Configurare il servizio Single Sign-On basato su SAML per i dispositivi ChromeOS

Il supporto del servizio SSO (Single Sign-On) basato sullo standard SAML (Security Assertion Markup Language) sui dispositivi ChromeOS consente agli utenti di accedere a un dispositivo con gli stessi meccanismi di autenticazione utilizzati nel resto dell'organizzazione. Le loro password possono rimanere all'interno dell'IdP (provider di identità) della tua organizzazione. La modalità di accesso è molto simile all'accesso a un account Google Workspace da un browser tramite il servizio SSO basato su SAML. Tuttavia, poiché un utente esegue l'accesso a un dispositivo, esistono alcune altre considerazioni da fare.

Per i dettagli, consulta Configurare il servizio Single Sign-On per gli Account Google gestiti utilizzando provider di identità di terze parti.

Requisiti

Dispositivo ChromeOS con versione 36 o successiva
Dominio su cui sia già configurato il servizio SSO basato su SAML per Google Workspace
URL SAML con protocollo HTTPS e non HTTP
Licenze di ChromeOS per i tuoi dispositivi

Passaggio 1: configura il servizio SSO

Se non lo hai già fatto, configura il servizio Single Sign-On per gli Account Google gestiti utilizzando provider di identità di terze parti.

Passaggio 2: testa il servizio SSO

Configura e testa il servizio SSO basato su SAML su un dominio di prova di tua proprietà. Se non hai un dominio di prova, testa il servizio con un numero limitato di utenti. A tale scopo, crea un gruppo di prova e attiva SSO soltanto per gli utenti che fanno parte di tale gruppo. Dopo avere testato il servizio con un numero limitato di utenti, implementalo per il 5% circa dei tuoi utenti.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeImpostazioni. Per impostazione predefinita si apre la pagina Impostazioni browser e utente.
Se hai eseguito la registrazione a Chrome Browser Cloud Management, vai a Menu Browser ChromeImpostazioni.
Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
Vai a Sicurezza.
Fai clic su Single sign-on.
Seleziona Attiva il servizio Single Sign-On basato su SAML per i dispositivi Chrome.
Fai clic su Salva.

(Facoltativo) Passaggio 3: attiva i cookie del servizio SSO basato su SAML

Puoi attivare i cookie relativi al servizio SSO basato su SAML per consentire agli utenti di Single Sign-On di accedere a servizi cloud e siti web interni dello stesso IdP per gli accessi successivi al loro dispositivo.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeImpostazioniImpostazioni dispositivo.
Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
Vai a Impostazioni di accesso.
Fai clic su Comportamento cookie Single Sign-On.
Seleziona Attiva trasferimento dei cookie SSO SAML nella sessione utente durante l'accesso Per maggiori dettagli, vedi Configurare i criteri relativi ai dispositivi ChromeOS.
Fai clic su Salva.

(Facoltativo) Passaggio 4: mantieni sincronizzate le password locali di ChromeOS e del servizio SSO basato su SAML

Puoi scegliere di sincronizzare le password locali del dispositivo ChromeOS con le password SSO SAML degli utenti.

Per impostazione predefinita, la password locale viene aggiornata ogni volta che gli utenti eseguono l'accesso online. Puoi configurare la frequenza con cui gli utenti devono accedere online utilizzando le impostazioni Frequenza di accesso Single Sign-On SAML o Frequenza di sblocco Single Sign-On SAML. Tuttavia, alcuni utenti potrebbero cambiare la password del servizio SSO basato su SAML prima di dover accedere di nuovo online. In questo caso, gli utenti continueranno a utilizzare la vecchia password locale di ChromeOS fino al successivo accesso online.

Per fare in modo che la password locale di ChromeOS sia sincronizzata con la password SSO SAML, puoi imporre all'utente di accedere online non appena questa cambia. In questo modo, la password di ChromeOS viene aggiornata quasi immediatamente.

Per informare Google della modifica delle password utente, puoi utilizzare una delle seguenti opzioni:
1. Integrazione di IdP. Ad esempio, se utilizzi Okta, puoi utilizzare i flussi di lavoro di Okta. Per maggiori dettagli, consulta la documentazione di GitHub.
2. Integrazione di Microsoft Entra ID: Change Password Notifier (CPN per Microsoft Entra ID) segnala a Google le modifiche alle password di Microsoft Entra ID. Per maggiori dettagli, vedi Sincronizzare le password di ChromeOS utilizzando Change Password Notifier per Microsoft Entra ID.
3. Integrazione di AD: Change Password Notifier per Active Directory (CPN per AD) avvisa Google circa le modifiche della password di Microsoft AD. Per maggiori dettagli, vedi Sincronizzare le password di Chrome OS usando Change Password Notifier per Active Directory.
4. Integrazione di API. Integra il tuo IdP con l'API del token del dispositivo. Puoi ottenere l'API del token del dispositivo Chrome qui. Per maggiori dettagli, vedi la sezione relativa all'abilitazione della suite API per il progetto cloud.
Configura le impostazioni pertinenti.
1. Flussi di sincronizzazione delle password Single Sign-On SAML: scegli se applicare gli accessi online solo per la schermata di accesso o per la schermata di accesso e di blocco. Per i dettagli, consulta Impostare i criteri di Chrome per utenti o browser.
2. Sincronizzazione delle password Single Sign-On SAML: seleziona Attiva i flussi di autenticazione per la sincronizzazione delle password con fornitori di servizi SSO. Per i dettagli, consulta Impostare i criteri di Chrome per utenti o browser.

(Facoltativo) Passaggio 5: comunica agli utenti le modifiche imminenti alle password

Puoi assicurarti che gli utenti siano informati delle modifiche imminenti alle password sui loro dispositivi ChromeOS.

Attualmente, le notifiche di scadenza della password non sono supportate per Microsoft Entra ID.

Nota: ti consigliamo di seguire il Passaggio 4: mantieni sincronizzate le password locali di ChromeOS e del servizio SSO basato su SAML o il Passaggio 5: comunica agli utenti le modifiche imminenti alle password, ma non entrambi.

Per informare gli utenti di imminenti modifiche alle password:

Utilizzando la Console di amministrazione Google, configura il servizio Single Sign-On (SSO) per gli Account Google gestiti utilizzando Provider di identità di terze parti.
Configura l'asserzione SAML per la scadenza della password per il tuo provider SSO SAML. Vedi l'esempio riportato di seguito.
Utilizzando la Console di amministrazione, configura le impostazioni.
1. Frequenza di accesso Single Sign-On SAML: inserisci un valore inferiore a quello della data di scadenza della password. ChromeOS aggiorna le proprie asserzioni solo durante gli accessi online. Per i dettagli, consulta Impostare i criteri di Chrome per utenti o browser.
2. Sincronizzazione delle password Single Sign-On SAML: seleziona Attiva i flussi di autenticazione per la sincronizzazione delle password con fornitori di servizi SSO. Specifica il numero di giorni di anticipo con cui avvisare gli utenti. Puoi inserire un valore compreso tra 0 e 90 giorni. Se il campo viene lasciato vuoto, viene utilizzato il valore predefinito 0 e gli utenti non ricevono notifiche in anticipo, ma solo quando la password scade. Per i dettagli, consulta Impostare i criteri di Chrome per utenti o browser.

Esempio AttributeStatement

Nell'esempio:

Il nome dell'attributo contiene passwordexpirationtimestamp: il timestamp della scadenza della password dell'utente. Può essere vuoto se la password non scade e può essere una data passata se è già scaduta. Se preferisci, puoi utilizzare passwordmodifiedtimestamp.
Il valore dell'attributo è il tempo file NTFS: il numero di intervalli da 100ns dal 1° gennaio 1601 UTC. Se preferisci, puoi impostare la data e l'ora Unix o ISO 8601. Nessun altro formato è accettato.

<AttributeStatement> <Attribute Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp"> <AttributeValue>132253026634083525</AttributeValue> </Attribute> </AttributeStatement>

(Facoltativo) Passaggio 6: attiva il reindirizzamento all'IdP SSO SAML

Per consentire agli utenti del servizio Single Sign-On di passare direttamente alla pagina dell'IdP SAML anziché dover digitare il proprio indirizzo email, puoi attivare l'impostazione di reindirizzamento utenti al provider di identità che utilizza il servizio SSO basato su SAML.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeImpostazioniImpostazioni dispositivo.
Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
Vai a Impostazioni di accesso.
Fai clic su Reindirizzamento all'IdP Single Sign-On.
Seleziona Consenti agli utenti di andare direttamente alla pagina del provider di identità che utilizza il servizio SSO basato su SAML. Per maggiori dettagli, vedi Configurare i criteri relativi ai dispositivi ChromeOS.
Fai clic su Salva.

(Facoltativo) Passaggio 7: passthrough del nome utente

Puoi trasferire automaticamente i nomi utente da Google Identity all'IdP di terze parti per evitare che gli utenti debbano digitare il nome utente due volte.

Prima di iniziare

Questa funzionalità è disponibile solo per gli IdP che consentono il passaggio del nome utente nell'ambito della query SAML. Per informazioni dettagliate, vedi Compilare automaticamente il nome utente nella pagina di accesso dell'IdP SAML.
Se reindirizzi sempre gli utenti al provider di identità di terze parti (IdP 3P) completando il passaggio 7, il passthrough del nome utente è limitato ai flussi di riautenticazione. Per informazioni dettagliate, vedi Frequenza di accesso Single Sign-On SAML o Frequenza di sblocco Single Sign-On SAML.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeImpostazioniImpostazioni dispositivo.
Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
Vai a Impostazioni di accesso.
Fai clic su Compila automaticamente il nome utente nella pagina di accesso dell'IdP SAML
Inserisci il nome del parametro URL.
Fai clic su Salva.

(Facoltativo) Passaggio 8: controlla i contenuti nelle schermate di accesso e di blocco

Quando il servizio Single Sign-On basato su SAML o OpenID Connect viene utilizzato per l'autenticazione degli utenti o durante la configurazione delle connessioni di rete con Captive Portal al di fuori delle sessioni utente, puoi bloccare o consentire gli URL nelle schermate di accesso e di blocco degli utenti utilizzando i criteri DeviceAuthenticateURLBlocklist{/ e DeviceAuthenticateURLAllowlist.

Per maggiori dettagli, vedi URL bloccati nelle schermate di accesso/di blocco e Eccezioni URL bloccati nelle schermate di accesso/di blocco.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeImpostazioniImpostazioni dispositivo.
Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
Vai a Impostazioni di accesso.
Fai clic su URL bloccati nelle schermate di accesso/di blocco
1. Specifica gli URL da bloccare nelle schermate di accesso e di blocco.
2. Fai clic su Salva.
Fai clic su Eccezioni URL bloccati nelle schermate di accesso/di blocco.
1. Specifica gli URL da consentire nelle schermate di accesso e di blocco.
2. Fai clic su Salva.

Passaggio 9: implementa il servizio SSO basato su SAML per i dispositivi

Dopo avere testato il servizio SSO basato su SAML su dispositivi per il 5% della tua organizzazione, puoi implementare il servizio per tutti attivando le stesse norme per altri gruppi. Se riscontri problemi, contatta l'assistenza Google Cloud.

Accedere a un dispositivo ChromeOS con Single Sign-On basato su SAML

Dopo che l'SSO basato su SAML sarà stato configurato sui dispositivi per la tua organizzazione, gli utenti visualizzeranno i seguenti passaggi quando accederanno al dispositivo.

Requisiti

Hai completato tutti i passaggi descritti sopra.

Sequenza per l'accesso:

Invita i tuoi utenti a procedere come segue quando accedono per la prima volta al proprio dispositivo. Nota: testa i passaggi prima di distribuirli a tutta l'organizzazione.

Inserisci il nome utente (indirizzo email completo) nella pagina di accesso del dispositivo ChromeOS. Per questo passaggio non è necessaria la password.
Verrà eseguito il reindirizzamento alla pagina del servizio SSO basato su SAML dell'organizzazione. Immetti le credenziali SAML nella pagina di accesso del provider SAML.
Se richiesto, immetti nuovamente la password per completare l'accesso. Questo passaggio è necessario solo se il tuo provider di identità non ha ancora implementato l'API Credentials Passing. È richiesto per consentire l'accesso offline al dispositivo e anche per poterlo sbloccare.
La sessione inizierà e il browser si aprirà una volta eseguito l'accesso. All'accesso successivo, dovrai inserire la password una sola volta quando avvii il dispositivo. In caso di problemi, contatta il tuo amministratore IT.

Domande frequenti

Posso utilizzare l'autenticazione WIA (Windows Integrated Authentication) per consentire agli utenti di accedere alle app basate su browser e alla Intranet senza dover inserire manualmente il nome utente e la password?

No. Non supportiamo più l'autenticazione WIA in ADFS (Active Directory Federation Services). Per maggiori dettagli, vedi Migrazione alla gestione di Chrome basata su cloud.

Dopo avere eseguito l'accesso con il mio provider SAML, mi viene chiesto di inserire di nuovo la password. È normale?

Sì. È necessario per consentire l'accesso offline al dispositivo ChromeOS e per poterlo sbloccare. Abbiamo un'API che può essere implementata dai fornitori SAML per eliminare la necessità di questo passaggio di conferma.

Se un utente cambia la password su un altro dispositivo, come è possibile assicurarsi che il dispositivo venga aggiornato in modo da poterlo sbloccare con la nuova password?

Consigliamo di utilizzare il semplice metodo di aggiornamento nella nostra API Directory, che consente di avvertire il nostro server di autenticazione della modifica di una password. Immetti il valore della password nel corpo della richiesta. Se non viene utilizzata l'API, la modifica della password viene rilevata al successivo flusso di accesso online. Per impostazione predefinita, il dispositivo impone un accesso online ogni 14 giorni, anche se non viene cambiata la password. Puoi cambiare questo periodo di tempo nella Console di amministrazione selezionando DispositiviChromeImpostazioni Utenti e browserFrequenza accesso online Single Sign-On SAML.

La mia password contiene caratteri speciali. Funzionerà?

Sono supportati soltanto caratteri stampabili ASCII.

Viene visualizzata la schermata "Spiacenti, impossibile accedere. Accesso non riuscito perché è stato configurato l'utilizzo di un URL non protetto. Contatta l'amministratore o riprova". Che cosa devo fare?

Se i tuoi dipendenti hanno segnalato questo messaggio di errore, significa che l'IdP SAML sta cercando di utilizzare un URL HTTP anche se è supportato soltanto HTTPS. È importante utilizzare soltanto HTTPS per l'intero flusso di accesso. Pertanto, anche se il modulo di accesso iniziale viene pubblicato tramite HTTPS, puoi ricevere questo messaggio di errore se il tuo IdP reindirizza a un URL HTTP in una fase successiva della procedura. Se risolvi il problema, ma gli utenti continuano a ricevere il messaggio di errore, contatta l'assistenza Google Cloud.

Sono un amministratore IT. Perché non vengo reindirizzato al mio provider di identità SAML?

Si tratta del comportamento previsto. In caso di problemi durante la configurazione, vogliamo comunque che l'amministratore possa accedere e risolvere il problema.

Il servizio SSO supporta i filtri di contenuti TLS e SSL?

Sì. Segui l'Impostazione dell'ispezione TLS (o SSL) sui dispositivi ChromeOS per la configurazione. Oltre ai domini consentiti documentati in Configurare una lista consentita di nomi host, potrebbe essere necessario consentire anche il dominio del tuo provider di identità SSO e www.google.com.

Come funziona SSO con le autorizzazioni per la fotocamera?

Per consentire a software di terze parti di accedere direttamente alla fotocamera del dispositivo per conto dei tuoi utenti SSO, puoi attivare le autorizzazioni Single Sign-On per la fotocamera.

Vai a Dispositivi Chrome Impostazioni Impostazioni dispositivo Autorizzazioni Single Sign-On per la fotocamera Lista consentita di autorizzazioni Single Sign-On per la fotocamera.

Per maggiori dettagli, vedi Configurare i criteri relativi ai dispositivi ChromeOS.

Attivando questa norma, l'amministratore consente alle terze parti di accedere alle fotocamere degli utenti per loro conto. L'amministratore deve assicurare che tali terze parti abbiano predisposto gli appropriati moduli di consenso per gli utenti, in quanto il sistema non presenterà agli utenti finali alcun modulo di consenso una volta che l'autorizzazione ad accedere alla fotocamera è stata concessa tramite questo criterio.

Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?