Voor beheerde ChromeOS-apparaten.
ChromeOS biedt 3 verschillende integratietypen voor Imprivata:
- Gedeelde beheerde gastsessie (standaard): Gedeeld kioskwerkstation
- Geïsoleerde beheerde gastsessie: Werkstation voor 1 gebruiker
- Gebruikerssessie: Werkstation voor 1 gebruiker
Integratietypen vergelijken
Gedeelde beheerde gastsessie | Geïsoleerde beheerde gastsessie | Gebruikerssessie | |
---|---|---|---|
Aanbevolen voor |
Gedeelde apparaten waarop zeer vaak wordt gewisseld door gebruikers |
Gedeelde apparaten waarop regelmatig wordt gewisseld tussen gebruikers of apparaten met verhoogde isolatiebehoeften |
Gedeelde apparaten waarop gebruikers regelmatig worden gewisseld of Google-services nodig hebben Toegewezen apparaten |
Wisseltijd voor sessie | Zeer kort | Kort | Kort voor eerdere gebruikers van het apparaat |
Apps delen tussen gebruikers/wisselen van interne gebruikers in apps mogelijk | Ja | Nee | Nee |
Support van Google-services tijdens de sessie, zoals Chrome-synchronisatie en Single sign-on (SSO) voor Workspace. | Nee | Nee | Ja |
Opslag op apparaat |
Kortstondig | Kortstondig | Kortstondig of permanent |
Beveiliging/gebruikersisolatie |
Hoog (opschonen) | Zeer hoog (volledige isolatie) | Zeer hoog (volledige isolatie) |
Vergelijkbaar Imprivata-type |
Type 2: Gedeeld kioskwerkstation | Type 1: werkstation voor 1 gebruiker | Type 1: werkstation voor 1 gebruiker |
ChromeOS-sessietype |
Beheerde gastsessie |
Beheerde gastsessie |
Gebruikerssessie |
Het gewenste integratietype kiezen
Gedeelde beheerde gastsessie
We raden gedeelde beheerde gastsessies aan voor regelmatige wisselingen van gebruikers op ChromeOS-apparaten. Ze maken directe toegang mogelijk via Fast User Switching (FUS) op zowel werkstation- als app-niveau.
- Lees meer over Snel schakelen tussen gebruikers met Imprivata OneSign.
- Bekijk deze video over Imprivata-agenttype 2: gedeelde kiosk.
Gebruikers delen een apparaatsessie op OS-niveau. Na een overschakeling naar een andere gebruiker verwijdert de ChromeOS Imprivata-integratie kritieke gebruikersgegevens. De opschoning bestaat uit de volgende stappen:
- Browservensters sluiten en browsergegevens, zoals cookies, geschiedenis en site-instellingen, wissen.
- Alle apps en extensies die niet zijn vrijgesteld door de instelling Gedeelde apps en extensies verwijderen en deze opnieuw installeren. Zie Stap 3: Imprivata-extensies instellen.
- Lokale bestanden verwijderen.
- Het klembord voor kopiëren en plakken wissen.
Geïsoleerde beheerde gastsessie
We raden aan beheerde gastsessies te isoleren zodat gebruikers minder vaak overschakelen op ChromeOS-apparaten. Elke keer dat er wordt geschakeld tussen gebruikers, wordt de vorige gebruiker uitgelogd op OS-niveau, en wordt een nieuwe gebruikerssessie gestart voor de volgende gebruiker.
Met geïsoleerde beheerde gastsessies kun je de beveiliging verbeteren door middel van gebruikersisolatie. Dit zorgt wel voor een stijging van het aantal keren dat een gebruiker zal in- en uitloggen.
- Bekijk deze video over Imprivata-agenttype 1: één gebruiker.
Gebruikerssessies
Net als bij geïsoleerde beheerde gastsessies raden we gebruikerssessies aan voor minder frequente wisselingen tussen gebruikers en zelfs voor toegewezen apparaten.
Met gebruikerssessies kunnen gebruikers de functionaliteit personaliseren, bijvoorbeeld met monitor- en toetsenbordinstellingen. Ze geven toegang tot services zoals Chrome-synchronisatie, bookmarks en wachtwoordmanager. Gebruikerssessies bieden instant SSO voor alle services die gebruikmaken van Cloud Identity, zoals Google Workspace.
Overschakelen naar geïsoleerde beheerde gastsessies
Stel eerst de standaardconfiguratie in voor gedeelde beheerde gastsessies. Dit wordt beschreven in Verplicht beleid instellen. Volg daarna deze stappen om over te schakelen naar geïsoleerde beheerde gastsessies:
Stap 1: De configuratie van de extensie voor het Imprivata-inlogscherm wijzigen
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu ApparatenChromeInstellingen Apparaatinstellingen.
-
Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
- Ga naar Imprivata.
- Klik op Integratie van Imprivata-inlogscherm.
- Stel via een teksteditor in het extensiebeleidsbestand het agentType in op
singleUser
. - Upload het vervangende extensiebeleidsbestand.
- Klik op Opslaan.
Stap 2: Voorkomen dat de modus voor een gedeeld werkstation wordt gebruikt
-
Ga in de Beheerdersconsole naar Menu ApparatenChromeInstellingen Apparaatinstellingen.
-
Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
- Ga naar Imprivata.
- Klik op Gedeelde kioskmodus.
-
Selecteer Gedeelde kioskmodus uitzetten.
-
Klik op Opslaan.
Stap 3: (Optioneel) Geen apps en extensies meer delen tussen gebruikers
-
Ga in de Beheerdersconsole naar Menu ApparatenChromeInstellingen Apparaatinstellingen.
-
Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
- Ga naar Imprivata.
- Klik op Gedeelde apps en extensies.
-
Wis de lijst met extensie-ID's.
-
Klik op Opslaan.
Overschakelen naar gebruikerssessies
Stel eerst de standaardconfiguratie in voor gedeelde beheerde gastsessies. Dit wordt beschreven in Verplicht beleid instellen. Volg daarna deze stappen om over te schakelen naar gebruikerssessies:
Stap 1: Google Workspace instellen als serviceprovider (SP)
Doe het volgende in de Imprivata-beheerdersconsole:
- Ga in de Imprivata-beheerdersconsole naar Web app login configuration (Inlogconfiguratie voor web-app)View and copy Imprivata (IdP) SAML metadata (Imprivata (IdP) SAML-metadata bekijken en kopiëren). Het venster Imprivata IdP (Identity Provider) Metadata (Imprivata IdP-metadata (identiteitsprovider)) wordt geopend.
- Kopieer de IdP-metadata van Imprivata: Entiteits-ID, SSO (URL inlogpagina), SLO (URL uitlogpagina).
- Download het Imprivata IdP-certificaat.
Doe het volgende in de Google Beheerdersconsole:
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu Beveiliging Verificatie SSO met IdP van derden.
- Klik op Add SAML-profiel (SAML-profiel toevoegen).
- Voer een naam in voor het profiel.
- Vul de Imprivata-gegevens in die je al hebt gekregen uit de Imprivata-beheerdersconsole: IdP-entiteits-ID, URL inlogpagina en URL uitlogpagina.
- Voer de URL voor het wijzigen van het wachtwoord in. Gebruikers worden doorgestuurd naar de pagina van deze URL (in plaats van naar de Google-pagina voor wachtwoord wijzigen) om hun wachtwoord te resetten.
- Klik op Certificaat uploaden en zoek en upload het Imprivata IdP-certificaatbestand.
- Klik op Opslaan.
- Kopieer in het gedeelte SP Details (SP-gegevens) de Entity ID (Entiteits-ID) en ACS-URL (ACS-URL) van het nieuwe SAML SSO-profiel en sla deze op.
- Wijs onder Manage SSO profile assignments (SSO-profieltoewijzingen beheren) het nieuwe SAML SSO-profiel toe aan de organisatie-eenheid die je hebt gemaakt voor Imprivata-gebruikerssessies.
- Sla de wijzigingen op.
Stap 2: Imprivata instellen als identiteitsprovider (IdP)
Opmerking: Imprivata accepteert de SP-gegevens alleen via XML-metadata. Google Workspace biedt geen mogelijkheid om de metadata te downloaden als XML. Je moet deze dus handmatig maken.
- Maak de XML-metadata handmatig met de Entiteits-ID en de ACS-URL die je net hebt gekopieerd. See this sample XML metadata.
- Ga in de Imprivata-beheerdersconsole naar Applications (Apps)Single sign-on Application profiles (App-profielen voor Single sign-on)Web Application using SAML (Web-app die SAML gebruikt).
- Doe het volgende onder Get SAML metadata (SAML-metadata downloaden):
- Selecteer From XML (Uit XML).
- Upload het XML-bestand dat je hebt gedownload of gemaakt.
- Sla de wijzigingen op.
- Je wordt omgeleid naar de pagina met app-profielen voor Single sign-on waar het nieuwe profiel voor de SAML-app wordt weergegeven. Onder Deployment status (Implementatiestatus) moet de status Not Deployed (Niet geïmplementeerd) staan.
- Klik op Not Deployed (Niet geïmplementeerd).
- Vink het vakje aan voor Deploy This Application? (Deze app implementeren?).
- Kies voor wie je de app wilt implementeren.
- Klik op Opslaan.
Stap 3: Instellingen configureren
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu ApparatenChromeInstellingen Apparaatinstellingen.
- Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
- Ga naar Imprivata.
- Klik op Integratie van Imprivata-inlogscherm.
- Doe het volgende in het extensiesbeleidsbestand in een teksteditor:
- Stel agentType in op
singleUser
.
Opmerking: ChromeOS-gebruikerssessies werken niet als agentType is ingesteld opsharedKiosk
. - Stel useSamlUserSessionsForSingleUserWorkstation in op
true
. - Stel de waarde ssoProfile in op de rpid-waarde van de entiteits-ID.
- Als de entiteits-ID er bijvoorbeeld uitziet als https://accounts.google.com/SAMLrp/metadata?rpid=ABCxyz123, is het ssoProfile ABCxyz123.
- Stel agentType in op
- Upload het vervangende extensiebeleidsbestand.
- Klik op Opslaan.
-
Ga in de Beheerdersconsole naar Menu ApparatenChromeApps en extensiesGebruikers en browsers.
Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu Chrome-browserApps en extensiesGebruikers en browsers.
- Installeer de extensies voor Imprivata V4 in de sessie, Citrix/VMware en Smart Cards Connector(indien nodig voor ondersteuning voor prox-kaartlezers). Gebruik dezelfde configuratie als voor beheerde gastsessies. Zie Stap 4: Virtuele app en desktopoplossing instellen.
-
Ga in de Beheerdersconsole naar Menu ApparatenChromeInstellingen. De pagina Instellingen voor gebruikers en browsers wordt standaard geopend.
Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu Chrome-browserInstellingen.
- Ga naar Hardware.
- Klik op Toegestane apparaten voor WebUSB-API.
- Geef de URL en PID/VID op:
- URL: chrome-extension://pllbepacblmgialkkpcceohmjakafnbb
- VID:PID:
- 0C27:3BFA
- 0C27:3B1E
- Klik op Opslaan.
- Ga naar Stroom en afsluiten.
- Selecteer Niets doen bij Actie na inactiviteit bij AC-gebruik.
- Selecteer Niets doen bij Actie na inactiviteit bij batterijgebruik.
- Klik op Opslaan.
-
Ga in de Beheerdersconsole naar Menu ApparatenChromeInstellingen Apparaatinstellingen.
- (Optioneel) Verwijder alle lokaal opgeslagen instellingen en gebruikersgegevens van ChromeOS-apparaten als een gebruiker uitlogt.
- Ga naar Inloginstellingen.
- Klik op Gebruikersgegevens.
- Selecteer Alle lokale gebruikersgegevens wissen.
- Klik op Opslaan.
Google en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.