4. (Opcional) Configurar recursos adicionais

A troca rápida de usuário (FUS, na sigla em inglês) no nível do aplicativo mantém os históricos eletrônicos de saúde (EHRs, na sigla em inglês) conectados para todos os usuários. Aqui, a troca de usuário é feita no app pelo EHR.

Requisitos

• Estação de trabalho configurada como sessão de visitante gerenciada compartilhada
• EHR compatível com a troca de usuário no app

Configurar

O app EHR virtualizado precisa estar configurado para iniciar automaticamente no início de uma sessão de visitante gerenciada com uma conta de usuário genérica. Saiba mais no Guia de implantação do V-Launcher.

Leia a documentação do Imprivata sobre a Troca rápida de usuários.

Os seguintes leitores de PC/SC exigem que o app Smart Card Connector esteja instalado e configurado:

• IMP-MFR-75
• IMP-MFR-75A
• HID OMNIKEY 5022
• HID OMNIKEY 5023
• HID OMNIKEY 5025 CL
• HID OMNIKEY 5427 CK
• HID OMNIKEY 5422

Antes de começar

Crie um arquivo JSON usando this template e preencha os códigos de extensão como force_allowed_client_app_ids.

Etapa 1: instalar o app na tela de login

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Dispositivos > Chrome > Configurações > Configurações do dispositivo.

   Exige o privilégio de administrador Gerenciamento de dispositivos móveis.

3. Em Configurações de login, clique no link para a página de apps da tela de login.
4. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
5. Na lista de apps e extensões, encontre o Conector de cartão inteligente.
6. Em Política de instalação, selecione Instalado.
7. No painel à direita, em Política para extensões:
   1. Clique em Fazer upload.
   2. Selecione o arquivo JSON que você criou.
   3. Clique em Abrir.
8. Clique em Salvar.

Etapa 2: instalar o app para sessões de visitante gerenciadas

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Dispositivos > Chrome > Apps e extensões > Sessões de visitante gerenciadas..
3. Clique em Adicionar Adicionar o app ou a extensão do Chrome pelo código.
4. Digite o código do app do conector de cartão inteligente, khpfeaanjngmcnplbdlpegiifgpfgdco.
5. Selecione Pela Chrome Web Store.
6. Clique em Salvar.
7. Na lista de apps e extensões, encontre o Conector de cartão inteligente.
8. Em Política de instalação, selecione Forçar a instalação.
9. No painel à direita, em Política para extensões:
   1. Clique em Fazer upload.
   2. Selecione o arquivo JSON que você criou.
   3. Clique em Abrir.
10. Clique em Salvar.

O SSO da Web do Imprivata permite uma autenticação integrada de serviços da Web baseados em SAML no navegador Chrome integrado de dispositivos ChromeOS.

Com SSO da Web do Imprivata em sessões de visitante gerenciadas compartilhadas e isoladas nos dispositivos ChromeOS, você pode oferecer aos usuários uma experiência de SSO aos serviços da Web.

Observação: as sessões de usuário são compatíveis com o SSO da Web por padrão. Portanto, não é necessário configurar o SSO da Web para sessões de usuário.

Configurar o SSO da Web para sessões de visitante gerenciadas

Etapa 1: configurar o Google Workspace como provedor de serviços (SP)

Etapa 2: configurar o Imprivata como o provedor de identidade

(Opcional) Redirecionamento do ADFS

Empresas que têm uma combinação de estações de trabalho clínicas com o Imprivata WebSSO e estações de trabalho não clínicas que se autenticam no fluxo de trabalho de login padrão do AD FS podem configurar o acesso contínuo seguindo as instruções do Microsoft Active Directory Federation Services: instruções de configuração do SSO na Web do Imprivata e definindo o adfsLoginPagesAllowlist.

• Leia a documentação Active Directory Federation Services da Microsoft: Configuração do SSO da Web do Imprivata fornecida pelo Imprivata. Você precisará acessar o Portal do parceiro do Imprivata.
• Defina a política adfsLoginPagesAllowlist. Consulte a Etapa 3: configurar as extensões do Imprivata.

A compatibilidade com o Imprivata SPINE exige acesso durante a sessão a cartões inteligentes. A configuração a seguir garante que o app Smart Card Connector seja compatível com os fluxos de trabalho do Spine.

Observação: não é possível usar cartões inteligentes na tela de login para autenticação do usuário. Recomendamos a autenticação baseada em selos.

Primeiro, no Admin Console do Imprivata:

1. Na página de configurações das políticas do usuário, configure a autenticação de dois fatores.
2. Configurar a persistência das sessões do Spine Combine Workflow.
3. Consulte a documentação Suporte do NHS Spine para Imprivata ProveID Embedded fornecida pelo Imprivata. Você precisará acessar o Portal do parceiro do Imprivata.

Depois, no Google Admin Console:

1. Instale o app Smart Card Connector. Siga as etapas em Leitores do cartão de proximidade PC/SC.
2. Usando um editor de texto, no arquivo JSON , preencha os códigos de extensão como scard_disconnect_fallback_client_app_ids.

Exemplo de código que você adicionará:

{

   "scard_disconnect_fallback_client_app_ids":{

      "Value":[

         "CITRIX_EXTENSION_ID",

         "VMWARE_EXTENSION_ID"

      ]

   }

}

Para aumentar a estabilidade, você pode fixar sua versão do ChromeOS e impedir as atualizações automáticas. Por motivos de segurança e para receber os recursos e correções mais recentes, recomendamos que você fixe a versão mais recente do ChromeOS após verificá-la em um conjunto de teste menor.

Leia Fixar as atualizações do ChromeOS em uma versão específica.

Para aumentar a estabilidade, é possível fixar apps e extensões, inclusive apps de cliente do Citrix ou da VMware, em uma versão específica e impedir as atualizações automáticas. Por motivos de segurança e para receber os recursos e as correções mais recentes, ainda recomendamos fixar a versão mais recente da extensão após a verificação em um conjunto de teste menor.

Para fixar uma extensão em uma versão específica, siga estas etapas:

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Dispositivos > Chrome > Apps e extensões > Sessões de visitante gerenciadas..
3. Selecione o app ou a extensão que você quer fixar.
4. Em "Fixação da versão", selecione a versão que você quer fixar.
5. Clique em Salvar.

Se a sua organização ainda não estiver pronta para mudar para a extensão do ChromeOS Imprivata, use a versão 4 da extensão durante a sessão.

1. Defina a configuração padrão para as sessões de visitante gerenciadas compartilhadas, conforme descrito em Definir políticas obrigatórias.
2. (Opcional) Mude para sessões de usuário ou de visitante gerenciadas isoladas, conforme descrito em Mudar o tipo de integração.
3. Siga estas etapas para voltar a usar a extensão na sessão da Imprivata versão 4.

Etapa 1: configurar as extensões do Imprivata

Extensão da tela de login

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Dispositivos > Chrome > Configurações > Configurações do dispositivo.

   Exige o privilégio de administrador Gerenciamento de dispositivos móveis.

3. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
4. Acesse o Imprivata.
5. Clique em Integração com a tela de login do Imprivata.
6. Em Versão da tela de login do Imprivata, selecione Fixado a v4.
7. Clique em Salvar.
8. (Opcional) No arquivo JSON, se você definir agentType como sharedKiosk, defina as configurações do Imprivata:
   1. Clique em Modo quiosque compartilhado.
   2. Selecione Ativar o modo quiosque compartilhado.
   3. Clique em Salvar.
   4. Clique em Apps e extensões compartilhados.
   5. Insira os IDs dos apps e das extensões que não devem ser apagados e reiniciados após a troca de usuários.
      • Importante: inclua o ID da extensão na sessão do Imprivata versão 4, pllbepacblmgialkkpcceohmjakafnbb, e os IDs de extensão, como Citrix ou VMware, que você forneceu na política de extensões.
      • Adicione também os IDs das extensões de VDI aqui caso não queira que elas sejam removidas entre os usuários. Caso os usuários iniciem recursos manualmente, as extensões de VDI não podem ser adicionadas à lista para que a sessão seja limpa.
   6. Clique em Salvar.

Extensão na sessão

1. Acesse Menu  Dispositivos > Chrome > Apps e extensões > Sessões de visitante gerenciadas..

2. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
3. Adicionar extensão na sessão:
   1. Clique em Adicionar Adicionar o app ou a extensão do Chrome pelo código .
   2. Digite o ID da extensão na sessão, pllbepacblmgialkkpcceohmjakafnbb.
   3. Selecione De um URL personalizado.
   4. Digite o URL, sem espaços:
      https://storage.googleapis.com/chromeos-mgmt-public-extension/imprivata/v4/update_manifest.xml
   5. Clique em Salvar.
4. Configurar a extensão na sessão:
   1. Na lista de apps e extensões, localize a extensão do Imprivata (na sessão), pllbepacblmgialkkpcceohmjakafnbb, que você adicionou.
   2. Em "Política de instalação", selecione Forçar a instalação.
   3. Clique na extensão do Imprivata (na sessão), pllbepacblmgialkkpcceohmjakafnbb. O painel de opções é aberto.
   4. Em "Gerenciamento de certificados", ao lado de Permitir o acesso às chaves, clique em Ativar .
   5. Clique em Salvar.

Observação: a extensão na sessão não requer um arquivo de política de extensão.

Etapa 2: configurar o Citrix Workspace (opcional)

Se você instalou e configurou o Citrix Workspace, conforme descrito em Definir políticas obrigatórias, siga estas etapas:

1. Acesse Menu  Dispositivos > Chrome > Apps e extensões > Sessões de visitante gerenciadas..
2. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
3. Configurar o Citrix Workspace:
   1. Na lista de apps e extensões, localize Citrix Workspace.
   2. Em "Política de instalação", selecione Forçar a instalação.
   3. Clique em Citrix Workspace. O painel de opções é aberto.
   4. Em "Política para extensões", edite ou faça o upload da política de extensões usando um formato JSON válido. Este é um exemplo de arquivo JSON que permite a comunicação da extensão do Imprivata com o app Citrix Workspace.
      Para ver opções de configuração, como o modo de tela cheia, consulte a documentação do produto do Citrix.
   5. Clique em Salvar.

Etapa 3: configurar as configurações da sessão do usuário (opcional)

Se o tipo de integração preferido for a sessão do usuário, será necessário configurar os dispositivos permitidos pela API WebUSB.

1. Acesse Menu  Dispositivos > Chrome > Configurações > Configurações do dispositivo.

   Exige o privilégio de administrador Gerenciamento de dispositivos móveis.

2. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
3. Acesse Hardware.
4. Clique em Dispositivos permitidos pela API WebUSB.
5. Insira o URL e o PID/VID:
   • URL: chrome-extension://pllbepacblmgialkkpcceohmjakafnbb
   • VID:PID:
     0C27:3BFA
     0C27:3B1E
6. Clique em Salvar.

Etapa 3 (opcional):Configurar o app Smart Card Connector

Se a sua organização usa leitores PC/SC que exigem que o app Smart Card Connector seja instalado e configurado, você vai precisar editar o arquivo JSON criado anteriormente. Leia sobre a configuração de Leitores do cartão de proximidade PC/SC.

Etapa a: criar o arquivo JSON

Crie um arquivo JSON usando este modelo e preencha os IDs de extensão como force_allowed_client_app_ids.

Etapa b: configurar o app na tela de login

1. Acesse Menu  Dispositivos > Chrome > Configurações > Configurações do dispositivo.

   Exige o privilégio de administrador Gerenciamento de dispositivos móveis.

2. Em Configurações de login, clique no link para a página de apps da tela de login.
3. Para aplicar a configuração a todos os dispositivos, mantenha a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.
4. Na lista de apps e extensões, localize e clique em Conector de cartão inteligente.
5. No painel à direita, em Política para extensões:
   1. Clique em Fazer upload.
   2. Selecione o arquivo JSON que você criou.
   3. Clique em Abrir.
6. Clique em Salvar.

Etapa c: configurar o app para sessões de visitante gerenciadas

1. Acesse Menu  Dispositivos > Chrome > Apps e extensões > Sessões de visitante gerenciadas..
2. Na lista de apps e extensões, encontre e clique em Conector de cartão inteligente, khpfeaanjngmcnplbdlpegiifgpfgdco.
3. No painel à direita, em Política para extensões:
   • Clique em Fazer upload.
   • Selecione o arquivo JSON que você criou.
   • Clique em Abrir.
4. Clique em Salvar.

Por padrão, as extensões do Imprivata informam métricas não relacionadas a PII ao Google para facilitar o diagnóstico de erros e analisar o desempenho. As métricas não contêm dados de identificação do usuário. Elas usam identificadores exclusivos de dispositivos gerados aleatoriamente. O Google retém os dados por 14 meses.

Estas são algumas amostras de métricas que coletamos para analisar e melhorar a integração do Imprivata ao ChromeOS:

Ocorrência de erros

• Exceções não tratadas
• Falhas na inicialização da VDI
• Solicitações de API da Web com falha, como erros de rede e respostas inesperadas
• Erros de dispositivos USB, como leitores de crachás ou impressões digitais

Desempenho

• Tempo para iniciar, desbloquear, bloquear e fazer logout de uma sessão do SO
• Tempo para fazer uma troca de usuário
• Tempo para iniciar uma sessão da VDI
• Tempo para fazer uma solicitação de API da Web para o dispositivo Imprivata
• Tempo para instalar outros apps, como Citrix, VMware e Smart Card Connector
• Tempo de processos essenciais em autorizações, como a operação de assinatura

Padrões de uso

• Com que frequência fluxos específicos são acionados e concluídos, como o registro de crachás
• Que tipos de modalidades foram usados para fazer login, como crachás, credenciais, PIN
• Quantas sessões foram iniciadas
• Quantos dispositivos executam o Imprivata Enterprise Access Management
• Quantas vezes determinados recursos são usados, como o SSO
• Origem dos eventos de bloqueio e logout, como eventos inativos ou de toque
• Quantidade de apps/áreas de trabalho virtuais iniciados, inclusive de modo automático
• Qual app de área de trabalho virtual ou de cliente foi usado, Citrix ou VMWare
• A duração das sessões do SO
• A duração das sessões da VDI

Metadados

• Versão do ChromeOS ou ChromeOS Flex
• Versão da extensão
• Modelo do leitor de crachás e versão do firmware
• Tipo de agente

Desativar os relatórios de métricas

Por padrão, os relatórios de métricas estão ativados. Para desativar esse recurso, defina o valor opcional da política de extensão metricsCollectionEnabled como false para a extensão da tela de login. Veja mais detalhes na Etapa 3: configurar as extensões do Imprivata.