本页介绍了在哪些情况下您可能需要重新进行身份验证,即使您之前已成功完成身份验证。
Google Workspace 会话配置
如果您使用 Google Workspace 用户账号访问 Google Cloud ,您的 Google Workspace 管理员可以配置最长会话时长,以及会话过期时是否需要重新进行身份验证。本地应用默认凭据 (ADC) 文件提供的凭据也会在会话过期时过期。您必须再次运行 gcloud auth application-default login 命令来刷新它们。
如果您对 Google Workspace 会话配置有任何疑问,请与您的 Google Workspace 管理员联系。如需了解如何设置 Google Workspace 会话时长,请参阅设置 Google Cloud 服务的会话时长。
Identity-Aware Proxy 重新身份验证
IAP 可配置为要求在特定时间段后重新验证受保护的服务和应用。如需了解详情,请参阅 IAP 重新身份验证。
刷新令牌过期
刷新令牌可能会因会话时长或其他原因而过期。过期后,您必须重新进行身份验证。如需了解详情,请参阅 Google Identity 文档中的刷新令牌过期。
敏感操作
以下 Google Cloud 操作被视为敏感操作:
- 结算分配变更
- 组织、文件夹或项目级 IAM 允许政策变更
为确保这些敏感操作不会因凭据盗窃而被恶意行为者发起, Google Cloud 通过要求重新进行身份验证来增加一层额外的安全保障。
我们正在逐步面向所有Google Cloud 账号推出敏感操作重新验证功能。预计将于 2026 年完成发布。
何时需要重新进行身份验证
当您发起敏感操作时,如果满足以下所有条件,则需要重新输入密码或完成多重身份验证 (MFA):
- 该操作在 Google Cloud 控制台中发起。
- 您在过去 15 分钟内未重新进行身份验证。
- 您的用户账号由 Google 管理。
由外部身份提供方 (IdP) 管理并使用员工身份联合进行联合的用户账号无需重新进行身份验证。
停用重新验证
默认情况下,系统会启用针对敏感操作的重新验证功能。如需申请例外情况,请与支持团队联系,并说明申请例外情况的原因。