Notifikasi

Merencanakan strategi kembali bekerja di kantor? Lihat cara Chrome OS dapat membantu.

Mengonfigurasi single sign-on SAML untuk perangkat ChromeOS

Dukungan single sign-on (SSO) Security Assertion Markup Language (SAML) untuk perangkat ChromeOS memungkinkan pengguna login ke perangkat dengan mekanisme autentikasi yang sama dengan yang Anda gunakan di seluruh organisasi. Sandi mereka akan tetap berada dalam Penyedia Identitas (IdP) organisasi Anda. Login sangat mirip dengan login ke akun Google Workspace dari browser lewat SSO SAML. Namun, karena pengguna login ke perangkat, ada beberapa pertimbangan tambahan.

Untuk mengetahui detail selengkapnya, lihat Menyiapkan single sign-on untuk Akun Google terkelola menggunakan Penyedia identitas pihak ketiga.

Persyaratan

  • Perangkat ChromeOS yang menjalankan versi 36 atau lebih tinggi
  • Domain dikonfigurasikan untuk SSO SAML bagi Google Workspace
  • URL SAML menggunakan HTTPS, bukan HTTP
  • Lisensi ChromeOS untuk perangkat Anda

Langkah 1: Siapkan SSO

Siapkan single sign-on untuk Akun Google terkelola menggunakan Penyedia identitas pihak ketiga jika Anda belum melakukannya.

Langkah 2: Uji SSO

Siapkan dan uji SSO SAML di domain pengujian Anda sendiri. Jika tidak memiliki domain pengujian, uji SSO SAML dengan beberapa pengguna melalui pembuatan grup pengujian dan pengaktifan SSO hanya untuk pengguna dalam grup tersebut. Setelah menguji SSO SAML dengan beberapa pengguna, luncurkanlah untuk kurang lebih 5% pengguna Anda.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluSetelan. Halaman Setelan pengguna & browser akan terbuka secara default.

    Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu lalu Browser ChromelaluSetelan.

  3. Untuk menerapkan setelan ke semua pengguna dan browser terdaftar, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
  4. Buka Keamanan.
  5. Klik Single sign-on.
  6. Pilih opsi Aktifkan single sign-on berbasis SAML untuk perangkat Chrome.
  7. Klik Simpan.

(Opsional) Langkah 3: Aktifkan cookie SSO SAML

Agar pengguna single sign-on dapat login ke situs internal dan layanan cloud yang mengandalkan IdP yang sama pada proses login berikutnya ke perangkat mereka, Anda dapat mengaktifkan cookie SSO SAML.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluSetelanlaluSetelan perangkat.
  3. Untuk menerapkan setelan ke semua perangkat, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
  4. Buka Setelan login.
  5. Klik Perilaku cookie single sign-on.
  6. Pilih opsi Transfer Cookie SSO SAML ke sesi pengguna selama login. Untuk mengetahui detailnya, lihat Menetapkan kebijakan perangkat ChromeOS.
  7. Klik Simpan.

(Opsional) Langkah 4: Jaga agar sandi SSO SAML dan ChromeOS lokal tetap sinkron

Anda dapat memilih untuk menyinkronkan sandi lokal perangkat ChromeOS dengan sandi SSO SAML pengguna.

Secara default, sandi lokal diperbarui setiap kali pengguna login secara online. Anda dapat mengonfigurasi seberapa sering pengguna diwajibkan untuk login secara online menggunakan setelan Frekuensi login single sign-on SAML atau Frekuensi buka kunci single sign-on SAML. Namun, beberapa pengguna mungkin mengubah sandi SSO SAML sebelum mereka diwajibkan untuk login lagi secara online. Jika hal itu terjadi, pengguna akan terus menggunakan sandi ChromeOS lokal lama mereka hingga saat berikutnya mereka login secara online.

Agar sandi ChromeOS lokal tetap sinkron dengan sandi SSO SAML, Anda dapat mewajibkan pengguna login secara online segera setelah sandi SSO SAML berubah. Dengan demikian, pengguna akan langsung memperbarui sandi ChromeOS mereka.

  1. Untuk memberi tahu Google tentang perubahan sandi pengguna, Anda dapat menggunakan salah satu cara berikut;
    1. Integrasi IdP—Misalnya, jika menggunakan Okta, Anda dapat menggunakan alur kerja Okta. Untuk mengetahui detailnya, lihat dokumentasi GitHub.

    2. Integrasi Microsoft Entra ID—Change Password Notifier (CPN untuk Microsoft Entra ID) memberi tahu Google tentang perubahan sandi Microsoft Entra ID. Untuk mengetahui detailnya, lihat Menyinkronkan sandi ChromeOS menggunakan Change Password Notifier untuk Microsoft Entra ID.

    3. Integrasi AD—Change Password Notifier untuk Active Directory (CPN untuk AD) memberi tahu Google tentang perubahan sandi Microsoft AD. Untuk mengetahui detailnya, lihat Menyinkronkan sandi ChromeOS menggunakan Change Password Notifier untuk Active Directory.
    4. Integrasi API—Integrasikan IdP Anda dengan API token perangkat. Anda bisa mendapatkan API token perangkat Chrome di sini. Untuk mengetahui detailnya, lihat Mengaktifkan suite API untuk project cloud.
  2. Konfigurasikan setelan yang relevan;
    1. Alur sinkronisasi sandi single sign-on SAML—Pilih apakah Anda ingin menerapkan login online hanya untuk layar login atau untuk layar login dan layar kunci. Untuk mengetahui detailnya, lihat Menetapkan kebijakan Chrome untuk pengguna atau browser.
    2. Sinkronisasi sandi single sign-on SAML—Pilih Picu alur autentikasi untuk menyinkronkan sandi dengan penyedia SSO. Untuk mengetahui detailnya, lihat Menetapkan kebijakan Chrome untuk pengguna atau browser.

(Opsional) Langkah 5 Beri tahu pengguna Anda terkait perubahan sandi mendatang

Anda dapat memastikan bahwa pengguna menerima informasi terkait perubahan sandi mendatang di perangkat ChromeOS mereka.

Saat ini, notifikasi akhir masa berlaku sandi tidak didukung untuk Microsoft Entra ID.

Catatan: Sebaiknya lakukan Langkah 4: Jaga agar sandi ChromeOS dan SSO SAML lokal tetap sinkron atau Langkah 5 Beri tahu pengguna tentang perubahan sandi mendatang, bukan keduanya.

Untuk memberi tahu pengguna tentang perubahan sandi mendatang;

  1. Dengan menggunakan Konsol Google Admin, siapkan single sign-on untuk Akun Google terkelola menggunakan Penyedia identitas pihak ketiga.
  2. Konfigurasikan pernyataan SAML untuk masa berlaku sandi bagi penyedia SSO SAML Anda. Lihat contoh di bawah.
  3. Konfigurasikan setelan menggunakan konsol Admin.
    1. Frekuensi login single sign-on SAML—Masukkan nilai yang lebih kecil dari waktu habis masa berlaku sandi. ChromeOS hanya memperbarui pernyataannya selama login online. Untuk mengetahui detailnya, lihat Menetapkan kebijakan Chrome untuk pengguna atau browser.
    2. Sinkronisasi sandi single sign-on SAML—Pilih Picu alur autentikasi untuk menyinkronkan sandi dengan penyedia SSO. Tentukan berapa hari sebelum masa berlaku sandi habis pengguna akan diberi tahu. Anda dapat memasukkan nilai antara 0 dan 90 hari. Jika dibiarkan kosong, nilai default 0 akan digunakan dan pengguna tidak akan diberi tahu sebelumnya, hanya saat masa berlaku sandi berakhir. Untuk mengetahui detailnya, lihat Menetapkan kebijakan Chrome untuk pengguna atau browser.

Contoh AttributeStatement

Pada contoh ini;

  • Nama atribut berisi passwordexpirationtimestamp—Stempel waktu saat sandi pengguna yang digunakan untuk autentikasi akan habis masa berlakunya. Nama atribut dapat kosong jika masa berlaku sandi tidak akan berakhir, dapat juga berupa waktu di masa lampau jika masa berlaku sandi sudah berakhir. Jika ingin, Anda dapat menggunakan passwordmodifiedtimestamp sebagai gantinya.
  • Nilai atribut adalah filetime NTFS—Jumlah tick dalam 100 nanodetik sejak 1 Januari 1601 UTC. Jika ingin, Anda dapat menetapkan waktu Unix atau waktu dan tanggal ISO 8601. Tidak ada format lain yang diterima.

<AttributeStatement>
<Attribute
     Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
     <AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>

(Opsional) Langkah 6: Aktifkan Pengalihan IdP SSO SAML

Agar pengguna single sign-on dapat langsung membuka halaman IdP SAML tanpa mengetikkan alamat email terlebih dahulu, Anda dapat mengaktifkan Pengalihan IdP SSO SAML.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluSetelanlaluSetelan perangkat.
  3. Untuk menerapkan setelan ke semua perangkat, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
  4. Buka Setelan login.
  5. Klik Pengalihan IdP single sign-on.
  6. Pilih opsi Izinkan pengguna membuka halaman IdP SSO SAML. Untuk mengetahui detailnya, lihat Menetapkan kebijakan perangkat ChromeOS.
  7. Klik Simpan.

(Opsional) Langkah 7: Nama pengguna passthrough

Anda dapat meneruskan nama pengguna secara otomatis dari Google Identity ke IdP pihak ketiga agar pengguna tidak perlu mengetik nama pengguna mereka dua kali.

Sebelum memulai

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluSetelanlaluSetelan perangkat.
  3. Untuk menerapkan setelan ke semua perangkat, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
  4. Buka Setelan login.
  5. Klik Isi otomatis nama pengguna di halaman login IdP SAML.
  6. Masukkan nama parameter URL.
  7. Klik Simpan.

(Opsional) Langkah 8: Kontrol konten di layar login dan layar kunci

Saat single sign-on SAML atau OpenID Connect digunakan untuk autentikasi pengguna, atau saat mengonfigurasi koneksi jaringan dengan Captive Portal di luar sesi pengguna, Anda dapat memblokir atau mengizinkan URL di layar login dan layar kunci pengguna menggunakan DeviceAuthenticationURLBlocklist dan kebijakan DeviceAuthenticationURLAllowlist.

Untuk mengetahui detail selengkapnya, lihat URL yang diblokir di layar kunci/layar login dan Pengecualian URL yang diblokir di layar kunci/layar login.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluSetelanlaluSetelan perangkat.
  3. Untuk menerapkan setelan ke semua perangkat, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
  4. Buka Setelan login.
  5. Klik URL yang diblokir di layar login/layar kunci.
    1. Tentukan URL yang akan diblokir dari layar login dan layar kunci.
    2. Klik Simpan.
  6. Klik opsi Pengecualian URL yang diblokir di layar login/layar kunci.
    1. Tentukan URL yang akan diizinkan dari layar login dan layar kunci.
    2. Klik Simpan.

Langkah 9: Luncurkan SSO SAML untuk perangkat

Setelah menguji SSO SAML untuk perangkat pada 5% anggota organisasi, Anda dapat meluncurkannya bagi semua orang dengan mengaktifkan kebijakan yang sama untuk grup tambahan. Jika Anda mengalami masalah, hubungi dukungan Google Cloud.

Login ke perangkat ChromeOS dengan single sign-on SAML

Setelah SSO SAML di perangkat dikonfigurasikan untuk organisasi Anda, pengguna akan melihat langkah berikut saat login ke perangkat.

Persyaratan

  • Anda telah menyelesaikan semua langkah yang dijelaskan di atas.

Urutan Login:

Minta pengguna Anda untuk melakukan hal berikut saat pertama kali login ke perangkat. Catatan: Anda perlu mengujinya sebelum meluncurkannya ke seluruh organisasi.

  1. Masukkan nama pengguna (alamat email lengkap) Anda di halaman login perangkat ChromeOS. Sandi tidak diperlukan pada langkah ini.
  2. Anda akan diarahkan ke halaman SSO SAML organisasi. Masukkan kredensial SAML Anda di halaman login penyedia SAML.
  3. Jika diminta, masukkan kembali sandi untuk menyelesaikan proses login. Langkah ini hanya diperlukan jika Penyedia Identitas Anda belum menerapkan Credentials Passing API. Hal ini diperlukan untuk memungkinkan akses offline ke perangkat Anda serta agar dapat membuka kuncinya.
  4. Setelah berhasil login, sesi Anda dimulai dan browser akan terbuka. Saat login berikutnya, Anda hanya perlu memasukkan sandi satu kali saat menghidupkan perangkat. Jika mengalami masalah, hubungi administrator IT Anda.

FAQ

Dapatkah saya menggunakan Windows Integrated Authentication (WIA) untuk mengizinkan pengguna login ke intranet serta aplikasi berbasis browser tanpa harus memasukkan nama pengguna dan sandi secara manual?

Tidak. Kami tidak lagi mendukung WIA di Active Directory Federation Services (AD FS). Untuk mengetahui detail selengkapnya, lihat Bermigrasi ke pengelolaan Chrome berbasis cloud.

Setelah login dengan penyedia SAML, saya diminta memasukkan sandi lagi. Apakah itu normal?

Ya. Langkah ini diperlukan untuk memungkinkan akses offline ke perangkat ChromeOS Anda dan agar dapat membuka kuncinya. Kami memiliki API yang dapat diterapkan oleh vendor SAML untuk menghilangkan kebutuhan atas langkah konfirmasi ini.

Jika pengguna mengubah sandinya di perangkat lain, bagaimana cara memastikan bahwa perangkat akan diperbarui agar dapat dibuka kuncinya dengan sandi baru?

Sebaiknya Anda menggunakan metode update sederhana di Directory API kami, yang akan memberi tahu server autentikasi kami saat sandi diubah. Masukkan nilai sandi di Isi permintaan. Jika API tidak digunakan, perubahan sandi akan terdeteksi saat alur login online berikutnya. Secara default, perangkat mengharuskan Anda login secara online setiap 14 hari meskipun jika sandi tidak berubah. Anda dapat mengubah jangka waktu ini di konsol Admin dengan membuka PerangkatlaluChromelaluSetelanlaluPengguna & browserlaluFrekuensi login online single sign-on SAML.

Sandi saya berisi karakter khusus, apakah akan berfungsi?

Kami hanya mendukung karakter ASCII yang dapat dicetak.

Saya melihat layar “Ups, Anda tidak dapat login. Login gagal karena dikonfigurasi untuk menggunakan URL yang tidak aman. Harap hubungi administrator Anda atau coba lagi ”. Apa yang harus saya lakukan?

Jika karyawan Anda melaporkan pesan error ini, berarti IdP SAML mencoba menggunakan URL HTTP, dan hanya HTTPS yang didukung. Sangat penting agar seluruh alur login hanya menggunakan HTTPS. Jadi meskipun jika formulir login awal ditampilkan melalui HTTPS, Anda mungkin mendapatkan error ini jika IdP mengalihkan ke URL HTTP pada langkah berikutnya dalam proses. Jika Anda memperbaikinya dan pengguna masih mendapatkan pesan error, hubungi dukungan Google Cloud.

Saya adalah admin IT. Mengapa saya tidak dialihkan ke Penyedia Identitas SAML?

Hal ini sesuai dengan desain. Apabila ada yang tidak beres saat penyiapan, kami ingin administrator tetap dapat login dan memecahkan masalah tersebut.

Apakah SSO berfungsi dengan filter konten TLS dan SSL?

Ya. Untuk penyiapan, ikuti langkah-langkah dalam Menyiapkan pemeriksaan TLS (atau SSL) di perangkat ChromeOS. Selain domain diizinkan yang didokumentasikan dalam Menyiapkan daftar nama host yang diizinkan, Anda juga perlu mengizinkan domain Penyedia Identitas SSO dan www.google.com.

Bagaimana cara kerja SSO untuk izin kamera?

Untuk memberi akses langsung ke kamera perangkat pada software pihak ketiga atas nama pengguna SSO, Anda dapat mengaktifkan izin kamera single sign-on.

Buka PerangkatlaluChromelaluSetelanlaluSetelan perangkatlaluIzin kamera single sign-onlaluDaftar kamera single sign-on yang diizinkan.

Untuk mengetahui detailnya, lihat Menetapkan kebijakan perangkat ChromeOS.

Dengan mengaktifkan kebijakan ini, administrator akan memberi akses ke kamera pengguna kepada pihak ketiga atas nama pengguna. Administrator harus memastikan bahwa dia memiliki formulir persetujuan yang sesuai untuk pengguna karena sistem tidak menampilkan formulir persetujuan apa pun bagi pengguna akhir setelah izin kamera diberikan melalui kebijakan ini.

Google serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
15651542236266647827
true
Pusat Bantuan Penelusuran
true
true
true
true
true
410864
false
false