適用於受管理的 ChromeOS 裝置。
這些選用設定不適用於所有環境。如果您預期使用相關功能,才需要進行設定。
共用的受管理裝置訪客工作階段 (共用裝置) 的應用程式層級 FUS在應用程式層級快速切換使用者 (FUS) 可在不同使用者的電子健康記錄 (EHR) 之間建立連結。這裡說明的切換使用者功能是透過 EHR 在應用程式中進行使用。
必要條件
- 設為共用的受管理訪客工作階段的工作站
- EHR 支援在應用程式中切換使用者
設定
使用一般使用者帳戶啟動受管理的訪客工作階段時,確保將虛擬化 EHR 應用程式設定為自動啟動。詳情請參閱「V-Launcher 部署指南」。
下列 PC/SC 讀卡機必須安裝及設定 Smart Card Connector 應用程式:
- IMP-MFR-75
- IMP-MFR-75A
- HID OMNIKEY 5022
- HID OMNIKEY 5023
- HID OMNIKEY 5025 CL
- HID OMNIKEY 5427 CK
- HID OMNIKEY 5422
事前須知
使用this template建立 JSON 檔案,並將 force_allowed_client_app_ids
填入擴充功能 ID。
步驟 1:在登入畫面中安裝應用程式
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」「裝置設定」。
- 在「登入設定」之下,按一下登入畫面應用程式頁面的連結。
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 在應用程式和擴充功能清單中,找出 [Smart Card Connector]。
- 在「安裝政策」下方,選取 [已安裝]。
- 在右側面板的「擴充功能政策」下方:
- 按一下 [上傳]。
- 選取您已建立的 JSON 檔案。
- 按一下 [開啟]。
- 按一下「儲存」。
步驟 2:為受管理的訪客工作階段安裝應用程式
-
-
在管理控制台中,依序點選選單圖示 「裝置」「Chrome」「應用程式和擴充功能」「受管理的訪客工作階段」。
- 依序按一下「新增」圖示 「使用 ID 新增 Chrome 應用程式或擴充功能」。
- 輸入 Smart Card Connector 應用程式 ID:khpfeaanjngmcnplbdlpegiifgpfgdco。
- 選取 [從 Chrome 線上應用程式商店新增]。
- 按一下「儲存」。
- 在應用程式和擴充功能清單中,找出 [Smart Card Connector]。
- 在「安裝政策」之下,選取 [強制安裝]。
- 在右側面板的「擴充功能政策」下方:
- 按一下 [上傳]。
- 選取您已建立的 JSON 檔案。
- 按一下 [開啟]。
- 按一下「儲存」。
Imprivata Web SSO 功能可讓 ChromeOS 裝置內建的 Chrome 瀏覽器中的 SAML 式網路服務順暢驗證。
您可以將 Imprivata Web SSO 用於 ChromeOS 裝置上的共用和已隔離的受管理訪客工作階段,為使用者提供網路服務的單一登入 (SSO) 體驗。
注意:根據預設,使用者工作階段支援網頁單一登入 (SSO)。因此不需要為使用者工作階段設定網頁單一登入 (SSO) 功能。
為受管理的訪客工作階段設定網頁單一登入 (SSO) 服務
步驟 1:將 Google Workspace 設為服務供應商 (SP)
在 Imprivata 管理控制台中:
- 在 Imprivata 管理控制台中,依序前往 Web app login configuration View and copy Imprivata (IdP) SAML metadata,開啟 Imprivata IdP (Identity Provider) Metadata 視窗。
- 複製 Imprivata 的 IdP 中繼資料:實體 ID、單一登入 (SSO) (登入網頁網址)、服務等級目標 (登出網頁網址)。
- 下載 Imprivata IdP 憑證。
在 Google 管理控制台中:
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。
- 按一下「新增 SAML 設定檔」。
- 輸入設定檔的名稱。
- 填入您從 Imprivata 管理控制台取得的 Imprivata 資訊:IdP 實體 ID、登入網頁網址和登出網頁網址。
- 輸入密碼變更網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
- 按一下「上傳憑證」,然後找出並上傳您的 Imprivata IdP 憑證檔案。
- 按一下「儲存」。
- 在「服務供應商詳細資料」部分,複製並儲存新建立的 SAML 單一登入 (SSO) 設定檔的「實體 ID」和「ACS 網址」。
- 在「管理單一登入 (SSO) 設定檔指派作業」下方,將新建立的 SAML 單一登入 (SSO) 設定檔指派給您為 Imprivata 使用者工作階段建立的機構單位。
- 儲存變更。
步驟 2:將 Imprivata 設定為識別資訊提供者
注意:Imprivata 只接受透過 XML 中繼資料提供的 SP 資訊。Google Workspace 未提供下載 XML 格式的中繼資料,因此您必須手動建立。
- 使用您剛剛複製的「實體 ID」和「ACS 網址」,手動建立 XML 中繼資料。See this sample XML metadata.
- 在 Imprivata 管理控制台中,依序前往 Applications Single sign-on application profiles Web Application using SAML。
- 在「Get SAML metadata」下方:
- 選取 [From XML]。
- 上傳您剛下載或建立的 XML 檔案。
- 儲存變更。
- 系統會將您重新導向至 OneSign 單一登入應用程式設定檔頁面,讓您查看新建立的 SAML 應用程式設定檔。在「部署」狀態下,應用程式會顯示為「Not Deployed」。
- 按一下 [Not Deployed]。
- 勾選 [Deploy This Application?] 方塊。
- 選擇要部署應用程式的對象。
- 按一下「儲存」。
(選用) ADFS 重新導向
如果企業同時採用具 Imprivata Web SSO 的臨床工作站,以及對預設 AD FS 登入工作流程進行驗證的非臨床工作站,可以按照「Microsoft Active Directory Federation Services: Imprivata Web SSO Setup」的指示以及設定「adfsLoginPagesAllowlist」擴充功能政策,來設定順暢的存取權。
- 參閱 Imprivata 提供的「Microsoft Active Directory Federation Services: Imprivata Web SSO Setup」說明文件。如要查看,您必須具備 Imprivata 合作夥伴入口網站的存取權。
- 設定「adfsLoginPagesAllowlist」政策。請參閱「步驟 3:設定 Imprivata 擴充功能」。
Imprivata SPINE 支援需要在工作階段中存取智慧型卡片。下列設定可確保 Smart Card Connector 應用程式支援 Spine 工作流程。
注意:不支援在登入畫面中使用智慧型卡片進行使用者驗證。建議您改用識別證驗證。
首先,在 Imprivata 管理控制台中:
- 在「使用者政策」設定頁面中設定雙重驗證。
- 設定 Spine Combined Workflow 工作階段的持續性。
- 請參閱 Imprivata 提供的 NHS Spine Support for Imprivata ProveID Embedded 說明文件。如要查看,您必須具備 Imprivata 合作夥伴入口網站的存取權。
接著,在 Google 管理控制台中執行下列步驟:
- 安裝 Smart Card Connector 應用程式。請按照「PC/SC 感應卡讀卡機」中的步驟操作。
- 使用文字編輯器在 JSON 檔案中填入擴充功能 ID「
scard_disconnect_fallback_client_app_ids
」。
您要新增的程式碼範例如下:
{
"scard_disconnect_fallback_client_app_ids":{
"Value":[
"CITRIX_EXTENSION_ID",
"VMWARE_EXTENSION_ID"
]
}
}
如要提高穩定性,您可以固定 ChromeOS 版本,並禁止自動更新。基於安全性考量,且為了取得最新功能和修正,在您使用較小的測試集完成驗證後,建議您還是固定使用最新 ChromeOS 版本。
為了提升穩定性,您可以將應用程式和擴充功能 (包括 Citrix 或 VMware 用戶端應用程式) 固定在特定版本,並避免執行自動更新。基於安全性考量,且為了取得最新功能和修正,在您使用較小的測試集完成驗證後,建議您還是固定使用最新版本。
如要將擴充功能固定在特定版本,請遵循以下步驟:
-
-
在管理控制台中,依序點選選單圖示 「裝置」「Chrome」「應用程式和擴充功能」「受管理的訪客工作階段」。
- 選取您要固定版本的應用程式或擴充功能。
- 在「固定版本」下方,選取您要固定使用的版本。
- 按一下「儲存」。
根據預設,Imprivata 擴充功能會向 Google 回報非 PII 指標,以協助診斷錯誤及分析效能。這些指標不會包含使用者識別資訊,而是會使用隨機產生的裝置專屬 ID。Google 會將這些資料保留 14 個月。
以下為我們收集的指標範例,可協助分析及改善 ChromeOS Imprivata 整合:
發生的錯誤
- 未處理的例外狀況
- VDI 啟動失敗
- Web API 要求失敗,例如網路錯誤和非預期的回應
- USB 裝置錯誤,例如識別證讀取器或指紋辨識器
效能
- 啟動、解除鎖定、鎖定及登出 OS 工作階段所需的時間
- 切換使用者所需的時間
- 啟動 VDI 工作階段所需的時間
- 向 Imprivata 設備發出網路 API 要求所需的時間
- 安裝其他應用程式所需的時間 (例如 Citrix、VMware 和 Smart Card Connector)
- 授權期間的金鑰作業時間 (例如簽署作業)
使用模式
- 特定流程的觸發和完成頻率,例如註冊識別證
- 使用者登入時使用的形式 (例如識別證、憑證和 PIN 碼)
- 工作階段啟動數量
- 執行 Imprivata OneSign 的裝置數量
- 特定功能 (例如網頁單一登入 (SSO)) 的使用頻率
- 鎖定和登出事件的來源,例如閒置或感應登出
- 已啟動的虛擬桌面/應用程式數量 (包括自動啟動的數量)
- 使用的虛擬桌面或應用程式用戶端應用程式 (Citrix 或 VMWare)
- OS 工作階段的持續時間
- VDI 工作階段的持續時間
中繼資料
- ChromeOS 或 ChromeOS Flex 版本
- 擴充功能版本
- 識別證讀取器型號和韌體版本
- 代理程式類型
關閉指標回報功能
指標回報功能預設為啟用。如要停用,請將登入畫面擴充功能的選用擴充功能政策值 metricsCollectionEnabled
設為 false
。詳情請參閱「步驟 3:設定 Imprivata 擴充功能」。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。