适用于受管理的 Chrome 浏览器以及 ChromeOS 和 ChromeOS Flex 设备。
作为管理员,您可以配置 Chrome 企业版设备信任连接器,以便与第三方身份提供方 (IdP) 共享来自受管理的 Chrome 浏览器、受管理的 Chrome 个人资料和 ChromeOS 设备的情境感知信号。借助此集成,您可以将设备信任信号作为身份验证和授权政策的输入。此解决方案可增强安全性,并减少对网络作为信任因素的依赖。
设备信号包括设备 ID、序列号、安全模式状态、操作系统版本、防火墙状态等。如需了解详情,请参阅从 Chrome 发送到 IdP 的数据。
在所有支持的平台上,信号都通过浏览器会话共享。对于 ChromeOS,信号通过浏览器会话以及用户身份验证过程中的登录页面共享。
注意:ChromeOS Flex 不支持 Chrome 企业版设备信任连接器。
准备工作
您可以将设备信任连接器用于受管设备(Chrome 浏览器和 ChromeOS)以及 Chrome 浏览器上的受管理 Chrome 个人资料。
Chrome 浏览器
- 订阅 Chrome 企业核心版,并将设备注册到您要配置设备信任连接器的组织部门。如需了解如何开始使用 Chrome 企业核心版,请参阅设置 Chrome 企业核心版。
- 对于非受管设备,您可以根据用户所属的组织部门,为使用受管理 Chrome 个人资料的用户配置设备信任连接器。在非组织管理的设备上,必须征得用户同意。 请参阅用户意见征求。
ChromeOS
- 注册 ChromeOS 企业版升级服务,并将 ChromeOS 设备注册到您要配置设备信任连接器的组织部门。如需了解如何开始使用 ChromeOS 企业版升级服务,请参阅管理 ChromeOS 设备。
-
如需仅为登录页面启用信号共享,请将设备添加到您要配置设备信任连接器的组织部门。
-
如需为登录页面和浏览器会话启用信号共享,您需要执行以下操作之一:
- 将设备和用户添加到您要配置设备信任连接器的组织部门中。
-
如果设备和用户不在同一组织部门中,请对所有适用的组织部门应用相同的 IdP 配置。请参阅下文中的添加新的 IdP 配置。
ChromeOS Flex
-
订阅 ChromeOS 企业版升级许可或 ChromeOS 教育版升级许可,并将 ChromeOS Flex 设备注册到您要配置设备信任连接器的组织部门。如需了解如何开始使用,请参阅 ChromeOS Flex 与 ChromeOS 之间的区别和 注册 ChromeOS 设备。
- ChromeOS Flex 上的设备信任连接器适用于从登录页面和浏览器会话中发送的信号。
注意:ChromeOS Flex 设备不提供由硬件支持的证明。ChromeOS Flex 设备发送的信号会经过加密,但 IdP 会降低对这些设备的信任级别,因为无法对硬件来源进行强验证。
第 1 步:添加新的 IdP 配置
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击顶部的 + 添加新提供商的配置。
- 在右侧显示的面板中,找到所需的 IdP。
- 点击设置。
- 输入详细的配置信息。如需了解详情,请参阅下面的提供商配置详情。
- (可选)选择要如何应用配置:仅限受管理的浏览器、仅限受管理的个人资料,或同时应用于受管理的浏览器和个人资料。
注意:此设置仅适用于 Chrome 浏览器;在 ChromeOS 中,此设置始终应用。 - 点击添加配置。
系统会为整个组织添加配置。然后,您可以根据需要在任意组织部门中使用这些配置。
第 2 步:将设置应用于组织部门
添加新的身份提供方 (IdP) 配置后,连接器页面上会列出该配置。您可以查看您为每个提供商添加的配置,以及相应提供商关联的组织部门的数量。
如需选择要使用的配置,请执行以下操作:
-
- 选择一个下级组织部门。
- 对于设备信任连接器,请选择要使用的配置。
- 点击保存。
提供商配置详情
Cisco Duo
| 字段 | 说明 |
|---|---|
|
配置名称 |
显示在连接器页面的设备信任连接器下的名称。 |
|
要允许的网址格式(一行一个) |
由 Cisco Duo 提供 - 按照 Cisco Duo 控制台中的说明操作。 |
|
服务账号(每行 1 个) |
由 Cisco Duo 提供 - 按照 Cisco Duo 控制台中的说明操作。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 Cisco Duo 用户之间的集成。
Cisco Secure Access
| 字段 | 说明 |
|---|---|
|
配置名称 |
显示在连接器页面的设备信任连接器下的名称。 |
|
要允许的网址格式(一行一个) |
由 Cisco Secure Access 提供 - 按照 Cisco Secure Access 控制台中的说明操作。 |
|
服务账号(每行 1 个) |
由 Cisco Secure Access 提供 - 按照 Cisco Secure Access 控制台中的说明操作。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 Cisco Secure Access 用户之间的集成。
JumpCloud
| 字段 | 说明 |
|---|---|
|
配置名称 |
显示在连接器页面的设备信任连接器下的名称。 |
|
要允许的网址格式(一行一个) |
由 JumpCloud 提供 — 请按照 JumpCloud 控制台中的说明进行操作。 |
|
服务账号(每行 1 个) |
由 JumpCloud 提供 — 请按照 JumpCloud 控制台中的说明进行操作。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 JumpCloud 用户之间的集成。
Okta(Okta Identity Engine 用户)
| 字段 | 说明 |
|---|---|
|
配置名称 |
显示在连接器页面的设备信任连接器下的名称。 |
|
要允许的网址格式(一行一个) |
由 Okta 提供 - 按照 Okta 控制台中的说明操作。 |
|
服务账号(每行 1 个) |
由 Okta 提供 - 按照 Okta 控制台中的说明操作。 |
请参阅以下指南,详细了解如何设置 Chrome 设备信任连接器和 Okta Identity Engine 用户之间的集成。
Omnissa
| 字段 | 说明 |
|---|---|
|
配置名称 |
显示在连接器页面的设备信任连接器下的名称。 |
|
要允许的网址格式(一行一个) |
由 Omnissa 提供 - 按照 Omnissa 控制台中的说明操作。 |
|
服务账号(每行 1 个) |
由 Omnissa 提供 - 按照 Omnissa 控制台中的说明操作。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 Omnissa 用户之间的集成。
PingFederate
| 字段 | 说明 |
|---|---|
|
配置名称 |
显示在连接器页面的设备信任连接器下的名称。 |
|
要允许的网址格式(一行一个) |
在 PingFederate 控制台中,前往 System(系统) Protocol Settings(协议设置) Federation(联合)以确定网址。 |
|
服务账号(每行 1 个) |
服务账号是使用 GCP 生成。 下面的《Ping Device Trust Connector Integration with Chrome Setup Guide》(《Ping 设备信任连接器与 Chrome 集成设置指南》)详细介绍了设置 GCP 项目和服务账号所需的步骤。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 PingFederate 用户之间的集成。
PingOne DaVinci
| 字段 | 说明 |
|---|---|
|
配置名称 |
显示在连接器页面的设备信任连接器下的名称。 |
|
要允许的网址格式(一行一个) |
https://auth.pingone.com |
|
服务账号(每行 1 个) |
服务账号是使用 Google Cloud Platform (GCP) 生成。 下面的《Ping Device Trust Connector Integration with Chrome Setup Guide》(《Ping 设备信任连接器与 Chrome 集成设置指南》)详细介绍了设置 GCP 项目和服务账号所需的步骤。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 Ping Identity for DaVinci 用户之间的集成。
ZScaler
| 字段 | 说明 |
|---|---|
|
配置名称 |
显示在连接器页面的设备信任连接器下的名称。 |
|
要允许的网址格式(一行一个) |
由 Zscaler 提供 - 按照 Zscaler 控制台中的说明操作。 |
|
服务账号(每行 1 个) |
由 Zscaler 提供 - 按照 Zscaler 控制台中的说明操作。 |
请参阅下面的指南,详细了解如何设置 Chrome 设备信任连接器和 Zscaler 用户之间的集成。
验证设备信任连接器配置
首先,请确保受管理的设备已注册到您配置了连接器的组织部门,并且列在 Google 管理控制台中。
验证政策是否已应用
在受管设备上:
- 转到 chrome://policy。
- 点击重新加载政策。
- 仅限 Windows 和 macOS:
- 对于 BrowserContextAwareAccessSignalsAllowlist,确保状态已设置为成功。
- 对于 BrowserContextAwareAccessSignalsAllowlist,点击显示值,确保值字段与您为要允许的网址格式(每行 1 个)设置的值相同。
- 仅限 ChromeOS:
- 对于 DeviceLoginScreenContextAwareAccessSignalsAllowlist,确保状态已设置为正常。
- 对于 DeviceLoginScreenContextAwareAccessSignalsAllowlist,点击显示值,并确保值字段与您为要允许的网址格式(每行 1 个)设置的值相同。
在受管个人资料中:
- 转到 chrome://policy。
- 点击重新加载政策。
- 仅限 Windows 和 macOS:
- 对于 UserContextAwareAccessSignalsAllowlist,确保状态已设置为“正常”。
- 对于 UserContextAwareAccessSignalsAllowlist,点击显示政策值,并确保值字段与您为“要允许的网址格式(一行一个)”设置的值相同。
检查设备信任连接器的状态
在受管理的浏览器或设备上:
- 转到 chrome://connectors-internals。
- 检查是否存在以下必需值:
Is Enabled: trueDTC Enabled Levels: BrowserKey Manager Initialized: true密钥同步:成功 (200)Can Collect Signals: true
在受管个人资料中:
- 转到 chrome://connectors-internals。
- 检查是否存在以下必需值:
Is Enabled: trueDTC Enabled Levels: UserKey Manager Initialized: falseConsent Was Received: trueCan Collect Signals: true
只有在密钥同步成功后,连接器才能提供设备身份证明。
如果密钥管理器已初始化旁边没有值,请刷新页面,直到显示值。如果“已启用”为 true,则刷新过程不会超过一分钟。
注意:ChromeOS 设备没有密钥管理器,因为它们使用 TPM 支持的证书(这些证书是操作系统自带的)。
注意:与密钥管理相关的字段(例如密钥管理器已初始化、密钥类型、信任级别、SPKI 哈希、密钥同步)不适用于 ChromeOS Flex,因为 ChromeOS Flex 在此模式下不会使用特定于设备的密钥进行证明。
chrome://connectors-internals 中值的定义
Is Enabled:验证相应政策是否已在设备上启用。DTC Enabled Levels:User(用户)或 Browser(浏览器),即政策的启用级别。密钥管理器已初始化(不适用于 ChromeOS Flex):Chrome 已加载相应密钥或已创建密钥(如果之前未创建任何密钥)。密钥类型: (不适用于 ChromeOS Flex)RSA 或 EC(椭圆曲线)。信任级别:(不适用于 ChromeOS Flex)硬件或软件。- “硬件”表示密钥存储在设备的硬件中。例如,在安装了 Secure Enclave 的 Mac 或具有 TPM 的 Windows 上就是这样。
- “软件”表示密钥存储在操作系统级别,例如,存储在 Linux 等操作系统上的文件中。
SPKI 哈希:(不适用于 ChromeOS Flex)私钥的哈希。密钥同步: (不适用于 ChromeOS Flex)最近尝试上传密钥的响应状态和代码。Chrome 会在每次启动时尝试重新上传密钥。Consent Was Received:确认最终用户是否同意收集信号。Signals:简要介绍可从设备发送的信号。Can Collect Signals:表示 Chrome 是否可以收集设备信号。请注意,如果浏览器处于受管状态,则无需征得最终用户同意即可收集设备信号。对于浏览器处于非受管状态时的受管个人资料,我们需要征得最终用户同意才允许收集设备信号。
清除情境感知访问权限密钥
仅限 Windows 和 Mac
有权访问管理控制台的管理员可以清除特定浏览器的可信公钥。如果用户遇到访问权限问题(例如受管理的浏览器无法再访问可信密钥对),这有助于进行排查。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
设备 > Chrome > 受管理的浏览器。
需要拥有“移动设备管理”管理员权限。
如果您已注册 Chrome Enterprise 核心版,请依次点击“菜单”图标
Chrome 浏览器 > 受管理的浏览器。
- 选择浏览器所在的组织部门。
- 选择包含要清除的密钥的浏览器。
- 在左侧的受管理的浏览器详细信息框下,点击配置密钥。
- 选择清除密钥。
从管理控制台中清除密钥后,受管理的浏览器会在重启时同步密钥,并再次重新建立信任。
注意:如果您无法点击配置密钥,则可能是因为服务器上不存在该密钥。
从 Chrome 发送到 IdP 的数据
此处定义了从 Chrome 浏览器和 ChromeOS 设备发送到 IdP 的数据。作为管理员,您可以决定要在情境感知访问权限规则中使用哪些信号。
用户意见征求
在非组织管理的设备上,必须征得用户同意。 在非受管设备上,浏览器会要求用户同意与组织共享设备状态。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。