Válido para navegadores Chrome e dispositivos ChromeOS gerenciados.
Como administrador, você pode configurar os conectores de confiança do dispositivo Chrome Enterprise para compartilhar indicadores contextuais de navegadores Chrome e dispositivos ChromeOS gerenciados com provedores de identidade (IdPs) de terceiros. Essa integração permite indicadores de confiança do dispositivo como entradas nas políticas de autenticação e autorização. Essa solução oferece mais segurança e menos dependência da rede como fator de confiança.
Esses indicadores incluem o ID do dispositivo, o número de série, o estado do modo seguro, a versão do SO e o status do firewall, entre outros. Confira mais informações em Dados enviados do Chrome para o IdP.
Em todas as plataformas compatíveis, os indicadores são compartilhados no navegador durante a sessão. No ChromeOS, os indicadores são compartilhados na página de login e na sessão do navegador como parte da autenticação do usuário.
Observação: os conectores de confiança do dispositivo Chrome Enterprise não são compatíveis com o ChromeOS Flex.
Antes de começar
Só é possível usar conectores de confiança para dispositivos gerenciados (navegador Chrome e ChromeOS), e não para usuários ou perfis gerenciados.
Navegador Chrome
- Inscreva-se no Gerenciamento de nuvem do navegador Chrome e registre os dispositivos na unidade organizacional em que você quer configurar o conector de confiança. Saiba como começar a usar o Gerenciamento de nuvem do navegador Chrome em Configurar o Gerenciamento de nuvem do navegador Chrome.
ChromeOS
- Inscreva-se no Upgrade do Chrome Enterprise e registre os dispositivos ChromeOS na unidade organizacional em que você quer configurar o conector de confiança. Confira como começar a usar o Upgrade do Chrome Enterprise em Sobre o gerenciamento de dispositivos ChromeOS.
-
Para ativar o compartilhamento de indicador apenas para a página de login, adicione os dispositivos a uma unidade organizacional onde você quer configurar o conector de confiança do dispositivo.
-
Para ativar o compartilhamento de indicador na página de login e no navegador em sessão, siga um destes procedimentos:
- Adicione os dispositivos e os usuários à mesma unidade organizacional em que você quer configurar o conector de confiança do dispositivo.
-
Se os dispositivos e os usuários não estiverem na mesma unidade organizacional, aplique a mesma configuração de IdP a todas as unidades organizacionais relevantes. Consulte Adicionar novas configurações do IdP abaixo.
Etapa 1: adicionar novas configurações do IdP
-
-
No Admin Console, acesse Menu DispositivosChromeConectores.
- Na parte superior, clique em + Nova configuração do provedor.
- No painel que aparece à direita, encontre o IdP desejado.
- Clique em Configurar.
- Digite os detalhes da configuração. Para mais informações, consulte Detalhes da configuração do provedor abaixo.
- Clique em Adicionar configuração.
As configurações são adicionadas para toda a organização. Em seguida, você pode usar esses recursos em qualquer unidade organizacional, conforme necessário.
Etapa 2: aplicar configurações à unidade organizacional
Depois que você adiciona uma nova configuração de provedor de identidade (IdP), ela é listada na página Conectores. É possível ver as configurações adicionadas para cada provedor e o número de unidades organizacionais conectadas.
Para escolher qual configuração usar, faça o seguinte:
- Na página inicial do Admin Console, acesse DispositivosChromeConectores.
- Selecione uma unidade organizacional filha.
- Em Conectores de confiança do dispositivo, selecione a configuração que você quer usar.
- Clique em Salvar.
Detalhes da configuração do provedor
PingOne DaVinci
Campo | Descrição |
---|---|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
Padrões de URL permitidos, um por linha |
https://auth.pingone.com |
Contas de serviços, uma por linha |
A conta de serviço é gerada usando o Google Cloud Platform (GCP). As etapas necessárias para configurar um projeto e uma conta de serviço do GCP estão detalhadas no guia "Integrar a identidade do ping ao Chrome Enterprise" abaixo. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre o conector de confiança do dispositivo Chrome e a identidade do ping para usuários do DaVinci.
FAZER O DOWNLOAD DO GUIA (PDF)
PingFederate
Campo | Descrição |
---|---|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
Padrões de URL permitidos, um por linha |
No Console federado Ping, acesse SistemaConfigurações de protocolo Federação para determinar o URL. |
Contas de serviços, uma por linha |
A conta de serviço é gerada usando o GCP. As etapas necessárias para configurar um projeto e uma conta de serviço do GCP estão detalhadas no guia "Integrar a identidade do ping ao Chrome Enterprise" abaixo. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do PingFederate.
FAZER O DOWNLOAD DO GUIA (PDF)
Okta (usuários do Okta Identity Engine)
Campo | Descrição |
---|---|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
Padrões de URL permitidos, um por linha |
Fornecido pelo Okta: siga as instruções no console do Okta. |
Contas de serviços, uma por linha |
Fornecido pelo Okta: siga as instruções no console do Okta. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do Okta Identity Engine.
FAZER O DOWNLOAD DO GUIA (PDF)
Cisco Duo
Campo | Descrição |
---|---|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
Padrões de URL permitidos, um por linha |
Fornecido pelo Cisco Duo: siga as instruções no console do Cisco Duo. |
Contas de serviços, uma por linha |
Fornecido pelo Cisco Duo: siga as instruções no console do Cisco Duo. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do Cisco Duo.
FAZER O DOWNLOAD DO GUIA (PDF)
Verificar a configuração do conector de confiança do dispositivo
Primeiro, verifique se o dispositivo gerenciado está registrado e listado no Google Admin Console em uma unidade organizacional onde você configurou o conector.
Verificar se as políticas foram aplicadas
Em um dispositivo gerenciado:
- Acesse chrome://policy.
- Clique em Atualizar políticas.
- Apenas para Windows e macOS:
- Em BrowserContextAwareAccessSignalsAllowlist, verifique se a opção Status está definida como OK.
- Em BrowserContextAwareAccessSignalsAllowlist, clique em Mostrar valor e verifique se o campo de valor é o mesmo que você definiu em Padrões de URL a permitir, um por linha.
- Somente no ChromeOS:
- Em DeviceLoginScreenContextAwareAccessSignalsAllowlist, verifique se Status está definido como OK.
- Em DeviceLoginScreenContextAwareAccessSignalsAllowlist, clique em Mostrar valor e verifique se o campo de valor é o mesmo que você definiu em Padrões de URL a permitir, um por linha.
Verificar o estado do conector de confiança do dispositivo
Em um navegador ou dispositivo gerenciado:
- Acesse chrome://connectors-internals.
- Verifique os seguintes valores obrigatórios:
Está ativado: true
Gerenciador de chaves inicializado: true
Sincronização de chaves: sucesso (200)
O conector só vai poder fornecer atestados de identidade do dispositivo se a sincronização da chave for bem-sucedida.
Se não houver um valor ao lado de Gerenciador de chaves inicializado
, atualize a página até que um valor apareça. Se Está ativado: true
, não deverá levar mais de um minuto.
Observação: os dispositivos ChromeOS não têm um gerenciador de chaves porque usam certificados compatíveis com o TPM nativos do SO.
Definição de valores em chrome://connectors-internals
Está ativado
: verifica se a política está ativada no dispositivo.Gerenciador de chaves inicializado
: o Chrome carregou a chave ou a criou se nenhuma chave tiver sido criada.Tipo de chave
: RSA ou EC (curva elíptica).Nível de confiança
: HW ou SW.- HW (hardware) significa que a chave está armazenada no hardware do dispositivo. Por exemplo, no Mac com Secure Enclave ou Windows quando há um TPM.
- SW (software) significa que a chave é armazenada no nível do SO. Por exemplo, em um arquivo, como no Linux.
Hash SPKI
: um hash da chave privada.Sincronização de chaves
: o status da resposta e o código da última tentativa de upload da chave. O Chrome tenta fazer upload da chave novamente sempre que ela é iniciada.Indicadores
: uma visão geral dos indicadores que podem ser enviados do dispositivo.
Como limpar uma chave de acesso baseado no contexto
Somente Windows e Mac
Os administradores com acesso ao Admin Console podem limpar uma chave pública confiável de um navegador específico. Isso ajuda a resolver problemas de acesso de um usuário. Por exemplo, quando um navegador gerenciado não tem mais acesso ao par de chaves confiável.
-
-
No Admin Console, acesse Menu DispositivosChromeNavegadores gerenciados.
Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu Navegador ChromeNavegadores gerenciados.
- Selecione a unidade organizacional em que o navegador está localizado.
- Selecione o navegador com a chave a ser limpa.
- Na caixa Detalhes do navegador gerenciado à esquerda, clique em Configurar chave.
- Selecione Limpar chave.
Quando a chave é apagada do Admin Console, o navegador gerenciado sincroniza a chave na reinicialização e estabelece a confiança novamente.
Observação: se não for possível clicar em Configurar chave, talvez a chave não exista no servidor.
Dados enviados do Chrome para o IdP
Os dados enviados dos navegadores Chrome e dos dispositivos ChromeOS para o IdP são definidos aqui. Como administrador, você pode decidir quais desses indicadores quer usar nas regras de acesso baseado no contexto.
Google e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.