Konfigurera SAML för enkel inloggning på ChromeOS-enheter

Med stöd för enkel inloggning (Single Sign-On, SSO) via Security Assertion Markup Language (SAML) på ChromeOS-enheter kan en användare logga in på en enhet med samma autentiseringsmetod som används inom organisationen i övrigt. Användarnas lösenord kan bevaras hos organisationens identitetsleverantör (idp). Inloggningen går i princip till på samma sätt som när du loggar in på ett Google Workspace-konto i en webbläsare via SAML för enkel inloggning. Eftersom användaren loggar in på en enhet finns det dock en del att ha i åtanke.

Mer information finns i Konfigurera enkel inloggning för hanterade Google-konton med externa identitetsleverantörer.

Krav

ChromeOS-enhet med version 36 eller senare
Domänen måste vara konfigurerad för SAML för enkel inloggning för Google Workspace
SAML-webbadressen måste använda HTTPS och inte HTTP.
ChromeOS-licenser för dina enheter

Steg 1: Konfigurera SSO

Konfigurera enkel inloggning för hanterade Google-konton med leverantörer från tredje part om du inte redan har gjort det.

Steg 2: Testa SSO

Konfigurera ett test-SAML för enkel inloggning på en av dina testdomäner. Om du inte har någon testdomän kan du testa SAML för enkel inloggning på ett litet antal testare genom att skapa en testgrupp. Sedan aktiverar du enkel inloggning för användarna i den gruppen. När du har testat funktionen på ett fåtal användare implementerar du funktionen för ungefär fem procent av användarna.

Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
I administratörskonsolen öppnar du menyn EnheterChromeInställningar. Sidan Inställningar för användare och webbläsare öppnas som standard.
Om du har registrerat dig för Chrome Browser Cloud Management öppnar du menyn Webbläsaren ChromeInställningar.
Om du vill att inställningen ska gälla alla användare och registrerade webbläsare väljer du organisationsenheten på den högsta nivån. Välj annars en underordnad organisationsenhet.
Öppna Säkerhet.
Klicka på Enkel inloggning.
Välj Aktivera SAML-baserad enkel inloggning för Chrome-enheter.
Klicka på Spara.

(Valfritt) Steg 3: Aktivera SAML SSO-cookies

Om du vill att användare som använder enkel inloggning ska kunna logga in på interna webbplatser och molntjänster med samma IdP som vid efterföljande inloggningar på enheten aktiverar du SAML-cookies för enkel inloggning.

Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
I administratörskonsolen öppnar du menyn EnheterChromeInställningarEnhetsinställningar.
Om du vill att inställningen ska gälla alla användare och registrerade webbläsare väljer du organisationsenheten på den högsta nivån. Välj annars en underordnad organisationsenhet.
Öppna Inloggningsinställningar.
Klicka på Beteende för cookie med enkel inloggning.
Välj Aktivera överföring av cookies för enkel inloggning för SAML i användarsession under inloggning. Mer information finns i Ange policyer för ChromeOS-enheter.
Klicka på Spara.

(Valfritt) Steg 4: Synkronisera lokala ChromeOS- och SAML SSO-lösenord

Du kan välja att synkronisera lokala lösenord för ChromeOS-enheter med användarnas SAML SSO-lösenord.

Som standard uppdateras det lokala lösenordet varje gång användare loggar in online. Du kan konfigurera hur ofta användarna måste logga in online med inställningarna för Frekvens för enkel inloggning med SAML eller Frekvens för upplåsning vid enkel inloggning med SAML. Vissa användare kan dock ändra sitt SAML SSO-lösenord innan de måste logga in online igen. Om det händer fortsätter användarna att använda sitt gamla lokala lösenord för ChromeOS tills nästa gång de loggar in online.

Om du vill hålla det lokala ChromeOS-lösenordet synkroniserat med SAML SSO-lösenordet kan du tvinga dem att logga in online så snart deras SAML SSO-lösenord har ändrats. På så sätt uppdateras ChromeOS-lösenordet nästan omedelbart.

Om du vill meddela Google om ändringar av användarnas lösenord kan du använda något av följande:
1. IdP-integration – om du till exempel använder Okta kan du använda Okta-arbetsflöden. Mer information finns i GitHub-dokumentationen.
2. Integrering av Microsoft Entra-id – Ändra lösenordsavisering (CPN för Microsoft Entra ID) meddelar Google om lösenordsändringar för Microsoft Entra-id. Mer information finns i Synkronisera ChromeOS-lösenord med Ändra lösenordsavisering för Microsoft Entra-id.
3. AD-integration – Ändra lösenordsavisering för Active Directory (CPN för AD) meddelar Google om ändringar av Microsoft AD-lösenord. Mer information finns i Synkronisera ChromeOS-lösenord med Ändra lösenordsavisering för Active Directory.
4. API-integration – integrera din IdP med API:t för enhetstoken. Du hittar API:t för Chrome-enhetstoken här. Mer information finns i Aktivera API-svit för molnprojekt.
Konfigurera relevanta inställningar.
1. SAML SSO-synkroniseringsflöden för lösenord – välj om du vill tillämpa inloggning online enbart på inloggningsskärmen eller för både inloggningsskärmen och låsskärmen. Mer information finns i Konfigurera Chrome-policyer för användare eller webbläsare.
2. SAML för lösenordssynkronisering med enkel inloggning – välj Aktivera autentiseringsflöden för att synkronisera lösenord med SSO-leverantörer. Mer information finns i Konfigurera Chrome-policyer för användare eller webbläsare.

(Valfritt) Steg 5: Informera användarna om kommande lösenordsändringar

Du kan säkerställa att användarna informeras om kommande lösenordsändringar på sina ChromeOS-enheter.

Aviseringar om utgångsdatum för lösenord stöds för närvarande inte för Microsoft Entra ID.

Obs! Vi rekommenderar att du utför antingen Steg 4: Synkronisera lokala ChromeOS- och SAML SSO-lösenord eller Steg 5 Informera användarna om kommande lösenordsändringar, inte båda.

Informera användarna om kommande lösenordsändringar

Konfigurera enkel inloggning för hanterade Google-konton med externa identitetsleverantörer med hjälp av Googles administratörskonsol.
Konfigurera SAML-kontroll för sista giltighetsdatum för lösenord för SAML SSO-leverantören. Se exemplet nedan.
Konfigurera inställningarna på administratörskonsolen.
1. Frekvens för enkel inloggning med SAML – ange ett värde som är mindre än lösenordets utgångstid. Kontrollerna i ChromeOS uppdateras enbart under onlineinloggningar. Mer information finns i Konfigurera Chrome-policyer för användare eller webbläsare.
2. SAML för lösenordssynkronisering med enkel inloggning – välj Aktivera autentiseringsflöden för att synkronisera lösenord med SSO-leverantörer. Ange hur många dagar i förväg användarna ska meddelas. Du kan ange ett värde mellan 0 och 90 dagar. Om värdet lämnas tomt används standardvärdet 0 och användarna meddelas inte i förväg utan enbart när lösenordet löper ut. Mer information finns i Konfigurera Chrome-policyer för användare eller webbläsare.

Exempel på AttributeStatement

I exemplet:

Attributnamnet innehåller passwordexpirationtimestamp – tidsstämpeln när autentiseringen av användarens lösenord upphör att gälla. Kan vara tomt om lösenordet inte löper ut, kan redan ha passerat om det redan har löpt ut. Du kan använda passwordmodifiedtimestamp i stället.
Attributvärdet är NTFS-filtid – antalet 100-nanonsekunders ticks sedan den 1 januari 1601 UTC. Du kan ange tid i Unix eller datum och tid i ISO 8601 i stället. Inga andra format godkänns.

<AttributeStatement> <Attribute Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp"> <AttributeValue>132253026634083525</AttributeValue> </Attribute> </AttributeStatement>

(Valfritt) Steg 6: Aktivera IdP-omdirigering för enkel inloggning med SAML

Om du vill tillåta att användare med enkel inloggning navigerar direkt till din sida för SAML-identitetsleverantör (IdP) i stället för att först behöva ange sin e-postadress aktiverar du IdP-omdirigering för enkel inloggning.

Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
I administratörskonsolen öppnar du menyn EnheterChromeInställningarEnhetsinställningar.
Om du vill att inställningen ska gälla alla användare och registrerade webbläsare väljer du organisationsenheten på den högsta nivån. Välj annars en underordnad organisationsenhet.
Öppna Inloggningsinställningar.
Klicka på IdP-omdirigering för enkel inloggning.
Välj Tillåt användarna att fortsätta direkt till IdP-sidan för enkel inloggning med SAML. Mer information finns i Ange policyer för ChromeOS-enheter.
Klicka på Spara.

(Valfritt) Steg 7: Överföring av användarnamn

Du kan föra över användarnamn automatiskt från Google Identity till 3P IdP för att undvika att användarna behöver ange sitt användarnamn två gånger.

Innan du börjar

Den här funktionen är enbart tillgänglig för IdP:er som tillåter överlämning av användarnamn som en del av SAML-frågan. Mer information finns i Autofyll användarnamn på SAML IdP-inloggningssidan.
Om du alltid omdirigerar användare till identitetsleverantören från tredje part (3P IdP) genom att slutföra steg 7 är vidarebefordran av användarnamn begränsat till omautentiseringsflöden. Mer information finns i inställningarna för frekvens för enkel inloggning med SAML eller frekvens för enkel inloggning med SAML.

Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
I administratörskonsolen öppnar du menyn EnheterChromeInställningarEnhetsinställningar.
Om du vill att inställningen ska gälla alla användare och registrerade webbläsare väljer du organisationsenheten på den högsta nivån. Välj annars en underordnad organisationsenhet.
Öppna Inloggningsinställningar.
Klicka på Autofyll användarnamn på SAML IdP-inloggningssidan.
Ange namnet på webbadressparametern.
Klicka på Spara.

(Valfritt) Steg 8: Styra innehåll på inloggningsskärmen och låsskärmen

När enkel inloggning med SAML eller OpenGL Connect används för användarautentisering, eller när du konfigurerar nätverksanslutningar med infångstportaler utanför användarsessioner, kan du blockera eller tillåta webbadresser på inloggnings- och låsskärmar för användare med hjälp av DeviceAuthenticationURLBlocklist- och DeviceAuthenticationURLAllowlist-policyerna.

Mer information finns i Blockerade webbadresser på inloggnings-/låsskärmarna och Undantag för blockerade webbadresser på inloggnings-/låsskärmarna.

Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
I administratörskonsolen öppnar du menyn EnheterChromeInställningarEnhetsinställningar.
Om du vill att inställningen ska gälla alla användare och registrerade webbläsare väljer du organisationsenheten på den högsta nivån. Välj annars en underordnad organisationsenhet.
Öppna Inloggningsinställningar.
Klicka på Blockerade webbadresser på inloggnings-/låsskärmarna.
1. Ange vilka webbadresser som ska blockeras från inloggningsskärmen och låsskärmen.
2. Klicka på Spara.
Klicka på Undantag från blockerade webbadresser på inloggnings-/låsskärmarna.
1. Ange vilka webbadresser som ska tillåtas från inloggningsskärmen och låsskärmen.
2. Klicka på Spara.

Steg 9: Lansera SAML SSO för enheter

När du har testat SAML för enkel inloggning på enheter för fem procent av organisationen kan du fortsätta implementera funktionen för resten av organisationen genom att aktivera samma policy för andra grupper. Kontakta support för Google Cloud om du stöter på problem.

Logga in på en ChromeOS-enhet med enkel inloggning med SAML

När SAML SSO på enheter har konfigurerats för organisationen ser användarna följande steg när de loggar in på en enhet.

Krav

Du har slutfört alla steg som beskrivs ovan.

Inloggningssekvens:

Uppmana användarna att göra följande när de loggar in på enheten för första gången. Obs! Du måste testa detta innan du lanserar detta för organisationen.

Ange användarnamnet (den fullständiga e-postadressen) på ChromeOS-enhetens inloggningssida. Det behövs inget lösenord för det här steget.
Organisationens sida för enkel inloggning med SAML öppnas. Ange användaruppgifterna för SAML på SAML-leverantörens inloggningssida.
Om det behövs anger du lösenordet en gång till för att slutföra inloggningen. Det här steget är bara nödvändigt om din identitetsleverantör ännu inte har implementerat Credentials Passing API. Detta behövs för att tillåta åtkomst till enheten i offlineläge och för att kunna låsa upp den.
När du har loggat in börjar sessionen och webbläsaren öppnas. Näst gång du loggar in behöver du bara ange lösenordet en gång när enheten startas. Om det uppstår problem kontaktar du IT-administratören.

Vanliga frågor

Kan jag använda Windows-integrerad autentisering (WIA) för att tillåta användarna att logga in på webbläsarbaserade appar och intranätet utan att behöva ange användarnamn och lösenord manuellt?

Nej. Vi stöder inte längre WIA i Active Directory Federation Services (AD FS). Mer information finns i Migrera till molnbaserad Chrome-hantering.

När jag har loggat in med min SAML-leverantör måste jag ange mitt lösenord igen. Ska det vara så?

Ja. Du måste ange lösenordet igen för att kunna komma åt din ChromeOS-enhet offline och för att du ska kunna låsa upp enheten. Vi har ett API som SAML-leverantörer kan implementera om de vill ta bort det här bekräftelsesteget.

Hur ser vi till att Chrome-enheten uppdateras om en användare ändrar sitt lösenord på en annan enhet, så att det nya lösenordet kan användas för att låsa upp enheten?

Vi rekommenderar att du använder den enkla uppdateringsmetoden i vårt Directory API som meddelar autentiseringsservern när ett lösenord ändras. Ange lösenordsvärdet i Begäran. Om ni inte använder API:et upptäcks det nya lösenordet vid nästa inloggning online. Enheten tvingar som standard fram en inloggning online var fjortonde dag, även om lösenordet inte har ändrats. Du kan ändra hur lång perioden ska vara på administratörskonsolen genom att öppna EnheterChromeInställningarAnvändare och webbläsareFrekvens för enkel inloggning med SAML.

Jag använder specialtecken i mitt lösenord. Går det bra?

Vi stöder endast utskrivbara ASCII-tecken.

Jag får meddelandet ”Det gick inte att logga in. Inloggningen misslyckades eftersom den har konfigurerats för att använda en webbadress som inte är säker. Kontakta administratören eller försök igen.” Vad ska jag göra?

Om dina anställda rapporterar det här felmeddelandet betyder det att SAML-identitetsleverantören försöker använda en HTTP-webbadress trots att det bara finns stöd för HTTPS. Det är viktigt att endast HTTPS används under hela inloggningsflödet. Felmeddelandet kan visas om identitetsleverantören omdirigerar dig till en HTTP-webbadress senare under inloggningsprocessen även om den ursprungliga inloggningen sker via HTTPS. Om du åtgärdar detta och användarna fortfarande ser felmeddelandet kontaktar du support för Google Cloud.

Jag är IT-administratör. Varför omdirigeras jag inte till min SAML-identitetsleverantör?

Det är så här vi har utformat tjänsten. Om något skulle gå fel vid konfigurationen vill vi att administratören ska kunna logga in för att kunna felsöka och rätta till problemet.

Fungerar SSO med TLS- och SSL-innehållsfilter?

Ja. Gör inställningar genom att följa anvisningarna i Konfigurera TLS-inspektion (eller SSL-inspektion) på ChromeOS-enheter. Förutom de godkända domäner som anges i Skapa en lista över godkända värdnamn måste du tillåta domänen för SSO-identitetsleverantören och www.google.com.

Hur fungerar SSO med kamerabehörigheter?

Om du vill ge externa program direktåtkomst till enhetens kamera åt SSO-användarna kan du aktivera kamerabehörigheter för enkel inloggning.

Besök EnheterChromeInställningarEnhetsinställningarKamerabehörigheter för enkel inloggningGodkännandelista över kamerabehörigheter för enkel inloggning.

Mer information finns i Ange policyer för ChromeOS-enheter.

Genom att aktivera principen ger administratören tredje part åtkomst till användarnas kameror å användarnas vägnar. Administratören ska se till att samla in de rätta samtyckesformulären från användarna, eftersom systemet inte visar samtyckesformulären för slutanvändarna när kamerabehörigheten väl har beviljats via den här policyn.

Google och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.

Var det här till hjälp?

Hur kan vi förbättra den?