適用於受管理的 ChromeOS 裝置。
ChromeOS 為 Imprivata 提供三種不同的整合類型:
- 共用的受管理訪客工作階段 (預設):共用資訊站工作站
- 已隔離的受管理訪客工作階段:單一使用者工作站
- 使用者工作階段:單一使用者工作站
比較整合類型
共用的受管理訪客工作階段 | 已隔離的受管理訪客工作階段 | 使用者工作階段 | |
---|---|---|---|
適用裝置 |
頻繁切換使用者的共用裝置 |
具備一般使用者切換或更多隔離需求的共用裝置 |
具備一般使用者切換或需要使用 Google 服務的共用裝置 已指派的裝置 |
工作階段切換時間 | 極低 | 小 | 裝置先前使用者的切換時間很短 |
在所有使用者之間分享應用程式/支援應用程式內部使用者切換功能 | 是 | 否 | 否 |
Google 服務的工作階段中支援,例如 Chrome 同步、單一登入 (SSO) Workspace | 否 | 否 | 是 |
裝置端儲存空間 |
暫時 | 暫時 | 臨時或永久 |
安全性/使用者隔離 |
高 (清除) | 非常高 (完全隔離) | 非常高 (完全隔離) |
類似 Imprivata 類型 |
類型 2:共用資訊站工作站 | 類型 1:單一使用者工作站 | 類型 1:單一使用者工作站 |
ChromeOS 工作階段類型 |
受管理的訪客工作階段 |
受管理的訪客工作階段 |
使用者工作階段 |
選擇偏好的整合類型
共用的受管理訪客工作階段
建議您將共用的受管理訪客工作階段用於頻繁切換使用者的 ChromeOS 裝置。如此可在工作站和應用程式層級,透過快速切換使用者 (FUS) 立即存取。
使用者會在 OS 層級共用裝置工作階段。一旦切換使用者,ChromeOS Imprivata 整合就會清除重要的使用者資料。清理作業包含下列步驟:
- 關閉瀏覽器視窗,並清除瀏覽器資料,例如 Cookie、歷史記錄、網站設定等等。
- 解除安裝受「共用應用程式和擴充功能」設定限制的所有應用程式和擴充功能,然後再重新安裝。請參閱「步驟 3:設定 Imprivata 擴充功能」。
- 刪除本機檔案。
- 清除複製及貼上剪貼簿的內容。
已隔離的受管理訪客工作階段
建議將已隔離的受管理訪客工作階段用於使用者切換頻率較低的 ChromeOS 裝置。每當您切換使用者,系統就會將上一個使用者從 OS 層級登出,並為下一個使用者啟動新的使用者工作階段。
已隔離的受管理訪客工作階段可透過隔離使用者來提升安全性。但這會增加登入和登出的次數。
- 請觀看「Imprivata Agent Type 1—Single User」這部影片。
使用者工作階段
與已隔離的受管理訪客工作階段類似,我們建議將使用者工作階段用於較少切換使用者的裝置,或甚至是指派的裝置。
使用者工作階段可讓使用者個人化體驗,例如使用螢幕和鍵盤設定。允許存取 Chrome 同步、書籤和密碼管理工具等服務。使用者工作階段可為所有使用 Cloud Identity 的服務 (例如 Google Workspace) 提供即時單一登入 (SSO) 功能。
切換至已隔離的受管理訪客工作階段
首先,請按照「設定強制政策」的說明,為共用的受管理訪客工作階段調整預設設定。接著,請按照下列步驟切換至已隔離的受管理訪客工作階段:
步驟 1:變更 Imprivata 登入畫面擴充功能的設定
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」「裝置設定」。
-
如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「Imprivata」。
- 按一下「Imprivata 登入畫面整合」。
- 使用文字編輯器在擴充功能政策檔案中,將「agentType」 設為
singleUser
。 - 上傳替代擴充功能政策檔案。
- 按一下「儲存」。
步驟 2:禁止共用工作站模式
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」「裝置設定」。
-
如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「Imprivata」。
- 按一下「共用 Kiosk 模式」。
-
選取「停用共用 Kiosk 模式」。
-
按一下「儲存」。
步驟 3:(選用) 停止在多位使用者之間共用應用程式和擴充功能
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」「裝置設定」。
-
如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「Imprivata」。
- 按一下「共用應用程式和擴充功能」。
-
清除擴充功能 ID 清單。
-
按一下「儲存」。
切換至使用者工作階段
首先,請按照「設定強制政策」的說明,為共用的受管理訪客工作階段調整預設設定。接著,請按照下列步驟切換至使用者工作階段:
步驟 1:將 Google Workspace 設為服務供應商 (SP)
在 Imprivata 管理控制台中:
- 在 Imprivata 管理控制台中,依序前往 Web app login configuration View and copy Imprivata (IdP) SAML metadata,開啟 Imprivata IdP (Identity Provider) Metadata 視窗。
- 複製 Imprivata 的 IdP 中繼資料:實體 ID、單一登入 (SSO) (登入網頁網址)、服務等級目標 (登出網頁網址)。
- 下載 Imprivata IdP 憑證。
在 Google 管理控制台中:
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「驗證」「使用第三方 IdP 的單一登入 (SSO) 服務」。
- 按一下「新增 SAML 設定檔」。
- 輸入設定檔的名稱。
- 填入您從 Imprivata 管理控制台取得的 Imprivata 資訊:IdP 實體 ID、登入網頁網址和登出網頁網址。
- 輸入密碼變更網址。使用者會前往這個網址 (而非 Google 變更密碼頁面) 重設密碼。
- 按一下「上傳憑證」,然後找出並上傳您的 Imprivata IdP 憑證檔案。
- 按一下「儲存」。
- 在「服務供應商詳細資料」部分,複製並儲存新建立的 SAML 單一登入 (SSO) 設定檔的「實體 ID」和「ACS 網址」。
- 在「管理單一登入 (SSO) 設定檔指派作業」下方,將新建立的 SAML 單一登入 (SSO) 設定檔指派給您為 Imprivata 使用者工作階段建立的機構單位。
- 儲存變更。
步驟 2:將 Imprivata 設定為識別資訊提供者
注意:Imprivata 只接受透過 XML 中繼資料提供的 SP 資訊。Google Workspace 未提供下載 XML 格式的中繼資料,因此您必須手動建立。
- 使用您剛剛複製的「實體 ID」和「ACS 網址」,手動建立 XML 中繼資料。See this sample XML metadata.
- 在 Imprivata 管理控制台中,依序前往 Applications Single sign-on application profiles Web Application using SAML。
- 在「Get SAML metadata」下方:
- 選取 [From XML]。
- 上傳您剛下載或建立的 XML 檔案。
- 儲存變更。
- 系統會將您重新導向至 OneSign 單一登入應用程式設定檔頁面,讓您查看新建立的 SAML 應用程式設定檔。在「部署」狀態下,應用程式會顯示為「Not Deployed」。
- 按一下 [Not Deployed]。
- 勾選 [Deploy This Application?] 方塊。
- 選擇要部署應用程式的對象。
- 按一下「儲存」。
步驟 3:調整設定
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」「裝置設定」。
- 如要為所有使用者及已註冊的瀏覽器套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 前往「Imprivata」。
- 按一下「Imprivata 登入畫面整合」。
- 在擴充功能政策檔案中,使用文字編輯器執行下列操作:
- 將「agentType」設為
singleUser
。
注意:如果「agentType」 設為sharedKiosk
,ChromeOS 使用者工作階段就無法運作。 - 將「useSamlUserSessionsForSingleUserWorkstation」設為
true
。 - 將「ssoProfile」值設為實體 ID 的 rpid 值。
- 舉例來說,如果實體 ID 格式是「https://accounts.google.com/samlrp/metadata?rpid=ABCxyz123」,ssoProfile 就是「ABCxyz123」。
- 將「agentType」設為
- 上傳替代擴充功能政策檔案。
- 按一下「儲存」。
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「應用程式和擴充功能」「使用者和瀏覽器」。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示 「Chrome 瀏覽器」「應用程式和擴充功能」「使用者和瀏覽器」。
- 安裝 Imprivata V4 工作階段中的「Citrix/VMware」擴充功能,以及 Smart Card Connector 擴充功能 (視感應式讀卡機支援而定)。請使用與受管理的訪客工作階段相同的設定。請參閱步驟 4:設定虛擬應用程式和桌面解決方案。
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示 「Chrome 瀏覽器」「設定」。
- 前往「硬體」。
- 按一下「WebUSB API 允許的裝置」。
- 輸入網址和 PID/VID:
- 網址:chrome-extension://pllbepacblmgialkkpcceohmjakafnbb
- VID:PID:
- 0C27:3BFA
- 0C27:3B1E
- 按一下「儲存」。
- 前往「電源和關機」。
- 針對 AC 閒置動作,選取「不執行任何動作」。
- 針對「電池閒置」動作,選取「不執行任何動作」。
- 按一下「儲存」。
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「設定」「裝置設定」。
- (選用) 在每次使用者登出時,刪除所有儲存在 ChromeOS 裝置上的設定和使用者資料。
- 前往「登入設定」。
- 按一下「使用者資料」。
- 選取「清除所有本機使用者資料」。
- 按一下「儲存」。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。