Notificação

Planejando sua estratégia de retorno ao escritório? Veja como o Chrome OS pode ajudar.

Configurar o Logon único via SAML nos dispositivos ChromeOS

Com o suporte para Logon único (SSO) da Linguagem de marcação para autorização de segurança (SAML) para dispositivos ChromeOS, os usuários podem fazer login em um dispositivo com os mesmos mecanismos de autenticação que você usa em toda a organização. As senhas deles podem ficar armazenadas no provedor de identidade (IdP) da organização. Fazer login é muito semelhante a fazer login em uma conta do Google Workspace em um navegador via SSO de SAML. No entanto, como o usuário faz login em um dispositivo, há várias considerações adicionais.

Veja mais detalhes em Configurar o Logon único nas Contas do Google gerenciadas que usam provedores de identidade terceirizados.

Requisitos

  • Dispositivo ChromeOS com a versão 36 ou mais recente
  • Domínio configurado para SSO via SAML no Google Workspace
  • URL de SAML usando HTTPS, não HTTP
  • Licenças do ChromeOS para seus dispositivos

Etapa 1: configurar o SSO

Configure o Logon único nas Contas do Google gerenciadas que usam provedores de identidade terceirizados.

Etapa 2: testar o SSO

Configure e teste o SSO de SAML em um domínio de teste que você possui. Se você não tiver um domínio de teste, teste o SSO de SAML com um pequeno número de usuários. Para isso, crie um grupo de teste e ative o SSO para usuários apenas nesse grupo. Após testar o SSO via SAML com poucos usuários, implante-o para cerca de 5% do total.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfigurações. A página Configurações do navegador e usuário é aberta por padrão.

    Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu e depois Navegador Chromee depoisConfigurações.

  3. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  4. Acesse Segurança.
  5. Clique em Single sign-on.
  6. Selecione Ativar Logon único baseado em SAML para dispositivos Chrome.
  7. Clique em Salvar.

(Opcional) Etapa 3: ativar cookies de SSO de SAML

Ative os cookies de SSO via SAML para permitir que os usuários do Logon único façam login em sites internos e serviços na nuvem que usam o mesmo IdP nos próximos acessos pelo dispositivo.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  3. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  4. Acesse Configurações de login.
  5. Clique em Comportamento do cookie de Logon único.
  6. Selecione Ativar a transferência de cookies de Logon único via SAML na sessão do usuário durante o login. Confira mais detalhes em Definir políticas do dispositivo ChromeOS.
  7. Clique em Salvar.

Etapa 4 (opcional): manter as senhas locais do ChromeOS e do SSO via SAML sincronizadas

Você tem a opção de sincronizar as senhas locais do dispositivo Chrome OS com as senhas de SSO via SAML dos usuários.

Por padrão, a senha local é atualizada sempre que os usuários fazem login on-line. Defina com que frequência os usuários precisam fazer login on-line usando as configurações de Frequência de login com Logon único via SAML ou de Frequência de desbloqueio do Logon único via SAML. No entanto, alguns usuários podem mudar a senha de SSO via SAML antes de fazerem login on-line novamente. Nesse caso, eles continuarão utilizando a senha local antiga do Chrome OS até o próximo login.

Para manter a senha local do ChromeOS e do SSO via SAML sincronizadas, você pode forçar o login on-line quando os usuários mudarem a senha do SSO via SAML. Dessa forma, eles atualizam a senha do ChromeOS quase que imediatamente.

  1. Para notificar o Google sobre mudanças nas senhas de usuário, use uma das seguintes opções:
    1. Integração com o IdP: por exemplo, se você usa o Okta, pode usar os fluxos de trabalho desse serviço. Veja os detalhes na documentação do GitHub.

    2. Integração do Microsoft Entra ID: o Notificador de senha de mudança (CPN, na sigla em inglês) do Microsoft Entra ID notifica o Google sobre as alterações de senha do ID do Microsoft Entra. Saiba mais em Sincronizar senhas do ChromeOS usando o Notificador de senhas para o Microsoft Entra ID.

    3. Integração do AD: o Notificador de senha alterado para o Active Directory (CPN para AD) notifica o Google sobre as mudanças de senha do Microsoft AD. Saiba mais detalhes em Sincronizar senhas do ChromeOS usando o recurso "Alterar o Notificador de senha" do Active Directory.
    4. Integração com a API: integre seu IdP à API Device Token. Acesse a API Chrome Device Token aqui. Veja mais detalhes em Ativar o pacote de APIs para o projeto na nuvem.
  2. Defina as configurações relevantes.
    1. Fluxos de sincronização de senhas de Logon único via SAML: escolha se você quer aplicar logins on-line apenas na tela de login ou também na de bloqueio. Veja mais detalhes em Definir políticas do Chrome para usuários ou navegadores.
    2. Sincronização de senhas de Logon único via SAML: selecione Acionar fluxos de autenticação para sincronizar senhas com provedores de SSO. Veja mais detalhes em Definir políticas do Chrome para usuários ou navegadores.

Etapa 5 (opcional): notificar os usuários sobre mudanças futuras na senha

Os usuários precisam ter informações sobre mudanças futuras nas senhas dos dispositivos ChromeOS.

No momento, as notificações de expiração de senha não são compatíveis com o ID do Microsoft Entra.

Observação: recomendamos que você siga a Etapa 4: manter as senhas locais do ChromeOS e do Logon único via SAML sincronizadas ou a Etapa 5: notificar os usuários sobre mudanças futuras na senha, e não ambas.

Para notificar os usuários sobre mudanças futuras na senha, faça o seguinte:

  1. No Google Admin Console, configure o Logon único nas Contas do Google gerenciadas que usam provedores de identidade terceirizados.
  2. Configure a declaração SAML de expiração da senha no seu provedor de SSO via SAML. Veja o exemplo abaixo.
  3. Defina as configurações no Admin Console.
    1. Frequência de login com Logon único via SAML: digite um valor menor do que o prazo de expiração da senha. O ChromeOS só atualiza as declarações durante os logins on-line. Veja mais detalhes em Definir políticas do Chrome para usuários ou navegadores.
    2. Sincronização de senhas de Logon único via SAML: selecione Acionar fluxos de autenticação para sincronizar senhas com provedores de SSO. Especifique com quantos dias de antecedência os usuários receberão notificações. É possível inserir um valor entre 0 e 90 dias. Quando essa opção fica em branco, o valor padrão 0 é usado, e os usuários não recebem notificações com antecedência, só quando a senha expira. Veja mais detalhes em Definir políticas do Chrome para usuários ou navegadores.

Exemplo de AttributeStatement

No exemplo:

  • O nome do atributo contém passwordexpirationtimestamp: o carimbo de data/hora em que a senha do usuário autenticado expira. Ele pode estar vazio se a senha não for expirar ou ter uma data antiga se a senha já tiver expirado. Se preferir, use passwordmodifiedtimestamp.
  • O valor do atributo é o tempo de arquivo NTFS: o número de intervalos de 100 nanossegundos desde 1º de janeiro de 1601 UTC. Se preferir, defina o horário Unix ou o formato de data e hora ISO 8601. Outros formatos não são aceitos.

<AttributeStatement>
<Attribute
     Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
     <AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>

(Opcional) Etapa 6: ativar o redirecionamento do IdP de SSO via SAML

Para os usuários de Logon único acessarem diretamente a página do IdP SAML sem digitar o endereço de e-mail, ative o redirecionamento do IdP do SSO via SAML.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  3. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  4. Acesse Configurações de login.
  5. Clique em Redirecionamento de IdP com Logon único.
  6. Selecione Permitir que os usuários acessem diretamente a página do IdP de Logon único via SAML. Confira mais detalhes em Definir políticas do dispositivo ChromeOS.
  7. Clique em Salvar.

Etapa 7 (opcional): transferência do nome de usuário

É possível transmitir automaticamente os nomes de usuário do Google Identity para o IdP de terceiros para que os usuários não precisem digitar o nome de usuário duas vezes.

Antes de começar

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  3. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  4. Acesse Configurações de login.
  5. Clique em Nome de usuário no preenchimento automático na página de login do IdP SAML.
  6. Insira o nome do parâmetro de URL.
  7. Clique em Salvar.

(Opcional) Etapa 8: controlar o conteúdo nas telas de login e de bloqueio

Quando o Logon único de SAML ou OpenID Connect é usado para a autenticação do usuário ou ao configurar conexões de rede com portais cativos fora das sessões do usuário, é possível bloquear ou permitir URLs no login do usuário e nas telas de bloqueio usando as políticas DeviceAuthenticationURLBlocklist e DeviceAuthenticationURLAllowlist.

Para mais detalhes, consulte URLs bloqueados nas telas de login/bloqueio e Exceções aos URLs bloqueados nas telas de login/bloqueio.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisConfiguraçõese depoisConfigurações do dispositivo.
  3. Para aplicar a configuração a todos os usuários e navegadores inscritos, deixe a unidade organizacional principal selecionada. Caso contrário, selecione uma unidade organizacional filha.
  4. Acesse Configurações de login.
  5. Clique em URLs não permitidos nas telas de login/bloqueio.
    1. Especifique quais URLs devem ser bloqueados nas telas de login e de bloqueio.
    2. Clique em Salvar.
  6. Clique em Exceções de URLs não permitidos nas telas de login/bloqueio.
    1. Especifique quais URLs serão permitidos nas telas de login e de bloqueio.
    2. Clique em Salvar.

Etapa 9: implantar o SSO via SAML para dispositivos

Após testar o Logon único via SAML em 5% dos dispositivos da organização, você pode implantá-lo para todos os usuários. Basta ativar a mesma política para os outros grupos. Se tiver problemas, entre em contato com o suporte do Google Cloud.

Fazer login em um dispositivo ChromeOS com o Logon único via SAML

Depois que o SSO via SAML estiver configurado nos dispositivos da organização, os usuários verão as etapas a seguir quando fizerem login em um dispositivo.

Requisitos

  • Você concluiu todas as etapas descritas acima.

Sequência de login:

Oriente os usuários a seguir as etapas abaixo ao fazer login pela primeira vez em um dispositivo. Observação: teste primeiro esse processo antes de implantar na organização.

  1. Digite seu nome de usuário (endereço de e-mail completo) na página de login do dispositivo ChromeOS. Não é necessário informar a senha nesta etapa.
  2. Você será direcionado para a página de SOO de SAML da organização. Insira suas credenciais de SAML na página de login do provedor SAML.
  3. Se for preciso confirmar, insira sua senha novamente para concluir o login. Essa etapa só será necessária se o provedor de identidade ainda não tiver implementado a API Credentials Passing. Isso é necessário para permitir o acesso off-line ao seu dispositivo e também para desbloqueá-lo.
  4. Após o login, a sessão será iniciada e o navegador será aberto. Na próxima vez que fizer login, você precisará informar sua senha só depois de iniciar o dispositivo. Se você tiver problemas, entre em contato com o administrador de TI.

Perguntas frequentes

Posso usar a Autenticação Integrada do Windows (WIA, na sigla em inglês) para permitir que os usuários façam login em apps baseados em navegador e na intranet sem digitar o nome de usuário e a senha manualmente?

Não. Não aceitamos mais a WIA nos serviços de federação do Active Directory (AD FS, na sigla em inglês). Veja mais detalhes em Como migrar para o gerenciamento do Chrome baseado na nuvem.

Depois de fazer login com meu provedor de SAML, é solicitado que eu insira minha senha novamente. Isso é normal?

Sim. Isso é necessário para permitir o acesso off-line ao seu dispositivo ChromeOS e para desbloqueá-lo. Temos uma API que os fornecedores de SAML podem implementar para eliminar essa etapa de confirmação.

Se um usuário mudar a senha em outro dispositivo, como é possível confirmar que esse dispositivo será atualizado para ser desbloqueado com a nova senha?

Recomendamos que você use o método de atualização da nossa API Directory, que enviará uma notificação ao servidor de autenticação sempre que uma senha mudar. Insira o valor da senha em Corpo da solicitação. Se a API não for usada, a mudança de senha será detectada no próximo fluxo de login on-line. Por padrão, o dispositivo força um login on-line a cada 14 dias, mesmo quando a senha não muda. Para mudar esse período, no Admin Console, acesse DispositivoseChromeeConfiguraçõeseUsuários e navegadoreseFrequência de login on-line com Logon único via SAML.

Minha senha tem caracteres especiais. Ela funcionará?

Oferecemos suporte somente para caracteres ASCII para impressão.

Estou vendo a tela "Não foi possível fazer login. O login falhou porque foi configurado para usar um URL não seguro. Entre em contato com o administrador ou tente novamente." O que eu faço?

Caso seus funcionários estejam recebendo essa mensagem de erro, isso significa que o IdP SAML está tentando usar um URL de HTTP, mas só é possível usar HTTPS. É importante que todo o fluxo de login use apenas HTTPS. Assim, mesmo que o formulário de login inicial seja veiculado por HTTPS, esse erro poderá ser exibido se seu IDP redirecionar para um URL HTTP em algum lugar mais tarde no processo. Se você corrigir isso e os usuários continuarem recebendo a mensagem de erro, entre em contato com o suporte do Google Cloud.

Sou administrador de TI. Por que não estou sendo redirecionado para meu provedor de identidade de SAML?

Isso ocorre por design. Caso algo saia errado durante a configuração, o administrador pode fazer login e resolver o problema.

O SSO funciona com filtros de conteúdo TLS e SSL?

Sim. Para configuração, siga as etapas no artigo Configurar inspeção TLS (ou SSL) nos dispositivos ChromeOS. Além dos domínios permitidos listados em Configurar uma lista de permissões de nomes de host, você também precisará permitir o domínio do provedor de identidade do SSO e www.google.com.

Como o SSO funciona com as permissões da câmera?

Para o software de terceiros ter acesso direto à câmera do dispositivo em nome dos usuários do SSO, você pode ativar as permissões de Logon único da câmera.

Acesse DispositivoseChromeeConfiguraçõeseConfigurações do dispositivoePermissões da câmera para o Logon únicoeLista de permissões da câmera para o Logon único.

Veja mais detalhes em Definir políticas do dispositivo ChromeOS.

Ao ativar essa política, o administrador permite que terceiros tenham acesso às câmeras dos usuários no lugar deles. O administrador precisa verificar se os usuários têm os formulários de consentimento corretos. Isso é necessário porque o sistema não mostra formulários de consentimento aos usuários finais depois que essa política concede permissão de acesso às câmeras.

Google e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
9518531238061070621
true
Pesquisar na Central de Ajuda
true
true
true
true
true
410864
false
false