Konfigurowanie logowania jednokrotnego przez SAML na urządzeniach z Chrome OS

Urządzenia z ChromeOS obsługują logowanie jednokrotne przez SAML (Security Assertion Markup Language), dzięki czemu użytkownicy mogą logować się na urządzeniach przy użyciu tego samego mechanizmu uwierzytelniania, który jest używany w całej organizacji. Hasła użytkowników mogą pozostać w posiadaniu dostawcy tożsamości w organizacji. Proces logowania przypomina logowanie się na konto Google Workspace w przeglądarce przy użyciu logowania jednokrotnego przez SAML. Różnica polega jednak na tym, że użytkownik loguje się na urządzenie, dlatego trzeba wziąć pod uwagę dodatkowe kwestie.

Szczegółowe informacje znajdziesz w artykule Konfigurowanie logowania jednokrotnego na zarządzanych kontach Google przy użyciu zewnętrznych dostawców tożsamości.

Wymagania

urządzenie z ChromeOS w wersji 36 lub nowszej;
domena skonfigurowana na potrzeby logowania jednokrotnego przez SAML w Google Workspace;
adres URL protokołu SAML używający protokołu HTTPS, a nie HTTP;
licencje na ChromeOS dla Twoich urządzeń.

Krok 1. Skonfiguruj logowanie jednokrotne

Skonfiguruj logowanie jednokrotne na zarządzanych kontach Google przy użyciu zewnętrznych dostawców tożsamości

Krok 2. Przetestuj logowanie jednokrotne

Skonfiguruj i przetestuj jednokrotne logowanie oparte na protokole SAML w swojej domenie testowej. Jeśli jej nie masz, przetestuj działanie tej funkcji na małej grupie użytkowników. Aby to zrobić, możesz utworzyć testową jednostkę organizacyjną i włączyć logowanie jednokrotne tylko dla użytkowników z tej jednostki. Po przetestowaniu tej funkcji na małej grupie użytkowników spróbuj ją wdrożyć u około 5% użytkowników.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej kliknij Menu Urządzenia Chrome Ustawienia. Domyślnie otworzy się strona Ustawienia użytkownika i przeglądarki.
Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu Przeglądarka Chrome Ustawienia.
Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
Otwórz Zabezpieczenia.
Kliknij Single sign-on (Logowanie jednokrotne).
Wybierz Włącz logowanie jednokrotne oparte na protokole SAML dla urządzeń z Chrome.
Kliknij Zapisz.

(Opcjonalnie) Krok 3. Włącz pliki cookie logowania jednokrotnego przez SAML

Aby użytkownicy korzystający z logowania jednokrotnego mogli przy kolejnych logowaniach na urządzeniach logować się w witrynach wewnętrznych i usługach w chmurze korzystających z tego samego dostawcy tożsamości, możesz włączyć pliki cookie logowania jednokrotnego przez SAML.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej kliknij Menu Urządzenia Chrome Ustawienia Ustawienia urządzenia.
Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
Otwórz Ustawienia logowania.
Kliknij sekcję Działanie plików cookie logowania jednokrotnego.
Wybierz Włącz przenoszenie plików cookie jednokrotnego logowania się przez SAML do sesji użytkownika podczas logowania. Więcej informacji znajdziesz w artykule Konfigurowanie zasad dotyczących urządzeń z ChromeOS.
Kliknij Zapisz.

(Opcjonalnie) Krok 4. Synchronizuj lokalne hasła do ChromeOS i hasła do logowania jednokrotnego przez SAML

Możesz włączyć synchronizację haseł lokalnych na urządzeniu z ChromeOS z hasłami użytkowników do logowania jednokrotnego przez SAML.

Domyślnie hasło lokalne jest aktualizowane za każdym razem, gdy użytkownik loguje się online. Za pomocą ustawień Częstotliwość logowania jednokrotnego przez SAML i Częstotliwość odblokowywania za pomocą logowania jednokrotnego SAML możesz skonfigurować, jak często użytkownicy muszą logować się online. Jednak niektórzy użytkownicy mogą zmienić swoje hasło do logowania jednokrotnego przez SAML, zanim będą musieli ponownie zalogować się online. W takim przypadku będą nadal używać starego hasła lokalnego do ChromeOS do czasu następnego zalogowania się online.

Aby hasło lokalne do ChromeOS było zsynchronizowane z hasłem do logowania jednokrotnego przez SAML, możesz wymusić logowanie online natychmiast po zmianie hasła do logowania jednokrotnego przez SAML. Dzięki temu hasło do ChromeOS zostanie zaktualizowane niemal natychmiast.

Do informowania nas o zmianach haseł użytkowników możesz korzystać z dowolnej z tych metod:
1. Integracja dostawcy tożsamości – na przykład jeśli używasz Okta, możesz korzystać z przepływów pracy tej usługi. Szczegółowe informacje znajdziesz w dokumentacji na GitHub.
2. Integracja z kontem Microsoft Entra ID – usługa Change Password Notifier (CPN dla Microsoft Entra ID) powiadamia Google o zmianach hasła do Microsoft Entra ID. Szczegółowe informacje znajdziesz w artykule o synchronizowaniu haseł w ChromeOS przy użyciu usługi Change Password Notifier dla Microsoft Entra ID.
3. Integracja z usługami Active Directory – usługa Change Password for Active Directory (CPN for AD) powiadamia Google o zmianach haseł Microsoft Active Directory. Szczegółowe informacje znajdziesz w artykule o synchronizowaniu haseł w ChromeOS z wykorzystaniem usługi Change Password Notifier dla Active Directory.
4. Integracja interfejsu API – zintegruj dostawcę tożsamości z interfejsem Chrome Device Token API. Interfejs Chrome Device Token API możesz pobrać stąd. Aby dowiedzieć się więcej, zobacz instrukcje włączania pakietu API dla projektu w chmurze.
Skonfiguruj odpowiednie ustawienia:
1. Przepływy synchronizacji haseł do logowania jednokrotnego przez SAML – wybierz, czy chcesz wymuszać logowanie online tylko na ekranie logowania czy zarówno na ekranie logowania, jak i na ekranie blokady. Szczegółowe informacje znajdziesz w artykule Ustawianie zasad Chrome dotyczących użytkowników lub przeglądarek.
2. Synchronizacja haseł do logowania jednokrotnego przez SAML – wybierz Uruchamiaj przepływy uwierzytelniania w celu synchronizacji haseł z dostawcami logowania jednokrotnego. Szczegółowe informacje znajdziesz w artykule Ustawianie zasad Chrome dotyczących użytkowników lub przeglądarek.

(Opcjonalnie) Krok 5. Powiadom użytkowników o nadchodzących zmianach haseł

Możesz informować użytkowników o nadchodzących zmianach haseł na ich urządzeniach z ChromeOS.

Obecnie powiadomienia o wygaśnięciu hasła nie są obsługiwane w przypadku Microsoft Entra ID.

Uwaga: zalecamy wykonanie tylko jednego z tych kroków: (Opcjonalnie) Krok 4. Synchronizuj lokalne hasła do ChromeOS i hasła do logowania jednokrotnego przez SAML lub (Opcjonalnie) Krok 5. Powiadom użytkowników o nadchodzących zmianach haseł.

Aby informować użytkowników o nadchodzących zmianach haseł:

W konsoli administracyjnej Google skonfiguruj logowanie jednokrotne na zarządzanych kontach Google przy użyciu zewnętrznych dostawców tożsamości.
Skonfiguruj potwierdzanie SAML dotyczące wygaśnięcia hasła dostawcy logowania jednokrotnego przez SAML. Zobacz poniższy przykład.
Skonfiguruj te ustawienia w konsoli administracyjnej.
1. Częstotliwość logowania jednokrotnego przez SAML – wpisz wartość mniejszą niż okres ważności hasła. ChromeOS aktualizuje potwierdzenia tylko podczas logowania się online. Szczegółowe informacje znajdziesz w artykule Ustawianie zasad Chrome dotyczących użytkowników lub przeglądarek.
2. Synchronizacja haseł do logowania jednokrotnego przez SAML – wybierz Uruchamiaj przepływy uwierzytelniania w celu synchronizacji haseł z dostawcami logowania jednokrotnego. Określ, z wyprzedzeniem ilu dni mają być powiadamiani użytkownicy. Możesz wpisać wartość z zakresu od 0 do 90 dni. Jeśli pozostawisz to pole puste, zostanie użyta wartość domyślna (0). W takim przypadku użytkownicy nie będą powiadamiani z wyprzedzeniem, a dopiero po wygaśnięciu hasła. Szczegółowe informacje znajdziesz w artykule Ustawianie zasad Chrome dotyczących użytkowników lub przeglądarek.

Przykładowy element AttributeStatement

W tym przykładzie:

Nazwa atrybutu zawiera element passwordexpirationtimestamp – sygnaturę czasową wygaśnięcia hasła uwierzytelniającego użytkownika. Jeśli ten element jest pusty, hasło nigdy nie wygaśnie. Jeśli zawiera datę przeszłą, hasło już wygasło. Zamiast tego możesz użyć elementu passwordmodifiedtimestamp.
Wartość atrybutu to wartość NTFS filetime – liczba 100-nanosekundowych taktowań od 1 stycznia 1601 roku czasu UTC. Zamiast tego możesz ustawić czas systemu Unix lub datę i godzinę w standardzie ISO 8601. Inne formaty nie są akceptowane.

<AttributeStatement> <Attribute Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp"> <AttributeValue>132253026634083525</AttributeValue> </Attribute> </AttributeStatement>

(Opcjonalnie) Krok 6. Włącz przekierowanie dostawcy tożsamości logowania jednokrotnego przez SAML

Aby użytkownicy logowania jednokrotnego mogli bezpośrednio otwierać stronę dostawcy tożsamości SAML bez konieczności wcześniejszego wpisywania adresu e-mail, możesz włączyć Przekierowanie dostawcy tożsamości logowania jednokrotnego przez SAML.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej kliknij Menu Urządzenia Chrome Ustawienia Ustawienia urządzenia.
Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
Otwórz Ustawienia logowania.
Kliknij Przekierowanie dostawcy tożsamości logowania jednokrotnego.
Wybierz Zezwalaj użytkownikom na przechodzenie bezpośrednio na stronę dostawcy tożsamości logowania jednokrotnego przez SAML. Więcej informacji znajdziesz w artykule Konfigurowanie zasad dotyczących urządzeń z ChromeOS.
Kliknij Zapisz.

(Opcjonalnie) Krok 7. Przekaż nazwę użytkownika

Możesz automatycznie przekazać nazwy użytkowników z Google Identity do zewnętrznego dostawcy tożsamości, aby użytkownicy nie musieli wpisywać swojej nazwy użytkownika dwa razy.

Zanim zaczniesz

Ta funkcja jest dostępna tylko dla dostawców tożsamości, którzy zezwalają na przekazywanie nazw użytkowników w ramach zapytań SAML. Szczegółowe informacje znajdziesz w artykule Autouzupełnianie nazwy użytkownika na stronie logowania dostawcy tożsamości SAML.
Jeśli zawsze przekierowujesz użytkowników do zewnętrznego dostawcy tożsamości przez wykonanie kroku 7, przekazywanie nazwy użytkownika ogranicza się do procesów ponownego uwierzytelniania. Szczegółowe informacje znajdziesz w ustawieniach Częstotliwość logowania jednokrotnego przez SAML i Częstotliwość odblokowywania za pomocą logowania jednokrotnego SAML.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej kliknij Menu Urządzenia Chrome Ustawienia Ustawienia urządzenia.
Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
Otwórz Ustawienia logowania.
Kliknij sekcję Automatycznie uzupełniaj nazwę użytkownika na stronie logowania dostawcy tożsamości SAML
Wpisz nazwę parametru adresu URL.
Kliknij Zapisz.

(Opcjonalnie) Krok 8. Zarządzaj treściami na ekranach logowania i blokady

Gdy logowanie jednokrotne przez SAML lub OpenID Connect jest używane do uwierzytelniania użytkowników lub konfigurowania połączeń sieciowych z portalami przechwytującymi poza sesjami użytkownika, możesz zablokować adresy URL na ekranach logowania użytkowników i na ekranach blokady lub na nie zezwolić, korzystając z zasad DeviceAuthenticationURLBlocklist i DeviceAuthenticationURLAllowlist.

Więcej informacji znajdziesz w sekcjach Blokowanie adresów URL na ekranie logowania lub blokady i Wyjątki od listy zablokowanych adresów URL na ekranie logowania lub blokady.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej kliknij Menu Urządzenia Chrome Ustawienia Ustawienia urządzenia.
Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
Otwórz Ustawienia logowania.
Kliknij sekcję Blokowanie adresów URL na ekranie logowania lub blokady.
1. Określ, które adresy URL mają być blokowane na ekranach logowania i blokady.
2. Kliknij Zapisz.
Kliknij sekcję Wyjątki od listy zablokowanych adresów URL na ekranie logowania lub blokady.
1. Określ, które adresy URL mają być dozwolone na ekranach logowania i blokady.
2. Kliknij Zapisz.

Krok 9. Wdróż logowanie jednokrotne przez SAML na urządzeniach

Gdy przetestujesz już logowanie jednokrotne przez SAML na 5% urządzeń w swojej organizacji, możesz je wdrożyć na wszystkich, włączając tę samą zasadę w dodatkowych grupach. Jeśli napotkasz jakieś problemy, skontaktuj się z zespołem pomocy Google Cloud.

Logowanie jednokrotne przez SAML na urządzeniach z ChromeOS

Gdy skonfigurujesz w swojej organizacji logowanie jednokrotne przez SAML, podczas logowania się na urządzeniach użytkownicy zobaczą poniższe instrukcje.

Wymagania

Wykonanie wszystkich opisanych powyżej kroków konfiguracji.

Sekwencja logowania:

Poleć użytkownikom, aby przy pierwszym logowaniu się na urządzeniu wykonali te czynności. Uwaga: przetestuj tę procedurę, zanim wdrożysz ją w organizacji.

Wpisz nazwę swoją nazwę użytkownika (pełny adres e-mail) na stronie logowania urządzenia z ChromeOS. Podczas tego kroku nie jest potrzebne hasło.
Otworzy się strona logowania jednokrotnego przez SAML organizacji. Wpisz dane logowania SAML na stronie logowania dostawcy SAML.
Jeśli pojawi się taka prośba, ponownie wpisz hasło, aby się zalogować. Będzie to konieczne tylko w sytuacji, gdy Twój dostawca tożsamości nie wdrożył jeszcze interfejsu Credentials Passing API. Musisz to zrobić, aby zezwolić na dostęp offline do swojego urządzenia i umożliwić jego odblokowywanie.
Gdy uda Ci się zalogować, rozpocznie się sesja i uruchomi się przeglądarka. Przy następnym logowaniu hasło będzie trzeba wpisać tylko raz podczas uruchamiania urządzenia. Jeśli napotkasz jakieś problemy, skontaktuj się z administratorem.

Najczęstsze pytania

Czy mogę używać zintegrowanego uwierzytelniania systemu Windows (WIA), aby umożliwić użytkownikom logowanie się w aplikacjach przeglądarkowych i intranecie bez konieczności ręcznego wpisywania nazwy użytkownika i hasła?

Nie. Nie obsługujemy już WIA w Active Directory Federation Services (AD FS). Więcej informacji znajdziesz w artykule Migracja do zarządzania urządzeniami z Chrome w chmurze.

Po zalogowaniu się na stronie mojego dostawcy SAML otrzymuję prośbę o ponowne podanie hasła. Czy to normalne?

Tak. Jest to konieczne, aby możliwy był dostęp offline do urządzenia z ChromeOS i odblokowanie go. Opracowaliśmy interfejs API, który dostawcy SAML mogą wdrożyć w celu pominięcia tego kroku potwierdzającego.

Jeśli użytkownik zmieni hasło na innym urządzeniu, w jaki sposób zaktualizować to urządzenie, aby można było je odblokować nowym hasłem?

Zalecamy użycie prostej metody aktualizacji w naszym interfejsie API Directory, który powiadomi nasz serwer uwierzytelniania o zmianie hasła. Wpisz hasło w treści żądania. Jeśli nie użyjesz tej metody, zmiana hasła zostanie wykryta podczas następnego logowania online. Domyślnie urządzenie będzie wymuszać logowanie online co 14 dni, nawet jeśli hasło nie zostanie zmienione. Możesz zmienić ten okres w konsoli administracyjnej. Aby to zrobić, kliknij Urządzenia Chrome Ustawienia Użytkownicy i przeglądarki Częstotliwość logowania się online przy użyciu logowania jednokrotnego przez SAML.

Moje hasło zawiera znaki specjalne. Czy będzie działać?

Obsługujemy tylko drukowane znaki ASCII.

Pojawia się komunikat „Ups, nie można Cię zalogować. Nie udało się zalogować, bo mechanizm logowania korzysta z niezabezpieczonego URL-a. Skontaktuj się z administratorem lub spróbuj ponownie”. Co mam zrobić?

Jeśli Twoi pracownicy zgłaszają ten komunikat o błędzie, oznacza to, że dostawca tożsamości SAML próbuje użyć adresu URL protokołu HTTP. Obsługiwany jest tylko protokół HTTPS. Ważne jest, by podczas całej procedury logowania używać tylko protokołu HTTPS. Nawet jeśli początkowy formularz logowania używa HTTPS, błąd może się pojawić, gdy dostawca tożsamości przekieruje Cię na adres URL protokołu HTTP na dalszym etapie procedury logowania. Jeśli po skorygowaniu tego błędu użytkownicy wciąż zgłaszają ten problem, skontaktuj się z zespołem pomocy Google Cloud.

Jestem administratorem IT. Dlaczego nie jestem przekierowywany do mojego dostawcy tożsamości SAML?

To celowe. Jeśli podczas konfiguracji coś pójdzie nie tak, chcemy, by administrator nadal miał możliwość zalogowania się i rozwiązania problemu.

Czy logowanie jednokrotne działa z filtrami treści TLS i SSL?

Tak. Postępuj zgodnie z instrukcjami konfigurowania zawartymi w artykule Konfigurowanie kontroli TLS (lub SSL) na urządzeniach z ChromeOS. Oprócz dozwolonych domen opisanych w artykule Konfigurowanie listy dozwolonych nazw hostów musisz też zezwolić na korzystanie z domeny dostawcy tożsamości SSO i www.google.com

Jak logowanie jednokrotne działa z uprawnieniami do używania aparatu?

Aby w imieniu użytkowników zezwolić oprogramowaniu innych firm na bezpośredni dostęp do aparatu urządzenia, możesz włączyć uprawnienia do używania aparatu przy logowaniu jednokrotnym.

Otwórz Urządzenia Chrome Ustawienia Ustawienia urządzenia Uprawnienia do używania kamery przy logowaniu jednokrotnym Lista dozwolonych uprawnień do używania kamery przy logowaniu jednokrotnym.

Więcej informacji znajdziesz w artykule Konfigurowanie zasad dotyczących urządzeń z ChromeOS.

Włączając tę zasadę, administrator zezwala innym firmom na dostęp do aparatów w urządzeniach użytkowników (w imieniu tych użytkowników). Administrator powinien wcześniej uzyskać zgodę swoich użytkowników, bo system nie wyświetla im żadnych zapytań, gdy uprawnienie do korzystania z aparatu zostanie przyznane za pomocą tej zasady.

Google oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?