Benachrichtigung

Planen Sie Ihre Strategie für die Rückkehr ins Büro? Sehen Sie sich im Hilfeartikel Chromebooks für die Telearbeit einrichten an, wie Chrome OS Ihnen helfen kann.

Trust-Connectors für Chrome Enterprise-Geräte verwalten

Gilt für verwaltete Chrome-Browser und ChromeOS-Geräte.

Als Administrator können Sie Trust-Connectors für Chrome Enterprise-Geräte konfigurieren, um kontextsensitive Signale von verwalteten Chrome-Browsern und ChromeOS-Geräten für andere Identitätsanbieter (IdPs) freizugeben. Durch diese Integration können Vertrauenssignale für Geräte als Eingaben in Authentifizierungs- und Autorisierungsrichtlinien verwendet werden. Diese Lösung bietet erhöhte Sicherheit und weniger Abhängigkeit vom Netzwerk als Vertrauensfaktor.

Gerätesignale umfassen unter anderem die Geräte-ID, die Seriennummer, den Status des sicheren Modus, die Betriebssystemversion und den Firewallstatus. Weitere Informationen finden Sie im Hilfeartikel Von Chrome an den IdP gesendete Daten.

Auf allen unterstützten Plattformen werden Signale vom Browser während der Sitzung geteilt. Bei ChromeOS werden im Rahmen der Nutzerauthentifizierung sowohl Signale vom Browser während der Sitzung als auch von der Anmeldeseite geteilt.

Hinweis: Trust-Connectors für Chrome Enterprise-Geräte werden unter ChromeOS Flex nicht unterstützt.

Hinweise

Sie können Trust-Connectors nur für verwaltete Geräte – den Chrome-Browser und ChromeOS – verwenden, nicht für verwaltete Profile oder Nutzer.

Chrome-Browser

  • Registrieren Sie sich für die Chrome-Verwaltung über die Cloud und registrieren Sie die Geräte in der Organisationseinheit, in der Sie den Trust-Connector für Geräte konfigurieren möchten. Informationen zu den ersten Schritten mit der Chrome-Verwaltung über die Cloud finden Sie im Hilfeartikel Chrome-Verwaltung über die Cloud einrichten.

ChromeOS

  • Registrieren Sie sich für das Chrome Enterprise-Upgrade und registrieren Sie ChromeOS-Geräte in der Organisationseinheit, in der Sie den Trust-Connector für Geräte konfigurieren möchten. Informationen zu den ersten Schritten mit dem Chrome Enterprise-Upgrade finden Sie im Hilfeartikel ChromeOS-Geräteverwaltung.

  • Wenn Sie die Signalfreigabe nur für die Anmeldeseite aktivieren möchten, fügen Sie die Geräte einer Organisationseinheit hinzu, in der Sie den Trust-Connector für Geräte konfigurieren möchten.

  • Führen Sie einen der folgenden Schritte aus, um die Signalfreigabe für die Anmeldeseite und den Browser während der Sitzung zu aktivieren:

    • Fügen Sie die Geräte und Nutzer derselben Organisationseinheit hinzu, in der Sie den Trust-Connector für Geräte konfigurieren möchten.

    • Wenn sich Geräte und Nutzer nicht in derselben Organisationseinheit befinden, wenden Sie dieselbe IdP-Konfiguration auf alle betreffenden Organisationseinheiten an. Weitere Informationen finden Sie unten im Abschnitt Neue IdP-Konfigurationen hinzufügen.

Schritt 1: Neue IdP-Konfigurationen hinzufügen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zum Menü und dann Geräteund dannChromeund dannConnectors.
  3. Klicken Sie oben auf Neue Anbieterkonfiguration.
  4. Suchen Sie im rechts angezeigten Bereich nach dem gewünschten IdP.
  5. Klicken Sie auf Einrichten.
  6. Geben Sie die Konfigurationsdetails ein. Weitere Informationen finden Sie unten im Abschnitt Details zur Anbieterkonfiguration.
  7. Klicken Sie auf Add Configuration (Konfiguration hinzufügen).

Konfigurationen werden für die gesamte Organisation hinzugefügt. Anschließend können Sie sie bei Bedarf in jeder Organisationseinheit verwenden.

Schritt 2: Einstellungen auf eine Organisationseinheit anwenden

Nachdem Sie eine neue IdP-Konfiguration hinzugefügt haben, wird sie auf der Seite Connectors aufgeführt. Sie sehen die Konfigurationen, die Sie für die einzelnen Anbieter hinzugefügt haben, und die Anzahl der Organisationseinheiten, mit denen sie verbunden sind.

So wählen Sie die gewünschte Konfiguration aus:

  1. Alternativ können Sie auf der Startseite der Admin-Konsole Geräteund dannChromeund dannConnectors aufrufen.
  2. Wählen Sie eine untergeordnete Organisationseinheit aus.
  3. Wählen Sie unter Geräte-Trust-Connectors die Konfiguration aus, die Sie verwenden möchten.
  4. Klicken Sie auf Speichern.

Details zur Anbieterkonfiguration

PingOne DaVinci

Feld Beschreibung

Konfigurationsname

 Der Name, der auf der Seite Connectors unter Trust-Connectors für Geräte angezeigt wird.

Zulässige URL-Muster, jeweils eins pro Zeile

 https://auth.pingone.com

Dienstkonten, eines pro Zeile

Das Dienstkonto wird mit Google Cloud generiert.

Die erforderlichen Schritte zum Einrichten eines Google Cloud-Projekts und eines Dienstkontos werden unten im Leitfaden zum Einbinden von Ping Identity in Chrome Enterprise beschrieben.

In der Anleitung unten finden Sie Details zum Einrichten der Einbindung zwischen dem Trust-Connector für Chrome-Geräte und Ping Identity für DaVinci-Nutzer.

LEITFADEN HERUNTERLADEN (PDF)

PingFederate

Feld Beschreibung

Konfigurationsname

 Der Name, der auf der Seite Connectors unter Trust-Connectors für Geräte angezeigt wird.

Zulässige URL-Muster, jeweils eins pro Zeile

 Gehen Sie in der Ping Federate-Konsole zu Systemund dannProtokolleinstellungenund dann Föderation, um die URL zu bestimmen.

Dienstkonten, eines pro Zeile

Das Dienstkonto wird mithilfe von Google Cloud generiert.

Die erforderlichen Schritte zum Einrichten eines Google Cloud-Projekts und eines Dienstkontos werden unten im Leitfaden zum Einbinden von Ping Identity in Chrome Enterprise beschrieben.

Im folgenden Leitfaden erfahren Sie, wie Sie die Einbindung zwischen dem Trust-Connector für Chrome-Geräte und PingFederate-Nutzern einrichten.

LEITFADEN HERUNTERLADEN (PDF)

Okta (Okta Identity Engine-Nutzer)

Feld Beschreibung

Konfigurationsname

 Der Name, der auf der Seite Connectors unter Trust-Connectors für Geräte angezeigt wird.

Zulässige URL-Muster, jeweils eins pro Zeile

 Von Okta bereitgestellt: Folgen Sie der Anleitung in der Okta-Konsole.

Dienstkonten, eines pro Zeile

 Von Okta bereitgestellt: Folgen Sie der Anleitung in der Okta-Konsole.

In der Anleitung unten finden Sie Details zum Einrichten der Einbindung zwischen dem Trust-Connector für Chrome-Geräte und Okta Identity Engine-Nutzern.

LEITFADEN HERUNTERLADEN (PDF)

Konfiguration des Trust-Connectors für Geräte prüfen

Das verwaltete Gerät muss registriert und in der Admin-Konsole in einer Organisationseinheit aufgeführt sein, in der Sie den Connector konfiguriert haben.

Anwendung der Richtlinien prüfen

Auf einem verwalteten Gerät:

  1. Gehen Sie zu chrome://policy.
  2. Klicken Sie auf Richtlinien neu laden.
  3. Nur Windows und macOS:
    1. Der Status für BrowserContextAwareAccessSignalsAllowlist muss auf OK gesetzt sein.
    2. Klicken Sie für BrowserContextAwareAccessSignalsAllowlist auf Wert zeigen und prüfen Sie, ob das Wertfeld mit dem Wert übereinstimmt, den Sie für zulässige URL-Muster festgelegt haben.
  4. Nur ChromeOS:
    1. Der Status für DeviceLoginScreenContextAwareAccessSignalsAllowlist muss auf OK gesetzt sein.
    2. Klicken Sie unter DeviceLoginScreenContextAwareAccessSignalsAllowlist auf Wert zeigen und prüfen Sie, ob das Wertfeld mit dem Wert übereinstimmt, den Sie für zulässige URL-Muster festgelegt haben.

Status des Trust-Connectors für Geräte prüfen

In einem verwalteten Browser oder auf einem verwalteten Gerät:

  1. Rufen Sie chrome://connectors-internals auf.
  2. Prüfen Sie die folgenden erforderlichen Werte:
    1. Is Enabled: true
    2. Key Manager Initialized: true
    3. Key Sync: Success (200)

Der Connector kann nur dann eine Attestierung für die Geräteidentität bereitstellen, wenn die Schlüsselsynchronisierung erfolgreich war.

Wenn sich neben Key Manager Initialized kein Wert befindet, aktualisieren Sie die Seite, bis ein Wert angezeigt wird. Wenn Is Enabled: true, sollte der Vorgang nicht länger als eine Minute dauern.

Hinweis: ChromeOS-Geräte haben keinen Schlüsselmanager, da sie TPM-gestützte Zertifikate verwenden, die Betriebssystem-nativ sind.

Definition von Werten unter chrome://connectors-internals

Sie können auch prüfen, ob die Integration aktiv ist und der Schlüssel erstellt wurde. Rufen Sie dazu auf dem registrierten Gerät chrome://connectors-internals auf.
  • Is enabled: Überprüft, ob die Richtlinie auf dem Gerät aktiviert ist.
  • Key Manager Initialized: Chrome hat den Schlüssel geladen oder einen Schlüssel erstellt, wenn noch kein Schlüssel erstellt wurde.
  • Key Type: RSA oder EC (Elliptische Kurve).
  • Trust Level: Hardware oder Software.
    • HW (Hardware) bedeutet, dass der Schlüssel auf der Hardware des Geräts gespeichert wird. Das ist beispielsweise bei einem Mac mit Secure Enclave oder bei Windows der Fall, wenn ein TPM vorhanden ist.
    • SW (Software) bedeutet, dass der Schlüssel auf Betriebssystemebene gespeichert wird, beispielsweise in einer Datei wie Linux.
  • SPKI Hash: Ein Hash des privaten Schlüssels.
  • Key Sync: Der Antwortstatus und der Code des letzten Schlüssel-Uploads. Chrome versucht bei jedem Start, den Schlüssel neu hochzuladen.
  • Signals: Eine Übersicht der Signale, die vom Gerät gesendet werden können.

Schlüssel für kontextsensitiven Zugriff löschen

Nur Windows und Mac

Administratoren mit Zugriff auf die Admin-Konsole können einen vertrauenswürdigen öffentlichen Schlüssel für einen bestimmten Browser löschen. Dies kann bei der Fehlerbehebung hilfreich sein, wenn ein Nutzer Probleme mit dem Zugriff hat. z. B. ein verwalteter Browser, der keinen Zugriff mehr auf das vertrauenswürdige Schlüsselpaar hat.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann  Geräte und dann Chrome und dann Verwaltete Browser.

    Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü  und dann  Chrome-Browser und dann Verwaltete Browser.

  3. Wählen Sie die Organisationseinheit aus, in der sich der Browser befindet.
  4. Wählen Sie den Browser mit dem Schlüssel aus, der gelöscht werden soll.
  5. Klicken Sie links unter Details zum verwalteten Browser auf Schlüssel konfigurieren.
  6. Wählen Sie Schlüssel löschen aus.

Wenn der Schlüssel aus der Admin-Konsole gelöscht wird, synchronisiert der verwaltete Browser seinen Schlüssel beim Neustart und stellt die Vertrauensstellung wieder her.


Hinweis: Wenn Sie nicht auf Schlüssel konfigurieren klicken können, ist der Schlüssel möglicherweise nicht auf dem Server vorhanden.

Von Chrome an den IdP gesendete Daten

Hier werden Daten definiert, die von Chrome-Browsern und ChromeOS-Geräten an den IdP gesendet werden. Als Administrator können Sie entscheiden, welche dieser Signale in den Regeln für den kontextsensitiven Zugriff verwendet werden sollen.

Google sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
6534114857428009932
true
Suchen in der Hilfe
true
true
true
true
true
410864
false
false