관리 Chrome 브라우저 및 ChromeOS 기기에 적용됩니다.
관리자는 관리 Chrome 브라우저 및 ChromeOS 기기의 컨텍스트 인식 신호를 서드 파티 ID 공급업체(IdP)와 공유하도록 Chrome Enterprise 기기 트러스트 커넥터를 구성할 수 있습니다. 이러한 통합을 통해 기기 신뢰 신호를 인증 및 승인 정책의 입력으로 사용할 수 있습니다. 이 솔루션은 보안을 강화하고 신뢰 요소로서의 네트워크에 대한 의존도를 낮춥니다.
기기 신호에는 기기 ID, 일련번호, 보안 모드 상태, OS 버전, 방화벽 상태 등이 포함됩니다. 자세한 내용은 Chrome에서 IdP로 전송되는 데이터를 참고하세요.
지원되는 모든 플랫폼에서 세션 중에 브라우저에서 신호가 공유됩니다. ChromeOS의 경우 사용자 인증의 일환으로 세션 중 브라우저와 로그인 페이지 모두에서 신호가 공유됩니다.
참고: ChromeOS Flex에서는 Chrome Enterprise 기기 트러스트 커넥터가 지원되지 않습니다.
시작하기 전에
기기 신뢰 커넥터는 관리 기기(Chrome 브라우저 및 ChromeOS)에만 사용할 수 있으며 관리 프로필이나 사용자에게는 사용할 수 없습니다.
Chrome 브라우저
- Chrome 브라우저 클라우드 관리에 가입하고 기기 트러스트 커넥터를 구성하려는 조직 단위에 기기를 등록합니다. Chrome 브라우저 클라우드 관리를 시작하는 방법은 Chrome 브라우저 클라우드 관리 설정하기를 참고하세요.
ChromeOS
- Chrome Enterprise 업그레이드에 가입하고 기기 트러스트 커넥터를 구성하려는 조직 단위에 ChromeOS 기기를 등록합니다. Chrome Enterprise 업그레이드 시작 방법은 ChromeOS 기기 관리 정보를 참고하세요.
-
로그인 페이지에만 신호 공유를 사용 설정하려면 기기 트러스트 커넥터를 구성하려는 조직 단위에 기기를 추가합니다.
-
로그인 페이지 및 세션 중 브라우저의 신호 공유를 사용 설정하려면 다음 중 하나를 실행해야 합니다.
- 기기 트러스트 커넥터를 구성하려는 조직 단위에 기기 및 사용자를 추가합니다.
-
기기와 사용자가 동일한 조직 단위에 있지 않은 경우 해당하는 모든 조직 단위에 동일한 IdP 구성을 적용합니다. 아래의 새 IdP 구성 추가를 참고하세요.
1단계: 새 IdP 구성 추가하기
-
-
관리 콘솔에서 메뉴
기기
Chrome
- 상단에서 + 새 제공업체 구성 추가를 클릭합니다.
- 오른쪽에 표시되는 패널에서 원하는 IdP를 찾습니다.
- 설정을 클릭합니다.
- 구성 세부정보를 입력합니다. 자세한 내용은 아래의 제공업체 구성 세부정보를 참고하세요.
- 구성 추가를 클릭합니다.
구성은 조직 전체에 추가됩니다. 그런 다음 필요한 조직 단위에서 사용할 수 있습니다.
2단계: 조직 단위에 설정 적용하기
새 ID 공급업체(IdP) 구성을 추가하면 커넥터 페이지에 표시됩니다. 각 제공업체에 추가한 구성과 연결된 조직 단위의 수를 볼 수 있습니다.
사용할 구성은 다음 안내에 따라 선택하세요.
- 관리 콘솔 홈페이지에서 기기
Chrome
- 하위 조직 단위를 설정합니다.
- 기기 트러스트 커넥터에서 사용할 구성을 선택합니다.
- 저장을 클릭합니다.
제공업체 구성 세부정보
PingOne DaVinci
| 필드 | 설명 |
|---|---|
|
구성 이름 |
기기 트러스트 커넥터 아래 커넥터 페이지에 표시되는 이름입니다. |
|
허용된 URL 패턴, 한 줄에 하나씩 입력 |
https://auth.pingone.com |
|
서비스 계정, 한 줄에 하나씩 입력 |
서비스 계정은 Google Cloud Platform(GCP)을 사용하여 생성됩니다. GCP 프로젝트 및 서비스 계정을 설정하는 데 필요한 단계는 아래의 Chrome Enterprise와 Ping ID 통합 가이드에 자세히 설명되어 있습니다. |
DaVinci 사용자를 위한 Chrome 기기 트러스트 커넥터와 Ping Identity 간의 통합 설정에 관한 자세한 내용은 아래 가이드를 참고하세요.
PingFederate
| 필드 | 설명 |
|---|---|
|
구성 이름 |
기기 트러스트 커넥터 아래 커넥터 페이지에 표시되는 이름입니다. |
|
허용된 URL 패턴, 한 줄에 하나씩 입력 |
Ping Federate 콘솔에서 시스템 프로토콜 설정제휴로 이동하여 URL을 확인합니다. |
|
서비스 계정, 한 줄에 하나씩 입력 |
서비스 계정은 GCP를 사용하여 생성됩니다. GCP 프로젝트 및 서비스 계정을 설정하는 데 필요한 단계는 아래의 Chrome Enterprise와 Ping ID 통합 가이드에 자세히 설명되어 있습니다. |
Chrome 기기 트러스트 커넥터와 PingFederate 사용자 간의 통합 설정에 대한 자세한 내용은 아래 가이드를 참고하세요.
Okta(Okta Identity Engine 사용자)
| 필드 | 설명 |
|---|---|
|
구성 이름 |
기기 트러스트 커넥터 아래 커넥터 페이지에 표시되는 이름입니다. |
|
허용된 URL 패턴, 한 줄에 하나씩 입력 |
Okta 제공: Okta 콘솔의 안내를 따릅니다. |
|
서비스 계정, 한 줄에 하나씩 입력 |
Okta 제공: Okta 콘솔의 안내를 따릅니다. |
Chrome 기기 트러스트 커넥터와 Okta Identity Engine 사용자 간 통합 설정에 대한 자세한 내용은 아래 가이드를 참고하세요.
Cisco Duo
| 필드 | 설명 |
|---|---|
|
구성 이름 |
기기 트러스트 커넥터 아래 커넥터 페이지에 표시되는 이름입니다. |
|
허용된 URL 패턴, 한 줄에 하나씩 입력 |
Cisco Duo 제공: Cisco Duo 콘솔의 안내를 따릅니다. |
|
서비스 계정, 한 줄에 하나씩 입력 |
Cisco Duo 제공: Cisco Duo 콘솔의 안내를 따릅니다. |
Chrome 기기 트러스트 커넥터와 Cisco Duo 사용자 간의 통합 설정에 대한 자세한 내용은 아래 가이드를 참고하세요.
기기 트러스트 커넥터 구성 확인하기
먼저 관리 기기가 등록되었으며 커넥터를 구성한 조직 단위의 Google 관리 콘솔에 표시되는지 확인합니다.
정책이 적용되었는지 확인하기
관리 기기:
- chrome://policy로 이동합니다.
- 정책 새로고침을 클릭합니다.
- Windows 및 macOS만 해당:
- BrowserContextAwareAccessSignalsAllowlist의 경우 상태가 확인으로 설정되어 있는지 확인합니다.
- BrowserContextAwareAccessSignalsAllowlist의 경우 값 표시를 클릭하고 값 필드가 허용할 URL 패턴(한 줄에 하나씩)에 설정한 값과 같은지 확인합니다.
- ChromeOS만 해당:
- DeviceLoginScreenContextAwareAccessSignalsAllowlist에서 상태가 확인으로 설정되어 있는지 확인합니다.
- DeviceLoginScreenContextAwareAccessSignalsAllowlist에서 값 표시를 클릭하고 값 필드가 허용할 URL 패턴(한 줄에 하나씩)에 설정한 값과 같은지 확인합니다.
기기 트러스트 커넥터의 상태 확인하기
관리 브라우저 또는 기기:
- chrome://connectors-internals로 이동합니다.
- 다음 필수 값을 확인합니다.
Is Enabled: trueKey Manager Initialized: trueKey Sync: Success (200)
커넥터는 키 동기화에 성공한 경우에만 기기 ID 증명을 제공할 수 있습니다.
Key Manager Initialized 옆에 값이 없는 경우 값이 표시될 때까지 페이지를 새로고침합니다. Is Enabled: true인 경우 1분 이내에 완료됩니다.
참고: ChromeOS 기기는 OS 고유의 TPM 지원 인증서를 사용하기 때문에 Key Manager가 없습니다.
chrome://connectors-internals에서 값 정의
Is enabled:기기에서 정책이 사용 설정되어 있는지 확인합니다.Key Manager Initialized:Chrome에서 키를 로드했거나, 아직 키가 생성되지 않은 경우 키를 생성했습니다.Key Type:RSA 또는 EC (타원 곡선)Trust Level:HW 또는 SW- HW(하드웨어)는 키가 기기의 하드웨어에 저장된다는 의미입니다. 예를 들어 보안 엔클레이브가 있는 Mac 또는 Windows에서 TPM이 있는 경우입니다.
- SW(소프트웨어)는 키가 OS 수준에 저장된다는 것을 의미합니다. Linux와 같은 파일에 저장되는 경우를 예로 들 수 있습니다.
SPKI 해시:비공개 키의 해시입니다.Key Sync:최근에 시도한 키 업로드의 응답 상태 + 코드입니다. Chrome은 시작할 때마다 키 재업로드를 시도합니다.Signals:기기에서 전송할 수 있는 신호의 개요입니다.
컨텍스트 인식 액세스 키 삭제하기
Windows 및 Mac만 해당
관리 콘솔에 액세스할 수 있는 관리자는 특정 브라우저에 대하여 신뢰할 수 있는 공개 키를 삭제할 수 있습니다. 이렇게 하면 사용자에게 액세스 문제가 발생했을 때 문제를 해결하는 데 도움이 될 수 있습니다. 더 이상 신뢰할 수 있는 키 쌍에 액세스할 수 없는 관리 브라우저의 경우가 이에 해당합니다.
-
-
관리 콘솔에서 메뉴
Chrome 브라우저 클라우드 관리에 가입한 경우 메뉴
Chrome 브라우저
- 브라우저가 있는 조직 단위를 선택합니다.
- 삭제할 키가 있는 브라우저를 선택합니다.
- 왼쪽의 관리 브라우저 세부정보 상자에서 키 구성을 클릭합니다.
- 키 삭제를 선택합니다.
관리 콘솔에서 키를 삭제하면 관리 브라우저는 다시 시작할 때 키를 동기화하고 신뢰를 다시 설정합니다.
참고: 키 구성을 클릭할 수 없다면 키가 서버에 없을 수도 있습니다.
Chrome에서 IdP로 전송되는 데이터
Chrome 브라우저 및 ChromeOS 기기에서 IdP로 전송되는 데이터는 여기에 정의되어 있습니다. 관리자는 컨텍스트 인식 액세스 규칙에서 어떤 신호를 사용할지 결정할 수 있습니다.
Google 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.