Você pode usar a extensão Logon único via SAML (Linguagem de marcação para autorização de segurança) para apps do Chrome quando precisar configurar o Logon único via SAML nesses apps.
Os usuários podem fazer login em um app do Chrome com os mesmos mecanismos de autenticação que você usa no restante da organização. As senhas permanecem no Provedor de identidade (IdP, na sigla em inglês) da organização.
Considerações
- O Logon único via SAML é uma autenticação federada que precisa ser configurada para o back-end do seu serviço. Ele funciona automaticamente nos apps compatíveis com SAML que os usuários acessam pelo navegador Chrome, mas não nos apps do Chrome instalados pela Chrome Web Store, como o Citrix Receiver e o Cisco AnyConnect.
- A extensão Logon único via SAML para apps do Chrome envia cookies apenas para os apps autorizados nos domínios permitidos.
- Só autorize o acesso de apps totalmente confiáveis aos dados dos usuários. Como você está concedendo permissões a determinados apps em nome dos usuários, precisa dos formulários de consentimento deles. O sistema não mostra aos usuários nenhum formulário de consentimento após a permissão ser concedida por uma política.
- O acesso a cookies é feito por um filtro primário para domínios e por filtros secundários para nomes de cookies, caminhos e propriedades seguras. Além da filtragem dos domínios, esses parâmetros secundários são aplicados. Uma entrada sem um domínio não retorna cookies. Uma lista de permissões vazia resulta no comportamento padrão, que é bloquear todas as solicitações de entrada e não enviar cookies.
Etapa 1: configurar seu app para o Logon único via SAML
- Siga a documentação do fornecedor sobre a SAML e configure corretamente a autenticação federada para os serviços.
- Verifique sua configuração com o Logon único via SAML para Chromebooks.
- Faça login no Chromebook via SAML e acesse a página de login do seu fornecedor pela SAML no navegador Chrome. Não faça login pelo app do Chrome do fornecedor.
Se o usuário fizer login automaticamente, é porque você configurou a SAML para os back-ends do Google e do fornecedor.
Etapa 2: criar uma lista dos domínios permitidos
Você pode inspecionar manualmente os cookies definidos pelo seu provedor de SAML no Chrome OS e criar uma lista de domínios permitidos com a extensão de teste da API Cookie. Esta é uma versão ativa da extensão das amostras de APIs do Chrome. Como alternativa, peça a lista ao administrador do Identity.
- Instale a extensão de teste da API Cookie.
- Faça login e, sem visitar outros sites, verifique o armazenamento de cookies do navegador Chrome.
Você também pode fazer o download do arquivo ZIP e instalá-lo manualmente em chrome://extensions.
Etapa 3: definir o arquivo de configuração
Defina um arquivo de configuração para os domínios permitidos. O esquema completo para esse mapeamento fica no arquivo schema.json da extensão.
Exemplo de configuração:
{
"allowlist": {
"Value": [
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1"
},
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1",
"name": "Secondary Cookie Name",
"secure": true
},
{
"appId": "eeeeefffffgggggghhhhhhh",
"domain": "domain1",
"path": "secondary.path"
}
]
}
}
Etapa 4: implantar a extensão Logon único via SAML para apps do Chrome
- Instale automaticamente a extensão de SSO via SAML para Aplicativos do Google Chrome para os usuários na sua organização acessando o URL de gerenciamento de apps correspondente. Veja como forçar a instalação de apps específicos, em Instalar apps e extensões automaticamente.
- Faça o upload do arquivo de configuração salvo na Etapa 3. Veja como instalar políticas personalizadas para apps e extensões em Política para extensões.
Informar um problema
Se você tiver um problema ou quiser fazer uma solicitação de recurso para a extensão Logon único via SAML para apps do Chrome, registre-os no repositório do GitHub.