هذه المقالة مخصَّصة لأجهزة ChromeOS المُدارة.
بصفتك مشرفًا، يمكنك دمج Chrome Enterprise مع موفِّري الهوية (IdP) الخارجيين للسماح للمستخدمين بتسجيل الدخول إلى أجهزة ChromeOS المُدارة من خلال النقر على الشارة بدلاً من الاضطرار إلى إدخال اسم المستخدم وكلمة المرور.
ما تحتاج إليه
للسماح لموفِّري الهوية الخارجيين باستخدام مصادقة الشارة على أجهزة ChromeOS، يجب توفّر ما يلي:
- أجهزة ChromeOS أو ChromeOS Flex التي تعمل بالإصدار 119 من نظام التشغيل Chrome أو الإصدارات الأحدث
- ترقية Enterprise Chrome في كل جهاز تريد إدارته
- موفّر هوية خارجي يتيح المصادقة المستندة إلى الشارات وإمكانية الوصول على مستوى المشرف لإعداده. الشركاء المُفضَّلون:
- AUTHX (+ أجهزة قراءة rf IDEAS)
- Ilex (+ أجهزة قراءة HID)
- يجب أن يكون قارئ الشارات متوافقًا مع ChromeOS وموفِّر الهوية الخارجي الذي اخترته. يمكنك الاطّلاع على قائمة برامج القراءة المتوافقة مع ChromeOS في قسم أجهزة قراءة الشارات المُعتمَدة من rf IDEAS أدناه.
- تحتوي الوحدات التنظيمية على أجهزة ChromeOS وحسابات المستخدمين: ويمكن أن تنتمي الأجهزة والمستخدمون إلى وحدات تنظيمية مختلفة، ولا يشترط أن يكونوا في الوحدة التنظيمية نفسها. ومع ذلك، إذا كانت الأجهزة وحسابات المستخدمين تنتمي إلى وحدات تنظيمية ليست مضبوطة بالطريقة نفسها، ستتعذّر المصادقة.
- هيئة إصدار شهادات عامة (CA) لنطاق موفّر خدمة الهوية الخارجي: على شاشة تسجيل الدخول، يثق نظام التشغيل ChromeOS في هيئات إصدار الشهادات (CA) الموثوق بها علنًا على الويب. عرض قائمة شهادات CA الموثوقة حاليًا
Single frequency 125 kHz.
Models starting with:
- RDR-60 = IMP-60 = IMP-NV60
- RDR-62
- RDR-63
- RDR-64
- RDR-67
- RDR-69
- RDR-6C
- RDR-6E
- RDR-6G
- RDR-6H
- RDR-6N
- RDR-6T
- RDR-6Z
Single frequency 13.56 MHz.
Models starting with:
- RDR-70
- RDR-75 = IMP-75 = IMP-NV75
- RDR-7F
- RDR-7L
Dual frequency 125kHz and 13.56MHz.
Models starting with:
- RDR-805 = IMP-80
- RDR-800 = IMP-82
- RDR-305 = IMP-80-BLE
- RDR-300 = IMP-82-BLE
- RDR-80M (currently not configurable via the Imprivata Admin Console)
KSI
- KSI-1700
- KSI-1900
تتطلّب أجهزة قراءة أجهزة الكمبيوتر الشخصية/البطاقات الذكية خطوات ضبط إضافية.
- IMP-MFR-75
- HID OMNIKEY 5022
- HID OMNIKEY 5023
- HID OMNIKEY 5025 CL
- HID OMNIKEY 5427 CK
- HID OMNIKEY 5422
كيفية إجراء ذلك
نقترح عليك أولاً تطبيق الإعدادات على عدد صغير من الأجهزة والمستخدمين في وحدة تنظيمية تجريبية. وبعد أن تتحقّق من عمل الأجهزة بشكل صحيح، يمكنك تطبيق تلك الإعدادات على مؤسستك بأكملها.
ملاحظة: تُحظر المصادقة المستندة إلى الشارة في جلسة مستخدم باستخدام حساب مشرف متميّز. بشكل عام، لا يمكن للمشرفين المتميّزين استخدام الدخول المُوحَّد (SSO) عبر SAML في المصادقة.
الخطوة 1: تثبيت إضافة Identity Card Connector وضبطها
-
يُرجى تسجيل الدخول باستخدام حساب مشرف إلى وحدة تحكّم المشرف في Google.
إذا لم تكن تستخدم حساب مشرف، لن تتمكّن من الوصول إلى "وحدة تحكّم المشرف".
-
انقر على رمز القائمة
الأجهزة > Chrome > التطبيقات والإضافات > المستخدمون والمتصفّحات.
في حال اشتراكك في "إدارة السحابة الإلكترونية في متصفّح Chrome"، انقر على رمز القائمة
متصفّح Chrome > التطبيقات والإضافات > المستخدمون والمتصفِّحات.
- (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
- إضافة "إضافة Identity Card Connector":
- انقر على "إضافة"
الإضافة من "سوق Chrome الإلكتروني".
- في مربّع البحث، أدخِل معرّف الإضافة agicampiiinkgdgceoknnjecpoamgigi واضغط على Enter.
- في القائمة، ابحث عن إضافة Identity Card Connector وانقر عليها.
- انقر على اختيار.
- انقر على "إضافة"
- يجب ضبط السياسات أثناء الجلسة. في اللوحة الجانبية التي تفتح تلقائيًا عند تثبيت إضافة Identity Card Connector:
- ضِمن سياسة التثبيت، اختَر فرض التثبيت من المؤسسة.
- ضِمن "سياسة الإضافات"، يمكنك إضافة سياسة الإضافة أو تحميلها باستخدام تنسيق JSON صالح. في ما يلي مثال على بيانات JSON يوضّح كيفية ضبط الإضافة لتنفيذ عملية المصادقة الرئيسية باستخدام الشارة. للحصول على تفاصيل حول السياسات التي يمكنك ضبطها، يُرجى الاطّلاع على الجدول أدناه.
- انقر على حفظ.
- اضبط سياسات شاشة تسجيل الدخول من خلال تنفيذ ما يلي:
- افتح شاشة تسجيل الدخول لصفحة التطبيقات والإضافات.
- (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
- في القائمة، ابحث عن إضافة Identity Card Connector .
- بالنسبة إلى "سياسة التثبيت"، اختَر مثبَّتة.
- في القائمة، انقر على إضافة Identity Card Connector. سيتم فتح لوحة جانبية يمكنك من خلالها الاطّلاع على تفاصيل إضافية وضبط السياسات.
- ضِمن "سياسة الإضافات"، يمكنك إضافة سياسة الإضافة أو تحميلها باستخدام تنسيق JSON صالح. في ما يلي مثال على بيانات JSON يوضّح كيفية ضبط الإضافة لتنفيذ عملية المصادقة الرئيسية باستخدام الشارة. للحصول على تفاصيل حول السياسات التي يمكنك ضبطها، يُرجى الاطّلاع على الجدول أدناه.
- انقر على حفظ.
الإضافة من "سوق Chrome الإلكتروني".الخطوة 2: ضبط تطبيق Smart Card Connector أو سياسات WebHID
أجهزة قراءة أجهزة الكمبيوتر الشخصية/البطاقات الذكية: ضبط تطبيق Smart Card Connector
بالنسبة إلى أجهزة قراءة البطاقات الذكية أو أجهزة الكمبيوتر الشخصي (PC/SC)، مثل أجهزة قراءة HID، يجب تثبيت تطبيق Smart Card Connector وضبطه.
-
انقر على رمز القائمة
في حال اشتراكك في "إدارة السحابة الإلكترونية في متصفّح Chrome"، انقر على رمز القائمة
- (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
- إضافة تطبيق Smart Card Connector:
- انقر على "إضافة"
- في مربّع البحث، أدخِل رقم تعريف التطبيق khpfeaanjngmcnplbdlpegiifgpfgdco وانقر على Enter.
- ابحث عن تطبيق Smart Card Connector وانقر عليه.
- انقر على اختيار.
- انقر على "إضافة"
- يجب ضبط السياسات أثناء الجلسة. في اللوحة الجانبية التي تفتح تلقائيًا عند تثبيت تطبيق Smart Card Connector:
- ضِمن سياسة التثبيت، اختَر فرض التثبيت من المؤسسة.
- ضِمن "سياسة الإضافات"، يمكنك إضافة سياسة الإضافة أو تحميلها باستخدام تنسيق JSON صالح. في ما يلي مثال على بيانات JSON التي تسمح لإضافة Identity Card Connector بالوصول إلى تطبيق Smart Card Connector.
- انقر على "حفظ".
- يمكنك ضبط سياسات شاشة تسجيل الدخول من خلال تنفيذ ما يلي:
- افتح شاشة تسجيل الدخول لصفحة التطبيقات والإضافات.
- (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
- في القائمة، ابحث عن تطبيق Smart Card Connector.
- بالنسبة إلى "سياسة التثبيت"، انقر على مثبَّت.
- في القائمة، انقر على تطبيق Smart Card Connector، وستفتح لوحة جانبية يمكنك من خلالها الاطّلاع على تفاصيل إضافية وضبط السياسات.
- ضِمن "سياسة الإضافات"، يمكنك إضافة سياسة الإضافة أو تحميلها باستخدام تنسيق JSON صالح. في ما يلي مثال على بيانات JSON التي تسمح لإضافة Identity Card Connector بالوصول إلى تطبيق Smart Card Connector.
- انقر على حفظ.
أجهزة قراءة غير متوافقة مع أجهزة الكمبيوتر الشخصية/البطاقات الذكية: ضبط سياسات WebHID
بالنسبة إلى أجهزة القراءة غير المتوافقة مع أجهزة الكمبيوتر الشخصية/البطاقات الذكية، لن تحتاج إلى تطبيق Smart Card Connector، بل يجب ضبط سياسات WebHID.
يجب ضبط السياسات باستخدام عنوان URL الخاص بموفّر الهوية، مثل https://www.my-idp.local/sso/login، وسيمنح تلقائيًا الإذن بالوصول إلى أجهزة HID من خلال معرّفات المنتجات والمورّدين المذكورة، مثل 0c27:3b1e.
-
انقر على رمز القائمة
يتطلب هذا الإجراء الحصول على امتيازات المشرف لإدارة الأجهزة الجوّالة.
في حال اشتراكك في "إدارة السحابة الإلكترونية في متصفّح Chrome"، انقر على رمز القائمة
متصفّح Chrome > الإعدادات.
- (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
- انتقِل إلى الأجهزة.
- انقر على الأجهزة التي تسمح باستخدام WebHID API.
- يمكنك إضافة أجهزة HID التي يمكن الوصول إليها تلقائيًا من خلال WebHID API. لمعرفة التفاصيل حول الإعداد، يُرجى الانتقال إلى ضبط سياسات Chrome للمستخدمين أو المتصفِّحات.
- انقر على حفظ.
-
انقر على رمز القائمة
يتطلب الحصول على امتيازات المشرف لإدارة الأجهزة الجوّالة.
- (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
- انتقِل إلى إعدادات تسجيل الدخول.
- انقر على الأجهزة التي يمكن الوصول إليها على شاشة تسجيل الدخول من خلال WebHID API.
- يمكنك إضافة أجهزة HID التي يمكن الوصول إليها تلقائيًا من خلال WebHID API على شاشة تسجيل الدخول في الجهاز. ولمعرفة التفاصيل حول هذه الإعدادات، يُرجى الانتقال إلى مقالة ضبط سياسات أجهزة ChromeOS.
- انقر على حفظ.
الخطوة 3: ضبط الدخول المُوحَّد (SSO) المستند إلى SAML لجهازك
للاطّلاع على التعليمات، يُرجى الانتقال إلى إعداد خدمة "الدخول الموحَّد" عبر SAML لأجهزة ChromeOS. بالنسبة إلى المصادقة المستندة إلى الشارة، لا تحتاج إلى إكمال جميع الخطوات الموضّحة في المقالة:
- إعداد الدخول المُوحَّد (SSO): خطوة مطلوبة
- اختبار الدخول المُوحَّد (SSO): خطوة اختيارية.
- تفعيل ملفات تعريف ارتباط الدخول المُوحَّد (SSO) المستند إلى SAML: خطوة اختيارية، ولكن ننصح بها. قد يربط بعض المستخدمين أيضًا تطبيقات أخرى بموفِّر الهوية؛ يمكنك ضبط سلوك ملف تعريف الارتباط للدخول المُوحَّد (SSO) حتى يُسجّل دخول المستخدمين تلقائيًا إلى هذه التطبيقات عندما يستخدمون شارة الدخول لبدء جلسة مستخدم.
- تفعيل إعادة توجيه موفِّر الهوية للدخول المُوحَّد (SSO) عبر SAML: خطوة اختيارية، ولكن ننصح بها.
- التحكّم في المحتوى على شاشات تسجيل الدخول وشاشات القفل: خطوة اختيارية، ولكن ننصح بها.
- طرح الدخول المُوحَّد (SSO) عبر SAML في الأجهزة: خطوة اختيارية، ولكن غير مطلوبة. إذا اختبرت خدمة الدخول المُوحَّد، يجب طرح خدمة الدخول المُوحَّد عبر SAML على جميع الأجهزة. بخلاف ذلك، لن تكون ذات أهمية.
الخطوة 4: (يُنصح بها) ضبط إعدادات الجهاز
يمكنك ضبط المدة الزمنية التي تمر قبل إعادة تحميل شاشة تسجيل الدخول على الإنترنت وشاشة القفل تلقائيًا. يساعد ذلك في تجنُّب انتهاء مهلة صفحة المصادقة، وبالتالي يتيح إمكانية المصادقة باستخدام الشارة بدون انقطاع.
-
انقر على رمز القائمة
يتطلب الحصول على امتيازات المشرف لإدارة الأجهزة الجوّالة.
- (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
- انتقِل إلى إعدادات تسجيل الدخول.
- انقر على إعادة تحميل شاشة تسجيل الدخول وشاشة القفل على الإنترنت تلقائيًا.
- يجب ضبط الفاصل الزمني الذي يعاد فيه تحميل مسار المصادقة تلقائيًا على صفحة تسجيل الدخول.
لمعرفة التفاصيل حول إعداد إعادة تحميل شاشة تسجيل الدخول/شاشة القفل تلقائيًا على الإنترنت، يُرجى الانتقال إلى ضبط سياسات أجهزة ChromeOS. - انقر على حفظ.
الخطوة 5: (اختيارية، ولكن يُنصح بها) إعداد موصّل موثوقية الجهاز
يجب أن تثبت طلبات المصادقة المستندة إلى الشارة والتي يتم إرسالها من جهاز ChromeOS إلى خادم موفِّر الهوية أنّها صادرة من جهاز مُدار في النطاق الصحيح.
لضبط موصِّل جديد، يجب الحصول على المعلومات التالية من موفِّر الهوية الذي اخترته:
- موفّر خدمة إدارة الهوية الذي يجب اختياره من بين الخيارات المتاحة
- أنماط عناوين URL المسموح بها
- البريد الإلكتروني لحساب خدمة موفّر الهوية
للاطّلاع على قائمة بموفِّري الهوية الخارجيين والمتوافقين مع موصِّل الثقة في أجهزة ChromeOS، بالإضافة إلى تفاصيل حول كيفية إعداد موصِّلات الثقة في الأجهزة، يُرجى الانتقال إلى إدارة موصِّلات الثقة في أجهزة Chrome Enterprise.
تحديد المشاكل وحلّها
عرض سجلّات الجلسة على جهاز ChromeOS
- على جهاز ChromeOS، افتح متصفّح Chrome وانتقِل إلى chrome://inspect/#pages.
- ابحث عن الصفحة التي تريدها وانقر على "فحص".
- chrome-extension://agicampiiinkgdgceoknnjecpoamgigi/offscreen/idp_document.html
- في علامة التبويب وحدة التحكّم، ابحث عن السجلّات الواردة من موفّر الهوية (IdP). يمكنك العثور عليها بين سجلّات الإضافة. يمكنك الفلترة حسب اسم الملف للعثور بسهولة أكبر على السجلات التي تبحث عنها.
إضافة Identity Card Connector
توفّر إضافة Identity Card Connector لموفِّر الهوية إمكانية الوصول إلى الشارات. بالإضافة إلى ذلك، تتيح تشغيل موفِّر الهوية بشكل دائم في الجلسة على صفحة في الخلفية للسماح بعمليات القفل وتسجيل الخروج المستندة إلى الشارات.
سياسات إضافة Identity Card Connector
|
اسم السياسة |
الوصف |
مثال |
|---|---|---|
|
smartCardConnectorExtensionId |
معرّف تطبيق Smart Card Connector الذي تستخدمه إضافة Identity Card Connector للتفاعل مع أجهزة قراءة البطاقات الذكية أو أجهزة الكمبيوتر الشخصي. القيمة التلقائية: رقم تعريف الإصدار العلني من تطبيق Smart Card Connector، khpfeaanjngmcnplbdlpegiifgpfgdco. |
"smartCardConnectorExtensionId": { "Value": "khpfeaanjngmcnplbdlpegiifgpfgdco" } |
|
inSessionOffscreenWebpageUrl |
عنوان URL لصفحة الويب التي تفتح في مستند خارج الشاشة للتفاعل مع الإضافة واستخدام WebHID API إذا لم يتم ضبطها، لن يُفتح أي مستند خارج الشاشة. |
"inSessionOffscreenWebpageUrl": { "Value": "https://www.my-idp.local/sso/login" } |
|
loginScreenConnectUrlAllowlist |
قائمة بعناوين URL المسموح لها بإنشاء اتصال والتواصل مع إضافة Identity Card Connector على شاشة تسجيل الدخول يمكن أن تنتهي عناوين URL برمز حرف البدل "*". يمكن أن يكون هناك عملية إتصال واحدة نشطة على الأكثر في المرة الواحدة. لا يحتاج تطبيق Smart Card Connector إلى الإدراج في القائمة المسموح بها لأنّ الاتصال به محدَّد باستخدام السياسة smartCardConnectorExtensionId. |
"loginScreenConnectUrlAllowlist": { "Value": [ "https://www.my-idp.local/sso/v1/login", "https://www.my-idp.local/sso/v2/login?*" ] } |
|
inSessionConnectUrlAllowlist |
قائمة بعناوين URL المسموح لها بإنشاء اتصال والتواصل مع إضافة Identity Card Connector في الجلسة، وخارج المستند غير المعروض على الشاشة يُسمح لصفحات الويب والإضافات بالاتصال. يمكن أن تنتهي عناوين URL برمز حرف البدل "*". يمكن أن يكون هناك عملية إتصال واحدة نشطة على الأكثر في المرة الواحدة. في حال ضبط السياسة inSessionOffscreenWebpageUrl، سيكون هناك اتصال نشط بصفحة الويب في المستند المعروض خارج الشاشة وسيتم تجاهل هذه السياسة. لا يلزم إدراج تطبيق Smart Card Connector في القائمة المسموح بها لأنّ الاتصال به محدَّد باستخدام السياسة smartCardConnectorExtensionId. |
"inSessionConnectUrlAllowlist": { "Value": [ "https://www.my-idp.local/sso/login", "chrome-extension://imkicgecimgmikfilpaffhjkefncgabi/*" ] } |
|
inSessionOffscreenRefreshMinutes |
عدد الدقائق التي تمر منذ تحميل صفحة الويب في مستند معروض خارج الشاشة إلى أن يحين وقت إعادة تحميلها. تتم إعادة التحميل تلقائيًا في نهاية فترة إعادة التحميل عندما لا يتواصل Identity Card Connector مع صفحة الويب لمدة 5 ثوانٍ على الأقل. القيمة التلقائية: 0 دقيقة (السياسة غير مفعّلة) |
"inSessionOffscreenRefreshMinutes": { "Value": 20 } |
أمثلة JSON على Identity Card Connector
في ما يلي مثال لملف JSON يوضّح كيفية ضبط الإضافة لتنفيذ عملية المصادقة الرئيسية باستخدام الشارة.
{
"inSessionOffscreenWebpageUrl":{
"Value":"https://www.my-idp.local/sso/login"
},
"loginScreenConnectUrlAllowlist":{
"Value":[
"https://www.my-idp.local/sso/v1/login",
"https://www.my-idp.local/sso/v2/login?*"
]
},
"smartCardConnectorExtensionId":{
"Value":"khpfeaanjngmcnplbdlpegiifgpfgdco"
}
}
في ما يلي مثال لملف JSON يتيح لإضافة Identity Card Connector الوصول إلى تطبيق Smart Card Connector.
{
"force_allowed_client_app_ids":{
"Value":[
"agicampiiinkgdgceoknnjecpoamgigi"
]
},
"scard_disconnect_fallback_client_app_ids":{
"Value":[
"agicampiiinkgdgceoknnjecpoamgigi"
]
}
}
Google والعلامات التجارية والشعارات المرتبطة بها هي علامات تجارية تملكها شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.