适用于受管理的 Chrome 浏览器和 ChromeOS 设备。
作为管理员,您可以配置 Chrome 企业版设备信任连接器,以便与第三方身份提供方 (IdP) 共享来自受管理的 Chrome 浏览器和 ChromeOS 设备的情境感知信号。这种集成可让设备信任信号作为身份验证和授权政策的输入。此解决方案增强了安全性,并且减少了对网络作为信任因素的依赖。
设备信号包括设备 ID、序列号、安全模式状态、操作系统版本、防火墙状态等。有关详情,请参阅从 Chrome 发送到 IdP 的数据。
在所有支持的平台上,信号都通过浏览器会话共享。对于 ChromeOS,信号通过浏览器会话以及用户身份验证过程中的登录页面共享。
注意:ChromeOS Flex 不支持 Chrome 企业版设备信任连接器。
准备工作
您只能将设备信任连接器用于受管理的设备(Chrome 浏览器和 ChromeOS),而不能用于受管理的个人资料或用户。
Chrome 浏览器
- 注册 Chrome 浏览器云管理,并将设备注册到您要配置设备信任连接器的组织部门。如要了解如何开始使用 Chrome 浏览器云管理,请参阅设置 Chrome 浏览器云管理。
ChromeOS
- 注册 Chrome 企业版升级,并将 ChromeOS 设备注册到要配置设备信任连接器的组织部门。如要了解如何开始使用 Chrome 企业版升级,请参阅 ChromeOS 设备管理简介。
-
要仅为登录页面启用信号共享,请将设备添加到要在其中配置设备信任连接器的组织部门。
-
如需为登录页面和浏览器会话启用信号共享,您需要执行以下操作之一:
- 将相应设备和用户添加到您要在其中配置设备信任连接器的同一组织部门。
-
如果设备和用户不属于同一个组织部门,请为所有适用的组织部门应用相同的 IdP 配置。请参阅下文的添加新的 IdP 配置。
第 1 步:添加新的 IdP 配置
-
-
在管理控制台中,依次点击“菜单”图标 设备 Chrome 连接器。
- 点击顶部的 + 添加新提供商的配置。
- 在右侧显示的面板中,找到所需的 IdP。
- 点击设置。
- 输入详细的配置信息。如需了解详情,请参阅下面的提供商配置详情。
- 点击添加配置。
系统会为整个组织添加配置。然后,您可以根据需要在任意组织部门中使用这些配置。
第 2 步:将设置应用于组织部门
添加新的身份提供方 (IdP) 配置后,连接器页面上会列出该配置。您可以查看您为每个提供商添加的配置,以及相应提供商关联的组织部门的数量。
如需选择要使用的配置,请执行以下操作:
- 在管理控制台首页,点击设备Chrome连接器。
- 选择一个下级组织部门。
- 在设备信任连接器部分,选择要使用的配置。
- 点击保存。
提供商配置详情
PingOne DaVinci
字段 | 说明 |
---|---|
Configuration name(配置名称) |
显示在连接器页面上的设备信任连接器下的名称。 |
要允许的网址格式(一行一个) |
https://auth.pingone.com |
服务账号(每行 1 个) |
服务账号是使用 Google Cloud Platform (GCP) 生成的。 下面的《Ping Device Trust Connector Integration with Chrome Setup Guide》(《Ping 设备信任连接器与 Chrome 集成设置指南》)详细介绍了设置 GCP 项目和服务账号所需的步骤。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 Ping Identity for DaVinci 用户之间的集成。
PingFederate
字段 | 说明 |
---|---|
Configuration name(配置名称) |
显示在连接器页面上的设备信任连接器下的名称。 |
要允许的网址格式(一行一个) |
在 PingFederate 控制台中,转到系统 协议设置 联合以确定网址。 |
服务账号(每行 1 个) |
服务账号是使用 GCP 生成的。 下面的《Ping Device Trust Connector Integration with Chrome Setup Guide》(《Ping 设备信任连接器与 Chrome 集成设置指南》)详细介绍了设置 GCP 项目和服务账号所需的步骤。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 PingFederate 用户之间的集成。
Okta(Okta Identity Engine 用户)
字段 | 说明 |
---|---|
Configuration name(配置名称) |
显示在连接器页面上的设备信任连接器下的名称。 |
要允许的网址格式(一行一个) |
由 Okta 提供 - 请按照 Okta 控制台中的说明操作。 |
服务账号(每行 1 个) |
由 Okta 提供 - 请按照 Okta 控制台中的说明操作。 |
请参阅以下指南,详细了解如何设置 Chrome 设备信任连接器和 Okta Identity Engine 用户之间的集成。
验证设备信任连接器配置
首先,请确保受管理的设备已注册到您配置了连接器的组织部门,并且列在 Google 管理控制台中。
验证政策是否已应用
在受管设备上:
- 转到 chrome://policy。
- 点击重新加载政策。
- 仅限 Windows 和 macOS:
- 对于 BrowserContextAwareAccessSignalsAllowlist,确保状态已设置为正常。
- 对于 BrowserContextAwareAccessSignalsAllowlist,点击显示值,确保值字段与您为要允许的网址格式(每行 1 个)设置的值相同。
- 仅限 ChromeOS:
- 对于 DeviceLoginScreenContextAwareAccessSignalsAllowlist,确保状态已设置为正常。
- 对于 DeviceLoginScreenContextAwareAccessSignalsAllowlist,点击显示值,并确保值字段与您为要允许的网址格式(每行 1 个)设置的值相同。
检查设备信任连接器的状态
在受管理的浏览器或设备上:
- 转到 chrome://connectors-internals。
- 检查是否存在以下必需值:
已启用:true
密钥管理器已初始化:true
密钥同步:成功 (200)
只有在密钥同步成功后,连接器才能提供设备身份证明。
如果密钥管理器已初始化
旁边没有值,请刷新页面,直到显示值。如果“已启用”为 true
,则刷新过程不会超过一分钟。
注意:ChromeOS 设备没有密钥管理器,因为它们使用 TPM 支持的证书(这些证书是操作系统自带的)。
chrome://connectors-internals 上值的定义
已启用
:验证是否已在设备上启用政策。密钥管理器已初始化
:Chrome 已加载相应密钥或已创建密钥(如果之前未创建任何密钥)。密钥类型
:RSA 或 EC(椭圆曲线)。信任级别
:硬件或软件。- “硬件”表示密钥存储在设备的硬件中。例如,在安装了 Secure Enclave 的 Mac 或具有 TPM 的 Windows 上就是这样。
- “软件”表示密钥存储在操作系统级别,例如,存储在 Linux 等操作系统上的文件中。
SPKI 哈希
:私钥的哈希。密钥同步
:最近尝试上传密钥的响应状态和代码。Chrome 会在每次启动时尝试重新上传密钥。信号
:可从设备发送的信号的概览。
清除情境感知访问权限密钥
仅限 Windows 和 Mac
有权访问管理控制台的管理员可以清除特定浏览器的可信公钥。如果用户遇到访问权限问题(例如受管理的浏览器无法再访问可信密钥对),这有助于进行排查。
-
-
在管理控制台中,依次点击“菜单”图标 设备 Chrome 受管理的浏览器。
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标 Chrome 浏览器受管理的浏览器。
- 选择浏览器所在的组织部门。
- 选择包含要清除的密钥的浏览器。
- 在左侧的受管理的浏览器详细信息框下方,点击配置密钥。
- 选择清除密钥。
从管理控制台中清除密钥后,受管理的浏览器会在重启时同步密钥,并再次重新建立信任。
注意:如果您无法点击配置密钥,则表示服务器上可能不存在密钥。
从 Chrome 发送到 IdP 的数据
此处定义了从 Chrome 浏览器和 ChromeOS 设备发送到 IdP 的数据。作为管理员,您可以决定要在情境感知访问权限规则中使用哪些信号。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。