Si applica ai browser Chrome e ai dispositivi Chrome OS gestiti.
In qualità di amministratore, puoi configurare i connettori di attendibilità dei dispositivi Chrome Enterprise in modo da condividere indicatori sensibili al contesto dai browser Chrome e dai dispositivi ChromeOS gestiti con provider di identità (IdP) di terze parti. Questa integrazione consente di avere gli indicatori di attendibilità dei dispositivi come input nei criteri di autenticazione e autorizzazione. Questa soluzione offre maggiore sicurezza e una minore dipendenza dalla rete come fattore di attendibilità.
Gli indicatori dei dispositivi includono ID dispositivo, numero di serie, stato della modalità protetta, versione del sistema operativo, stato del firewall e altri ancora. Per saperne di più, vai a Dati inviati da Chrome all'IdP.
Su tutte le piattaforme supportate, gli indicatori vengono condivisi dal browser all'interno della sessione. Per ChromeOS, gli indicatori vengono condivisi sia dal browser all'interno della sessione sia dalla pagina di accesso nell'ambito dell'autenticazione dell'utente.
Nota: i connettori di attendibilità dei dispositivi Chrome Enterprise non sono supportati su ChromeOS Flex.
Prima di iniziare
Puoi utilizzare i connettori di attendibilità dei dispositivi solo per i dispositivi gestiti (browser Chrome e ChromeOS) e non per profili o utenti gestiti.
Browser Chrome
- Registrati a Chrome Browser Cloud Management e registra i dispositivi nell'unità organizzativa in cui vuoi configurare il connettore di attendibilità dispositivo. Per informazioni su come iniziare a utilizzare Chrome Browser Cloud Management, vedi Configurare Chrome Browser Cloud Management.
ChromeOS
- Registrati a Chrome Enterprise Upgrade e registra i dispositivi ChromeOS nell'unità organizzativa in cui vuoi configurare il connettore di attendibilità dei dispositivi. Per informazioni su come iniziare a utilizzare Chrome Enterprise Upgrade, vedi Informazioni sulla gestione dei dispositivi ChromeOS.
-
Per attivare la condivisione degli indicatori solo per la pagina di accesso, aggiungi i dispositivi a un'unità organizzativa in cui vuoi configurare il connettore di attendibilità dispositivo.
-
Per attivare la condivisione di indicatori per la pagina di accesso e per il browser nella sessione, devi eseguire una delle seguenti operazioni:
- Aggiungi i dispositivi e gli utenti alla stessa unità organizzativa in cui vuoi configurare il connettore di attendibilità dei dispositivi.
-
Se i dispositivi e gli utenti non si trovano nella stessa unità organizzativa, applica la stessa configurazione dell'IdP a tutte le unità organizzative applicabili. Vedi Aggiungi nuove configurazioni IdP di seguito.
Passaggio 1: aggiungi nuove configurazioni IdP
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu
Dispositivi
Chrome
- In alto, fai clic su + Configurazione nuovo provider.
- Nel riquadro visualizzato a destra, trova l'IdP che ti interessa.
- Fai clic su Configura.
- Inserisci i dettagli di configurazione. Per saperne di più, vedi Dettagli di configurazione del provider di seguito.
- Fai clic su Aggiungi configurazione.
Le configurazioni vengono aggiunte per l'intera organizzazione, in modo da poter essere utilizzate in qualsiasi unità organizzativa, in base alle esigenze.
Passaggio 2: applica le impostazioni all'unità organizzativa
Una volta aggiunta, la nuova configurazione del provider di identità (IdP) sarà elencata nella pagina Connettori. Puoi vedere le configurazioni che hai aggiunto per ciascun provider e il numero di unità organizzative a cui è connesso.
Per scegliere la configurazione da utilizzare:
- Dalla home page della Console di amministrazione, vai a Dispositivi
Chrome
- Seleziona un'unità organizzativa secondaria.
- In Connettori di attendibilità dispositivo, seleziona la configurazione che vuoi utilizzare.
- Fai clic su Salva.
Dettagli di configurazione del provider
PingOne DaVinci
| Campo | Descrizione |
|---|---|
|
Nome della configurazione |
Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo. |
|
Pattern URL da consentire, uno per riga |
https://auth.pingone.com |
|
Account di servizio, uno per riga |
L'account di servizio viene generato mediante la piattaforma Google Cloud. I passaggi necessari per configurare un progetto e un account di servizio della piattaforma Google Cloud sono descritti in dettaglio nella guida Integrare Ping Identity con Chrome Enterprise più avanti. |
Consulta la guida di seguito per i dettagli sulla configurazione dell'integrazione tra Chrome Device Trust Connector e Ping Identity per gli utenti DaVinci.
PingFederate
| Campo | Descrizione |
|---|---|
|
Nome della configurazione |
Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo. |
|
Pattern URL da consentire, uno per riga |
Nella console Ping Federate, vai a (System) Sistema (Protocol Settings) Impostazioni di protocollo (Federation) Federazione per determinare l'URL. |
|
Account di servizio, uno per riga |
L'account di servizio viene generato utilizzando la piattaforma Google Cloud. I passaggi necessari per configurare un progetto e un account di servizio della piattaforma Google Cloud sono descritti in dettaglio nella guida Integrare Ping Identity con Chrome Enterprise più avanti. |
Consulta la guida di seguito per maggiori dettagli sulla configurazione dell'integrazione tra Chrome Device Trust Connector e gli utenti di PingFederate.
Okta (utenti di Okta Identity Engine)
| Campo | Descrizione |
|---|---|
|
Nome della configurazione |
Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo. |
|
Pattern URL da consentire, uno per riga |
Fornito da Okta: segui le istruzioni nella console Okta. |
|
Account di servizio, uno per riga |
Fornito da Okta: segui le istruzioni nella console Okta. |
Consulta la guida di seguito per dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e Okta Identity Engine.
Verificare la configurazione del connettore di attendibilità dei dispositivi
Innanzitutto, assicurati che il dispositivo gestito sia registrato ed elencato nella Console di amministrazione Google in un'unità organizzativa in cui hai configurato il connettore.
Verificare che i criteri vengano applicati
Su un dispositivo gestito:
- Vai all'indirizzo chrome://policy.
- Fai clic su Ricarica criteri.
- Solo Windows e macOS:
- Per BrowserContextAwareAccessSignalsAllowlist, assicurati che lo Stato sia impostato su OK.
- Per BrowserContextAwareAccessSignalsAllowlist, fai clic su Mostra valore e assicurati che il campo del valore corrisponda a quello impostato in Pattern URL da consentire, uno per riga.
- Solo ChromeOS:
- Per DeviceLoginScreenContextAwareAccessSignalsAllowlist, assicurati che lo Stato sia impostato su OK.
- Per DeviceLoginScreenContextAwareAccessSignalsAllowlist, fai clic su Mostra valore e assicurati che il campo del valore corrisponda a quello impostato in Pattern URL da consentire, uno per riga.
Verifica lo stato del connettore di attendibilità del dispositivo
Su un browser o dispositivo gestito:
- Vai a chrome://connectors-internals.
- Verifica se sono presenti questi valori obbligatori:
Is Enabled: trueKey Manager Initialized: trueKey Sync: Success (200)
Il connettore può fornire l'attestazione dell'identità del dispositivo solo se la sincronizzazione della chiave è riuscita.
Se non è presente alcun valore accanto a Key Manager Initialized, aggiorna la pagina finché non viene visualizzato un valore. Se è Is Enabled: true, la procedura non dovrebbe richiedere più di un minuto.
Nota: i dispositivi ChromeOS non dispongono di un sistema di gestione delle chiavi perché utilizzano certificati supportati da TPM nativi del sistema operativo.
Definizione dei valori su chrome://connectors-internals
Is enabled:verifica che il criterio sia attivato sul dispositivo.Key Manager Initialized:Chrome ha caricato la chiave o ne ha creata una se non è già stata creata alcuna chiave.Key Type:RSA o EC (curva ellittica).Trust Level:HW o SW.- HW (hardware) indica che la chiave è memorizzata nell'hardware del dispositivo. Ad esempio, su Mac con Secure Enclave o Windows quando è presente un TPM.
- SW (software) indica che la chiave è memorizzata a livello di sistema operativo. Ad esempio in un file, come su Linux.
SPKI Hash:un hash della chiave privata.Key Sync:lo stato della risposta + il codice dell'ultimo tentativo di caricamento della chiave. Chrome tenta di ricaricare la chiave a ogni avvio.Signals:una panoramica degli indicatori che possono essere inviati dal dispositivo.
Cancellazione di una chiave di accesso sensibile al contesto
Solo Windows e Mac
Gli amministratori con accesso alla Console di amministrazione possono cancellare una chiave pubblica attendibile per un browser specifico. Ciò può essere utile per la risoluzione dei problemi se un utente riscontra problemi di accesso, ad esempio se un browser gestito non ha più accesso alla coppia di chiavi attendibile.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu
Se hai eseguito la registrazione a Chrome Browser Cloud Management, vai a Menu
Browser Chrome
- Seleziona l'unità organizzativa in cui si trova il browser.
- Seleziona il browser con la chiave da cancellare.
- Nella casella Dettagli browser gestito a sinistra, fai clic su Configura chiave.
- Seleziona Cancella chiave.
Quando la chiave viene cancellata dalla Console di amministrazione, il browser gestito sincronizza la chiave al riavvio e ripristina l'attendibilità.
Nota: se non puoi fare clic su Configura chiave, la chiave potrebbe non esistere sul server.
Dati inviati da Chrome all'IdP
I dati inviati dai browser Chrome e dai dispositivi ChromeOS all'IdP sono definiti qui. In qualità di amministratore, puoi decidere quale di questi indicatori vuoi utilizzare nelle regole di accesso sensibile al contesto.
Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.