Korzystanie z urządzeń z ChromeOS w połączeniu z rozszerzeniem Imprivata Enterprise Access Management

3. (Opcjonalnie) Zmienianie typu integracji

Dotyczy zarządzanych urządzeń z ChromeOS.

ChromeOS udostępnia 3 różne typy integracji Imprivata:

  • Udostępniona zarządzana sesja gościa (domyślnie) – stacja robocza kiosku współdzielonego
  • Izolowana zarządzana sesja gościa – stacja robocza pojedynczego użytkownika
  • Sesja użytkownika – stacja robocza pojedynczego użytkownika

Porównanie typów integracji

  Współdzielona zarządzana sesja gościa Izolowana zarządzana sesja gościa Sesja użytkownika
Zalecane dla tych urządzeń

Współdzielone urządzenia, na których użytkownicy często się przełączają.

Współdzielone urządzenia, na których użytkownicy regularnie się przełączają lub występuje większe zapotrzebowanie na izolację.

Współdzielone urządzenia, na których użytkownicy regularnie się przełączają lub występuje zapotrzebowanie na usługi Google.

Przypisane urządzenia
Czas przełączania sesji Bardzo niski Krótki Krótki w przypadku poprzednich użytkowników urządzenia
Udostępnianie aplikacji innym użytkownikom / obsługa przełączania użytkowników wewnętrznych aplikacji Tak Nie Nie
Obsługa usług Google w trakcie sesji, takich jak synchronizacja Chrome czy logowanie jednokrotne (SSO) w Workspace. Nie Nie Tak

Miejsce na dane na urządzeniu

 Efemeryczny Efemeryczny Tymczasowa lub stała

Zabezpieczenia / Izolacja użytkowników

 Wysoki poziom (czyszczenie) Bardzo wysoki poziom (pełna izolacja) Bardzo wysoki poziom (pełna izolacja)

Porównywalny typ Imprivata

 Typ 2: stacja robocza kiosku współdzielonego Typ 1: stacja robocza pojedynczego użytkownika Typ 1: stacja robocza pojedynczego użytkownika

Typ sesji ChromeOS

Zarządzana sesja gościa

Zarządzana sesja gościa

 Sesja użytkownika

Wybieranie preferowanego typu integracji

Współdzielona zarządzana sesja gościa

W przypadku częstego przełączania użytkowników na urządzeniach z ChromeOS zalecamy współdzielone zarządzane sesje gościa. Umożliwiają natychmiastowy dostęp za pomocą szybkiego przełączania użytkowników zarówno na poziomie stacji roboczej, jak i aplikacji.

Użytkownicy współdzielą sesję urządzenia na poziomie systemu operacyjnego. Podczas przełączania użytkownika integracja ChromeOS Imprivata usuwa ważne dane użytkownika. Usuwanie danych obejmuje te kroki:

  • Zamknięcie okna przeglądarki i usunięcie jej danych, takich jak pliki cookie, historia, ustawienia witryn itp.
  • Odinstalowanie i ponowne zainstalowanie wszystkich aplikacji i rozszerzeń, których nie dotyczy ustawienie Udostępnione aplikacje i rozszerzenia. Zapoznaj się z sekcją Krok 3. Skonfiguruj rozszerzenia Imprivata.
  • Usunięcie plików lokalnych.
  • Opróżnienie schowka.

Izolowana zarządzana sesja gościa

Izolowane zarządzane sesje gościa zmniejszą częste przełączanie się użytkowników na urządzeniach z ChromeOS. Podczas każdego przełączenia poprzedni użytkownik jest wylogowany na poziomie systemu operacyjnego i uruchamia się nowa sesja dla następnego użytkownika.

Izolowane zarządzane sesje gościa pomagają zwiększyć bezpieczeństwo dzięki izolacji użytkowników. Wydłuża jednak czas logowania i wylogowania.

Sesje użytkowników

Podobnie jak w przypadku izolowanych zarządzanych sesji gościa, zalecamy, aby sesje użytkownika były stosowane w przypadku rzadszego przełączania użytkowników, nawet w przypadku przypisanych urządzeń.

Sesje użytkownika pozwalają spersonalizować działanie urządzeń, na przykład dzięki ustawieniom monitora i klawiatury. Umożliwiają dostęp do usług takich jak Synchronizacja Chrome, zakładki i menedżer haseł. Sesje użytkowników zapewniają również dostęp do natychmiastowego logowania jednokrotnego we wszystkich usługach korzystających z Cloud Identity, takich jak Google Workspace.

Przełączanie się na izolowane zarządzane sesje gościa

Najpierw skonfiguruj domyślną konfigurację dla współdzielonych zarządzanych sesji gościa zgodnie z sekcją Skonfiguruj obowiązkowe zasady. Następnie wykonaj te czynności, aby przełączyć się na izolowane zarządzane sesje gościa:

Krok 1. Zmień konfigurację rozszerzenia ekranu logowania Imprivata

  1. Zaloguj się na konto administratora w Konsola administracyjna Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Kliknij Menu  a potem  Urządzenia > Chrome > Ustawienia > Ustawienia urządzenia.

    Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

  3. Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  4. Kliknij Imprivata.
  5. Kliknij Integracja z ekranem logowania Imprivata.
  6. Używając edytora tekstu, w pliku zasad dotyczących rozszerzenia ustaw wartość agentType na singleUser.
  7. Prześlij plik zasad dotyczących rozszerzenia, który zastąpi dotychczasowy plik.
  8. Kliknij Zapisz.

Krok 2. Zapobiegaj trybowi współdzielonej stacji roboczej

  1. Kliknij Menu  a potem  Urządzenia > Chrome > Ustawienia > Ustawienia urządzenia.

    Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

  2. Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  3. Kliknij Imprivata.
  4. Kliknij Tryb kiosku współdzielonego.

  5. Wybierz Wyłącz tryb kiosku współdzielonego.

  6. Kliknij Zapisz.

Krok 3. (Opcjonalnie) Przestań udostępniać aplikacje i rozszerzenia użytkownikom

  1. Kliknij Menu  a potem  Urządzenia > Chrome > Ustawienia > Ustawienia urządzenia.

    Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

  2. Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  3. Kliknij Imprivata.
  4. Kliknij Udostępnione aplikacje i rozszerzenia.

  5. Wyczyść listę identyfikatorów rozszerzeń.

  6. Kliknij Zapisz.

Przełączanie się na sesje użytkowników

Najpierw skonfiguruj domyślną konfigurację dla współdzielonych zarządzanych sesji gościa zgodnie z sekcją Skonfiguruj obowiązkowe zasady. Następnie wykonaj te czynności, aby przełączyć się na sesje użytkownika:

Krok 1. Skonfiguruj Google Workspace jako dostawcę usług

W konsoli administracyjnej Imprivata:

  1. W konsoli administracyjnej Imprivata kliknij: a potem Web app login configuration(Konfiguracja logowania w aplikacji internetowej) a potem View and copy Imprivata (IdP) SAML metadata (Wyświetlanie i kopiowanie metadanych SAML dostawcy tożsamości Imprivata). Otworzy się okno Imprivata IdP (Identity Provider) Metadata (Metadane dostawcy tożsamości Imprivata).
  2. Skopiuj metadane dostawcy tożsamości Imprivata: identyfikator jednostki, logowanie jednokrotne (adres URL strony logowania), wylogowanie jednokrotne (adres URL strony wylogowania).
  3. Pobierz certyfikat dostawcy tożsamości Imprivata.

W konsoli administracyjnej Google:

  1. Zaloguj się na konto administratora w Konsola administracyjna Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Otwórz Menu  a potem  Zabezpieczenia > Uwierzytelnianie > Logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  3. Kliknij Dodaj profil SAML.
  4. Wpisz nazwę profilu.
  5. Wpisz uzyskane z konsoli administracyjnej Imprivata informacje o aplikacji Imprivata: identyfikator jednostki dostawcy tożsamości, adres URL strony logowania i URL strony wylogowywania.
  6. Wpisz adres URL do zmiany hasła. Użytkownicy będą resetować swoje hasła pod tym adresem (a nie na stronie zmiany hasła w Google).
  7. Kliknij Prześlij certyfikat, a następnie znajdź i prześlij plik certyfikatu dostawcy tożsamości Imprivata.
  8. Kliknij Zapisz.
  9. W sekcji Szczegółowe dane dostawcy usług skopiuj i zapisz wartości z pól Identyfikator jednostki i Adres URL usługi ACS nowo utworzonego profilu logowania jednokrotnego przez SAML.
  10. W sekcji Zarządzaj przypisaniem profili logowania jednokrotnego przypisz nowo utworzony profil logowania jednokrotnego przez SAML do jednostki organizacyjnej utworzonej na potrzeby sesji użytkowników Imprivata.
  11. Zapisz zmiany.

Krok 2. Skonfiguruj aplikację Imprivata jako dostawcę tożsamości

Uwaga: Imprivata akceptuje informacje o dostawcy usługi tylko z metadanych XML. Google Workspace nie zapewnia możliwości pobierania metadanych w formacie XML, więc musisz je utworzyć ręcznie.

  1. Korzystając z identyfikatora jednostki i adresu URL usługi ACS, ręcznie utwórz metadane XML. See this sample XML metadata.
  2. W konsoli administracyjnej Imprivata otwórz Applications (Aplikacje) a potem Single sign-on application profiles (Profile aplikacji logowania jednokrotnego) a potem Web Application using SAML (Aplikacja internetowa korzystająca z SAML).
  3. W sekcji Get SAML metadata (Pobieranie metadanych SAML):
    1. Wybierz From XML (Z XML).
    2. Prześlij pobrany lub utworzony plik XML.
  4. Zapisz zmiany.
  5. Nastąpi przekierowanie na stronę profili aplikacji do logowania jednokrotnego Enterprise Access Management, na której zobaczysz nowo utworzony profil aplikacji SAML. W sekcji Deployment status (Informacje o stanie wdrożenia) stan powinien się wyświetlać jako Not Deployed (Nie wdrożono).
  6. Kliknij Not Deployed (Nie wdrożono).
  7. Zaznacz pole Deploy This Application? (Wdrożyć tę aplikację?).
  8. Wybierz użytkowników, dla których chcesz wdrożyć aplikację.
  9. Kliknij Zapisz.

Krok 3. Skonfiguruj ustawienia

  1. Zaloguj się na konto administratora w Konsola administracyjna Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Kliknij Menu  a potem  Urządzenia > Chrome > Ustawienia > Ustawienia urządzenia.

    Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

  3. Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  4. Kliknij Imprivata.
  5. Kliknij Integracja z ekranem logowania Imprivata.
  6. W pliku zasad dotyczących rozszerzenia, przy użyciu edytora tekstu:
    1. Jako agentType ustaw singleUser.
      Uwaga: sesje użytkownika ChromeOS nie działają, jeśli parametr agentType ma wartość sharedKiosk.
    2. Ustaw useSamlUserSessionsForSingleUserWorkstation na wartość true.
    3. Ustaw wartość ssoProfile na wartość rpid z identyfikatora jednostki.
      • Jeśli na przykład identyfikator jednostki wygląda tak: https://accounts.google.com/samlrp/metadata?rpid=ABCxyz123, to ssoProfile to ABCxyz123.
  7. Prześlij plik zasad dotyczących rozszerzenia, który zastąpi dotychczasowy plik.
  8. Kliknij Zapisz.
  9. Kliknij Menu  a potem  Urządzenia > Chrome > Aplikacje i rozszerzenia > Użytkownicy i przeglądarki.

    Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu  a potem  Przeglądarka Chrome > Aplikacje i rozszerzenia > Użytkownicy i przeglądarki.

  10. Zainstaluj rozszerzenie w sesji Imprivata oraz Citrix/VMware i aplikację Smart Card Connector (jeśli jest wymagana do obsługi czytnika kart zbliżeniowych). Użyj tej samej konfiguracji co w przypadku zarządzanych sesji gościa. Zobacz Krok 4. Skonfiguruj rozwiązanie do pulpitów i aplikacji wirtualnych.
  11. Kliknij  Menu  a potem  Urządzenia > Chrome > Ustawienia. Domyślnie otworzy się strona Ustawienia użytkownika i przeglądarki.

    Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

    Jeśli korzystasz z Chrome Enterprise Core, kliknij Menu  a potem  Przeglądarka Chrome > Ustawienia.

  12. Otwórz Sprzęt.
  13. Kliknij Urządzenia dozwolone w ramach WebUSB API.
  14. Wpisz adres URL oraz identyfikator produktu (PID) lub dostawcy (VID):
    • Adres URL: chrome-extension://omificdfgpipkkpdhbjmefgfgbppehke
    • VID:PID:
      • 0C27:3BFA
      • 0C27:3B1E
  15. Kliknij Zapisz.
  16. Otwórz Zasilanie i wyłączanie.
  17. W polu „Działanie związane z bezczynnością urządzenia podłączonego do zasilania” wybierz Nic nie rób.
  18. W polu „Działanie związane z bezczynnością urządzenia zasilanego z baterii” wybierz Nic nie rób.
  19. Kliknij Zapisz.
  20. Kliknij Menu  a potem  Urządzenia > Chrome > Ustawienia > Ustawienia urządzenia.

    Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

  21. (Opcjonalnie) Usuń wszystkie przechowywane lokalnie ustawienia i dane użytkownika z urządzeń z ChromeOS za każdym razem, gdy użytkownik się wyloguje.
    1. Otwórz Ustawienia logowania.
    2. Kliknij Dane użytkownika.
    3. Wybierz Usuń wszystkie lokalne dane użytkowników.
    4. Kliknij Zapisz.

Google oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
8186827322936773140
true
Wyszukaj w Centrum pomocy
false
true
true
true
true
true
410864
false
false
false
false