Notificación

¿Estás planificando tu estrategia de regreso a la oficina? Descubre cómo puede ayudarte Chrome OS.

Gestionar conectores de confianza de dispositivos Chrome Enterprise

Esto se aplica a navegadores Chrome y dispositivos ChromeOS gestionados.

Como administrador, puedes configurar conectores de confianza de dispositivos Chrome Enterprise para compartir señales contextuales de navegadores Chrome y dispositivos ChromeOS gestionados con proveedores de identidades (IdPs) externos. Esta integración permite que las señales de confianza de los dispositivos se introduzcan en las políticas de autenticación y autorización. Esta solución ofrece una seguridad reforzada y menos dependencia de la red como factor de confianza.

Las señales de los dispositivos incluyen el ID, el número de serie, el estado de modo Seguro, la versión del SO y el estado del cortafuegos, entre otras. Consulta más información en el artículo Datos enviados de Chrome al IdP.

En todas las plataformas compatibles, las señales se comparten desde la sesión del navegador. En ChromeOS, las señales se comparten tanto desde la sesión del navegador como desde la página de inicio de sesión como parte de la autenticación del usuario.

Nota: Los conectores de confianza de dispositivos Chrome Enterprise no son compatibles con ChromeOS Flex.

Antes de empezar

Los conectores de confianza de dispositivos solo se pueden usar con dispositivos gestionados (navegador Chrome y ChromeOS), y no con perfiles ni usuarios gestionados.

Navegador Chrome

  • Regístrate en Gestión en la nube del navegador Chrome y registra los dispositivos en la unidad organizativa en la que quieras configurar el conector de confianza de dichos dispositivos. Para obtener información sobre cómo empezar a utilizar la Gestión en la nube del navegador Chrome, consulta el artículo Configurar Gestión en la nube del navegador Chrome.

ChromeOS

  • Regístrate en Licencia de Chrome Enterprise y registra los dispositivos ChromeOS en la unidad organizativa en la que quieras configurar el conector de confianza de dichos dispositivos. Para obtener información sobre cómo empezar a utilizar Licencia de Chrome Enterprise, consulta el artículo Acerca de la gestión de dispositivos ChromeOS.

  • Para habilitar la opción de compartir señales solo en la página de inicio de sesión, añade los dispositivos a la unidad organizativa en la que quieras configurar el conector de confianza de los dispositivos.

  • Para habilitar la opción de compartir señales en la página de inicio de sesión y en las sesiones del navegador, elige una de estas opciones:

    • Añade los dispositivos y los usuarios a la misma unidad organizativa en la que quieras configurar el conector de confianza de los dispositivos.

    • Si los dispositivos y los usuarios no están en la misma unidad organizativa, aplica la misma configuración del IdP a todas las unidades organizativas que corresponda. Consulta el paso Añade nuevas configuraciones del IdP a continuación.

Paso 1: Añade nuevas configuraciones del IdP

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luegoChromey luegoConectores.
  3. En la parte superior, haz clic en + Nueva configuración de proveedor.
  4. En el panel que aparece a la derecha, localiza el IdP que te interese.
  5. Haz clic en Configurar.
  6. Introduce los detalles de la configuración. Para obtener más información, consulta la sección Detalles sobre la configuración de proveedores de más abajo.
  7. Haz clic en Añadir configuración.

Las configuraciones se añaden a toda la organización. Luego, puedes usarlas en cualquier unidad organizativa según sea necesario.

Paso 2: Aplica ajustes a la unidad organizativa

Una vez que hayas añadido una configuración del IdP, aparecerá en la página Conectores. Puedes ver las configuraciones que hayas añadido para cada proveedor y el número de unidades organizativas a las que está conectada.

Para elegir la configuración que quieres utilizar, sigue estos pasos:

  1. En la página principal de la consola de administración, ve a Dispositivosy luegoChromey luegoConectores.
  2. Selecciona una unidad organizativa secundaria.
  3. En Conectores de confianza del dispositivo, selecciona la configuración que quieras usar.
  4. Haz clic en Guardar.

Detalles sobre la configuración de proveedores

PingOne DaVinci

Campo Descripción

Nombre de configuración

 El nombre que se muestra en la página Conectores, en Conectores de confianza del dispositivo.

Patrones de URL que quieres permitir (uno por línea)

 https://auth.pingone.com

Cuentas de servicio (una por línea)

La cuenta de servicio se genera con Google Cloud Platform (GCP).

Los pasos necesarios para configurar un proyecto y una cuenta de servicio de GCP se describen en la guía para integrar Ping Identity con Chrome Enterprise, que puedes descargar a continuación.

Consulta la guía que puedes descargar a continuación para obtener información detallada sobre cómo configurar la integración entre conectores de confianza de dispositivos Chrome y Ping Identity para usuarios de DaVinci.

DESCARGAR LA GUÍA (PDF)

PingFederate

Campo Descripción

Nombre de configuración

 El nombre que se muestra en la página Conectores, en Conectores de confianza del dispositivo.

Patrones de URL que quieres permitir (uno por línea)

 En la consola de PingFederate, ve a System (Sistema) y luegoProtocol Settings (Configuración del protocolo) y luego Federation (Federación) para determinar la URL.

Cuentas de servicio (una por línea)

La cuenta de servicio se genera con GCP.

Los pasos necesarios para configurar un proyecto y una cuenta de servicio de GCP se describen en la guía para integrar Ping Identity con Chrome Enterprise, que puedes descargar a continuación.

Consulta la guía que puedes descargar a continuación para obtener información detallada sobre cómo configurar la integración entre conectores de confianza de dispositivos Chrome y usuarios de PingFederate.

DESCARGAR LA GUÍA (PDF)

Okta (usuarios de Okta Identity Engine)

Campo Descripción

Nombre de configuración

 El nombre que se muestra en la página Conectores, en Conectores de confianza del dispositivo.

Patrones de URL que quieres permitir (uno por línea)

 Proporcionado por Okta: sigue las instrucciones de la consola de Okta.

Cuentas de servicio (una por línea)

 Proporcionado por Okta: sigue las instrucciones de la consola de Okta.

Consulta la guía que puedes descargar a continuación para obtener información detallada sobre cómo configurar la integración entre conectores de confianza de dispositivos Chrome y usuarios de Okta Identity Engine.

DESCARGAR LA GUÍA (PDF)

Verificar la configuración del conector de confianza de un dispositivo

Primero, asegúrate de que el dispositivo gestionado esté registrado y aparezca en la consola de administración de Google de la unidad organizativa donde hayas configurado el conector.

Verificar que se han aplicado las políticas

En un dispositivo gestionado:

  1. Ve a chrome://policy.
  2. Haz clic en Volver a cargar políticas.
  3. Solo en Windows y macOS:
    1. En BrowserContextAwareAccessSignalsAllowlist, comprueba que el valor de Estado sea Correcto.
    2. En BrowserContextAwareAccessSignalsAllowlist, haz clic en Mostrar el valor y comprueba que el campo de valor sea el mismo que has definido en Patrones de URL que quieres permitir (uno por línea).
  4. Solo en ChromeOS:
    1. En DeviceLoginScreenContextAwareAccessSignalsAllowlist, comprueba que el valor de Estado sea Correcto.
    2. En DeviceLoginScreenContextAwareAccessSignalsAllowlist, haz clic en Mostrar el valor y comprueba que el campo de valor sea el mismo que has definido en Patrones de URL que quieres permitir (uno por línea).

Comprobar el estado del conector de confianza de un dispositivo

En un dispositivo o navegador gestionado:

  1. Ve a chrome://connectors-internals.
  2. Revisa los siguientes valores obligatorios:
    1. Is Enabled: true
    2. Key Manager Initialized: true
    3. Key Sync: Success (200)

El conector solo puede verificar la identidad del dispositivo si la sincronización de la clave se ha realizado correctamente.

Si no aparece ningún valor junto a Key Manager Initialized, actualiza la página hasta que aparezca un valor. Si el valor es Is Enabled: true, no debería tardar más de un minuto en aparecer.

Nota: Los dispositivos ChromeOS no tienen un gestor de claves porque utilizan certificados respaldados por TPM que son nativos del sistema operativo.

Definición de valores en chrome://connectors-internals

Para verificar que la integración está activa y que se ha creado la clave, también puedes ir a chrome://connectors-internals en el dispositivo registrado.
  • Is enabled: comprueba que la política esté habilitada en el dispositivo.
  • Key Manager Initialized: Chrome ha cargado la clave o ha creado una si aún no se había creado.
  • Key Type: RSA o EC (curva elíptica).
  • Trust Level: HW o SW.
    • HW (hardware) significa que la clave se almacena en el hardware del dispositivo. Por ejemplo, en Mac con Secure Enclave o en Windows cuando hay un TPM disponible.
    • SW (software) significa que la clave se almacena a nivel del sistema operativo. Por ejemplo, en un archivo, como en Linux.
  • SPKI Hash: un hash de la clave privada.
  • Key Sync: estado de respuesta y código del último intento de subida de la clave. Chrome intentará volver a subir la clave cada vez que se inicia.
  • Signals: una descripción general de las señales que se pueden enviar desde el dispositivo.

Borrar una clave de acceso contextual

Solo Windows y Mac

Los administradores con acceso a la consola de administración pueden borrar una clave pública de confianza para un navegador concreto. Esto puede ayudar a solucionar problemas si un usuario tiene dificultades de acceso, lo cual puede ocurrir, por ejemplo, cuando un navegador gestionado deja de tener acceso al par de claves de confianza.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivos y luego Chrome y luego Navegadores gestionados.

    Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú y luego Navegador Chrome y luego Navegadores gestionados.

  3. Selecciona la unidad organizativa donde se encuentra el navegador.
  4. Selecciona el navegador donde está la clave que quieras borrar.
  5. En el cuadro Información del navegador gestionado, situado en la parte izquierda, haz clic en Configurar clave.
  6. Selecciona Borrar clave.

Cuando se borra la clave de la consola de administración, el navegador gestionado la sincroniza al reiniciar y vuelve a restablecer la confianza.


Nota: Si no puedes hacer clic en Configurar clave, es posible que la clave no exista en el servidor.

Datos enviados de Chrome al IdP

Los datos enviados desde navegadores Chrome y dispositivos ChromeOS al IdP se definen aquí. Como administrador, puedes decidir qué señales quieres utilizar en las reglas de acceso contextual.

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Los demás nombres de empresas y de productos son marcas de las empresas a las que están asociados.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
6189515615237418837
true
Buscar en el Centro de ayuda
true
true
true
true
true
410864
false
false