Melding

Ben je aan het plannen om weer op kantoor te gaan werken? Bekijk hoe Chrome OS hieraan kan bijdragen.

SAML Single sign-on instellen voor ChromeOS-apparaten

Met ondersteuning voor Security Assertion Markup Language (SAML) Single sign-on (SSO) voor ChromeOS-apparaten kunnen gebruikers inloggen op een apparaat met dezelfde verificatiemethoden die je gebruikt in de rest van je organisatie. Hun wachtwoorden kunnen binnen de identiteitsprovider (IdP) van je organisatie blijven. Inloggen is vergelijkbaar met inloggen op een Google Workspace-account in een browser via SAML SSO. Omdat de gebruiker echter inlogt op een apparaat, moet je met verschillende zaken rekening houden.

Zie Single sign-on (SSO) instellen voor beheerde Google-accounts met identiteitsproviders van derden voor meer informatie.

Vereisten

  • ChromeOS-apparaat met versie 36 of hoger
  • Domein geconfigureerd voor SAML SSO voor Google Workspace
  • SAML-URL met HTTPS, niet HTTP
  • ChromeOS-licenties voor je apparaten

Stap 1: SSO instellen

Stel Single sign-on in voor beheerde Google-accounts met identiteitsproviders van derden als je dit nog niet hebt gedaan.

Stap 2: SSO testen

Stel SAML SSO in en test dit in een testdomein dat jouw eigendom is. Als je geen testdomein hebt, test je SAML SSO met een klein aantal gebruikers door een testgroep te maken en SSO alleen in te schakelen voor gebruikers in die groep. Nadat je SAML SSO hebt getest met een klein aantal gebruikers, implementeer je de functie voor ongeveer 5% van je gebruikers.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Apparatenand thenChromeand thenInstellingen. De pagina Instellingen voor gebruikers en browsers wordt standaard geopend.

    Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu and then Chrome-browserand thenInstellingen.

  3. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
  4. Ga naar Beveiliging.
  5. Klik op Single sign-on.
  6. Selecteer Op SAML gebaseerde Single sign-on aanzetten voor Chrome-apparaten.
  7. Klik op Opslaan.

(Optioneel) Stap 3: SAML SSO-cookies aanzetten

Als je wilt toestaan dat Single sign-on-gebruikers de volgende keer dat ze op hun apparaat inloggen ook worden ingelogd bij interne websites en cloudservices die werken met dezelfde IdP, kun je SAML SSO-cookies aanzetten.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Apparatenand thenChromeand thenInstellingenand then Apparaatinstellingen.
  3. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
  4. Ga naar Inloginstellingen.
  5. Klik op Gedrag van Single sign-on-cookies.
  6. Selecteer Overdracht van SAML SSO-cookies naar gebruikerssessie tijdens inloggen aanzetten. Ga naar ChromeOS-apparaatbeleid instellen voor meer informatie.
  7. Klik op Opslaan.

(Optioneel) Stap 4: Lokale ChromeOS- en SAML SSO-wachtwoorden gesynchroniseerd houden

Je kunt ervoor kiezen lokale wachtwoorden op ChromeOS-apparaten te synchroniseren met het SAML SSO-wachtwoord van gebruikers.

Het lokale wachtwoord wordt standaard geüpdatet elke keer dat gebruikers online inloggen. Je kunt instellen hoe vaak gebruikers online moeten inloggen met de instelling Inlogfrequentie voor SAML Single sign-on of de instelling Ontgrendelingsfrequentie voor SAML Single sign-on. Soms wijzigen gebruikers echter hun SAML SSO-wachtwoord voordat ze weer online moeten inloggen. In dit geval moeten ze hun oude, lokale ChromeOS-wachtwoord blijven gebruiken totdat ze weer online inloggen.

Als je wilt dat het lokale ChromeOS-wachtwoord gesynchroniseerd blijft met het SAML SSO-wachtwoord van gebruikers, kun je afdwingen dat ze online moeten inloggen zodra ze hun SAML SSO-wachtwoord wijzigen. Zo updaten ze hun ChromeOS-wachtwoord bijna meteen.

  1. Je kunt Google op de volgende manieren informeren over wijzigingen in het wachtwoord van gebruikers:
    1. IdP-integratie: Als je bijvoorbeeld Okta gebruikt, kun je Okta-workflows gebruiken. Bekijk de GitHub-documentatie voor meer informatie.

    2. Integratie van Microsoft Entra-ID: Wijzig Password Notifier (CPN voor Microsoft Entra ID) om Google op de hoogte te stellen van wachtwoordwijzigingen in de Microsoft Entra-ID. Ga naar ChromeOS-wachtwoorden synchroniseren met Change Password Notifier for Microsoft Entra ID voor meer informatie.

    3. AD-integratie: Change Password Notifier voor Active Directory (CPN voor AD) houdt Google op de hoogte van wijzigingen in het wachtwoord van Microsoft AD. Zie ChromeOS-wachtwoorden synchroniseren met Change Password Notifier voor Active Directory voor meer informatie.
    4. API-integratie: Integreer je IdP met de Device Token API. Je kunt de Chrome Device Token API hier downloaden. Zie Enable API suite for cloud project (API-pakket activeren voor cloudproject) voor meer informatie.
  2. Stel de relevante instellingen in:
    1. Flows voor SAML Single sign-on wachtwoordsynchronisatie: Kies of je online inloggen alleen wilt afdwingen op het inlogscherm of op het inlog- en het vergrendelscherm. Zie Chrome-beleid instellen voor gebruikers of browsers voor meer informatie.
    2. SAML Single sign-on wachtwoordsynchronisatie: Selecteer Verificatieflows triggeren om wachtwoorden te synchroniseren met SSO-providers. Zie Chrome-beleid instellen voor gebruikers of browsers voor meer informatie.

(Optioneel) Stap 5: Je gebruikers op de hoogte stellen van aankomende wachtwoordwijzigingen

Zorg dat gebruikers op de hoogte worden gesteld van aankomende wachtwoordwijzigingen op hun ChromeOS-apparaat.

Meldingen over het verlopen van wachtwoorden worden op dit moment niet ondersteund voor Microsoft Entra-ID.

Opmerking: We raden je aan Stap 4: Lokale ChromeOS- en SAML SSO-wachtwoorden gesynchroniseerd houden of Stap 5: Je gebruikers op de hoogte stellen van aankomende wachtwoordwijzigingen uit te voeren, maar niet allebei.

Doe het volgende om gebruikers op de hoogte te stellen van aankomende wachtwoordwijzigingen:

  1. Stel Single sign-on (SSO) in voor beheerde Google-accounts met identiteitsproviders van derden via de Google Beheerdersconsole.
  2. Stel SAML-verklaring voor wachtwoordverloop in voor je SAML SSO-provider. Zie het voorbeeld hieronder.
  3. Stel de instellingen in de Beheerdersconsole in.
    1. Inlogfrequentie voor SAML Single sign-on: Vul een waarde in die korter is dan de tijd waarin het wachtwoord verloopt. ChromeOS updatet verklaringen alleen tijdens online inloggen. Zie Chrome-beleid instellen voor gebruikers of browsers voor meer informatie.
    2. SAML Single sign-on wachtwoordsynchronisatie: Selecteer Verificatieflows triggeren om wachtwoorden te synchroniseren met SSO-providers. Geef op hoeveel dagen van tevoren gebruikers op de hoogte moeten worden gesteld. Je kunt een waarde invullen tussen 0 en 90 dagen. Als je dit veld leeg laat, wordt de standaardwaarde 0 gebruikt en worden gebruikers niet van tevoren op de hoogte gesteld. Ze krijgen pas een melding als hun wachtwoord verloopt. Zie Chrome-beleid instellen voor gebruikers of browsers voor meer informatie.

Voorbeeld AttributeStatement

In dit voorbeeld:

  • De kenmerknaam bevat passwordexpirationtimestamp: Het tijdstempel voor wanneer het wachtwoord van de verifiërende gebruiker verloopt. Dit kan leeg zijn als het wachtwoord niet verloopt en kan in het verleden zijn als het wachtwoord al is verlopen. Je kunt ook passwordmodifiedtimestamp gebruiken als je wilt.
  • Kenmerkwaarde is NTFS-filetime: Het aantal 100ns aan tikken sinds 1 januari 1601 UTC. Je kunt ook de Unix-tijd of ISO 8601-datum en -tijd instellen als je wilt. Andere indelingen worden niet geaccepteerd.

<AttributeStatement>
<Attribute
     Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
     <AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>

(Optioneel) Stap 6: SAML SSO IdP-omleiding aanzetten

Als je wilt toestaan dat gebruikers van Single sign-on rechtstreeks naar de pagina van je SAML-IdP worden geleid, in plaats van dat ze eerst hun e-mailadres moeten intypen, kun je SAML SSO IdP-omleiding aanzetten.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Apparatenand thenChromeand thenInstellingenand then Apparaatinstellingen.
  3. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
  4. Ga naar Inloginstellingen.
  5. Klik op Single sign-on IdP-omleiding.
  6. Selecteer Gebruikers toestaan rechtstreeks naar de SAML SSO IdP-pagina te gaan. Ga naar ChromeOS-apparaatbeleid instellen voor meer informatie.
  7. Klik op Opslaan.

(Optioneel) Stap 7: Omgevingsgebruikersnaam

Je kunt automatisch gebruikersnamen uit Google Identity doorgeven aan de IdP van derden om te voorkomen dat gebruikers hun gebruikersnaam 2 keer moeten typen.

Voordat je begint

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Apparatenand thenChromeand thenInstellingenand then Apparaatinstellingen.
  3. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
  4. Ga naar Inloginstellingen.
  5. Klik op Gebruikersnaam automatisch invullen op de SAML IdP-inlogpagina.
  6. Voer de naam van de URL-parameter in.
  7. Klik op Opslaan.

(Optioneel) Stap 8: Content beheren op de inlog- en vergrendelschermen

Als SAML of OpenID Connect Single sign-on wordt gebruikt voor gebruikersverificatie, of als je netwerkverbindingen met Captive Portals buiten gebruikerssessies configureert, kun je URL's op het inlog- en vergrendelscherm van gebruikers blokkeren of toestaan met de beleidsregels DeviceAuthenticationURLBlocklist en DeviceAuthenticationURLAllowlist.

Ga naar Geblokkeerde URL's op inlog-/vergrendelscherm en Uitzonderingen voor geblokkeerde URL's op inlog-/vergrendelscherm voor meer informatie.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Apparatenand thenChromeand thenInstellingenand then Apparaatinstellingen.
  3. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling geldt voor alle gebruikers en ingeschreven browsers. Selecteer anders een onderliggende organisatie-eenheid.
  4. Ga naar Inloginstellingen.
  5. Klik op Geblokkeerde URL's op inlog-/vergrendelscherm.
    1. Geef aan welke URL's je wilt blokkeren voor het inlog- en vergrendelscherm.
    2. Klik op Opslaan.
  6. Klik op Uitzonderingen voor geblokkeerde URL's op inlog-/vergrendelscherm.
    1. Geef aan welke URL's je wilt toestaan voor het inlog- en vergrendelscherm.
    2. Klik op Opslaan.

Stap 9: SAML SSO uitrollen voor apparaten

Nadat je SAML SSO voor apparaten hebt getest voor 5 procent van je organisatie, kun je de functie implementeren voor iedereen door hetzelfde beleid aan te zetten voor meer groepen. Bij problemen neem je contact op met Google Cloud-support.

Inloggen bij een ChromeOS-apparaat met SAML Single sign-on

Nadat SAML SSO is geconfigureerd op apparaten in je organisatie, zien gebruikers de volgende stappen als ze inloggen op een apparaat.

Vereisten

  • Je hebt alle stappen hierboven uitgevoerd.

Inlogvolgorde:

Vertel je gebruikers het volgende te doen als ze voor het eerst inloggen op hun apparaat. Opmerking: Je moet eerst testen of deze methode werkt voordat je deze implementeert in je organisatie.

  1. Vul je gebruikersnaam (je volledige e-mailadres) in op de inlogpagina van het ChromeOS-apparaat. Je hoeft bij deze stap geen wachtwoord in te vullen.
  2. Je wordt naar de SAML SSO-pagina van je organisatie gestuurd. Voer je SAML-inloggegevens in op de inlogpagina van de SAML-provider.
  3. Voer als hierom wordt gevraagd je wachtwoord nogmaals in om in te loggen. Deze stap is alleen nodig als je identiteitsprovider de Credentials Passing API nog niet heeft geïmplementeerd. Deze API is nodig om offline toegang tot je apparaat mogelijk te maken en het apparaat te ontgrendelen.
  4. Nadat je bent ingelogd, begint je sessie en wordt de browser geopend. De volgende keer dat je inlogt, hoef je je wachtwoord maar één keer in te vullen als je het apparaat opstart. Neem bij problemen contact op met je IT-beheerder.

Veelgestelde vragen

Kan ik Geïntegreerde Windows-verificatie (Windows Integrated Authentication, WIA) gebruiken, zodat gebruikers kunnen inloggen bij browsergebaseerde apps en op het intranet zonder dat ze hun gebruikersnaam en wachtwoord handmatig hoeven in te voeren?

Nee. We ondersteunen WIA niet meer in Active Directory Federation Services (ADFS). Check Migreren naar cloudgebaseerd Chrome-beheer voor meer informatie.

Na inloggen met mijn SAML-provider word ik gevraagd mijn wachtwoord opnieuw in te voeren. Is dit normaal?

Ja. Dit is noodzakelijk voor offline toegang tot je ChromeOS-apparaat en om het te kunnen ontgrendelen. We hebben een API die SAML-leveranciers kunnen implementeren om deze bevestigingsstap over te slaan.

Als gebruikers hun wachtwoord wijzigen op een ander apparaat, hoe zorg ik er dan voor dat het apparaat wordt geüpdatet zodat het kan worden ontgrendeld met het nieuwe wachtwoord?

We raden je aan de eenvoudige updatemethode in onze Directory API te gebruiken. Hiermee ontvangt onze verificatieserver een melding wanneer een wachtwoord wordt gewijzigd. Voer de wachtwoordwaarde in het veld Hoofdgedeelte verzoek in. Als de API niet wordt gebruikt, wordt de wachtwoordwijziging gedetecteerd bij de volgende inlogpoging. Het apparaat forceert standaard elke 14 dagen een online login, zelfs als het wachtwoord niet is gewijzigd. Je kunt deze periode wijzigen in de Beheerdersconsole via Apparatenen danChromeen danInstellingenen danGebruikers en browsersen danInlogfrequentie voor SAML Single sign-on.

Mijn wachtwoord bevat speciale tekens. Werkt het dan wel?

We ondersteunen alleen afdrukbare ASCII-tekens.

Ik zie de melding 'Je kunt niet worden ingelogd. Het inloggen is mislukt omdat er een onbeveiligde URL wordt gebruikt. Neem contact op met je beheerder of probeer het opnieuw.' Wat moet ik doen?

Als je medewerkers aangeven dat deze foutmelding wordt weergegeven, betekent dit dat de SAML IdP probeert een HTTP-URL te gebruiken. Alleen HTTPS wordt ondersteund. Het is belangrijk dat bij het hele inlogproces alleen HTTPS wordt gebruikt. Zelfs als het oorspronkelijke inlogproces dan wordt uitgevoerd via HTTPS, kan deze fout optreden als je IdP je later in het proces omleidt naar een HTTP-URL. Als je dit probleem hebt opgelost en de gebruikers de foutmelding nog steeds krijgen, neem je contact op met Google Cloud-support.

Ik ben IT-beheerder. Waarom word ik niet omgeleid naar mijn SAML-identiteitsprovider?

Dit is zo ontworpen. Als er iets misgaat tijdens de installatie, willen we dat de beheerder nog kan inloggen en het probleem kan oplossen.

Werkt SSO met TLS- en SSL-contentfilters?

Ja. Zie TLS-inspectie (of SSL-inspectie) instellen op ChromeOS-apparaten voor instructies. Naast de toegestane domeinen in Een toelatingslijst met hostnamen instellen, moet je ook het domein van je SSO-identiteitsprovider en www.google.com op de toelatingslijst zetten.

Hoe werkt SSO met camerarechten?

Als je software van derden namens je SSO-gebruikers rechtstreeks toegang wilt geven tot de camera op het apparaat, kun je camerarechten voor Single sign-on inschakelen.

Ga naar Apparaten en danChrome en danInstellingen en danApparaatinstellingen en danSingle sign-on camerarechtenen danToelatingslijst met Single sign-on camerarechten.

Check ChromeOS-apparaatbeleid instellen voor meer informatie.

Wanneer de beheerder dit beleid inschakelt, geeft hij derde partijen namens zijn gebruikers toegang tot de camera van deze gebruikers. De beheerder moet zorgen dat de juiste toestemmingsformulieren zijn ingevuld namens de gebruikers, omdat het systeem eindgebruikers geen toegangsformulier meer laat zien nadat camerarechten zijn gegeven via dit beleid.

Google en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
18166269011789990981
true
Zoeken in het Helpcentrum
true
true
true
true
true
410864
false
false