Como administrador, puedes usar la Consola del administrador de Google para configurar perfiles de Chrome de modo que los usuarios puedan acceder a sus cuentas en el navegador Chrome con sus credenciales de terceros, como PingFederate, en cualquier computadora con Windows, Mac o Linux.

Antes de comenzar

• Asegúrate de tener un directorio o almacén de datos funcional, como PingDirectory.
• Configura PingFederate:
  • Instala PingFederate
  • Administra almacenes de datos
  • Administra los validadores de credenciales de contraseñas (PCV)
  • Cómo configurar un adaptador de formularios HTML

Paso 1: Define un atributo en tu directorio para almacenar el token de inscripción

En tu directorio, identifica un atributo vacío para almacenar el valor del token de inscripción de Chrome Como alternativa, sigue las instrucciones de tu directorio para crear un atributo personalizado en el que se almacene el valor.

Cuando defines e ingresas un atributo en tu directorio para el token de inscripción, puedes realizar una búsqueda de LDAP durante el proceso de asignación de tokens de acceso para usar automáticamente ese valor de tu directorio para el usuario. Para obtener detalles sobre la asignación de tokens de acceso, consulta Paso 3: Crea una asignación de tokens de acceso.

Por ejemplo, puedes usar el atributo de directorio vacío roomNumber.

Paso 2: Crea una instancia de administración de tokens de acceso

1. Ve a Applications > OAuth > Access Token Management.
2. Haz clic en Create new Instance.
3. En la pestaña Type, haz lo siguiente:
   1. Ingresa un Nombre de instancia y un ID de instancia. Por ejemplo, ChromeProfileEnrollment.
   2. En Tipo, selecciona JSON Web Tokens.
   3. Haz clic en Siguiente.
4. En la pestaña Instance Configuration, haz lo siguiente:
   1. Marca la casilla Use Centralized Signing Key .
   2. En JWS Algorithm, selecciona RSA using SHA-256.
   3. Haz clic en Siguiente.
5. En la pestaña Session Validation, haz lo siguiente:
   1. Marca la casilla Include Session Identifier In Access Token .
   2. Haz clic en Siguiente.
6. En la pestaña Access Token Attribute Contract, haz lo siguiente:
   1. En Subject Attribute Name, selecciona USER_KEY.
   2. En la sección Extend the Contract , agrega los siguientes atributos:
      1. chromeProfileEnrollmentToken
      2. email
      3. nombre
      4. nombre de usuario
   3. Haz clic en Siguiente.
7. En la pestaña Resource URIs, haz clic en Siguiente.
8. En la pestaña Access Control, haz clic en Siguiente.
9. En la pestaña Summary, revisa la configuración y haz clic en Save.

Para obtener más información, consulta Cómo configurar una instancia de administración de tokens de acceso.

Paso 3: Crea una asignación de tokens de acceso

1. Ve a Applications > OAuth > Access Token Mappings.
2. Selecciona la fuente de los atributos en la lista Context y la instancia de destino de Access Token Manager en la lista Access Token Manager .

   Por ejemplo:

   1. En Context, selecciona Default.
   2. En Access Token Manager, selecciona ChromeProfileEnrollment.
3. Haz clic en Add Mapping.
4. En la pestaña Attribute Sources & User Lookup , configura las consultas del almacén de datos:
   1. Haz clic en Add Attribute Source.
   2. Completa la tarea en la pestaña Attribute Sources & User Lookup . Para conocer los pasos de configuración, consulta Configuración de consultas de Datastore.

      Por ejemplo, agrega los siguientes atributos de Datastore a la consulta y haz clic en Next:

      1. cn
      2. roomNumber
      3. correo
5. En la pestaña Contract Fulfillment , asigna los atributos y haz clic en Next:

   Contrato	Fuente	Valor
   chromeProfileEnrollmentToken	LDAP	roomNumber
   correo electrónico	LDAP	mail
   nombre	LDAP	cn
   nombre de usuario	Otorgamiento persistente	USER_KEY

6. En la pestaña Issuance Criteria, haz clic en Next.
7. En la pestaña Summary, revisa la configuración y haz clic en Save.

Para obtener más información, consulta Cómo administrar las asignaciones de tokens de acceso.

Paso 4: Crea una política de OpenID Connect

1. Ve a Applications > OAuth > OpenID Connect Policy Management.
2. Haz clic en Add Policy.
3. En la pestaña Manage Policy, haz lo siguiente:
   1. Ingresa un ID de política y un Nombre. Por ejemplo, ChromeManagedProfile.
   2. En Access Token Manager, selecciona ChromeProfileEnrollment.
   3. Marca la casilla Include User Info in ID Token .
   4. Haz clic en Siguiente.
4. En la pestaña Attribute Contract, haz lo siguiente:
   1. En la sección Extend the Contract, quita los atributos existentes y agrega los siguientes:
      1. chromeProfileEnrollmentToken
      2. email
      3. nombre
   2. Haz clic en Siguiente.
5. En la pestaña Attribute Scopes, haz lo siguiente:
   1. En Scope, selecciona openid.
   2. En Attributes, marca las siguientes casillas:
      1. chromeProfileEnrollmentToken
      2. email
      3. nombre
   3. Haz clic en Agregar.
   4. Haz clic en Siguiente.
6. En la pestaña Attribute Sources & User Lookup, haz clic en Next.
7. En la pestaña Contract Fulfillment , asigna los atributos y haz clic en Next:

   Contrato de atributo	Fuente	Valor
   chromeProfileEnrollmentToken	Token de acceso	chromeProfileEnrollmentToken
   correo electrónico	Token de acceso	correo electrónico
   nombre	Token de acceso	nombre
   sub	Token de acceso	nombre de usuario

8. En la pestaña Issuance Criteria, haz clic en Next.
9. En la pestaña Summary, revisa la configuración y haz clic en Save.

Para obtener más información, consulta Configura políticas de OpenID Connect.

Paso 5: Crea un cliente de OAuth

1. Ve a Applications > OAuth > Clients.
2. Haz clic en Add client.
3. Proporciona un ID de cliente. Por ejemplo: chromemanagedprofile.
4. Proporciona un Nombre. Por ejemplo, Inscripción de perfiles de Chrome.
5. En Client authentication, selecciona Client secret.
6. En Client Secret, haz clic en Generate Secret para crear uno automáticamente o en Change Secret para crear el tuyo.
7. Para los Redirect URIs, haz lo siguiente:
   1. Ingresa https://chromeenterprise.google/profile-enrollment/register-handler
   2. Haz clic en Agregar.
8. En Allowed Grant Types, selecciona lo siguiente:
   1. Código de autorización
   2. Token de actualización
9. En Default Access Token Manager, selecciona ChromeProfileEnrollment.
10. Marca la casilla Require Proof Key For Code Exchange (PKCE) .
11. En la sección OpenID Connect, selecciona ChromeManagedProfile en Política.

Para obtener más información, consulta Administra clientes de OAuth.

Paso 6: Crea una configuración del conector

1. Accede con una cuenta de administrador a Consola del administrador de Google.

   Si no usas una cuenta de administrador, no podrás acceder a la Consola del administrador.

2. Ve a Menú  Navegador Chrome > Conectores.

   Es necesario tener el privilegio de administrador de Chrome.

3. Si es la primera vez que configura los conectores de Chrome Enterprise, siga las instrucciones para activar Chrome Enterprise Connectors (opcional).
4. Haz clic en + Configuración de proveedor nuevo.
5. En el panel de la derecha, selecciona el conector de inscripción universal.
6. Haz clic en Configurar.
7. Ingresa los siguientes detalles de configuración:
   1. En ID de cliente, ingresa chromemanagedprofile.
   2. En el campo de reclamación de Correo electrónico, ingresa email
   3. En el Reclamación de token de inscripción, ingresa chromeProfileEnrollmentToken.
   4. En Emisor, ingresa la URL de tu servidor de PingFederate, incluido el puerto 9031 si es necesario.
   5. En Secreto del cliente, ingresa el secreto del cliente que creaste en el paso 5, Crea un cliente de OAuth.
   6. Una vez que se complete la validación, haz clic en Agregar configuración.

Se agregan configuraciones para toda tu organización y las unidades organizativas pertinentes. Después de agregar una configuración nueva, aparecerá en la página Conectores. Puedes ver las configuraciones que agregaste para cada proveedor.

Paso 7: Genera un token de inscripción

Sigue estos pasos en la Consola del administrador de Google:

1. Genere un token de inscripción. Consulta Cómo generar un token de inscripción.
2. Copia el token para usarlo en el siguiente paso.

Paso 8: Asigna tokens de inscripción a los usuarios

Para obtener información sobre cómo asignar tokens de inscripción a los usuarios, consulta la documentación de tu directorio o almacén de datos, como PingDirectory. Usa el atributo que asignaste en el paso 1, Define un atributo en tu directorio para almacenar el token de inscripción, que es roomNumber.

Paso 9: Registra un perfil de Chrome

1. Vuelve a la Consola del administrador de Google.
2. Ve a Menú  Navegador Chrome > Conectores.

   Es necesario tener el privilegio de administrador de Chrome.

3. Selecciona el conector de inscripción basado en la identidad que quieras usar.
4. En el panel lateral Detalles, copia la URL de inscripción.
5. Abre el navegador Chrome (versión 134 o posterior).
6. Navega a la URL de inscripción. Se te redireccionará a la página de acceso de PingFederate.
7. Acepta la creación del perfil cuando Chrome te solicite el consentimiento.
8. Una vez que completes la configuración, comparte la URL con tus usuarios para que puedan crear sus propios perfiles.

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los otros nombres de productos y empresas son marcas de las empresas con las que estén asociados.