Notifikasi

Merencanakan strategi kembali bekerja di kantor? Lihat cara Chrome OS dapat membantu.

Mengelola Chrome Enterprise Device Trust Connectors

Berlaku untuk Browser Chrome yang dikelola dan perangkat yang menjalankan Chrome OS.

Sebagai admin, Anda dapat mengonfigurasi Chrome Enterprise Device Trust Connectors untuk membagikan sinyal kontekstual dari browser Chrome terkelola dan perangkat ChromeOS kepada Penyedia Identitas (IdP) pihak ketiga. Integrasi ini memungkinkan tanda tepercaya perangkat sebagai input dalam kebijakan autentikasi dan otorisasi. Solusi ini memberikan keamanan yang lebih baik dan ketergantungan yang lebih sedikit pada jaringan sebagai faktor tepercaya.

Sinyal perangkat mencakup ID perangkat, nomor seri, status mode aman, versi OS, status firewall, dan lainnya. Untuk mengetahui informasi selengkapnya, buka Data yang dikirim dari Chrome ke IdP.

Di semua platform yang didukung, sinyal dibagikan dari browser dalam sesi. Untuk ChromeOS, sinyal dibagikan dari browser dalam sesi dan halaman login sebagai bagian dari autentikasi pengguna.

Catatan: Konektor kepercayaan perangkat Chrome Enterprise tidak didukung di ChromeOS Flex.

Sebelum memulai

Anda dapat menggunakan konektor kepercayaan perangkat hanya untuk perangkat terkelola—browser Chrome dan ChromeOS—dan tidak untuk profil atau pengguna terkelola.

Browser Chrome

  • Daftar ke Pengelolaan Cloud Browser Chrome dan daftarkan perangkat ke unit organisasi tempat Anda ingin mengonfigurasi konektor kepercayaan perangkat. Untuk mengetahui informasi tentang cara mulai menggunakan Pengelolaan Cloud Browser Chrome, buka Menyiapkan Pengelolaan Cloud Browser Chrome.

ChromeOS

  • Daftar ke Chrome Enterprise Upgrade dan daftarkan perangkat ChromeOS ke unit organisasi tempat Anda ingin mengonfigurasi konektor kepercayaan perangkat. Untuk mengetahui informasi tentang cara memulai Chrome Enterprise Upgrade, buka Tentang pengelolaan perangkat ChromeOS.

  • Guna mengaktifkan berbagi sinyal untuk halaman login saja, tambahkan perangkat ke unit organisasi tempat Anda ingin mengonfigurasi konektor kepercayaan perangkat.

  • Guna mengaktifkan berbagi sinyal untuk halaman login dan untuk browser dalam sesi, Anda perlu melakukan salah satu tindakan berikut:

    • Tambahkan perangkat dan pengguna ke unit organisasi yang sama tempat Anda ingin mengonfigurasi konektor kepercayaan perangkat.

    • Jika perangkat dan pengguna tidak berada dalam unit organisasi yang sama, terapkan konfigurasi IdP yang sama ke semua unit organisasi yang berlaku. Lihat Menambahkan konfigurasi IdP baru di bawah.

Langkah 1: Tambahkan konfigurasi IdP baru

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluKonektor.
  3. Di bagian atas, klik + Konfigurasi penyedia baru.
  4. Di panel yang muncul di sebelah kanan, temukan IdP yang Anda inginkan.
  5. Klik Siapkan.
  6. Masukkan detail konfigurasi. Untuk mengetahui informasi selengkapnya, lihat Detail konfigurasi penyedia di bawah.
  7. Klik Tambahkan konfigurasi.

Konfigurasi ditambahkan untuk seluruh organisasi. Kemudian, Anda dapat menggunakannya di unit organisasi mana pun, sesuai kebutuhan.

Langkah 2: Terapkan setelan ke unit organisasi

Setelah Anda menambahkan konfigurasi Penyedia Identitas (IdP) baru, konfigurasi tersebut akan tercantum di halaman Konektor. Anda dapat melihat konfigurasi yang ditambahkan untuk setiap penyedia dan jumlah unit organisasi yang terhubung.

Untuk memilih konfigurasi yang akan digunakan:

  1. Dari Halaman beranda konsol Admin, buka PerangkatlaluChromelaluKonektor.
  2. Pilih unit organisasi turunan.
  3. Untuk Konektor kepercayaan perangkat, pilih konfigurasi yang ingin Anda gunakan.
  4. Klik Simpan.

Detail konfigurasi penyedia

PingOne DaVinci

Kolom Deskripsi

Nama konfigurasi

 Nama yang ditampilkan di halaman Konektor pada bagian Konektor kepercayaan perangkat.

Pola URL yang diizinkan, satu per baris

 https://auth.pingone.com

Akun layanan, satu per baris

Akun layanan dibuat menggunakan Google Cloud Platform (GCP).

Langkah-langkah yang diperlukan untuk menyiapkan Project GCP dan Akun Layanan dijelaskan dalam panduan Mengintegrasikan Identitas Ping dengan Chrome Enterprise di bawah.

Lihat panduan di bawah untuk mengetahui detail tentang penyiapan integrasi antara Ping Identity untuk pengguna DaVinci dan Chrome Device Trust Connector.

DOWNLOAD PANDUAN (PDF)

PingFederate

Kolom Deskripsi

Nama konfigurasi

 Nama yang ditampilkan di halaman Konektor pada bagian Konektor kepercayaan perangkat.

Pola URL yang diizinkan, satu per baris

 Di Konsol Ping Federate, buka SystemlaluProtocol Settingslalu Federation untuk menentukan URL.

Akun layanan, satu per baris

Akun layanan dibuat menggunakan GCP.

Langkah-langkah yang diperlukan untuk menyiapkan Project GCP dan Akun Layanan dijelaskan dalam panduan Mengintegrasikan Identitas Ping dengan Chrome Enterprise di bawah.

Lihat panduan di bawah untuk mengetahui detail tentang cara menyiapkan integrasi antara pengguna PingFederate dan Chrome Device Trust Connector.

DOWNLOAD PANDUAN (PDF)

Okta (Pengguna Okta Identity Engine)

Kolom Deskripsi

Nama konfigurasi

 Nama yang ditampilkan di halaman Konektor pada bagian Konektor kepercayaan perangkat.

Pola URL yang diizinkan, satu per baris

 Disediakan oleh Okta—Ikuti petunjuk di konsol Okta.

Akun layanan, satu per baris

 Disediakan oleh Okta—Ikuti petunjuk di konsol Okta.

Lihat panduan di bawah untuk mengetahui detail tentang penyiapan integrasi antara pengguna Okta Identity Engine dan Chrome Device Trust Connector.

DOWNLOAD PANDUAN (PDF)

Cisco Duo

Kolom Deskripsi

Nama konfigurasi

 Nama yang ditampilkan di halaman Konektor pada bagian Konektor kepercayaan perangkat.

Pola URL yang diizinkan, satu per baris

 Disediakan oleh Cisco Duo—Ikuti petunjuk di konsol Cisco Duo.

Akun layanan, satu per baris

 Disediakan oleh Cisco Duo—Ikuti petunjuk di konsol Cisco Duo.

Lihat panduan di bawah untuk mengetahui detail tentang cara menyiapkan integrasi antara pengguna Cisco Duo dan Chrome Device Trust Connector.

DOWNLOAD PANDUAN (PDF)

Memverifikasi konfigurasi konektor kepercayaan perangkat

Pertama, pastikan perangkat terkelola didaftarkan dan tercantum di konsol Google Admin dalam unit organisasi tempat Anda mengonfigurasi konektor.

Memastikan bahwa kebijakan diterapkan

Di perangkat terkelola:

  1. Buka chrome://policy.
  2. Klik Muat ulang kebijakan.
  3. Khusus Windows dan macOS:
    1. Untuk BrowserContextAwareAccessSignalsAllowlist, pastikan Status disetel ke Oke.
    2. Pada BrowserContextAwareAccessSignalsAllowlist, klik Tampilkan nilai, lalu pastikan kolom nilai sama dengan yang Anda tetapkan untuk pola URL yang akan diizinkan, satu per baris.
  4. Khusus ChromeOS:
    1. Untuk DeviceLoginScreenContextAwareAccessSignalsAllowlist, pastikan Status disetel ke Oke.
    2. Pada DeviceLoginScreenContextAwareAccessSignalsAllowlist, klik Tampilkan nilai dan pastikan kolom nilai sama dengan yang Anda tetapkan untuk pola URL yang akan diizinkan, satu per baris.

Memeriksa status konektor kepercayaan perangkat

Di browser atau perangkat terkelola:

  1. Buka chrome://connectors-internals.
  2. Periksa nilai yang diperlukan berikut:
    1. Is Enabled: true
    2. Key Manager Initialized: true
    3. Key Sync: Success (200)

Konektor hanya dapat memberikan pengesahan identitas perangkat jika sinkronisasi kunci berhasil.

Jika tidak ada nilai di samping Key Manager Initialized, muat ulang halaman hingga sebuah nilai muncul. Jika Is Enabled: true, proses seharusnya tidak memakan waktu lebih dari satu menit.

Catatan: Perangkat ChromeOS tidak memiliki Key Manager karena menggunakan sertifikat yang didukung TPM yang merupakan bawaan OS.

Definisi nilai di chrome://connectors-internals

Anda juga dapat memverifikasi bahwa integrasi aktif dan kunci telah dibuat dengan membuka chrome://connectors-internals di perangkat yang terdaftar.
  • Is enabled: Memverifikasi bahwa kebijakan diaktifkan di perangkat.
  • Key Manager Initialized: Chrome telah memuat kunci atau membuat kunci jika belum ada kunci yang dibuat.
  • Key Type: RSA atau EC (Kurva Elliptic).
  • Trust Level: HW atau SW.
    • HW (hardware) berarti kunci disimpan di hardware perangkat. Misalnya, pada Mac dengan Secure Enclave atau Windows saat TPM tersedia.
    • SW (software) berarti kunci disimpan di tingkat OS. Misalnya, dalam file, seperti di Linux.
  • SPKI Hash: Hash kunci pribadi.
  • Key Sync: Status respons + kode dari percobaan upload kunci terakhir. Chrome akan mencoba mengupload ulang kunci setiap kali dimulai.
  • Sinyal: Ringkasan sinyal yang dapat dikirim dari perangkat.

Menghapus kunci akses kontekstual

Khusus Windows dan Mac

Admin yang memiliki akses ke Konsol Admin dapat menghapus kunci publik tepercaya untuk browser tertentu. Tindakan ini dapat membantu pemecahan masalah jika pengguna mengalami masalah akses; seperti browser terkelola yang tidak lagi memiliki akses ke pasangan kunci tepercaya.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluBrowser terkelola.

    Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu lalu Browser ChromelaluBrowser terkelola.

  3. Pilih unit organisasi tempat browser berada.
  4. Pilih browser dengan kunci yang akan dihapus.
  5. Pada kotak Detail Browser Terkelola di sisi kiri, klik Konfigurasi Kunci.
  6. Pilih Hapus Kunci.

Jika kunci dihapus dari konsol Admin, browser terkelola akan menyinkronkan kuncinya saat memulai ulang dan membangun kepercayaan kembali.


Catatan: Jika Anda tidak dapat mengklik Configure Key, kunci mungkin tidak ada di server.

Data yang dikirim dari Chrome ke IdP

Data yang dikirim dari browser Chrome dan perangkat ChromeOS ke IdP ditentukan di sini. Sebagai admin, Anda dapat menentukan sinyal mana yang ingin digunakan dalam aturan akses kontekstual.

Google serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
14894685111130876360
true
Pusat Bantuan Penelusuran
true
true
true
true
true
410864
false
false