Gäller för hanterade Chrome-webbläsare och Chrome OS-enheter.
Som administratör kan du konfigurera anslutare för Chrome Enterprise-enhetsförtroende för att dela kontextkänsliga signaler från hanterade Chrome-webbläsare och ChromeOS-enheter med externa identitetsleverantörer (IdP). Denna integrering tillåter signaler för enhetsförtroende som indata i autentiserings- och auktoriseringspolicyer. Denna lösning ger ökad säkerhet och mindre beroende av nätverket som förtroendefaktor.
Enhetssignalerna omfattar enhets-id, serienummer, status för säkert läge, operativsystemversion, brandväggsstatus med mera. Mer information finns i Data som skickas från Chrome till IdP.
På alla plattformar som stöds delas signaler från webbläsaren under sessionen. För ChromeOS delas signaler från både webbläsaren under sessionen och inloggningssidan som en del av användarautentiseringen.
Obs! Anslutare för Chrome Enterprise-enhetsförtroende stöds inte i ChromeOS Flex.
Innan du börjar
Du kan bara använda anslutare för enhetsförtroende för hanterade enheter – Chrome-webbläsaren och ChromeOS – och inte för hanterade profiler eller användare.
Webbläsaren Chrome
- Registrera dig för Chrome Browser Cloud Management och registrera enheter i den organisationsenhet där du vill konfigurera anslutaren för enhetsförtroende. Mer information om hur du kommer igång med Chrome Browser Cloud Management finns i Konfigurera Chrome Browser Cloud Management.
ChromeOS
- Registrera dig för Chrome Enterprise Upgrade och registrera ChromeOS-enheter i den organisationsenhet där du vill konfigurera anslutaren för enhetsförtroende. Mer information om hur du kommer igång med Chrome Enterprise Upgrade finns i Om ChromeOS-enhetshantering.
-
Om du vill aktivera signaldelning enbart för inloggningssidan lägger du till enheterna i en organisationsenhet där du vill konfigurera anslutaren för enhetsförtroende.
-
Du måste göra något av följande för att aktivera signaldelning för inloggningssidan och webbläsaren under sessionen:
- Lägg till enheterna och användarna i samma organisationsenhet där du vill konfigurera anslutaren för enhetsförtroende.
-
Om enheter och användare inte finns i samma organisationsenhet tillämpar du samma IdP-konfiguration på alla tillämpliga organisationsenheter. Mer information finns i Lägga till nya IdP-konfigurationer nedan.
Steg 1: Lägg till nya IdP-konfigurationer
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
Från administratörskonsolen går du till menyn EnheterChromeEnheter.
- Klicka på + Ny leverantörskonfiguration högst upp.
- Hitta önskad IdP i panelen som visas till höger.
- Klicka på Konfigurera.
- Ange konfigurationsuppgifterna. Mer information finns i Uppgifter om leverantörskonfiguration nedan.
- Klicka på Lägg till konfiguration.
Konfigurationer läggs till för hela organisationen. Sedan kan du använda dem i alla organisationsenheter efter behov.
Steg 2: Tillämpa inställningar på organisationsenheten
När du har lagt till en ny konfiguration för identitetsleverantör (IdP) visas den på sidan Anslutare. Du kan se vilka konfigurationer du har lagt till för varje leverantör och antalet organisationsenheter där den är ansluten.
Så här väljer du vilken konfiguration du vill använda:
- Du kan även öppna EnheterChromeAnslutare på administratörskonsolens startsida.
- Välj en underordnad organisationsenhet.
- För anslutare för enhetsförtroende väljer du den konfiguration du vill använda.
- Klicka på Spara.
Information om leverantörskonfiguration
PingOne DaVinci
Fält | Beskrivning |
---|---|
Konfigurationsnamn |
Namnet som visas på sidan Anslutare under Anslutare för enhetsförtroende. |
Webbadressmönster som ska tillåtas, en per rad |
https://auth.pingone.com |
Tjänstkonton, ett per rad |
Tjänstkontot genereras med Google Cloud Platform (GCP). Stegen som krävs för att konfigurera ett GCP-projekt och ett tjänstkonto beskrivs i guiden Integrera Ping Identity med Chrome Enterprise nedan. |
I guiden nedan finns information om hur du konfigurerar integrationen mellan Chrome Device Trust Connector och Ping Identity för DaVinci-användare.
PingFederate
Fält | Beskrivning |
---|---|
Konfigurationsnamn |
Namnet som visas på sidan Anslutare under Anslutare för enhetsförtroende. |
Webbadressmönster som ska tillåtas, en per rad |
I Ping Federate Console navigerar du till SystemProtocol Settings Federation för att fastställa webbadressen. |
Tjänstkonton, ett per rad |
Tjänstkontot genereras med GCP. Stegen som krävs för att konfigurera ett GCP-projekt och ett tjänstkonto beskrivs i guiden Integrera Ping Identity med Chrome Enterprise nedan. |
I guiden nedan finns information om hur du konfigurerar integrationen mellan Chrome Device Trust Connector och PingFederate-användare.
Okta (användare av Okta Identity Engine)
Fält | Beskrivning |
---|---|
Konfigurationsnamn |
Namnet som visas på sidan Anslutare under Anslutare för enhetsförtroende. |
Webbadressmönster som ska tillåtas, en per rad |
Från Okta – följ anvisningarna i Okta-konsolen. |
Tjänstkonton, ett per rad |
Från Okta – följ anvisningarna i Okta-konsolen. |
I guiden nedan finns information om hur du konfigurerar integrationen mellan användare av Chrome Device Trust Connector och Okta Identity Engine.
Verifiera konfiguration av anslutare för enhetsförtroende
Kontrollera först att den hanterade enheten är registrerad och listad i Googles administratörskonsol i en organisationsenhet där du har konfigurerat anslutaren.
Verifiera att policyerna tillämpas
På en hanterad enhet:
- Navigera till chrome://policy.
- Klicka på Läs in policy på nytt.
- Endast Windows och macOS:
- Kontrollera att Status är inställd på OK för BrowserContextAwareAccessSignalsAllowlist.
- För BrowserContextAwareSignalsAllowlist klickar du på Visa värde och ser till att värdefältet är detsamma som det du angett för Webbadressmönster som ska tillåtas, ett per rad.
- Endast ChromeOS:
- För DeviceLoginScreenContextAwareSignalsAllowlist kontrollerar du att Status är inställd på OK.
- För DeviceLoginScreenContextAwareAccessSignalsAllowlist klickar du på Visa värde och ser till att värdefältet är detsamma som det du angett för Webbadressmönster som ska tillåtas, ett per rad.
Kontrollera statusen för anslutaren för enhetsförtroende
I en hanterad webbläsare eller enhet:
- Navigera till chrome://connectors-internals.
- Kontrollera att de här värdena är obligatoriska:
Is Enabled: true
Key Manager Initialized: true
Key Sync: Success (200)
Anslutaren kan bara tillhandahålla attestering av enhetsidentitet om nyckelsynkroniseringen lyckades.
Om det inte finns något värde bredvid Nyckelhanteraren har initierats
uppdaterar du sidan tills ett värde visas. Om Is Enabled: true
tar det inte mer än en minut.
Obs! ChromeOS-enheter har ingen nyckelhanterare eftersom de använder TPM-stödda certifikat som är integrerade i operativsystemet.
Definition av värden på chrome://connectors-internals
Is enabled:
Verifierar att policyn är aktiverad på enheten.Key Manager Initialized:
Chrome har läst in nyckeln eller skapat en nyckel om ingen nyckel redan har skapats.Nyckeltyp:
RSA eller EC (Elliptic Curve).Förtroendenivå:
HW eller SW.- HW (maskinvara) innebär att nyckeln lagras i enhetens maskinvara. Till exempel på Mac med Secure Enclave eller Windows med TPM.
- SW (programvara) innebär att nyckeln lagras på operativsystemnivå. Till exempel i en fil, som i Linux.
SPKI-hash:
En hash för den privata nyckeln.Nyckelsynkronisering:
Svarsstatusen + koden från det senaste försöket att ladda upp en nyckel. Chrome försöker ladda upp nyckeln på nytt varje gång den startas.Signaler:
En översikt över signalerna som kan skickas från enheten.
Rensa en kontextkänslig åtkomstnyckel
Endast Windows och Mac
Administratörer med åtkomst till administratörskonsolen kan rensa en betrodd offentlig nyckel för en viss webbläsare. Detta kan hjälpa till vid felsökning om en användare har åtkomstproblem, exempelvis en hanterad webbläsare som inte längre har åtkomst till det betrodda nyckelparet.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
I administratörskonsolen öppnar du menyn EnheterChromeHanterade webbläsare.
Om du har registrerat dig för Chrome Browser Cloud Management öppnar du menyn Webbläsaren ChromeHanterade webbläsare.
- Välj den organisationsenhet där webbläsaren finns.
- Välj den webbläsare som du vill rensa med nyckeln.
- Under rutan Hanterad webbläsare till vänster klickar du på Konfigurera nyckel.
- Välj Rensa nyckel.
När nyckeln rensas från administratörskonsolen synkroniserar den hanterade webbläsaren nyckeln vid omstart och återfår förtroendet.
Obs! Om det inte går att klicka på Konfigurera nyckel kanske nyckeln inte finns på servern.
Data som skickas från Chrome till IdP
Data som skickas från Chrome-webbläsare och ChromeOS-enheter till IdP definieras här. Som administratör kan du bestämma vilka av dessa signaler du vill använda i de kontextkänsliga åtkomstreglerna.
Google och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.