Method: challenge.verify

אימות התשובה לאתגר.

בקשת HTTP

POST https://verifiedaccess.googleapis.com/v2/challenge:verify

כתובת ה-URL משתמשת בתחביר של Transcoding של gRPC.

גוף הבקשה

גוף הבקשה מכיל נתונים במבנה הבא:

ייצוג ב-JSON 
{
  "challengeResponse": string,
  "expectedIdentity": string
}
שדות
challengeResponse

string (bytes format)

חובה. התשובה שנוצרה לאתגר, ייצוג הבייטים של SignedData.

מחרוזת בקידוד Base64.
expectedIdentity

string

זה שינוי אופציונלי. השירות יכול לספק מידע על הזהות של המכשיר או המשתמש שמשויכים למפתח. עבור EMK, הערך הזה הוא הדומיין המורשם. ב-EUK, הערך הזה הוא כתובת האימייל של המשתמש. אם הערך הזה קיים, הוא ייבדק מול תוכן התשובה, והאימות ייכשל אם לא תהיה התאמה.

גוף התשובה

הודעת התוצאה של VerifiedAccess.VerifyChallengeResponse.

התשובה שתוחזר במקרה של הצלחה בפרופילים מנוהלים בדפדפנים לא מנוהלים לא תכלול את השדות devicePermanentId, ‏ keyTrustLevel, ‏ virtualDeviceId ו-customerId. במקום זאת, פרופילים מנוהלים יכללו את השדות profileCustomerId,‏ virtualProfileId,‏ profilePermanentId ו-profileKeyTrustLevel.

אם הפעולה מצליחה, גוף התגובה מכיל נתונים במבנה הבא:

ייצוג ב-JSON 
{
  "devicePermanentId": string,
  "virtualDeviceId": string,
  "customerId": string,
  "signedPublicKeyAndChallenge": string,
  "deviceSignal": string,
  "deviceSignals": {
    object (DeviceSignals)
  },
  "keyTrustLevel": enum (KeyTrustLevel),
  "profileCustomerId": string,
  "virtualProfileId": string,
  "profilePermanentId": string,
  "profileKeyTrustLevel": enum (KeyTrustLevel),
  "attestedDeviceId": string,
  "deviceEnrollmentId": string
}
שדות
devicePermanentId

string

פלט בלבד. המזהה הקבוע של המכשיר מוחזר בשדה הזה (בתגובה מהמכונה בלבד).
virtualDeviceId

string

פלט בלבד. מזהה המכשיר הווירטואלי של המכשיר. ההגדרה של מזהה המכשיר הווירטואלי היא ספציפית לפלטפורמה.
customerId

string

פלט בלבד. מזהה לקוח ייחודי שהמכשיר הזה שייך אליו, כפי שמוגדר ב-Google Admin SDK בכתובת https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers
signedPublicKeyAndChallenge

string

פלט בלבד. בקשת החתימה על האישור (בפורמט SPKAC, בקידוד base64) מוחזרת בשדה הזה. השדה הזה יוגדר רק אם המכשיר כלל CSR בתשובה לאתגר. (האפשרות לכלול CSR זמינה עכשיו גם לתשובות של משתמשים וגם לתשובות של מכונות)
deviceSignal

string

פלט בלבד. הוצא משימוש. אותות המכשיר בייצוג של מחרוזת JSON. מומלץ להשתמש ב-deviceSignals במקום זאת.
deviceSignals

object (DeviceSignals)

פלט בלבד. אותות ממכשירים.
keyTrustLevel

enum (KeyTrustLevel)

פלט בלבד. רמת האמינות של מפתח מאומת במכשיר.
profileCustomerId

string

פלט בלבד. מזהה לקוח ייחודי שהפרופיל הזה שייך אליו, כפי שמוגדר ב-Google Admin SDK בכתובת https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers
virtualProfileId

string

פלט בלבד. המזהה של פרופיל במכשיר שסופק על ידי הלקוח.
profilePermanentId

string

פלט בלבד. המזהה הייחודי בצד השרת של פרופיל במכשיר.
profileKeyTrustLevel

enum (KeyTrustLevel)

פלט בלבד. רמת האמון של מפתח מאומת בפרופיל.
attestedDeviceId

string

פלט בלבד. מזהה מכשיר מאומת (ADID).
deviceEnrollmentId

string

פלט בלבד. מזהה הרישום של המכשיר למכשירי ChromeOS.

היקפי הרשאה

נדרש היקף הרשאות OAuth הבא:

  • https://www.googleapis.com/auth/verifiedaccess

מידע נוסף זמין בOAuth 2.0 Overview.

DeviceSignals

אותות מהמכשיר כפי שדווחו על ידי Chrome. אלא אם צוין אחרת, האותות זמינים בכל הפלטפורמות.

ייצוג ב-JSON 
{
  "deviceManufacturer": string,
  "deviceModel": string,
  "operatingSystem": enum (OperatingSystem),
  "osVersion": string,
  "displayName": string,
  "diskEncryption": enum (DiskEncryption),
  "serialNumber": string,
  "osFirewall": enum (OsFirewall),
  "systemDnsServers": [
    string
  ],
  "hostname": string,
  "macAddresses": [
    string
  ],
  "screenLockSecured": enum (ScreenLockSecured),
  "allowScreenLock": boolean,
  "imei": [
    string
  ],
  "meid": [
    string
  ],
  "secureBootMode": enum (SecureBootMode),
  "windowsMachineDomain": string,
  "windowsUserDomain": string,
  "deviceEnrollmentDomain": string,
  "browserVersion": string,
  "deviceAffiliationIds": [
    string
  ],
  "profileAffiliationIds": [
    string
  ],
  "builtInDnsClientEnabled": boolean,
  "chromeRemoteDesktopAppBlocked": boolean,
  "safeBrowsingProtectionLevel": enum (SafeBrowsingProtectionLevel),
  "siteIsolationEnabled": boolean,
  "passwordProtectionWarningTrigger": enum (PasswordProtectionWarningTrigger),
  "realtimeUrlCheckMode": enum (RealtimeUrlCheckMode),
  "thirdPartyBlockingEnabled": boolean,
  "trigger": enum (Trigger),
  "profileEnrollmentDomain": string,
  "antivirus": {
    object (Antivirus)
  },
  "crowdStrikeAgent": {
    object (CrowdStrikeAgent)
  }
}
שדות
deviceManufacturer

string

פלט בלבד. השם של יצרן המכשיר.
deviceModel

string

פלט בלבד. שם הדגם של המכשיר.
operatingSystem

enum (OperatingSystem)

פלט בלבד. סוג מערכת ההפעלה שפועלת כרגע במכשיר.
osVersion

string

פלט בלבד. הגרסה הנוכחית של מערכת ההפעלה. ב-Windows וב-Linux, הערך יכלול גם את פרטי תיקון האבטחה.
displayName

string

פלט בלבד. השם המוצג של המכשיר, כפי שהוגדר על ידי המשתמש.
diskEncryption

enum (DiskEncryption)

פלט בלבד. מצב ההצפנה של הדיסק. ב-ChromeOS, הדיסק הראשי תמיד מוצפן.
serialNumber

string

פלט בלבד. המספר הסידורי של המכשיר. ב-Windows, זהו המספר הסידורי של ה-BIOS. לא זמין ברוב הפצות Linux.
osFirewall

enum (OsFirewall)

פלט בלבד. המצב של חומת האש ברמת מערכת ההפעלה. ב-ChromeOS, הערך תמיד יהיה ENABLED במכשירים רגילים ו-UNKNOWN במכשירים במצב פיתוח. התמיכה ב-MacOS 15 (Sequoia) ואילך נוספה ב-Chrome M131.
systemDnsServers[]

string

רשימה של הכתובות של כל שרתי ה-DNS ברמת מערכת ההפעלה שהוגדרו בהגדרות הרשת של המכשיר.
hostname

string

שם המארח של המכשיר.
macAddresses[]

string

פלט בלבד. כתובות ה-MAC של המכשיר.
screenLockSecured

enum (ScreenLockSecured)

פלט בלבד. המצב של ההגנה באמצעות סיסמה לנעילת המסך. ב-ChromeOS, הערך הזה תמיד יהיה מופעל כי אין דרך להשבית את הדרישה לסיסמה או למספר PIN כדי לבטל את נעילת המכשיר.
allowScreenLock

boolean

פלט בלבד. הערך של המדיניות AllowScreenLock במכשיר. פרטים נוספים זמינים בכתובת https://chromeenterprise.google/policies/?policy=AllowScreenLock. התכונה זמינה רק ב-ChromeOS.
imei[]

string

פלט בלבד. מספר ה-IMEI (International Mobile Equipment Identity) של המכשיר. התכונה זמינה רק ב-ChromeOS.
meid[]

string

פלט בלבד. מזהה הציוד הנייד (MEID) של המכשיר. התכונה זמינה רק ב-ChromeOS.
secureBootMode

enum (SecureBootMode)

פלט בלבד. האם התכונה Secure Boot מופעלת בתוכנת ההפעלה של המכשיר. התכונה הזו זמינה רק ב-Windows.
windowsMachineDomain

string

פלט בלבד. דומיין Windows שהמכונה הנוכחית הצטרפה אליו. התכונה הזו זמינה רק ב-Windows.
windowsUserDomain

string

פלט בלבד. דומיין Windows של משתמש מערכת ההפעלה הנוכחי. התכונה הזו זמינה רק ב-Windows.
deviceEnrollmentDomain

string

פלט בלבד. הדומיין של הלקוח שמנהל את המכשיר כרגע.
browserVersion

string

פלט בלבד. הגרסה הנוכחית של דפדפן Chrome שיצר את קבוצת האותות הזו. ערך לדוגמה: '107.0.5286.0'.
deviceAffiliationIds[]

string

פלט בלבד. מזהי השיוך של הארגונים שמשויכים לארגון שמנהל את המכשיר כרגע. אם יש חפיפה בין קבוצות מזהי השיוך של המכשיר והפרופיל, המשמעות היא שהארגונים שמנהלים את המכשיר והמשתמש קשורים זה לזה. מידע נוסף על שיוך משתמשים זמין בכתובת https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936.
profileAffiliationIds[]

string

פלט בלבד. מזהי השיוך של הארגונים שמשויכים לארגון שמנהל כרגע את המשתמש בפרופיל Chrome או את המשתמש ב-ChromeOS.
builtInDnsClientEnabled

boolean

פלט בלבד. אם נעשה שימוש בלקוח ה-DNS המובנה של Chrome. אחרת, נעשה שימוש בלקוח ה-DNS של מערכת ההפעלה. יכול להיות שהערך הזה נשלט על ידי מדיניות ארגונית: https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled.
chromeRemoteDesktopAppBlocked

boolean

פלט בלבד. אם הגישה לאפליקציית Chrome Remote Desktop חסומה באמצעות מדיניות.
safeBrowsingProtectionLevel

enum (SafeBrowsingProtectionLevel)

פלט בלבד. רמת ההגנה של הגלישה הבטוחה. יכול להיות שההגדרה הזו נשלטת על ידי מדיניות ארגונית: https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel.
siteIsolationEnabled

boolean

פלט בלבד. האם ההגדרה 'בידוד של אתר' (נקראת גם 'אתר לכל תהליך') מופעלת. יכול להיות שההגדרה הזו נשלטת על ידי מדיניות ארגונית: https://chromeenterprise.google/policies/#SitePerProcess
passwordProtectionWarningTrigger

enum (PasswordProtectionWarningTrigger)

פלט בלבד. אם התכונה 'אזהרה לצורך אבטחת הסיסמה' מופעלת או לא. הגנת סיסמה מזהירה את המשתמשים כשהם עושים שימוש חוזר בסיסמאות המוגנות שלהם באתרים חשודים. ההגדרה הזו נשלטת על ידי מדיניות ארגונית: https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger.

חשוב לשים לב שלמדיניות שלא מוגדרת יש השפעות שונות מאלה של מדיניות שמוגדרת באופן מפורש כ-PASSWORD_PROTECTION_OFF.
realtimeUrlCheckMode

enum (RealtimeUrlCheckMode)

פלט בלבד. מציין אם הסריקה של כתובות URL לא בטוחות ברמה ארגונית (כלומר בהתאמה אישית) מופעלת או לא. יכול להיות שההגדרה הזו נשלטת על ידי מדיניות ארגונית: https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode
thirdPartyBlockingEnabled
(deprecated)

boolean

פלט בלבד. הוצא משימוש. המדיניות התואמת הוצאה משימוש.

אם Chrome חוסם הזרקה של תוכנות צד שלישי או לא. יכול להיות שההגדרה הזו נשלטת על ידי מדיניות ארגונית: https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled. התכונה הזו זמינה רק ב-Windows.
trigger

enum (Trigger)

פלט בלבד. הגורם שהפעיל את קבוצת האותות הזו.
profileEnrollmentDomain

string

פלט בלבד. הדומיין של הלקוח שמנהל את הפרופיל כרגע.
antivirus

object (Antivirus)

פלט בלבד. מידע על תוכנת האנטי-וירוס במכשיר. התכונה הזו זמינה רק ב-Windows.
crowdStrikeAgent

object (CrowdStrikeAgent)

פלט בלבד. מאפייני הסוכן של Crowdstrike שמותקנים במכשיר, אם יש כאלה. האפשרות זמינה רק ב-Windows וב-MacOS.

מערכת הפעלה

מערכות הפעלה נתמכות.

טיפוסים בני מנייה (enum)
OPERATING_SYSTEM_UNSPECIFIED UNSPECIFIED.
CHROME_OS ChromeOS.
CHROMIUM_OS ChromiumOS.
WINDOWS Windows.
MAC_OS_X Mac OS X.
LINUX Linux

DiskEncryption

מצבי הצפנה אפשריים של הדיסק הראשי.

טיפוסים בני מנייה (enum)
DISK_ENCRYPTION_UNSPECIFIED לא צוין.
DISK_ENCRYPTION_UNKNOWN מערכת Chrome לא הצליחה להעריך את מצב ההצפנה.
DISK_ENCRYPTION_DISABLED הדיסק הראשי לא מוצפן.
DISK_ENCRYPTION_ENCRYPTED הדיסק הראשי מוצפן.

OsFirewall

מצבים אפשריים של חומת האש ברמת מערכת ההפעלה.

טיפוסים בני מנייה (enum)
OS_FIREWALL_UNSPECIFIED לא צוין.
OS_FIREWALL_UNKNOWN מערכת Chrome לא הצליחה להעריך את מצב חומת האש של מערכת ההפעלה.
OS_FIREWALL_DISABLED חומת האש של מערכת ההפעלה מושבתת.
OS_FIREWALL_ENABLED חומת האש של מערכת ההפעלה מופעלת.

ScreenLockSecured

מצבים אפשריים של ההגנה באמצעות סיסמה לנעילת המסך.

טיפוסים בני מנייה (enum)
SCREEN_LOCK_SECURED_UNSPECIFIED לא צוין.
SCREEN_LOCK_SECURED_UNKNOWN Chrome לא הצליח להעריך את המצב של מנגנון נעילת המסך.
SCREEN_LOCK_SECURED_DISABLED נעילת המסך לא מוגנת בסיסמה.
SCREEN_LOCK_SECURED_ENABLED נעילת המסך מוגנת בסיסמה.

SecureBootMode

מצבים אפשריים של מצב ההפעלה המאובטחת של המכשיר.

טיפוסים בני מנייה (enum)
SECURE_BOOT_MODE_UNSPECIFIED לא צוין.
SECURE_BOOT_MODE_UNKNOWN Chrome לא הצליח לקבוע את מצב ההפעלה המאובטחת.
SECURE_BOOT_MODE_DISABLED Secure Boot הושבת בתוכנת ההפעלה.
SECURE_BOOT_MODE_ENABLED Secure Boot הופעל בתוכנת האתחול.

SafeBrowsingProtectionLevel

הערכים האפשריים של רמת ההגנה של הגלישה הבטוחה.

טיפוסים בני מנייה (enum)
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED לא צוין.
INACTIVE הגלישה הבטוחה מושבתת.
STANDARD הגלישה הבטוחה מופעלת במצב רגיל.
ENHANCED הגלישה הבטוחה פעילה במצב המשופר.

PasswordProtectionWarningTrigger

ערכים אפשריים לטריגר של אזהרות לאבטחת סיסמה.

טיפוסים בני מנייה (enum)
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED לא צוין.
POLICY_UNSET המדיניות לא מוגדרת.
PASSWORD_PROTECTION_OFF לא תוצג אזהרה של הגנת סיסמה.
PASSWORD_REUSE האזהרה של שירות ההגנה באמצעות סיסמה מוצגת אם נעשה שימוש חוזר בסיסמה מוגנת.
PHISHING_REUSE האזהרה של שירות ההגנה באמצעות סיסמה מוצגת אם משתמשים שוב בסיסמה מוגנת באתר פישינג ידוע.

RealtimeUrlCheckMode

הערכים האפשריים של מצב הבדיקה של כתובות URL בזמן אמת.

טיפוסים בני מנייה (enum)
REALTIME_URL_CHECK_MODE_UNSPECIFIED לא צוין.
REALTIME_URL_CHECK_MODE_DISABLED מושבת. מתבצעות בדיקות של הגלישה הבטוחה לצרכנים.
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME הבדיקה בזמן אמת של כתובות ה-URL של המסגרת הראשית מופעלת.

CrowdStrikeAgent

המאפיינים של סוכן CrowdStrike שמותקן במכשיר.

ייצוג ב-JSON 
{
  "agentId": string,
  "customerId": string
}
שדות
agentId

string

פלט בלבד. מזהה הנציג של סוכן Crowdstrike.
customerId

string

פלט בלבד. מספר הלקוח שאליו שייך הסוכן.

טריגר

הערכים האפשריים של הטריגר.

טיפוסים בני מנייה (enum)
TRIGGER_UNSPECIFIED לא צוין.
TRIGGER_BROWSER_NAVIGATION כשמנווטים לכתובת URL בדפדפן.
TRIGGER_LOGIN_SCREEN כשנכנסים לחשבון במסך ההתחברות של ChromeOS.

אנטי-וירוס

מידע על אנטי-וירוס במכשיר.

ייצוג ב-JSON 
{
  "state": enum (State)
}
שדות
state

enum (State)

פלט בלבד. המצב של האנטי-וירוס במכשיר. הופיעה לראשונה ב-Chrome M136.

מדינה

מצב אפשרי של אנטי-וירוס במכשיר.

טיפוסים בני מנייה (enum)
STATE_UNSPECIFIED לא צוין.
MISSING לא זוהה אנטי-וירוס במכשיר.
DISABLED לפחות אנטי-וירוס אחד הותקן במכשיר, אבל אף אחד מהם לא הופעל.
ENABLED הופעל במכשיר לפחות אנטי-וירוס אחד.

KeyTrustLevel

רמת האמינות של המפתח המאומת.

טיפוסים בני מנייה (enum)
KEY_TRUST_LEVEL_UNSPECIFIED UNSPECIFIED.
CHROME_OS_VERIFIED_MODE מכשיר ChromeOS במצב מאומת.
CHROME_OS_DEVELOPER_MODE מכשיר ChromeOS במצב פיתוח.
CHROME_BROWSER_HW_KEY דפדפן Chrome עם המפתח שמאוחסן בחומרה של המכשיר.
CHROME_BROWSER_OS_KEY דפדפן Chrome עם המפתח שנשמר ברמת מערכת ההפעלה.
CHROME_BROWSER_NO_KEY דפדפן Chrome ללא מפתח אימות.