本記事は管理対象の Chrome OS デバイスに関する説明です。
ChromeOS で Imprivata を使用するには、3 つの統合タイプがあります。
- 共有型管理対象ゲスト セッション(デフォルト)- 共有キオスク ワークステーション
- 分離型管理対象ゲスト セッション - シングル ユーザー ワークステーション
- ユーザー セッション - シングル ユーザー ワークステーション
統合タイプの比較
| 共有型管理対象ゲスト セッション | 分離型管理対象ゲスト セッション | ユーザー セッション | |
|---|---|---|---|
| 最適な用途 |
ユーザーの切り替えが頻繁に行われる共有デバイス |
ユーザーの切り替えが定期的に行われる共有デバイスまたは分離の必要性が高い共有デバイス |
ユーザーの切り替えが定期的に行われる共有デバイスまたは Google サービスが必要な共有デバイス 割り当て済みのデバイス |
| セッション切り替えにかかる時間 | とても短い | 短い | デバイスの直前のユーザーについては短い |
| ユーザー間でアプリを共有できるか / アプリ内でのユーザー切り替えをサポートしているか | はい | いいえ | いいえ |
| Chrome 同期、Workspace へのシングル サインオン(SSO)などの Google サービスをセッション内でサポートしているか | いいえ | いいえ | はい |
|
デバイス上のストレージ |
一時的 | 一時的 | 一時的または永続的 |
|
セキュリティ / ユーザーの分離 |
高い(クリーンアップ) | 非常に高い(完全分離) | 非常に高い(完全分離) |
|
比較対象となる Imprivata のタイプ |
タイプ 2: 共有キオスク ワークステーション | タイプ 1: シングル ユーザー ワークステーション | タイプ 1: シングル ユーザー ワークステーション |
|
ChromeOS セッションのタイプ |
管理対象ゲスト セッション |
管理対象ゲスト セッション |
ユーザー セッション |
統合タイプの選び方
共有型管理対象ゲスト セッション
ChromeOS デバイスでユーザーを切り替える頻度が高い場合は、共有型管理対象ゲスト セッションをおすすめします。このセッションを使用することで、ワークステーションとアプリケーションの両レベルで Fast User Switching(FUS)を介した迅速なアクセスが可能になります。
- Fast User Switching with Imprivata OneSign をご覧ください。
- Imprivata Agent Type 2—Shared Kiosk の動画をご覧ください。
ユーザーは、OS レベルでデバイスのセッションを共有します。ユーザーが切り替わると、ChromeOS と Imprivata の連携機能によりユーザーの重要なデータがクリーンアップされます。クリーンアップには次のように行われます。
- ブラウザ ウィンドウを閉じ、ブラウザデータ(Cookie、履歴、サイトの設定など)を消去する。
- [共有されたアプリと拡張機能] の設定で除外されていないすべてのアプリと拡張機能をアンインストールして再インストールする。ステップ 3: Imprivata 拡張機能を設定するをご覧ください。
- ローカル ファイルを削除する。
- コピー&ペースト クリップボードのデータを消去する。
分離型管理対象ゲスト セッション
ChromeOS デバイスでユーザーを切り替える頻度が低い場合は、分離型管理対象ゲスト セッションをおすすめします。ユーザーが切り替わるたびに、前のユーザーは OS レベルでログアウトされ、次のユーザーに対する新しいユーザー セッションが開始されます。
分離型管理対象ゲスト セッションでは、ユーザーが分離されるため、セキュリティの向上に役立ちます。ただし、ログインとログアウトの回数が増えます。
- Imprivata Agent Type 1—Single User の動画をご覧ください。
ユーザー セッション
分離型管理対象ゲスト セッションと同様、ユーザーを切り替える頻度が低い場合は、ユーザー セッションをおすすめします。また、割り当て済みのデバイスをご利用の場合も、ユーザー セッションをおすすめします。
ユーザー セッションを使用することで、ユーザーはデバイスの操作環境(モニターとキーボードの設定など)をカスタマイズできます。また、Chrome 同期、ブックマーク、パスワード マネージャーなどのサービスにアクセスできます。ユーザー セッションは、Cloud Identity に依存するすべてのサービス(Google Workspace など)で迅速な SSO を実現します。
分離型管理対象ゲスト セッションに切り替える
最初に、必須のポリシーを設定するの説明にあるとおり、共有型管理対象ゲスト セッションのデフォルト設定を行います。次に、以下の手順で分離型管理対象ゲスト セッションに切り替えます。
ステップ 1: Imprivata(login screen)拡張機能の設定を変更する
-
-
管理コンソールで、メニュー アイコン
[デバイス]
[Chrome]
-
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [Imprivata] に移動します。
- [ログイン画面への Imprivata の統合] をクリックします。
- テキスト エディタを使用して、拡張機能ポリシー ファイルの agentType を
singleUserに設定します。 - 新しい拡張機能ポリシー ファイルをアップロードします。
- [保存] をクリックします。
ステップ 2: 共有ワークステーション モードを禁止する
-
管理コンソールで、メニュー アイコン
-
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [Imprivata] に移動します。
- [共有キオスクモード] をクリックします。
-
[共有キオスクモードを無効にする] を選択します。
-
[保存] をクリックします。
ステップ 3: (省略可)ユーザー間でのアプリと拡張機能の共有を停止する
-
管理コンソールで、メニュー アイコン
-
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [Imprivata] に移動します。
- [共有されたアプリと拡張機能] をクリックします。
-
拡張機能 ID のリストを消去します。
-
[保存] をクリックします。
ユーザー セッションに切り替える
最初に、必須のポリシーを設定するの説明にあるとおり、共有型管理対象ゲスト セッションのデフォルト設定を行います。次に、以下の手順でユーザー セッションに切り替えます。
ステップ 1: Google Workspace をサービス プロバイダ(SP)として設定する
Imprivata 管理コンソールでの操作:
- Imprivata 管理コンソールで、
[Web app login configuration]
- Imprivata の IdP メタデータのうち、Entity ID、SSO(ログインページの URL)、SLO(ログアウト ページの URL)をコピーします。
- Imprivata IdP 証明書をダウンロードします。
[Web app login configuration] Google 管理コンソールでの操作:
-
-
管理コンソールでメニュー アイコン
[セキュリティ]
- [SAML プロファイルを追加] をクリックします。
- プロファイルの名前を入力します。
- Imprivata 管理コンソールから取得した情報(IdP のエンティティ ID、ログインページの URL、ログアウト ページの URL)を入力します。
- パスワード変更用 URL を入力します。ユーザーは、Google のパスワード変更ページではなく、この URL にアクセスしてパスワードを再設定します。
- [証明書をアップロード] をクリックし、Imprivata IdP 証明書ファイルを選択してアップロードします。
- [保存] をクリックします。
- [SP の詳細] で、新しく作成した SAML SSO プロファイルの [エンティティ ID] と [ACS の URL] の値をコピーして保存します。
- [SSO プロファイルの割り当ての管理] で、新しく作成した SAML SSO プロファイルを、Imprivata ユーザー セッション用に作成した組織部門に割り当てます。
- 変更を保存します。
ステップ 2: Imprivata を ID プロバイダとして設定する
注: Imprivata は、XML メタデータを使用して SP 情報のみを受け付けます。Google Workspace でメタデータを XML 形式でダウンロードできない場合は、手動でビルドする必要があります。
- 先ほどコピーした [エンティティ ID] と [ACS の URL] の値を使用して、手動で XML メタデータをビルドします。See this sample XML metadata.
- Imprivata 管理コンソールで、[Applications]
- [Get SAML metadata] で次の操作を行います。
- [From XML] を選択します。
- ダウンロードまたは作成した XML ファイルをアップロードします。
- 変更を保存します。
- OneSign のシングル サインオン アプリケーション プロファイル ページにリダイレクトされ、新しく作成された SAML アプリ プロファイルが表示されます。[Deployment status] に [Not Deployed] と表示されます。
- [Not Deployed] をクリックします。
- [Deploy This Application?] チェックボックスをオンにします。
- アプリのデプロイ先のユーザーを選択します。
- [Save] をクリックします。
ステップ 3: 設定を行う
-
-
管理コンソールで、メニュー アイコン
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [Imprivata] に移動します。
- [ログイン画面への Imprivata の統合] をクリックします。
- テキスト エディタを使用して拡張機能ポリシー ファイルを開きます。
- agentType を
singleUserに設定します。
注: agentType がsharedKioskに設定されていると、ChromeOS ユーザー セッションは機能しません。 - useSamlUserSessionsForSingleUserWorkstation を
trueに設定します。 - ssoProfile の値を [エンティティ ID] の rpid の値に設定します。
- たとえば、[エンティティ ID] の値が https://accounts.google.com/samlrp/metadata?rpid=ABCxyz123 のようになっている場合、ssoProfile の値は ABCxyz123 になります。
- agentType を
- 新しい拡張機能ポリシー ファイルをアップロードします。
- [保存] をクリックします。
-
管理コンソールで、メニュー アイコン
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン
[Chrome ブラウザ]
- Imprivata V4(in-session)拡張機能の Citrix / VMware と Smart Cards Connector(近接型カードリーダーのサポートに必要な場合)をインストールします。管理対象ゲスト セッションと同じ設定を使用します。ステップ 4: 仮想アプリと仮想デスクトップのソリューションを設定するをご覧ください。
-
管理コンソールで、メニュー アイコン
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン
- [ハードウェア] に移動します。
- [WebUSB API 対応デバイス] をクリックします。
- URL と PID / VID を入力します。
- URL: chrome-extension://pllbepacblmgialkkpcceohmjakafnbb
- VID:PID:
- 0C27:3BFA
- 0C27:3B1E
- [保存] をクリックします。
- [電源とシャットダウン] に移動します。
- [AC 接続時のアイドル時の動作] で [何もしない] を選択します。
- [バッテリー駆動時のアイドル時の動作] で [何もしない] を選択します。
- [保存] をクリックします。
-
管理コンソールで、メニュー アイコン
- (省略可)ChromeOS デバイスからユーザーがログアウトするたびに、ローカルに保存されている設定とユーザーデータをすべて削除します。
- [ログイン設定] にアクセスします。
- [ユーザーデータ] をクリックします。
- [すべてのローカル ユーザー データを消去] を選択します。
- [保存] をクリックします。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。