- HTTP 请求
- 请求正文
- 响应正文
- 授权范围
- DeviceSignals
- OperatingSystem
- DiskEncryption
- OsFirewall
- ScreenLockSecured
- SecureBootMode
- SafeBrowsingProtectionLevel
- PasswordProtectionWarningTrigger
- RealtimeUrlCheckMode
- CrowdStrikeAgent
- 触发器
- 杀毒软件
- 状态
- KeyTrustLevel
验证质询响应。
HTTP 请求
POST https://verifiedaccess.googleapis.com/v2/challenge:verify
网址采用 gRPC 转码语法。
请求正文
请求正文中包含结构如下的数据:
| JSON 表示法 |
|---|
{ "challengeResponse": string, "expectedIdentity": string } |
| 字段 | |
|---|---|
challengeResponse |
必需。对质询生成的响应,即 SignedData 的字节表示法。 使用 base64 编码的字符串。 |
expectedIdentity |
可选。服务可以选择提供与密钥关联的设备或用户的身份信息。对于 EMK,此值为已注册网域。对于 EUK,此值为用户的电子邮件地址。如果存在,系统会将此值与响应内容进行比对,如果不匹配,验证将会失败。 |
响应正文
VerifiedAccess.VerifyChallengeResponse 的结果消息。
在未管理的浏览器上为受管理的个人资料成功执行时返回的响应将不包含 devicePermanentId、keyTrustLevel、virtualDeviceId 和 customerId 字段。受管个人资料将改为包含 profileCustomerId、virtualProfileId、profilePermanentId 和 profileKeyTrustLevel 字段。
如果成功,响应正文将包含结构如下的数据:
| JSON 表示法 |
|---|
{ "devicePermanentId": string, "virtualDeviceId": string, "customerId": string, "signedPublicKeyAndChallenge": string, "deviceSignal": string, "deviceSignals": { object ( |
| 字段 | |
|---|---|
devicePermanentId |
仅限输出。设备永久 ID 会在此字段中返回(仅适用于机器响应)。 |
virtualDeviceId |
仅限输出。设备的虚拟设备 ID。虚拟设备 ID 的定义因平台而异。 |
customerId |
仅限输出。此设备所属的唯一客户 ID,如 Google Admin SDK 中所定义的 https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers |
signedPublicKeyAndChallenge |
仅限输出。此字段中会返回证书签名请求(采用 SPKAC 格式,base64 编码)。只有当设备在质询响应中包含 CSR 时,才会设置此字段。(现在,用户和机器响应均可包含 CSR 选项) |
deviceSignal |
仅限输出。已弃用。以 JSON 字符串表示的设备信号。建议改用 |
deviceSignals |
仅限输出。设备信号。 |
keyTrustLevel |
仅限输出。设备经过认证的密钥信任级别。 |
profileCustomerId |
仅限输出。此付款资料所属的唯一客户 ID,如 Google Admin SDK 中所定义(网址为 https://developers.google.com/admin-sdk/directory/v1/guides/manage-customers) |
virtualProfileId |
仅限输出。设备上个人资料的客户端提供的 ID。 |
profilePermanentId |
仅限输出。设备上个人资料的唯一服务器端 ID。 |
profileKeyTrustLevel |
仅限输出。配置文件经过认证的密钥信任级别。 |
attestedDeviceId |
仅限输出。经认证的设备 ID (ADID)。 |
deviceEnrollmentId |
仅限输出。ChromeOS 设备的设备注册 ID。 |
授权范围
需要以下 OAuth 范围:
https://www.googleapis.com/auth/verifiedaccess
如需了解详情,请参阅 OAuth 2.0 Overview。
DeviceSignals
Chrome 报告的设备信号。除非另有说明,否则信号适用于所有平台。
| JSON 表示法 |
|---|
{ "deviceManufacturer": string, "deviceModel": string, "operatingSystem": enum ( |
| 字段 | |
|---|---|
deviceManufacturer |
仅限输出。设备制造商的名称。 |
deviceModel |
仅限输出。设备型号的名称。 |
operatingSystem |
仅限输出。设备上当前运行的操作系统的类型。 |
osVersion |
仅限输出。操作系统的当前版本。在 Windows 和 Linux 上,该值还将包含安全补丁信息。 |
displayName |
仅限输出。设备的显示名称(由用户定义)。 |
diskEncryption |
仅限输出。磁盘的加密状态。在 ChromeOS 上,主磁盘始终处于加密状态。 |
serialNumber |
仅限输出。设备的序列号。在 Windows 上,此字段表示 BIOS 的序列号。不适用于大多数 Linux 发行版。 |
osFirewall |
仅限输出。操作系统级防火墙的状态。在 ChromeOS 上,常规设备上的值始终为 ENABLED,处于开发者模式的设备上的值为 UNKNOWN。Chrome M131 引入了对 MacOS 15 (Sequoia) 及更高版本的支持。 |
systemDnsServers[] |
在设备的网络设置中配置的所有操作系统级 DNS 服务器的地址列表。 |
hostname |
设备的主机名。 |
macAddresses[] |
仅限输出。设备的 MAC 地址。 |
screenLockSecured |
仅限输出。屏幕锁定密码保护的状态。在 ChromeOS 上,此值始终为 ENABLED,因为无法停用在解锁设备时要求输入密码或 PIN 码的功能。 |
allowScreenLock |
仅限输出。设备上 AllowScreenLock 政策的值。如需了解详情,请访问 https://chromeenterprise.google/policies/?policy=AllowScreenLock。仅适用于 ChromeOS。 |
imei[] |
仅限输出。设备的国际移动设备识别码 (IMEI)。仅适用于 ChromeOS。 |
meid[] |
仅限输出。设备的移动设备标识符 (MEID)。仅适用于 ChromeOS。 |
secureBootMode |
仅限输出。设备的启动软件是否启用了安全启动功能。仅适用于 Windows。 |
windowsMachineDomain |
仅限输出。当前计算机加入的 Windows 网域。仅适用于 Windows。 |
windowsUserDomain |
仅限输出。当前操作系统用户的 Windows 网域。仅适用于 Windows。 |
deviceEnrollmentDomain |
仅限输出。当前管理设备的客户的注册网域。 |
browserVersion |
仅限输出。生成这组信号的 Chrome 浏览器的当前版本。示例值:“107.0.5286.0”。 |
deviceAffiliationIds[] |
仅限输出。与当前管理设备的组织关联的组织的关联 ID。如果设备和个人资料关联 ID 集重叠,则表示管理设备和用户的组织之间存在关联。如需详细了解用户关联,请访问 https://support.google.com/chrome/a/answer/12801245?ref_topic=9027936。 |
profileAffiliationIds[] |
仅限输出。与当前管理 Chrome 个人资料用户或 ChromeOS 用户的组织相关联的组织的联属 ID。 |
builtInDnsClientEnabled |
仅限输出。是否使用 Chrome 的内置 DNS 客户端。否则,系统会使用操作系统 DNS 客户端。此值可能受企业政策控制:https://chromeenterprise.google/policies/#BuiltInDnsClientEnabled。 |
chromeRemoteDesktopAppBlocked |
仅限输出。是否通过政策阻止了对 Chrome 远程桌面应用的访问。 |
safeBrowsingProtectionLevel |
仅限输出。安全浏览保护等级。此设置可能受企业政策控制:https://chromeenterprise.google/policies/#SafeBrowsingProtectionLevel。 |
siteIsolationEnabled |
仅限输出。网站隔离(也称为“每个进程一个网站”)设置是否已启用。此设置可能受企业政策控制:https://chromeenterprise.google/policies/#SitePerProcess |
passwordProtectionWarningTrigger |
仅限输出。密码保护警告功能是否已启用。当用户在潜在的可疑网站上重复使用受保护的密码时,密码保护服务会向用户发出提醒。此设置由企业政策控制:https://chromeenterprise.google/policies/#PasswordProtectionWarningTrigger。 请注意,未设置政策与将政策明确设置为 |
realtimeUrlCheckMode |
仅限输出。是否启用了企业级(即自定义)不安全网址扫描。此设置可能受企业政策控制:https://chromeenterprise.google/policies/#EnterpriseRealTimeUrlCheckMode |
thirdPartyBlockingEnabled |
仅限输出。已弃用。相应的政策现已废弃。 Chrome 是否阻止第三方软件注入。此设置可能受企业政策控制:https://chromeenterprise.google/policies/?policy=ThirdPartyBlockingEnabled。仅适用于 Windows。 |
trigger |
仅限输出。生成这组信号的触发器。 |
profileEnrollmentDomain |
仅限输出。当前管理该付款资料的客户的注册网域。 |
antivirus |
仅限输出。与设备上的杀毒软件相关的信息。仅适用于 Windows。 |
crowdStrikeAgent |
仅限输出。设备上安装的 Crowdstrike 代理属性(如有)。仅适用于 Windows 和 MacOS。 |
OperatingSystem
支持的操作系统。
| 枚举 | |
|---|---|
OPERATING_SYSTEM_UNSPECIFIED |
未指定。 |
CHROME_OS |
ChromeOS。 |
CHROMIUM_OS |
ChromiumOS。 |
WINDOWS |
Windows。 |
MAC_OS_X |
Mac OS X。 |
LINUX |
Linux |
DiskEncryption
主磁盘可能的加密状态。
| 枚举 | |
|---|---|
DISK_ENCRYPTION_UNSPECIFIED |
未指定。 |
DISK_ENCRYPTION_UNKNOWN |
Chrome 无法评估加密状态。 |
DISK_ENCRYPTION_DISABLED |
主磁盘未加密。 |
DISK_ENCRYPTION_ENCRYPTED |
主磁盘已加密。 |
OsFirewall
操作系统级防火墙的可能状态。
| 枚举 | |
|---|---|
OS_FIREWALL_UNSPECIFIED |
未指定。 |
OS_FIREWALL_UNKNOWN |
Chrome 无法评估操作系统防火墙状态。 |
OS_FIREWALL_DISABLED |
操作系统防火墙已停用。 |
OS_FIREWALL_ENABLED |
操作系统防火墙处于启用状态。 |
ScreenLockSecured
屏幕锁定密码保护功能的可能状态。
| 枚举 | |
|---|---|
SCREEN_LOCK_SECURED_UNSPECIFIED |
未指定。 |
SCREEN_LOCK_SECURED_UNKNOWN |
Chrome 无法评估屏幕锁定机制的状态。 |
SCREEN_LOCK_SECURED_DISABLED |
屏幕锁定功能未受密码保护。 |
SCREEN_LOCK_SECURED_ENABLED |
屏幕锁定功能受密码保护。 |
SecureBootMode
设备安全启动模式的可能状态。
| 枚举 | |
|---|---|
SECURE_BOOT_MODE_UNSPECIFIED |
未指定。 |
SECURE_BOOT_MODE_UNKNOWN |
Chrome 无法确定安全启动模式。 |
SECURE_BOOT_MODE_DISABLED |
启动软件上的安全启动功能已停用。 |
SECURE_BOOT_MODE_ENABLED |
启动软件上启用了安全启动。 |
SafeBrowsingProtectionLevel
安全浏览保护等级的可能值。
| 枚举 | |
|---|---|
SAFE_BROWSING_PROTECTION_LEVEL_UNSPECIFIED |
未指定。 |
INACTIVE |
“安全浏览”功能处于停用状态。 |
STANDARD |
“安全浏览”功能处于开启状态且在标准模式下运行。 |
ENHANCED |
“安全浏览”功能处于开启状态且在增强模式下运行。 |
PasswordProtectionWarningTrigger
密码保护警告触发器的可能值。
| 枚举 | |
|---|---|
PASSWORD_PROTECTION_WARNING_TRIGGER_UNSPECIFIED |
未指定。 |
POLICY_UNSET |
未设置此政策。 |
PASSWORD_PROTECTION_OFF |
系统将一律不显示密码保护服务警告。 |
PASSWORD_REUSE |
如果用户重复使用受保护的密码,系统会显示密码保护服务警告。 |
PHISHING_REUSE |
如果受保护的密码在已知的钓鱼式网站上重复使用,系统会显示密码保护警告。 |
RealtimeUrlCheckMode
“实时网址检查模式”的可能值。
| 枚举 | |
|---|---|
REALTIME_URL_CHECK_MODE_UNSPECIFIED |
未指定。 |
REALTIME_URL_CHECK_MODE_DISABLED |
已停用。应用了面向消费者的安全浏览检查。 |
REALTIME_URL_CHECK_MODE_ENABLED_MAIN_FRAME |
已为主帧网址启用实时检查功能。 |
CrowdStrikeAgent
设备上安装的 CrowdStrike 代理的属性。
| JSON 表示法 |
|---|
{ "agentId": string, "customerId": string } |
| 字段 | |
|---|---|
agentId |
仅限输出。CrowdStrike 代理的代理 ID。 |
customerId |
仅限输出。客服人员所属的客户 ID。 |
触发器
触发器的可能值。
| 枚举 | |
|---|---|
TRIGGER_UNSPECIFIED |
未指定。 |
TRIGGER_BROWSER_NAVIGATION |
在浏览器中导航到网址时。 |
TRIGGER_LOGIN_SCREEN |
在 ChromeOS 登录屏幕上登录账号时。 |
杀毒软件
设备上的杀毒软件信息。
| JSON 表示法 |
|---|
{
"state": enum ( |
| 字段 | |
|---|---|
state |
仅限输出。设备上杀毒软件的状态。在 Chrome M136 中引入。 |
州
设备上的可能杀毒软件状态。
| 枚举 | |
|---|---|
STATE_UNSPECIFIED |
未指定。 |
MISSING |
未在设备上检测到杀毒软件。 |
DISABLED |
设备上安装了至少一个杀毒软件,但均未启用。 |
ENABLED |
设备上启用了至少一款杀毒软件。 |
KeyTrustLevel
经过认证的密钥的信任级别。
| 枚举 | |
|---|---|
KEY_TRUST_LEVEL_UNSPECIFIED |
未指定。 |
CHROME_OS_VERIFIED_MODE |
处于已验证模式的 ChromeOS 设备。 |
CHROME_OS_DEVELOPER_MODE |
处于开发者模式的 ChromeOS 设备。 |
CHROME_BROWSER_HW_KEY |
将密钥存储在设备硬件中的 Chrome 浏览器。 |
CHROME_BROWSER_OS_KEY |
将密钥存储在操作系统级别的 Chrome 浏览器。 |
CHROME_BROWSER_NO_KEY |
不含认证密钥的 Chrome 浏览器。 |