Notification

Vous prévoyez votre stratégie de retour au bureau ? Découvrez comment Chrome OS peut vous aider.

Gérer les connecteurs de confiance des appareils Chrome Enterprise

S'applique aux navigateurs Chrome et appareils Chrome OS gérés.

En tant qu'administrateur, vous pouvez configurer des connecteurs de confiance pour les appareils Chrome Enterprise afin de partager les signaux contextuels des navigateurs Chrome et des appareils ChromeOS gérés avec des fournisseurs d'identité tiers (IdP). Cette intégration permet d'utiliser les signaux de confiance des appareils en tant qu'entrées dans les règles d'authentification et d'autorisation. Cette solution renforce la sécurité et dépend moins du réseau en tant que facteur de confiance.

Les signaux des appareils incluent entre autres l'ID de l'appareil, le numéro de série, l'état du mode sécurisé, la version de l'OS et l'état du pare-feu. Pour en savoir plus, consultez Données envoyées au fournisseur d'identité depuis Chrome.

Sur toutes les plates-formes compatibles, les signaux sont partagés depuis la session de navigation. Pour ChromeOS, les signaux sont partagés à partir de la session de navigation et de la page de connexion lors de l'authentification de l'utilisateur.

Remarque : Les connecteurs de confiance des appareils Chrome Enterprise ne sont pas compatibles avec ChromeOS Flex.

Avant de commencer

Vous ne pouvez utiliser les connecteurs de confiance que pour les appareils gérés (navigateur Chrome et ChromeOS), et non pour les profils ou utilisateurs gérés.

Navigateur Chrome

  • Inscrivez-vous à la gestion cloud du navigateur Chrome et enregistrez des appareils dans l'unité organisationnelle dans laquelle vous souhaitez configurer le connecteur de confiance des appareils. Pour découvrir comment utiliser la gestion cloud du navigateur Chrome, consultez Configurer la gestion cloud du navigateur Chrome.

ChromeOS

  • Inscrivez-vous à Chrome Enterprise Upgrade et enregistrez les appareils ChromeOS dans l'unité organisationnelle dans laquelle vous souhaitez configurer le connecteur de confiance des appareils. Pour découvrir comment utiliser Chrome Enterprise Upgrade, consultez À propos de la gestion des appareils ChromeOS.

  • Pour activer le partage des signaux uniquement pour la page de connexion, ajoutez les appareils à une unité organisationnelle dans laquelle vous souhaitez configurer le connecteur de confiance des appareils.

  • Pour activer le partage des signaux pour la page de connexion et la session de navigation, vous devez effectuer l'une des opérations suivantes :

    • Ajoutez les appareils et les utilisateurs à l'unité organisationnelle dans laquelle vous souhaitez configurer le connecteur de confiance des appareils.

    • Si les appareils et les utilisateurs ne font pas partie de la même unité organisationnelle, appliquez la même configuration d'IdP à toutes les unités organisationnelles concernées. Consultez Ajoutez des configurations d'IdP ci-dessous.

Étape 1 : Ajoutez des configurations d'IdP

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à "Menu" puis AppareilspuisChromepuisConnecteurs.
  3. En haut de la page, cliquez sur + Configuration d'un nouveau fournisseur.
  4. Dans le panneau qui s'affiche à droite, recherchez l'IdP souhaité.
  5. Cliquez sur Configurer.
  6. Saisissez les détails de la configuration. Pour en savoir plus, consultez Informations sur la configuration des fournisseurs ci-dessous.
  7. Cliquez sur Ajouter une configuration.

Des configurations sont ajoutées pour l'ensemble de votre organisation. Vous pouvez ensuite les utiliser dans n'importe quelle unité organisationnelle, si nécessaire.

Étape 2 : Appliquez les paramètres à l'unité organisationnelle

Une fois que vous avez ajouté une configuration de fournisseur d'identité (IdP), celle-ci est répertoriée sur la page Connecteurs. Vous pouvez voir les configurations que vous avez ajoutées pour chaque fournisseur et le nombre d'unités organisationnelles auxquelles elles sont associées.

Pour choisir la configuration à utiliser :

  1. Sur la page d'accueil de la console d'administration, accédez à Appareils puis Chrome puis Connecteurs.
  2. Sélectionnez une unité organisationnelle enfant.
  3. Dans Connecteurs de confiance de l'appareil, sélectionnez la configuration que vous souhaitez utiliser.
  4. Cliquez sur Enregistrer.

Informations sur la configuration des fournisseurs

PingOne DaVinci

Champ Description

Nom de la configuration

 Nom affiché sur la page Connecteurs, sous Connecteurs de confiance de l'appareil.

Formats d'URL à accepter, un par ligne

 https://auth.pingone.com

Comptes de services, un par ligne

Le compte de service est généré à l'aide de Google Cloud Platform (GCP).

Les étapes de configuration d'un projet GCP et d'un compte de service sont détaillées dans le guide "Intégrer Ping Identity à Chrome Enterprise" ci-dessous.

Consultez le guide ci-dessous pour savoir comment configurer l'intégration entre le connecteur de confiance des appareils Chrome et Ping Identity pour les utilisateurs DaVinci.

TÉLÉCHARGER LE GUIDE (PDF)

PingFederate

Champ Description

Nom de la configuration

 Nom affiché sur la page Connecteurs, sous Connecteurs de confiance de l'appareil.

Formats d'URL à accepter, un par ligne

 Dans la console PingFederate, accédez à System puis Protocol Settings puis Federation (Système > Paramètres de protocole > Fédération) pour déterminer l'URL.

Comptes de services, un par ligne

Le compte de service est généré à l'aide de GCP.

Les étapes de configuration d'un projet GCP et d'un compte de service sont détaillées dans le guide "Intégrer Ping Identity à Chrome Enterprise" ci-dessous.

Consultez le guide ci-dessous pour savoir comment configurer l'intégration entre le connecteur de confiance des appareils Chrome et les utilisateurs PingFederate.

TÉLÉCHARGER LE GUIDE (PDF)

Okta (utilisateurs d'Okta Identity Engine)

Champ Description

Nom de la configuration

 Nom affiché sur la page Connecteurs, sous Connecteurs de confiance de l'appareil.

Formats d'URL à accepter, un par ligne

 Fourni par Okta : suivez les instructions dans la console Okta.

Comptes de services, un par ligne

 Fourni par Okta : suivez les instructions dans la console Okta.

Consultez le guide ci-dessous pour savoir comment configurer l'intégration entre le connecteur de confiance des appareils Chrome et les utilisateurs d'Okta Identity Engine.

TÉLÉCHARGER LE GUIDE (PDF)

Cisco Duo

Champ Description

Nom de la configuration

 Nom affiché sur la page Connecteurs, sous Connecteurs de confiance de l'appareil.

Formats d'URL à accepter, un par ligne

 Fournis par Cisco Duo : suivez les instructions dans la console Cisco Duo.

Comptes de services, un par ligne

 Fournis par Cisco Duo : suivez les instructions dans la console Cisco Duo.

Consultez le guide ci-dessous pour savoir comment configurer l'intégration entre le connecteur de confiance des appareils Chrome et les utilisateurs Disco Duo.

TÉLÉCHARGER LE GUIDE (PDF)

Vérifier la configuration du connecteur de confiance des appareils

Tout d'abord, assurez-vous que l'appareil géré est enregistré et répertorié dans la console d'administration Google au sein de l'unité organisationnelle dans laquelle vous avez configuré le connecteur.

Vérifier que les règles sont appliquées

Sur un appareil géré :

  1. Accédez à l'adresse chrome://policy.
  2. Cliquez sur Actualiser les règles.
  3. Windows et macOS uniquement :
    1. Assurez-vous que État est défini sur OK pour BrowserContextAwareAccessSignalsAllowlist.
    2. Pour BrowserContextAwareAccessSignalsAllowlist, cliquez sur Afficher la valeur. Assurez-vous que le champ de la valeur est identique à celui que vous avez défini pour les formats d'URL à accepter, un par ligne.
  4. ChromeOS uniquement :
    1. Assurez-vous que État est défini sur OK pour DeviceLoginScreenContextAwareAccessSignalsAllowlist.
    2. Pour DeviceLoginScreenContextAwareAccessSignalsAllowlist, cliquez sur Afficher la valeur. Assurez-vous que le champ de la valeur est identique à celui que vous avez défini pour les formats d'URL à accepter, un par ligne.

Vérifier l'état du connecteur de confiance des appareils

Sur un navigateur ou un appareil géré :

  1. Accédez à chrome://connectors-internals.
  2. Vérifiez les valeurs obligatoires suivantes :
    1. Is Enabled: true
    2. Key Manager Initialized: true
    3. Key Sync: Success (200)

Le connecteur ne peut fournir une attestation d'identité de l'appareil que si la synchronisation des clés a abouti.

Si aucune valeur ne s'affiche à côté de Key Manager Initialized, actualisez la page jusqu'à ce qu'une valeur s'affiche. Si la valeur Is Enabled: true s'affiche, l'opération ne devrait pas prendre plus d'une minute.

Remarque : Les appareils ChromeOS ne disposent pas d'une valeur Key Manager, car ils utilisent des certificats gérés par un module de plate-forme sécurisée (TPM) qui sont inclus nativement dans l'OS.

Définition des valeurs sur chrome://connectors-internals

Vous pouvez également vérifier que l'intégration est active et que la clé a été créée en accédant à chrome://connectors-internals sur l'appareil enregistré.
  • Is enabled : vérifie que la règle est activée sur l'appareil.
  • Key Manager Initialized : Chrome a chargé la clé ou en a créé une si aucune clé n'a déjà été créée.
  • Key Type : RSA ou EC (Elliptic Curve).
  • Trust Level : HW ou SW.
    • HW (matériel) signifie que la clé est stockée dans le matériel de l'appareil. Par exemple, sur Mac avec Secure Enclave ou Windows lorsqu'un TPM est présent.
    • SW (logiciel) signifie que la clé est stockée au niveau du système d'exploitation. Par exemple, dans un fichier, comme sous Linux.
  • SPKI Hash : hachage de la clé privée.
  • Key Sync : état de la réponse et code de la dernière tentative d'importation de la clé. Chrome tente de réimporter la clé à chaque démarrage.
  • Signals : présentation des signaux pouvant être envoyés à partir de l'appareil.

Effacer une clé d'accès contextuel

Windows et Mac uniquement

Les administrateurs ayant accès à la console d'administration peuvent effacer une clé publique approuvée pour un navigateur spécifique. Cela peut être utile pour résoudre les problèmes d'accès d'un utilisateur (un navigateur géré n'a plus accès à la paire de clés approuvée, par exemple).

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisNavigateurs gérés.

    Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu puis Navigateur ChromepuisNavigateurs gérés.

  3. Sélectionnez l'unité organisationnelle dans laquelle se trouve le navigateur.
  4. Sélectionnez le navigateur avec la clé à effacer.
  5. Dans la zone Informations sur le navigateur géré à gauche, cliquez sur Configurer la clé.
  6. Sélectionnez Effacer la clé.

Lorsque la clé est effacée de la console d'administration, le navigateur géré la synchronise au redémarrage, puis rétablit l'approbation.


Remarque : Si vous ne pouvez pas cliquer sur Configurer la clé, il est possible que la clé n'existe pas sur le serveur.

Données envoyées au fournisseur d'identité depuis Chrome

Les données envoyées à l'IdP depuis les navigateurs Chrome et les appareils ChromeOS sont définies ici. En tant qu'administrateur, vous pouvez choisir les signaux à utiliser dans les règles d'accès contextuel.

Google et les marques et logos associés sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits sont des marques des entreprises auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
12142286718917838136
true
Rechercher dans le centre d'aide
true
true
true
true
true
410864
false
false