通知

在規劃回公司上班的策略嗎?瞭解 Chrome 作業系統如何助您一臂之力

在 ChromeOS 裝置上使用 Imprivata OneSign

3. (選用) 切換整合類型

適用於受管理的 ChromeOS 裝置。

ChromeOS 為 Imprivata 提供三種不同的整合類型:

  • 共用的受管理訪客工作階段 (預設):共用資訊站工作站
  • 已隔離的受管理訪客工作階段:單一使用者工作站
  • 使用者工作階段:單一使用者工作站

比較整合類型

  共用的受管理訪客工作階段 已隔離的受管理訪客工作階段 使用者工作階段
適用裝置

頻繁切換使用者的共用裝置

具備一般使用者切換或更多隔離需求的共用裝置

具備一般使用者切換或需要使用 Google 服務的共用裝置

已指派的裝置
工作階段切換時間 極低 裝置先前使用者的切換時間很短
在所有使用者之間分享應用程式/支援應用程式內部使用者切換功能
Google 服務的工作階段中支援,例如 Chrome 同步、單一登入 (SSO) Workspace

裝置端儲存空間

 暫時 暫時 臨時或永久

安全性/使用者隔離

 高 (清除) 非常高 (完全隔離) 非常高 (完全隔離)

類似 Imprivata 類型

 類型 2:共用資訊站工作站 類型 1:單一使用者工作站 類型 1:單一使用者工作站

ChromeOS 工作階段類型

受管理的訪客工作階段

受管理的訪客工作階段

 使用者工作階段

選擇偏好的整合類型

共用的受管理訪客工作階段

建議您將共用的受管理訪客工作階段用於頻繁切換使用者的 ChromeOS 裝置。如此可在工作站和應用程式層級,透過快速切換使用者 (FUS) 立即存取。

使用者會在 OS 層級共用裝置工作階段。一旦切換使用者,ChromeOS Imprivata 整合就會清除重要的使用者資料。清理作業包含下列步驟:

  • 關閉瀏覽器視窗,並清除瀏覽器資料,例如 Cookie、歷史記錄、網站設定等等。
  • 解除安裝受「共用應用程式和擴充功能」設定限制的所有應用程式和擴充功能,然後再重新安裝。請參閱「步驟 3:設定 Imprivata 擴充功能」。
  • 刪除本機檔案。
  • 清除複製及貼上剪貼簿的內容。

已隔離的受管理訪客工作階段

建議將已隔離的受管理訪客工作階段用於使用者切換頻率較低的 ChromeOS 裝置。每當您切換使用者,系統就會將上一個使用者從 OS 層級登出,並為下一個使用者啟動新的使用者工作階段。

已隔離的受管理訪客工作階段可透過隔離使用者來提升安全性。但這會增加登入和登出的次數。

使用者工作階段

與已隔離的受管理訪客工作階段類似,我們建議將使用者工作階段用於較少切換使用者的裝置,或甚至是指派的裝置。

使用者工作階段可讓使用者個人化體驗,例如使用螢幕和鍵盤設定。允許存取 Chrome 同步、書籤和密碼管理工具等服務。使用者工作階段可為所有使用 Cloud Identity 的服務 (例如 Google Workspace) 提供即時單一登入 (SSO) 功能。

切換至已隔離的受管理訪客工作階段

首先,請按照「設定強制政策」的說明,為共用的受管理訪客工作階段調整預設設定。接著,請按照下列步驟切換至已隔離的受管理訪客工作階段:

步驟 1:變更 Imprivata 登入畫面擴充功能的設定

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「裝置」接下來「Chrome」接下來「設定」接下來「裝置設定」
  3. 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位
  4. 前往「Imprivata」。
  5. 按一下「Imprivata 登入畫面整合」
  6. 使用文字編輯器在擴充功能政策檔案中,將「agentType」 設為 singleUser
  7. 上傳替代擴充功能政策檔案。
  8. 按一下「儲存」

步驟 2:禁止共用工作站模式

  1. 在管理控制台中,依序點選「選單」圖示  接下來 「裝置」接下來「Chrome」接下來「設定」接下來「裝置設定」
  2. 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位
  3. 前往「Imprivata」。
  4. 按一下「共用 Kiosk 模式」

  5. 選取「停用共用 Kiosk 模式」

  6. 按一下「儲存」

步驟 3:(選用) 停止在多位使用者之間共用應用程式和擴充功能

  1. 在管理控制台中,依序點選「選單」圖示  接下來 「裝置」接下來「Chrome」接下來「設定」接下來「裝置設定」
  2. 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位
  3. 前往「Imprivata」。
  4. 按一下「共用應用程式和擴充功能」

  5. 清除擴充功能 ID 清單。

  6. 按一下「儲存」

切換至使用者工作階段

首先,請按照「設定強制政策」的說明,為共用的受管理訪客工作階段調整預設設定。接著,請按照下列步驟切換至使用者工作階段:

步驟 1:將 Google Workspace 設為服務供應商 (SP)

在 Imprivata 管理控制台中:

  1. 在 Imprivata 管理控制台中,依序前往 下一步 Web app login configuration 下一步 View and copy Imprivata (IdP) SAML metadata,開啟 Imprivata IdP (Identity Provider) Metadata 視窗。
  2. 複製 Imprivata 的 IdP 中繼資料:實體 ID、單一登入 (SSO) (登入網頁網址)、服務等級目標 (登出網頁網址)。
  3. 下載 Imprivata IdP 憑證。

在 Google 管理控制台中:

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示 接下來 「安全性」接下來「驗證」接下來「使用第三方 IdP 的單一登入 (SSO) 服務」
  3. 按一下「新增 SAML 設定檔」
  4. 輸入設定檔的名稱。
  5. 填入您從 Imprivata 管理控制台取得的 Imprivata 資訊:IdP 實體 ID、登入網頁網址和登出網頁網址
  6. 輸入密碼變更網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
  7. 按一下「上傳憑證」,然後找出並上傳您的 Imprivata IdP 憑證檔案。
  8. 按一下「儲存」
  9. 在「服務供應商詳細資料」部分,複製並儲存新建立的 SAML 單一登入 (SSO) 設定檔的「實體 ID」和「ACS 網址」
  10. 在「管理單一登入 (SSO) 設定檔指派作業」下方,將新建立的 SAML 單一登入 (SSO) 設定檔指派給您為 Imprivata 使用者工作階段建立的機構單位。
  11. 儲存變更。

步驟 2:將 Imprivata 設定為識別資訊提供者

注意:Imprivata 只接受透過 XML 中繼資料提供的 SP 資訊。Google Workspace 未提供下載 XML 格式的中繼資料,因此您必須手動建立。

  1. 使用您剛剛複製的「實體 ID」和「ACS 網址」,手動建立 XML 中繼資料。See this sample XML metadata.
  2. 在 Imprivata 管理控制台中,依序前往 Applications 下一步 Single sign-on application profiles 下一步 Web Application using SAML
  3. 在「Get SAML metadata」下方:
    1. 選取 [From XML]
    2. 上傳您剛下載或建立的 XML 檔案。
  4. 儲存變更。
  5. 系統會將您重新導向至 OneSign 單一登入應用程式設定檔頁面,讓您查看新建立的 SAML 應用程式設定檔。在「部署」狀態下,應用程式會顯示為「Not Deployed」
  6. 按一下 [Not Deployed]
  7. 勾選 [Deploy This Application?] 方塊。
  8. 選擇要部署應用程式的對象。
  9. 按一下「儲存」

步驟 3:調整設定

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「裝置」接下來「Chrome」接下來「設定」接下來「裝置設定」
  3. 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位
  4. 前往「Imprivata」。
  5. 按一下「Imprivata 登入畫面整合」
  6. 在擴充功能政策檔案中,使用文字編輯器執行下列操作:
    1. 將「agentType」設為 singleUser
      注意:如果「agentType」 設為 sharedKiosk,ChromeOS 使用者工作階段就無法運作。
    2. 將「useSamlUserSessionsForSingleUserWorkstation」設為 true
    3. 將「ssoProfile」值設為實體 ID 的 rpid 值。
      • 舉例來說,如果實體 ID 格式是「https://accounts.google.com/samlrp/metadata?rpid=ABCxyz123」,ssoProfile 就是「ABCxyz123」
  7. 上傳替代擴充功能政策檔案。
  8. 按一下「儲存」
  9. 在管理控制台中,依序點選「選單」圖示  接下來 「裝置」接下來「Chrome」接下來「應用程式和擴充功能」接下來「使用者和瀏覽器」

    如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示  接下來 「Chrome 瀏覽器」接下來「應用程式和擴充功能」接下來「使用者和瀏覽器」

  10. 安裝 Imprivata V4 工作階段中的「Citrix/VMware」擴充功能,以及 Smart Card Connector 擴充功能 (視感應式讀卡機支援而定)。請使用與受管理的訪客工作階段相同的設定。請參閱步驟 4:設定虛擬應用程式和桌面解決方案
  11. 在管理控制台中,依序點選「選單」圖示  接下來 「裝置」接下來「Chrome」接下來「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。

    如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示  接下來 「Chrome 瀏覽器」接下來「設定」

  12. 前往「硬體」
  13. 按一下「WebUSB API 允許的裝置」
  14. 輸入網址和 PID/VID:
    • 網址:chrome-extension://pllbepacblmgialkkpcceohmjakafnbb
    • VID:PID:
      • 0C27:3BFA
      • 0C27:3B1E
  15. 按一下「儲存」。
  16. 前往「電源和關機」
  17. 針對 AC 閒置動作,選取「不執行任何動作」
  18. 針對「電池閒置」動作,選取「不執行任何動作」
  19. 按一下「儲存」
  20. 在管理控制台中,依序點選「選單」圖示  接下來 「裝置」接下來「Chrome」接下來「設定」接下來「裝置設定」
  21. (選用) 在每次使用者登出時,刪除所有儲存在 ChromeOS 裝置上的設定和使用者資料。
    1. 前往「登入設定」
    2. 按一下「使用者資料」
    3. 選取「清除所有本機使用者資料」
    4. 按一下「儲存」

Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。

這對您有幫助嗎?

我們應如何改進呢?
true
搜尋
清除搜尋內容
關閉搜尋
主選單
7637222597652217234
true
搜尋說明中心
true
true
true
true
true
410864
false
false