Method: challenge.verify

Проверяет ответ на вызов.

HTTP-запрос

POST https://verifiedaccess.googleapis.com/v2/challenge:verify

URL-адрес использует синтаксис транскодирования gRPC .

Тело запроса

Тело запроса содержит данные следующей структуры:

JSON-представление 
{
  "challengeResponse": string,
  "expectedIdentity": string
}
Поля
challenge Response

string ( bytes format)

Необходимый. Сгенерированный ответ на запрос, байтовое представление SignedData.

Строка в кодировке Base64.

expected Identity

string

Необязательный. Служба может дополнительно предоставлять идентификационную информацию об устройстве или пользователе, связанном с ключом. Для EMK это значение является зарегистрированным доменом. Для EUK это значение — адрес электронной почты пользователя. Если оно присутствует, это значение будет проверено по содержимому ответа, и проверка завершится неудачей, если совпадений не будет.

Тело ответа

Сообщение о результате для VerifiedAccess.VerifyChallengeResponse.

Ответ, возвращаемый в случае успеха для управляемых профилей в неуправляемых браузерах, НЕ будет содержать полей devicePermanentId, keyTrustLevel, virtualDeviceId и customerId. Управляемые профили INSTEAD будут иметь поля ProfileCustomerId, virtualProfileId и ProfileKeyTrustLevel.

В случае успеха тело ответа содержит данные следующей структуры:

JSON-представление 
{
  "devicePermanentId": string,
  "virtualDeviceId": string,
  "customerId": string,
  "signedPublicKeyAndChallenge": string,
  "deviceSignal": string,
  "deviceSignals": {
    object (DeviceSignals)
  },
  "keyTrustLevel": enum (KeyTrustLevel),
  "profileCustomerId": string,
  "virtualProfileId": string,
  "profileKeyTrustLevel": enum (KeyTrustLevel),
  "attestedDeviceId": string,
  "deviceEnrollmentId": string
}
Поля
device Permanent Id

string

В этом поле возвращается постоянный идентификатор устройства (только для ответа компьютера).

virtual Device Id

string

Идентификатор виртуального устройства. Определение идентификатора виртуального устройства зависит от платформы.

customer Id

string

Уникальный идентификатор клиента, которому принадлежит это устройство, как определено Google Admin SDK по адресу https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers.

signed Public Key And Challenge

string

В это поле возвращается запрос на подпись сертификата (в формате SPKAC, в кодировке Base64). Это поле будет установлено только в том случае, если устройство включило CSR в свой ответ на запрос. (возможность включения CSR теперь доступна как для ответов пользователя, так и для ответов компьютера)

device Signal

string

Устарело. Сигнал устройства в строковом представлении JSON. Вместо этого предпочитайте использовать deviceSignals .

device Signals

object ( DeviceSignals )

Сигналы устройства.

key Trust Level

enum ( KeyTrustLevel )

Уровень доверия ключа подтвержден устройством.

profile Customer Id

string

Уникальный идентификатор клиента, которому принадлежит этот профиль, как определено Google Admin SDK по адресу https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers.

virtual Profile Id

string

Идентификатор профиля на устройстве.

profile Key Trust Level

enum ( KeyTrustLevel )

Профиль подтвердил ключевой уровень доверия.

attested Device Id

string

Идентификатор подтвержденного устройства (ADID).

device Enrollment Id

string

Идентификатор регистрации устройства для устройств ChromeOS.

Области авторизации

Требуется следующая область действия OAuth:

  • https://www.googleapis.com/auth/verifiedaccess

Для получения дополнительной информации см. Обзор аутентификации .

УстройствоСигналы

Устройство сигнализирует, как сообщает Chrome. Если не указано иное, сигналы доступны на всех платформах.

JSON-представление 
{
  "deviceManufacturer": string,
  "deviceModel": string,
  "operatingSystem": enum (OperatingSystem),
  "osVersion": string,
  "displayName": string,
  "diskEncryption": enum (DiskEncryption),
  "serialNumber": string,
  "osFirewall": enum (OsFirewall),
  "systemDnsServers": [
    string
  ],
  "hostname": string,
  "macAddresses": [
    string
  ],
  "screenLockSecured": enum (ScreenLockSecured),
  "allowScreenLock": boolean,
  "imei": [
    string
  ],
  "meid": [
    string
  ],
  "secureBootMode": enum (SecureBootMode),
  "windowsMachineDomain": string,
  "windowsUserDomain": string,
  "deviceEnrollmentDomain": string,
  "browserVersion": string,
  "deviceAffiliationIds": [
    string
  ],
  "profileAffiliationIds": [
    string
  ],
  "builtInDnsClientEnabled": boolean,
  "chromeRemoteDesktopAppBlocked": boolean,
  "safeBrowsingProtectionLevel": enum (SafeBrowsingProtectionLevel),
  "siteIsolationEnabled": boolean,
  "passwordProtectionWarningTrigger": enum (PasswordProtectionWarningTrigger),
  "realtimeUrlCheckMode": enum (RealtimeUrlCheckMode),
  "thirdPartyBlockingEnabled": boolean,
  "trigger": enum (Trigger),
  "profileEnrollmentDomain": string,
  "crowdStrikeAgent": {
    object (CrowdStrikeAgent)
  }
}
Поля
device Manufacturer

string

Название производителя устройства.

device Model

string

Название модели устройства.

operating System

enum ( OperatingSystem )

Тип операционной системы, работающей в данный момент на устройстве.

os Version

string

Текущая версия операционной системы. В Windows и Linux это значение также будет включать информацию об исправлении безопасности.

display Name

string

Отображаемое имя устройства, определенное пользователем.

disk Encryption

enum ( DiskEncryption )

Состояние шифрования диска. В ChromeOS основной диск всегда ЗАШИФРОВАН.

serial Number

string

Серийный номер устройства. В Windows это серийный номер BIOS. Недоступно в большинстве дистрибутивов Linux.

os Firewall

enum ( OsFirewall )

Состояние брандмауэра уровня ОС. В ChromeOS значение всегда будет ВКЛЮЧЕНО на обычных устройствах и НЕИЗВЕСТНО на устройствах в режиме разработчика. Поддержка MacOS 15 (Sequoia) и более поздних версий появилась в Chrome M131.

system Dns Servers[]

string

Список адресов всех DNS-серверов уровня ОС, настроенных в сетевых настройках устройства.

hostname

string

Имя хоста устройства.

mac Addresses[]

string

MAC-адреса устройства.

screen Lock Secured

enum ( ScreenLockSecured )

Состояние защиты паролем блокировки экрана. В ChromeOS это значение всегда будет ВКЛЮЧЕНО, поскольку невозможно отключить требование пароля или PIN-кода при разблокировке устройства.

allow Screen Lock

boolean

Значение политики AllowScreenLock на устройстве. Дополнительную информацию см. на странице https://chromeenterprise.google/policies/?policy=AllowScreenLock . Доступно только на ChromeOS.

imei[]

string

Международный идентификатор мобильного оборудования (IMEI) устройства. Доступно только на ChromeOS.

meid[]

string

Идентификатор мобильного оборудования (MEID) устройства. Доступно только на ChromeOS.

secure Boot Mode

enum ( SecureBootMode )

Включена ли в загрузочном программном обеспечении устройства функция безопасной загрузки. Доступно только в Windows.

windows Machine Domain

string

Домен Windows, к которому присоединился текущий компьютер. Доступно только в Windows.

windows User Domain

string

Домен Windows для текущего пользователя ОС. Доступно только в Windows.

device Enrollment Domain

string

Домен регистрации клиента, который в данный момент управляет устройством.

browser Version

string

Текущая версия браузера Chrome, сгенерировавшая этот набор сигналов. Пример значения: «107.0.5286.0».

device Affiliation Ids[]

string

Идентификаторы принадлежности организаций, которые связаны с организацией, которая в данный момент управляет устройством. Когда наборы идентификаторов принадлежности устройства и профиля перекрываются, это означает, что организации, управляющие устройством и пользователем, являются аффилированными. Чтобы узнать больше о принадлежности пользователя, посетите https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936 .

profile Affiliation Ids[]

string

Идентификаторы принадлежности организаций, которые связаны с организацией, которая в настоящее время управляет пользователем профиля Chrome или пользователем ChromeOS.

built In Dns Client Enabled

boolean

Используется ли встроенный DNS-клиент Chrome. В противном случае используется DNS-клиент ОС. Это значение может контролироваться корпоративной политикой: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled .

chrome Remote Desktop App Blocked

boolean

Блокируется ли доступ к приложению Chrome Remote Desktop с помощью политики.

safe Browsing Protection Level

enum ( SafeBrowsingProtectionLevel )

Уровень защиты безопасного просмотра. Этот параметр может контролироваться корпоративной политикой: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel .

site Isolation Enabled

boolean

Включен ли параметр «Изоляция сайта» (также известный как «Сайт для каждого процесса»). Этот параметр может контролироваться корпоративной политикой: https://chromeenterprise.google/policies/#SitePerProcess.

password Protection Warning Trigger

enum ( PasswordProtectionWarningTrigger )

Включена или нет функция предупреждения о защите паролем. Защита паролем предупреждает пользователей, когда они повторно используют свой защищенный пароль на потенциально подозрительных сайтах. Этот параметр контролируется корпоративной политикой: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger .

Обратите внимание, что отключение политики не имеет того же эффекта, что и политика, явно установленная на PASSWORD_PROTECTION_OFF .

realtime Url Check Mode

enum ( RealtimeUrlCheckMode )

Включено ли сканирование небезопасных URL-адресов корпоративного уровня (т. е. настраиваемое). Этот параметр может контролироваться корпоративной политикой: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode.

third Party Blocking Enabled

boolean

Блокирует ли Chrome внедрение стороннего программного обеспечения или нет. Этот параметр может контролироваться корпоративной политикой: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled . Доступно только в Windows.

trigger

enum ( Trigger )

Триггер, сгенерировавший этот набор сигналов.

profile Enrollment Domain

string

Домен регистрации клиента, который в данный момент управляет профилем.

crowd Strike Agent

object ( CrowdStrikeAgent )

Свойства агента Crowdstrike, установленные на устройстве, если таковые имеются. Доступно только в Windows и MacOS.

Операционная система

Поддерживаемые операционные системы.

Перечисления
OPERATING_SYSTEM_UNSPECIFIED НЕУКАЗАНО.
CHROME_OS ХромОС.
CHROMIUM_OS ХромиумОС.
WINDOWS Окна.
MAC_OS_X МакОс Х.
LINUX Линукс

Шифрование диска

Возможные состояния шифрования основного диска.

Перечисления
DISK_ENCRYPTION_UNSPECIFIED Не указано.
DISK_ENCRYPTION_UNKNOWN Chrome не смог оценить состояние шифрования.
DISK_ENCRYPTION_DISABLED Основной диск не зашифрован.
DISK_ENCRYPTION_ENCRYPTED Основной диск зашифрован.

ОСБрандмауэр

Возможные состояния брандмауэра уровня ОС.

Перечисления
OS_FIREWALL_UNSPECIFIED Не указано.
OS_FIREWALL_UNKNOWN Chrome не смог оценить состояние брандмауэра ОС.
OS_FIREWALL_DISABLED Брандмауэр ОС отключен.
OS_FIREWALL_ENABLED Брандмауэр ОС включен.

ScreenLockSecured

Возможные состояния защиты паролем блокировки экрана.

Перечисления
SCREEN_LOCK_SECURED_UNSPECIFIED Не указано.
SCREEN_LOCK_SECURED_UNKNOWN Chrome не смог оценить состояние механизма блокировки экрана.
SCREEN_LOCK_SECURED_DISABLED Блокировка экрана не защищена паролем.
SCREEN_LOCK_SECURED_ENABLED Блокировка экрана защищена паролем.

Безопасный режим загрузки

Возможные состояния режима Secure Boot устройства.

Перечисления
SECURE_BOOT_MODE_UNSPECIFIED Не указано.
SECURE_BOOT_MODE_UNKNOWN Chrome не смог определить режим безопасной загрузки.
SECURE_BOOT_MODE_DISABLED Безопасная загрузка была отключена в загрузочном программном обеспечении.
SECURE_BOOT_MODE_ENABLED Безопасная загрузка была включена в загрузочном программном обеспечении.

Уровень защиты безопасного просмотра

Возможные значения уровня защиты безопасного просмотра.

Перечисления
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED Не указано.
INACTIVE Безопасный просмотр отключен.
STANDARD Безопасный просмотр активен в стандартном режиме.
ENHANCED Безопасный просмотр активен в расширенном режиме.

Защита паролемПредупреждениеТриггер

Возможные значения для триггера предупреждения о защите паролем.

Перечисления
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED Не указано.
POLICY_UNSET Политика не установлена.
PASSWORD_PROTECTION_OFF Предупреждение о защите паролем не будет отображаться.
PASSWORD_REUSE Предупреждение о защите паролем отображается, если защищенный пароль используется повторно.
PHISHING_REUSE Предупреждение о защите паролем отображается, если защищенный пароль повторно используется на известном фишинговом веб-сайте.

RealtimeUrlCheckMode

Возможные значения для режима проверки URL-адресов в реальном времени.

Перечисления
REALTIME_URL_CHECK_MODE_UNSPECIFIED Не указано.
REALTIME_URL_CHECK_MODE_DISABLED Неполноценный. Применяются проверки безопасного просмотра для потребителей.
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME Включена проверка в реальном времени URL-адресов основного фрейма.

CrowdStrikeАгент

Свойства агента CrowdStrike, установленного на устройстве.

JSON-представление 
{
  "agentId": string,
  "customerId": string
}
Поля
agent Id

string

Идентификатор агента Crowdstrike.

customer Id

string

Идентификатор клиента, которому принадлежит агент.

Курок

Возможные значения для триггера.

Перечисления
TRIGGER_UNSPECIFIED Не указано.
TRIGGER_BROWSER_NAVIGATION При переходе по URL-адресу внутри браузера.
TRIGGER_LOGIN_SCREEN При входе в учетную запись на экране входа в ChromeOS.

KeyTrustLevel

Уровень доверия подтвержденного ключа.

Перечисления
KEY_TRUST_LEVEL_UNSPECIFIED НЕУКАЗАНО.
CHROME_OS_VERIFIED_MODE Устройство ChromeOS в проверенном режиме.
CHROME_OS_DEVELOPER_MODE Устройство ChromeOS в режиме разработчика.
CHROME_BROWSER_HW_KEY Браузер Chrome с ключом, хранящимся в аппаратном обеспечении устройства.
CHROME_BROWSER_OS_KEY Браузер Chrome с ключом, хранящимся на уровне ОС.
CHROME_BROWSER_NO_KEY Браузер Chrome без ключа подтверждения.