Notificação

Planejando sua estratégia de retorno ao escritório? Veja como o Chrome OS pode ajudar.

Usar dispositivos ChromeOS com o Imprivata OneSign

3. (Opcional) Trocar tipo de integração

Para dispositivos Chrome OS gerenciados.

O ChromeOS oferece três tipos de integração diferentes para o Imprivata:

  • Sessão de visitante gerenciada compartilhada (padrão): estação de trabalho de quiosque compartilhado
  • Sessão de visitante gerenciada isolada: estação de trabalho de um único usuário
  • Sessão de usuário: estação de trabalho de um único usuário

Comparar tipos de integração

  Sessão de visitante gerenciada compartilhada Sessão de visitante gerenciada isolada Sessão de usuário
Recomendada para

Dispositivos compartilhados com trocas muito frequentes de usuários

Dispositivos compartilhados com trocas de usuário regulares ou necessidades de maior isolamento

Dispositivos compartilhados com trocas de usuário regulares ou que precisam de Serviços do Google

Dispositivos atribuídos
Tempo de troca de sessão Muito baixa Baixa Baixo para usuários antigos do dispositivo
Compartilhar apps entre usuários / suporte à troca de usuários internos de aplicativos Sim Não Não
Suporte durante a sessão para os Serviços do Google, como a Sincronização do Chrome e o Logon único (SSO) no Workspace Não Não Sim

Armazenamento no dispositivo

 Temporário Temporário Temporário ou permanente

Segurança / Isolamento do usuário

 Alta (limpeza) Muito alta (isolamento total) Muito alta (isolamento total)

Tipo do Imprivata comparável

 Tipo 2: estação de trabalho de quiosque compartilhado Tipo 1: estação de trabalho de um único usuário Tipo 1: estação de trabalho de um único usuário

Tipo de sessão do ChromeOS

Sessão de Visitante gerenciada

Sessão de Visitante gerenciada

 Sessão de usuário

Escolha seu tipo de integração preferido

Sessão de visitante gerenciada compartilhada

Recomendamos sessões de visitante gerenciadas compartilhadas para trocas frequentes de usuários em dispositivos ChromeOS. Elas permitem o acesso instantâneo via troca rápida de usuários (FUS, na sigla em inglês) no nível da estação de trabalho e do aplicativo.

Os usuários compartilham uma sessão de dispositivo no nível do SO. Após a troca, a integração do Imprivata ao ChromeOS faz uma limpeza nos dados importantes do usuário. A limpeza inclui as seguintes etapas:

  • Feche as janelas e limpe os dados do navegador, como cookies, histórico, configurações do site etc.
  • Desinstale e reinstale todos os apps e extensões não isentos da configuração Apps e extensões compartilhados. Consulte a Etapa 3: configurar as extensões do Imprivata.
  • Exclua arquivos locais.
  • Limpe a área de transferência de copiar e colar.

Sessão de visitante gerenciada isolada

Recomendamos sessões de visitante gerenciadas isoladas para trocas menos frequentes de usuários em dispositivos ChromeOS. Em cada troca, o usuário anterior é desconectado no nível do SO, e uma nova sessão é iniciada para o próximo usuário.

As sessões de visitante gerenciadas isoladas ajudam a melhorar a segurança porque isolam os usuários. No entanto, ela aumenta significativamente o tempo de login e logout.

Sessões de usuário

Assim como nas sessões de visitante gerenciadas isoladas, recomendamos que as sessões sejam recomendadas para trocas menos frequentes e até mesmo para dispositivos atribuídos.

As sessões de usuários permitem personalizar a experiência, por exemplo, usando as configurações de monitor e teclado. Elas permitem o acesso a serviços, incluindo a Sincronização do Chrome, favoritos e gerenciador de senhas. As sessões de usuário oferecem SSO instantâneo a todos os serviços que dependem do Cloud Identity, como o Google Workspace.

Alternar para sessões de visitante gerenciadas isoladas

Primeiro, defina a configuração padrão para as sessões de visitante gerenciadas compartilhadas, conforme descrito em Definir políticas obrigatórias. Em seguida, siga estas etapas para alternar para sessões de visitante gerenciadas isoladas:

Etapa 1: mudar a configuração da extensão da tela de login do Imprivata

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  3. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  4. Acesse o Imprivata.
  5. Clique em Integração com a tela de login do Imprivata.
  6. Usando um editor de texto, no arquivo de política da extensão, defina agentType como singleUser.
  7. Faça upload do arquivo da política de substituição da extensão.
  8. Clique em Salvar.

Etapa 2: impedir o modo de estação de trabalho compartilhada

  1. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  2. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  3. Acesse o Imprivata.
  4. Clique em Modo quiosque compartilhado.

  5. Selecione Desativar modo quiosque compartilhado.

  6. Clique em Salvar.

Etapa 3 (opcional): parar de compartilhar apps e extensões entre usuários

  1. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  2. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  3. Acesse o Imprivata.
  4. Clique em Apps e extensões compartilhados.

  5. Limpe a lista de IDs de extensão.

  6. Clique em Salvar.

Alternar para sessões de usuário

Primeiro, defina a configuração padrão para as sessões de visitante gerenciadas compartilhadas, conforme descrito em Definir políticas obrigatórias. Em seguida, siga estas etapas para alternar para sessões de usuário:

Etapa 1: configurar o Google Workspace como provedor de serviços (SP)

No Admin Console do Imprivata:

  1. No Admin Console do Imprivata, acesse: eWeb app login configurationeView and copy Imprivata (IdP) SAML metadata. A janela de metadados do provedor de identidade (IdP) do Imprivata é aberta.
  2. Copie os metadados do IdP do Imprivata: ID da entidade, SSO (URL da página de login), SLO (URL da página de logout).
  3. Faça o download do certificado do IdP do Imprivata.

No Google Admin Console:

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAutenticaçãoe depoisSSO com IdP de terceiros.
  3. Clique em Adicionar perfil de SAML.
  4. Insira um nome para o perfil.
  5. Preencha as informações do Imprivata que você recebeu no Admin Console do Imprivata: ID da entidade do IdP, URL da página de login e URL da página de logout.
  6. Insira um URL para alteração de senha. Os usuários acessarão esse URL (em vez da página de alteração de senha do Google) para redefinir a senha.
  7. Clique em Fazer upload do certificado, localize e faça upload do arquivo de certificado do IdP do Imprivata.
  8. Clique em Salvar.
  9. Na seção Detalhes do SP, copie e salve o ID da entidade e o URL da ACS do perfil de SSO SAML recém-criado.
  10. Em Gerenciar atribuições do perfil de SSO, atribua o perfil de SSO SAML recém-criado à unidade organizacional que você criou para as sessões de usuários do Imprivata.
  11. Salve as alterações.

Etapa 2: configurar o Imprivata como o provedor de identidade (IdP)

Observação: o Imprivata só aceita as informações de SP via metadados XML. Como o Google Workspace não oferece a possibilidade de fazer o download dos metadados como um arquivo XML,  você vai precisar criar manualmente.

  1. Use o ID da entidade e o URL do ACS que você acabou de copiar para criar manualmente os metadados XML. See this sample XML metadata.
  2. No Admin Console do Imprivata, acesse ApplicationseSingle sign-on application profileseWeb Application using SAML.
  3. Em Get SAML metadata:
    1. Selecione From XML.
    2. Faça upload do arquivo XML que você salvou ou criou.
  4. Salve as alterações.
  5. A página de perfis de app de Logon único do OneSign será aberta. Nessa página, você verá o perfil de app SAML recém-criado. O campo "Deployment status" exibirá o status Not Deployed.
  6. Clique em Not Deployed.
  7. Marque a caixa Deploy This Application?.
  8. Escolha para quem você quer implantar o app.
  9. Clique em Salvar.

Etapa 3: definir as configurações

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  3. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  4. Acesse o Imprivata.
  5. Clique em Integração com a tela de login do Imprivata.
  6. No arquivo de política da extensão, usando um editor de texto, faça o seguinte:
    1. Defina agentType como singleUser.
      Observação: as sessões do usuário do ChromeOS não funcionam quando agentType está definido como sharedKiosk.
    2. Defina useSamlUserSessionsForSingleUserWorkstation como true.
    3. Defina o valor ssoProfile" como o valor rpid do ID da entidade.
      • Por exemplo, se o código da entidade for assim: https://accounts.google.com/samlrp/metadata?rpid=ABCxyz123, o ssoProfile é ABCxyz123.
  7. Faça upload do arquivo da política de substituição da extensão.
  8. Clique em Salvar.
  9. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisApps e extensõese depoisUsuários e navegadores.

    Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu e depois Navegador Chromee depoisApps e extensõese depoisUsuários e navegadores.

  10. Instale as extensões na sessão Imprivata V4, Citrix/VMware e Smart Cards Connector(se necessário para o suporte ao leitor de cartão prox) . Use a mesma configuração das sessões de visitante gerenciadas. Consulte Etapa 4: configurar a solução de área de trabalho e app virtual
  11. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfigurações. A página Configurações do navegador e usuário é aberta por padrão.

    Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu e depois Navegador Chromee depoisConfigurações.

  12. Acesse Hardware.
  13. Clique em Dispositivos permitidos pela API WebUSB.
  14. Insira o URL e o PID/VID:
    • URL: chrome-extension://pllbepacblmgialkkpcceohmjakafnbb
    • VID:PID:
      • 0C27:3BFA
      • 0C27:3B1E
  15. Clique em "Salvar".
  16. Acesse Ligar e desligar.
  17. Para a ação de inatividade com CA, selecione Não fazer nada.
  18. Para a ação de inatividade "Bateria", selecione Não fazer nada.
  19. Clique em Salvar.
  20. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  21. (Opcional) Exclua todas as configurações e dados do usuário armazenados localmente dos dispositivos ChromeOS sempre que um usuário sair.
    1. Acesse Configurações de login.
    2. Clique em Dados do usuário.
    3. Selecione Apagar todos os dados locais de usuário.
    4. Clique em Salvar.

Google e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
12503270766924763898
true
Pesquisar na Central de Ajuda
true
true
true
true
true
410864
false
false