本記事は管理対象の Chrome OS デバイスに関する説明です。
これらの設定はすべての環境に適用されるわけではありません。関連する機能を使用したい場合にのみ設定してください。
共有管理対象ゲスト セッションのアプリケーション レベルでの FUS(共有デバイス)アプリケーション レベルでのユーザーの簡易切り替え(FUS)では、電子医療記録(EHR)がユーザーと関連付けられます。ここでは、EHR を介してアプリ内でユーザーが切り替わります。
要件
- ワークステーションが共有管理対象ゲスト セッションとして設定されている
- EHR でアプリ内のユーザーの切り替えをサポートしている
設定
EHR 仮想アプリが、管理対象ゲスト セッションの開始時に一般的なユーザー アカウントで自動起動するように設定されていることを確認してください。詳しくは、V-Launcher 導入ガイドをご覧ください。
以下の PC/SC リーダーを使用する場合は、Smart Card Connector アプリをインストールして設定する必要があります。
- IMP-MFR-75
- IMP-MFR-75A
- HID OMNIKEY 5022
- HID OMNIKEY 5023
- HID OMNIKEY 5025 CL
- HID OMNIKEY 5427 CK
- HID OMNIKEY 5422
始める前に
this templateを使用して JSON ファイルを作成し、force_allowed_client_app_ids
の値に拡張機能の ID を記入します。
ステップ 1: ログイン画面にアプリをインストールする
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] [デバイスの設定] に移動します。
- [ログイン設定] でログイン画面アプリのページへのリンクを選択します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- アプリと拡張機能のリストで [Smart Card Connector] を探します。
- [インストール ポリシー] で [インストール済み] を選択します。
- 右側のパネルの [拡張機能のポリシー] で、次の操作を行います。
- [アップロード] をクリックします。
- 作成した JSON ファイルを選択します。
- [開く] をクリックします。
- [保存] をクリックします。
ステップ 2: 管理対象ゲスト セッションにアプリをインストールする
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [アプリと拡張機能] [管理対象ゲスト セッション] に移動します。
- 追加アイコン [Chrome アプリや拡張機能を ID で追加] をクリックします。
- Smart Card Connector アプリの ID(khpfeaanjngmcnplbdlpegiifgpfgdco)を入力します。
- [Chrome ウェブストアから追加] を選択します。
- [保存] をクリックします。
- アプリと拡張機能のリストで [Smart Card Connector] を探します。
- [インストール ポリシー] で [自動インストールする] を選択します。
- 右側のパネルの [拡張機能のポリシー] で、次の操作を行います。
- [アップロード] をクリックします。
- 作成した JSON ファイルを選択します。
- [開く] をクリックします。
- [保存] をクリックします。
Imprivata ウェブ SSO では、ChromeOS デバイス内蔵の Chrome ブラウザで SAML ベースのウェブサービスへの認証をスムーズに行うことができます。
ChromeOS デバイス上の共有または個別管理対象ゲスト セッションに Imprivata ウェブ SSO を使用すると、ユーザーに SSO を使用したウェブサービスへのアクセスを提供できます。
注: ユーザー セッションでは、ウェブ SSO がデフォルトでサポートされます。そのため、ユーザー セッション用にウェブ SSO を設定する必要はありません。
管理対象ゲスト セッション用にウェブ SSO を設定する
ステップ 1: Google Workspace をサービス プロバイダ(SP)として設定する
Imprivata 管理コンソールでの操作:
- Imprivata 管理コンソールで、 [Web app login configuration] [View and copy Imprivata (IdP) SAML metadata] にアクセスします。[Imprivata IdP Metadata] ウィンドウが開きます。
- Imprivata の IdP メタデータのうち、Entity ID、SSO(ログインページの URL)、SLO(ログアウト ページの URL)をコピーします。
- Imprivata IdP 証明書をダウンロードします。
Google 管理コンソールでの操作:
-
-
管理コンソールでメニュー アイコン [セキュリティ] [認証] [サードパーティの IdP による SSO] にアクセスします。
- [SAML プロファイルを追加] をクリックします。
- プロファイルの名前を入力します。
- Imprivata 管理コンソールから取得した情報(IdP のエンティティ ID、ログインページの URL、ログアウト ページの URL)を入力します。
- パスワード変更用 URL を入力します。ユーザーは、Google のパスワード変更ページではなく、この URL にアクセスしてパスワードを再設定します。
- [証明書をアップロード] をクリックし、Imprivata IdP 証明書ファイルを選択してアップロードします。
- [保存] をクリックします。
- [SP の詳細] で、新しく作成した SAML SSO プロファイルの [エンティティ ID] と [ACS の URL] の値をコピーして保存します。
- [SSO プロファイルの割り当ての管理] で、新しく作成した SAML SSO プロファイルを、Imprivata ユーザー セッション用に作成した組織部門に割り当てます。
- 変更を保存します。
ステップ 2: Imprivata を ID プロバイダとして設定する
注: Imprivata は、XML メタデータを使用して SP 情報のみを受け付けます。Google Workspace でメタデータを XML 形式でダウンロードできない場合は、手動でビルドする必要があります。
- 先ほどコピーした [エンティティ ID] と [ACS の URL] の値を使用して、手動で XML メタデータをビルドします。See this sample XML metadata.
- Imprivata 管理コンソールで、[Applications] [Single sign-on application profiles] [Web Application using SAML] にアクセスします。
- [Get SAML metadata] で次の操作を行います。
- [From XML] を選択します。
- ダウンロードまたは作成した XML ファイルをアップロードします。
- 変更を保存します。
- OneSign のシングル サインオン アプリケーション プロファイル ページにリダイレクトされ、新しく作成された SAML アプリ プロファイルが表示されます。[Deployment status] に [Not Deployed] と表示されます。
- [Not Deployed] をクリックします。
- [Deploy This Application?] チェックボックスをオンにします。
- アプリのデプロイ先のユーザーを選択します。
- [Save] をクリックします。
(省略可)ADFS リダイレクト
Imprivata ウェブ SSO が設定された医療用ワークステーションと、デフォルトの AD FS ログイン ワークフローを使用して認証を行う医療用以外のワークステーションが混在する企業環境では、Microsoft Active Directory フェデレーション サービスの Imprivata ウェブ SSO セットアップ手順に従って adfsLoginPagesAllowlist 拡張機能ポリシーを設定することにより、シームレスなアクセスを設定できます。
- Imprivata が提供する Microsoft Active Directory フェデレーション サービス: Imprivata ウェブ SSO セットアップのドキュメントをご覧ください。Imprivata パートナー ポータルへのアクセスが必要です。
- adfsLoginPagesAllowlist ポリシーを設定します。ステップ 3: Imprivata 拡張機能を設定するをご覧ください。
Imprivata SPINE サポートには、スマートカードへのセッション内アクセスが必要です。次の設定を行うと、Smart Card Connector アプリで Spine ワークフローがサポートされるようになります。
注: ユーザー認証にログイン画面でスマートカードを使用することはサポートされていません。認証にはバッジを使用することをおすすめします。
まず、Imprivata の管理コンソールで以下の操作を行います。
- [User policies settings] ページで 2 要素認証プロセスを設定します。
- Spine 結合ワークフロー セッションの永続性を設定します。
- Imprivata が提供する Imprivata ProveID Embedded の NHS Spine サポートのドキュメントをご覧ください。Imprivata パートナー ポータルへのアクセスが必要です。
次に、Google 管理コンソールで以下の操作を行います。
- Smart Card Connector アプリをインストールします。PC/SC 近接型カードリーダーの手順に沿って操作します。
- テキスト エディタを使用して、JSON ファイルで
scard_disconnect_fallback_client_app_ids
の値に拡張機能の ID を記入します。
追加するサンプル コード:
{
"scard_disconnect_fallback_client_app_ids":{
"Value":[
"CITRIX_EXTENSION_ID",
"VMWARE_EXTENSION_ID"
]
}
}
安定性を高めるため、ChromeOS を特定のバージョンに固定して自動で更新されないようにすることができます。セキュリティを確保し、最新の機能および修正プログラムを利用できるようにするため、最新の ChromeOS バージョンを一部でテストして確認した後に、そのバージョンに固定することをおすすめします。
安定性を高めるために、アプリと拡張機能(Citrix や VMware クライアント アプリなど)を特定のバージョンに固定して自動で更新されないようにすることができます。セキュリティを確保し、最新の機能および修正プログラムを利用できるようにするために、最新のバージョンを一部でテストして確認した後に、そのバージョンに固定することを引き続きおすすめしています。
拡張機能を特定のバージョンに固定する
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [アプリと拡張機能] [管理対象ゲスト セッション] に移動します。
- 固定するアプリまたは拡張機能を選択します。
- [バージョンの固定] で、固定するバージョンを選択します。
- [保存] をクリックします。
デフォルトでは、Imprivata の拡張機能は個人情報(PII)以外の指標を Google に報告し、エラー診断やパフォーマンスの分析を効率よく行えるようにします。指標には、ユーザーを特定できるデータは含まれません。ランダムに作成したデバイス固有の ID が使用されます。Google はデータを 14 か月間保持します。
ChromeOS への Imprivata の連携を分析、強化するために Google が収集する指標の例を以下に示します。
発生中のエラー
- 未処理の例外
- VDI の起動エラー
- ウェブ API リクエストのエラー(ネットワーク エラーや予期しない応答など)
- USB デバイスのエラー(バッジや指紋リーダーなど)
パフォーマンス
- OS セッションの起動、ロック解除、ロック、ログアウトにかかった時間
- ユーザーの切り替えにかかった時間
- VDI セッションの起動にかかった時間
- ウェブ API リクエストを Imprivata アプライアンスに送信するのにかかった時間
- 他のアプリ(Citrix、VMware、Smart Card Connector など)のインストールにかかった時間
- 認証で使用する主な操作(署名操作など)にかかった時間
使用パターン
- 特定のフロー(バッジの登録など)をトリガーして完了した頻度
- ログインに使用した方式(バッジ、認証情報、PIN など)の種類
- 開始したセッションの数
- Imprivata OneSign を実行したデバイスの数
- 特定の機能(ウェブ SSO など)を使用した頻度
- ロックおよびログアウト イベントの発生元(アイドル状態のイベントまたは入力)
- 仮想デスクトップまたはアプリが起動された回数(自動起動を含む)
- Citrix または VMware の仮想デスクトップまたは仮想クライアント アプリのどちらを使用したか
- OS セッションの継続時間
- VDI セッションの継続時間
メタデータ
- ChromeOS または ChromeOS Flex のバージョン
- 拡張機能のバージョン
- バッジリーダーのモデルおよびファームウェアのバージョン
- エージェントのタイプ
指標の報告を無効にする
デフォルトでは、指標の報告は有効になっています。無効にするには、Imprivata(ログイン画面)拡張機能でオプションの拡張機能ポリシー metricsCollectionEnabled
を false
にします。詳細については、ステップ 3: Imprivata 拡張機能を設定するをご覧ください。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。