Para dispositivos Chrome OS gerenciados.
O ChromeOS oferece três tipos de integração diferentes para o Imprivata:
- Sessão de visitante gerenciada compartilhada (padrão): estação de trabalho de quiosque compartilhado
- Sessão de visitante gerenciada isolada: estação de trabalho de um único usuário
- Sessão de usuário: estação de trabalho de um único usuário
Comparar tipos de integração
Sessão de visitante gerenciada compartilhada | Sessão de visitante gerenciada isolada | Sessão de usuário | |
---|---|---|---|
Recomendada para |
Dispositivos compartilhados com trocas muito frequentes de usuários |
Dispositivos compartilhados com trocas de usuário regulares ou necessidades de maior isolamento |
Dispositivos compartilhados com trocas de usuário regulares ou que precisam de Serviços do Google Dispositivos atribuídos |
Tempo de troca de sessão | Muito baixa | Baixa | Baixo para usuários antigos do dispositivo |
Compartilhar apps entre usuários / suporte à troca de usuários internos de aplicativos | Sim | Não | Não |
Suporte durante a sessão para os Serviços do Google, como a Sincronização do Chrome e o Logon único (SSO) no Workspace | Não | Não | Sim |
Armazenamento no dispositivo |
Temporário | Temporário | Temporário ou permanente |
Segurança / Isolamento do usuário |
Alta (limpeza) | Muito alta (isolamento total) | Muito alta (isolamento total) |
Tipo do Imprivata comparável |
Tipo 2: estação de trabalho de quiosque compartilhado | Tipo 1: estação de trabalho de um único usuário | Tipo 1: estação de trabalho de um único usuário |
Tipo de sessão do ChromeOS |
Sessão de Visitante gerenciada |
Sessão de Visitante gerenciada |
Sessão de usuário |
Escolha seu tipo de integração preferido
Sessão de visitante gerenciada compartilhada
Recomendamos sessões de visitante gerenciadas compartilhadas para trocas frequentes de usuários em dispositivos ChromeOS. Elas permitem o acesso instantâneo via troca rápida de usuários (FUS, na sigla em inglês) no nível da estação de trabalho e do aplicativo.
- Saiba mais sobre Troca rápida de usuários com o Imprivata OneSign.
- Assista a este vídeo sobre o Agente tipo 2 do Imprivata: quiosque compartilhado.
Os usuários compartilham uma sessão de dispositivo no nível do SO. Após a troca, a integração do Imprivata ao ChromeOS faz uma limpeza nos dados importantes do usuário. A limpeza inclui as seguintes etapas:
- Feche as janelas e limpe os dados do navegador, como cookies, histórico, configurações do site etc.
- Desinstale e reinstale todos os apps e extensões não isentos da configuração Apps e extensões compartilhados. Consulte a Etapa 3: configurar as extensões do Imprivata.
- Exclua arquivos locais.
- Limpe a área de transferência de copiar e colar.
Sessão de visitante gerenciada isolada
Recomendamos sessões de visitante gerenciadas isoladas para trocas menos frequentes de usuários em dispositivos ChromeOS. Em cada troca, o usuário anterior é desconectado no nível do SO, e uma nova sessão é iniciada para o próximo usuário.
As sessões de visitante gerenciadas isoladas ajudam a melhorar a segurança porque isolam os usuários. No entanto, ela aumenta significativamente o tempo de login e logout.
- Assista a este vídeo sobre o Agente tipo 1 do Imprivata: usuário único (em inglês).
Sessões de usuário
Assim como nas sessões de visitante gerenciadas isoladas, recomendamos que as sessões sejam recomendadas para trocas menos frequentes e até mesmo para dispositivos atribuídos.
As sessões de usuários permitem personalizar a experiência, por exemplo, usando as configurações de monitor e teclado. Elas permitem o acesso a serviços, incluindo a Sincronização do Chrome, favoritos e gerenciador de senhas. As sessões de usuário oferecem SSO instantâneo a todos os serviços que dependem do Cloud Identity, como o Google Workspace.
Alternar para sessões de visitante gerenciadas isoladas
Primeiro, defina a configuração padrão para as sessões de visitante gerenciadas compartilhadas, conforme descrito em Definir políticas obrigatórias. Em seguida, siga estas etapas para alternar para sessões de visitante gerenciadas isoladas:
Etapa 1: mudar a configuração da extensão da tela de login do Imprivata
-
-
No Admin Console, acesse Menu
Dispositivos
Chrome
Configurações
Configurações do dispositivo.
-
Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
- Acesse o Imprivata.
- Clique em Integração com a tela de login do Imprivata.
- Usando um editor de texto, no arquivo de política da extensão, defina agentType como
singleUser
. - Faça upload do arquivo da política de substituição da extensão.
- Clique em Salvar.
Etapa 2: impedir o modo de estação de trabalho compartilhada
-
No Admin Console, acesse Menu
Dispositivos
Chrome
Configurações
Configurações do dispositivo.
-
Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
- Acesse o Imprivata.
- Clique em Modo quiosque compartilhado.
-
Selecione Desativar modo quiosque compartilhado.
-
Clique em Salvar.
Etapa 3 (opcional): parar de compartilhar apps e extensões entre usuários
-
No Admin Console, acesse Menu
Dispositivos
Chrome
Configurações
Configurações do dispositivo.
-
Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
- Acesse o Imprivata.
- Clique em Apps e extensões compartilhados.
-
Limpe a lista de IDs de extensão.
-
Clique em Salvar.
Alternar para sessões de usuário
Primeiro, defina a configuração padrão para as sessões de visitante gerenciadas compartilhadas, conforme descrito em Definir políticas obrigatórias. Em seguida, siga estas etapas para alternar para sessões de usuário:
Etapa 1: configurar o Google Workspace como provedor de serviços (SP)
No Admin Console do Imprivata:
- No Admin Console do Imprivata, acesse:
Web app login configuration
View and copy Imprivata (IdP) SAML metadata. A janela de metadados do provedor de identidade (IdP) do Imprivata é aberta.
- Copie os metadados do IdP do Imprivata: ID da entidade, SSO (URL da página de login), SLO (URL da página de logout).
- Faça o download do certificado do IdP do Imprivata.
No Google Admin Console:
-
-
No Admin Console, acesse Menu
Segurança
Autenticação
SSO com IdP de terceiros.
- Clique em Adicionar perfil de SAML.
- Insira um nome para o perfil.
- Preencha as informações do Imprivata que você recebeu no Admin Console do Imprivata: ID da entidade do IdP, URL da página de login e URL da página de logout.
- Insira um URL para alteração de senha. Os usuários acessarão esse URL (em vez da página de alteração de senha do Google) para redefinir a senha.
- Clique em Fazer upload do certificado, localize e faça upload do arquivo de certificado do IdP do Imprivata.
- Clique em Salvar.
- Na seção Detalhes do SP, copie e salve o ID da entidade e o URL da ACS do perfil de SSO SAML recém-criado.
- Em Gerenciar atribuições do perfil de SSO, atribua o perfil de SSO SAML recém-criado à unidade organizacional que você criou para as sessões de usuários do Imprivata.
- Salve as alterações.
Etapa 2: configurar o Imprivata como o provedor de identidade (IdP)
Observação: o Imprivata só aceita as informações de SP via metadados XML. Como o Google Workspace não oferece a possibilidade de fazer o download dos metadados como um arquivo XML, você vai precisar criar manualmente.
- Use o ID da entidade e o URL do ACS que você acabou de copiar para criar manualmente os metadados XML. See this sample XML metadata.
- No Admin Console do Imprivata, acesse Applications
Single sign-on application profiles
Web Application using SAML.
- Em Get SAML metadata:
- Selecione From XML.
- Faça upload do arquivo XML que você salvou ou criou.
- Salve as alterações.
- A página de perfis de app de Logon único do OneSign será aberta. Nessa página, você verá o perfil de app SAML recém-criado. O campo "Deployment status" exibirá o status Not Deployed.
- Clique em Not Deployed.
- Marque a caixa Deploy This Application?.
- Escolha para quem você quer implantar o app.
- Clique em Salvar.
Etapa 3: definir as configurações
-
-
No Admin Console, acesse Menu
Dispositivos
Chrome
Configurações
Configurações do dispositivo.
- Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
- Acesse o Imprivata.
- Clique em Integração com a tela de login do Imprivata.
- No arquivo de política da extensão, usando um editor de texto, faça o seguinte:
- Defina agentType como
singleUser
.
Observação: as sessões do usuário do ChromeOS não funcionam quando agentType está definido comosharedKiosk
. - Defina useSamlUserSessionsForSingleUserWorkstation como
true
. - Defina o valor ssoProfile" como o valor rpid do ID da entidade.
- Por exemplo, se o código da entidade for assim: https://accounts.google.com/samlrp/metadata?rpid=ABCxyz123, o ssoProfile é ABCxyz123.
- Defina agentType como
- Faça upload do arquivo da política de substituição da extensão.
- Clique em Salvar.
-
No Admin Console, acesse Menu
Dispositivos
Chrome
Apps e extensões
Usuários e navegadores.
Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu
Navegador Chrome
Apps e extensões
Usuários e navegadores.
- Instale as extensões na sessão Imprivata V4, Citrix/VMware e Smart Cards Connector(se necessário para o suporte ao leitor de cartão prox) . Use a mesma configuração das sessões de visitante gerenciadas. Consulte Etapa 4: configurar a solução de área de trabalho e app virtual
-
No Admin Console, acesse Menu
Dispositivos
Chrome
Configurações. A página Configurações do navegador e usuário é aberta por padrão.
Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu
Navegador Chrome
Configurações.
- Acesse Hardware.
- Clique em Dispositivos permitidos pela API WebUSB.
- Insira o URL e o PID/VID:
- URL: chrome-extension://pllbepacblmgialkkpcceohmjakafnbb
- VID:PID:
- 0C27:3BFA
- 0C27:3B1E
- Clique em "Salvar".
- Acesse Ligar e desligar.
- Para a ação de inatividade com CA, selecione Não fazer nada.
- Para a ação de inatividade "Bateria", selecione Não fazer nada.
- Clique em Salvar.
-
No Admin Console, acesse Menu
Dispositivos
Chrome
Configurações
Configurações do dispositivo.
- (Opcional) Exclua todas as configurações e dados do usuário armazenados localmente dos dispositivos ChromeOS sempre que um usuário sair.
- Acesse Configurações de login.
- Clique em Dados do usuário.
- Selecione Apagar todos os dados locais de usuário.
- Clique em Salvar.
Google e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.