Уведомление

Готовитесь к возвращению сотрудников в офис? Узнайте, как Chrome OS поможет вам организовать эффективную работу.

Как управлять коннекторами доверия устройства с Chrome Enterprise

Информация в этой статье касается управляемых браузеров Chrome и устройств с ChromeOS.

Как администратор, вы можете настроить коннекторы доверия устройств с лицензией Chrome Enterprise для обмена контекстными сигналами из управляемых браузеров Chrome и устройств с ChromeOS со сторонними поставщиками идентификационной информации. Такая интеграция позволяет использовать сигналы доверия устройства в качестве входных данных для правил аутентификации и авторизации. Это обеспечивает повышенную безопасность и меньшую зависимость от сети как фактора доверия.

К сигналам устройства относятся идентификатор устройства, серийный номер, статус проверки при запуске, версия ОС, сведения о состоянии брандмауэра и другая информация. Подробная информация приведена в разделе Данные, отправляемые поставщику идентификационной информации из Chrome ниже.

На всех поддерживаемых платформах сигналы передаются из браузера во время сеанса. В ChromeOS сигналы могут передаваться из браузера во время сеанса или со страницы входа в процессе аутентификации.

Примечание. Коннекторы доверия устройства с Chrome Enterprise не поддерживаются в ChromeOS Flex.

Подготовка

Коннекторы доверия можно использовать только для управляемых устройств с браузером Chrome и ChromeOS.

Браузер Chrome

  • Зарегистрируйтесь в системе облачного управления браузером Chrome и зарегистрируйте устройства в организационном подразделении, в котором хотите настроить коннектор доверия устройства. Подробнее о том, как настроить облачное управление браузером Chrome

ChromeOS

  • Оформите подписку Chrome Enterprise и зарегистрируйте устройства с ChromeOS в организационном подразделении, в котором хотите настроить коннектор доверия устройства. Подробная информация о работе с лицензией Chrome Enterprise приведена в статье Как управлять устройствами с ChromeOS.

  • Чтобы включить обмен сигналами только для страницы входа, добавьте устройства в организационное подразделение, в котором хотите настроить коннектор доверия устройства.

  • Чтобы включить обмен сигналами для страницы входа и браузера во время сеанса, необходимо выполнить одно из следующих действий:

    • Добавьте устройства и пользователей в то же организационное подразделение, в котором хотите настроить коннектор доверия устройства.

    • Если устройства и пользователи находятся в разных организационных подразделениях, примените одну и ту же конфигурацию поставщика идентификационной информации ко всем организационным подразделениям. Дополнительная информация приведена в разделе Добавьте новые конфигурации поставщиков идентификационной информации ниже.

Шаг 1. Добавьте новые конфигурации поставщиков идентификационной информации

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемКоннекторы.
  3. В верхней части страницы нажмите Добавить конфигурацию поставщика.
  4. На панели справа найдите нужного поставщика.
  5. Нажмите Настроить.
  6. Укажите сведения о конфигурации. Дополнительная информация приведена в разделе Сведения о конфигурации поставщика ниже.
  7. Нажмите Добавить конфигурацию.

Добавленные конфигурации доступны в пределах всей организации. При необходимости вы можете использовать их в любом ее подразделении.

Шаг 2. Примените настройки к организационному подразделению

После того как вы добавите новую конфигурацию поставщика идентификационной информации, она появится на странице Коннекторы. Здесь можно проверить конфигурации, предназначенные для отдельных поставщиков, и количество организационных подразделений, к которым они подключены.

Чтобы выбрать, какую конфигурацию использовать, выполните следующие действия:

  1. На главной странице консоли администратора выберите Устройства>Chrome>Коннекторы.
  2. Выберите дочернее организационное подразделение.
  3. В разделе Коннекторы доверия устройства выберите конфигурацию, которую хотите использовать.
  4. Нажмите Сохранить.

Сведения о конфигурации поставщика

PingOne DaVinci

Поле Описание

Название конфигурации

 Название, которое показано на странице Коннекторы в разделе Коннекторы доверия устройства.

Шаблоны разрешенных URL, по одному в каждой строке

 https://auth.pingone.com

Сервисные аккаунты, по одному в каждой строке

Сервисный аккаунт создается с помощью сервиса Google Cloud Platform (GCP).

Действия, которые необходимо выполнить для настройки проекта GCP и сервисного аккаунта, описаны в руководстве по интеграции Ping Identity с Chrome Enterprise ниже.

Инструкции по настройке интеграции коннекторов доверия устройств Chrome и Ping Identity для пользователей DaVinci даны в руководстве, которое можно скачать ниже.

СКАЧАТЬ РУКОВОДСТВО (PDF)

PingFederate

Поле Описание

Название конфигурации

 Название, которое показано на странице Коннекторы в разделе Коннекторы доверия устройства.

Шаблоны разрешенных URL, по одному в каждой строке

 Чтобы определить URL, в консоли Ping Federate откройте раздел System (Система)>Protocol Settings (Настройки протокола)>Federation (Федерация).

Сервисные аккаунты, по одному в каждой строке

Сервисный аккаунт создается с помощью сервиса GCP.

Действия, которые необходимо выполнить для настройки проекта GCP и сервисного аккаунта, описаны в руководстве по интеграции Ping Identity с Chrome Enterprise ниже.

Инструкции по настройке интеграции коннекторов доверия устройств Chrome и PingFederate приведены в руководстве, которое можно скачать ниже.

СКАЧАТЬ РУКОВОДСТВО (PDF)

Okta (Okta Identity Engine)

Поле Описание

Название конфигурации

 Название, которое показано на странице Коннекторы в разделе Коннекторы доверия устройства.

Шаблоны разрешенных URL, по одному в каждой строке

 Предоставляются Okta. Следуйте инструкциям в консоли Okta.

Сервисные аккаунты, по одному в каждой строке

 Предоставляются Okta. Следуйте инструкциям в консоли Okta.

Инструкции по настройке интеграции коннекторов доверия устройств Chrome и Okta Identity Engine приведены в руководстве, которое можно скачать ниже.

СКАЧАТЬ РУКОВОДСТВО (PDF)

Как проверить конфигурацию коннекторов доверия устройства

Убедитесь, что управляемое устройство зарегистрировано и указано в консоли администратора Google как добавленное в организационное подразделение, в котором вы настроили коннектор.

Как проверить, что правила применяются

На управляемых устройствах:

  1. Откройте страницу chrome://policy.
  2. Нажмите Повторно загрузить правила.
  3. Только для Windows и macOS:
    1. Убедитесь, что у правила BrowserContextAwareAccessSignalsAllowlist для параметра Состояние установлено значение OK.
    2. Нажмите Показать значение в строке правила BrowserContextAwareAccessSignalsAllowlist и убедитесь, что значение поля совпадает с тем, которое вы установили для поля Шаблоны разрешенных URL, по одному в строке.
  4. Только для ChromeOS:
    1. Убедитесь, что у правила DeviceLoginScreenContextAwareAccessSignalsAllowlist для параметра Состояние установлено значение OK.
    2. Нажмите Показать значение в строке правила DeviceLoginScreenContextAwareAccessSignalsAllowlist и убедитесь, что значение поля совпадает с тем, которое вы установили для поля Шаблоны разрешенных URL, по одному в строке.

Как проверить состояние коннектора доверия устройства

В управляемом браузере или на устройстве:

  1. Откройте страницу chrome://connectors-internals.
  2. Проверьте следующие значения:
    1. Is Enabled (Включен): true
    2. Key Manager Initialized (Key Manager инициализирован): true
    3. Key Sync (Синхронизация ключей): Success (200)

Коннектор может подтвердить идентификацию устройства только в том случае, если синхронизация ключей прошла успешно.

Если рядом с пунктом Key Manager Initialized (Key Manager инициализирован) не указано значение, рекомендуем продолжать обновлять страницу, пока оно не появится. Если указано Is Enabled (Включен): true, это не должно занять больше минуты.

Примечание. Устройства с ChromeOS не поддерживают Key Manager, поскольку они используют сертификаты, гарантируемые модулями TPM и встроенные в ОС.

Определение значений на странице chrome://connectors-internals

Вы можете убедиться, что интеграция активна и ключ создан, открыв на зарегистрированном устройстве страницу chrome://connectors-internals.
  • Is enabled (Включен): подтверждает, что правило включено на этом устройстве.
  • Key Manager Initialized (Key Manager инициализирован): браузер Chrome загрузил существующий ключ или создал новый.
  • Key Type (Тип ключа): RSA или EC (ключ на эллиптических кривых).
  • Trust Level (Уровень доверия): HW или SW.
    • HW (аппаратное обеспечение) означает, что ключ хранится в аппаратном обеспечении устройства. Например, в macOS с Secure Enclave или Windows при наличии TPM.
    • SW (программное обеспечение) означает, что ключ хранится на уровне ОС. Например, в файле (Linux).
  • SPKI Hash (Хеш SPKI): хеш закрытого ключа.
  • Key Sync (Синхронизация ключей): статус ответа и код последней попытки загрузки ключа. Chrome пытается повторно загрузить ключ при каждом запуске.
  • Signals (Сигналы): общие сведения о сигналах, которые можно отправлять с устройства.

Как очистить ключ контекстно-зависимого доступа

Только для Windows и macOS

Администраторы, у которых есть доступ к консоли администратора, могут очистить доверенный открытый ключ для нужного браузера. Очистка ключа может помочь в случае возникновения у пользователей проблем с доступом, например, если управляемый браузер больше не имеет доступа к доверенной паре ключей.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемУправляемые браузеры.

    Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню а затем Браузер Chromeа затемУправляемые браузеры.

  3. Выберите организационное подразделение, к которому относится браузер.
  4. Выберите браузер с ключом, который нужно очистить.
  5. В окне Сведения об управляемом браузере слева нажмите Настроить ключ.
  6. Выберите Очистить ключ.

Когда ключ будет удален из консоли администратора, управляемый браузер синхронизирует свой ключ при перезапуске и повторно сделает его доверенным.


Примечание. Если вы не можете нажать Настроить ключ, возможно, ключ не существует на сервере.

Данные, отправляемые поставщику идентификационной информации из Chrome

Данные, отправляемые поставщику идентификационной информации из браузеров Chrome и устройств с ChromeOS, указаны на этой странице. Как администратор, вы можете решить, какие из этих сигналов вы хотите использовать в правилах контекстно-зависимого доступа.

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
8767393123576564476
true
Поиск по Справочному центру
true
true
true
true
true
410864
false
false