Bezpiecznego przeglądania.
Wartości w polu enum | |
---|---|
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED |
Nie określono. |
INACTIVE |
Bezpieczne przeglądanie jest wyłączone. |
STANDARD |
Bezpieczne przeglądanie działa w trybie standardowym. |
ENHANCED |
Bezpieczne przeglądanie działa w trybie rozszerzonym |
PasswordProtectionWarningTrigger
Możliwe wartości aktywatora ostrzeżenia dotyczącego ochrony hasłem.
Wartości w polu enum | |
---|---|
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED |
Nie określono. |
POLICY_UNSET |
Zasada nie jest skonfigurowana. |
PASSWORD_PROTECTION_OFF |
Nie będzie wyświetlane żadne ostrzeżenie dotyczące ochrony hasłem. |
PASSWORD_REUSE |
W przypadku ponownego użycia chronionego hasła wyświetlane jest ostrzeżenie dotyczące ochrony hasłem. |
PHISHING_REUSE |
Ostrzeżenie dotyczące ochrony hasłem jest wyświetlane, jeśli chronione hasło zostanie użyte ponownie na znanej stronie wyłudzającej informacje. |
RealtimeUrlCheckMode
Możliwe wartości trybu sprawdzania adresów URL w czasie rzeczywistym.
Wartości w polu enum | |
---|---|
REALTIME_URL_CHECK_MODE_UNSPECIFIED |
Nie określono. |
REALTIME_URL_CHECK_MODE_DISABLED |
Wyłączono. Stosowane są kontrole Bezpiecznego przeglądania konsumenckiego. |
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME |
Sprawdzanie w czasie rzeczywistym adresów URL ramki głównej jest włączone. |
CrowdStrikeAgent
Właściwości agenta CrowdStrike zainstalowanego na urządzeniu.
Zapis JSON |
---|
{ "agentId": string, "customerId": string } |
Pola | |
---|---|
agentId |
Identyfikator agenta Crowdstrike. |
customerId |
Identyfikator klienta, do którego należy agent. |
Aktywator
Możliwe wartości aktywatora.
Wartości w polu enum | |
---|---|
TRIGGER_UNSPECIFIED |
Nie określono. |
TRIGGER_BROWSER_NAVIGATION |
Podczas otwierania adresu URL w przeglądarce. |
TRIGGER_LOGIN_SCREEN |
Podczas logowania się na konto na ekranie logowania ChromeOS. |
KeyTrustLevel
Poziom zaufania atestowanego klucza.
Wartości w polu enum | |
---|---|
KEY_TRUST_LEVEL_UNSPECIFIED |
BRAK DANYCH. |
CHROME_OS_VERIFIED_MODE |
Urządzenie z ChromeOS w trybie zweryfikowanym. |
CHROME_OS_DEVELOPER_MODE |
Urządzenie z ChromeOS w trybie programisty. |
CHROME_BROWSER_HW_KEY |
Przeglądarka Chrome z kluczem zapisanym na sprzęcie urządzenia. |
CHROME_BROWSER_OS_KEY |
Przeglądarka Chrome z kluczem zapisanym na poziomie systemu operacyjnego. |
CHROME_BROWSER_NO_KEY |
Przeglądarka Chrome bez klucza atestu. |