通知

要制定办公室复工策略?了解 Chrome 操作系统可以为您提供哪些帮助

为 ChromeOS 设备配置 SAML 单点登录

ChromeOS 设备支持安全断言标记语言 (SAML) 单点登录 (SSO),让用户可以通过在组织中其他地方使用的同一身份验证机制登录设备。用户密码可以保留在您组织的身份提供方 (IdP) 中。登录方式与在浏览器中通过 SAML 单点登录功能登录 Google Workspace 账号非常相似。不过,由于用户是要登录设备,因此还需注意一些其他事项。

有关详情,请参阅使用第三方身份提供商为受管理的 Google 账号设置单点登录

要求

  • 设备运行的是 ChromeOS 36 版或更高版本
  • 网域已经过配置,可通过 SAML 单点登录访问 Google Workspace
  • SAML 网址使用的是 HTTPS(而不是 HTTP)
  • 您设备的 ChromeOS 许可

第 1 步:设置单点登录

如果您尚未使用第三方身份提供商为受管理的 Google 账号设置单点登录,请进行设置。

第 2 步:测试单点登录

在您拥有的测试网域上设置和测试 SAML SSO。如果您没有测试网域,则可让少量用户测试此功能。为此,您可以组建一个测试群组并仅为该群组中的用户启用 SSO。在少量用户测试完此功能后,您便可向单位中大约 5% 的用户推广此功能。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击Chrome接着点击设置。默认情况下,系统会打开用户和浏览器设置页面。

    如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标 接着点击 Chrome 浏览器接着点击设置

  3. 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  4. 选择安全性
  5. 点击 Single sign-on(单点登录)。
  6. 选择为 Chrome 设备启用基于 SAML 的单点登录
  7. 点击保存

(可选)第 3 步:启用 SAML 单点登录 Cookie

要允许单点登录用户之后可在其设备上登录由相同 IdP 提供的内部网站和云服务,您可以启用 SAML SSO Cookie。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击Chrome接着点击设置接着点击设备设置
  3. 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  4. 选择登录设置
  5. 点击单点登录 Cookie 行为
  6. 选择允许在登录过程中将 SAML SSO Cookie 转移到用户会话中。如需了解更多详情,请参阅设置 ChromeOS 设备政策
  7. 点击保存

(可选)第 4 步:让本地 ChromeOS 密码和 SAML 单点登录密码保持同步

您可以选择将 ChromeOS 设备的本地密码与用户的 SAML 单点登录密码同步。

默认情况下,每次用户在线登录时,本地密码都会更新。通过 SAML 单点登录的登录频率SAML 单点登录解锁频率设置,您可以配置用户需要在线登录的频率。不过,部分用户可能需要更改 SAML 单点登录密码,然后才能再次在线登录。如果发生这种情况,用户可以继续使用旧的本地 ChromeOS 密码,直到下次在线登录为止。

要让本地 ChromeOS 密码与 SAML 单点登录密码保持同步,您可以强制用户在 SAML 单点登录密码发生变化后立即在线登录。这样一来,他们就可以几乎即时地更新自己的 ChromeOS 密码。

  1. 要向 Google 发送用户密码更改通知,您可以使用以下任一方式:
    1. IdP 集成 - 举例来说,如果您使用的是 Okta,则可以使用 Okta 工作流。如需了解详情,请参阅 GitHub 文档
    2. Azure Active Directory (AD) 集成 - Change Password Notifier (CPN for Azure AD) 会在 Microsoft Azure AD 密码更改时通知 Google。有关详情,请参阅使用 Change Password Notifier for Azure Active Directory 同步 ChromeOS 密码

    3. AD 集成 - Change Password Notifier for Active Directory (CPN for AD) 会向 Google 通知 Microsoft AD 密码的更改。有关详情,请参阅使用 Change Password Notifier for Active Directory 同步 ChromeOS 密码
    4. API 集成 - 将您的 IdP 与设备令牌 API 集成。您可以点击此处获取 Chrome 设备令牌 API。有关详情,请参阅为 Cloud 项目启用 API 套件
  2. 配置相关设置:
    1. SAML 单点登录密码同步流程:选择是仅为登录屏幕强制执行在线登录流程,还是同时为登录屏幕和锁定屏幕强制执行在线登录流程。有关详情,请参阅为用户或浏览器设置 Chrome 政策
    2. SAML 单点登录密码同步 - 选择触发身份验证流程,以便与 SSO 提供商同步密码。有关详情,请参阅为用户或浏览器设置 Chrome 政策

(可选)第 5 步:告知用户密码即将更改

您可以确保用户在自己的 ChromeOS 设备密码即将更改时收到通知。

目前,Azure AD 不支持密码失效通知。

注意:我们建议您执行第 4 步:让本地 ChromeOS 密码和 SAML 单点登录密码保持同步第 5 步:告知用户密码即将更改,但不能这两个步骤都执行。

如需在密码即将更改时向用户发送通知,请执行以下步骤:

  1. 在 Google 管理控制台中,使用第三方身份提供商为受管理的 Google 账号设置单点登录
  2. 为 SAML 单点登录提供商配置 SAML 密码到期断言。请参阅下文的示例。
  3. 使用管理控制台配置以下设置。
    1. SAML 单点登录的登录频率:输入小于密码到期时间的值。ChromeOS 只会在在线登录期间更新断言。有关详情,请参阅为用户或浏览器设置 Chrome 政策
    2. SAML 单点登录密码同步 - 选择触发身份验证流程,以便与 SSO 提供商同步密码。指定应提前多少天通知用户。您可以输入一个介于 090 天之间的值。如果留空,系统会使用默认值 0,并且只会在用户密码到期时才通知用户,不会提前通知。有关详情,请参阅为用户或浏览器设置 Chrome 政策

示例 AttributeStatement

在此示例中:

  • 属性名称包含 passwordexpirationtimestamp,这是进行身份验证的用户的密码到期时的时间戳。如果密码不会过期,可以将此值留空;如果密码已过期,可填入一个过去的时间。您可以根据需要改用 passwordmodifiedtimestamp
  • 属性值为 NTFS 文件时间,即自 1601 年 1 月 1 日(世界协调时间)开始的以 100 纳秒为单位的计数。您可以根据需要改为设置 Unix 时间或 ISO 8601 日期和时间格式。不接受其他格式。

<AttributeStatement>
<Attribute
     Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
     <AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>

(可选)第 6 步:启用 SAML 单点登录 IdP 重定向

要让单点登录用户不必先输入自己的电子邮件地址,就可以直接前往 SAML IdP 页面,您可以启用 SAML SSO IdP 重定向功能。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击Chrome接着点击设置接着点击设备设置
  3. 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  4. 选择登录设置
  5. 点击单点登录 IdP 重定向
  6. 选择允许用户直接转到 SAML 单点登录 IdP 页面。如需了解更多详情,请参阅设置 ChromeOS 设备政策
  7. 点击保存

(可选)第 7 步:用户名透传

您可以将用户名从 Google Identity 自动传递到第三方 IdP,这样用户就不必输入两次用户名了。

准备工作

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击Chrome接着点击设置接着点击设备设置
  3. 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  4. 选择登录设置
  5. 点击在 SAML IdP 登录页面上自动填充用户名
  6. 输入网址参数名称。
  7. 点击保存

(可选)第 8 步:控制登录屏幕和锁定屏幕上的内容

将 SAML 或 OpenID Connect 单点登录用于用户身份验证时,或在用户会话之外配置强制门户网络连接时,您可以使用 DeviceAuthenticationURLBlocklistDeviceAuthenticationURLAllowlist 政策在用户登录和锁定屏幕上屏蔽或允许网址。

有关详情,请参阅登录/锁定屏幕上的已屏蔽网址,以及登录/锁定屏幕上的已屏蔽网址例外

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击Chrome接着点击设置接着点击设备设置
  3. 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  4. 选择登录设置
  5. 点击在登录/锁定屏幕上屏蔽的网址
    1. 指定要从登录屏幕和锁定的屏幕屏蔽哪些网址。
    2. 点击保存
  6. 点击在登录/锁定屏幕上屏蔽网址的例外
    1. 指定从登录屏幕和锁定的屏幕允许哪些网址。
    2. 点击保存

第 9 步:为设备发布 SAML 单点登录

让您单位中 5% 的用户在设备上测试 SAML SSO 后,您就可以为其他群组启用同一政策,向所有人推广这项服务。如果您遇到问题,请与 Google Cloud 支持团队联系。

通过 SAML 单点登录服务登录 ChromeOS 设备

为您组织的设备配置 SAML SSO 后,用户会在登录设备时看到以下步骤。

要求

  • 您已完成上文所述所有步骤。

登录顺序:

当用户首次登录设备时,引导他们执行以下操作。注意:您必须先进行测试,再为全组织推行这项服务。

  1. 在 ChromeOS 设备登录页面上输入您的用户名(完整的电子邮件地址)。此步骤无需密码。
  2. 系统会将您转到单位的 SAML SSO 页面。在 SAML 提供商登录页面输入您的 SAML 凭据。
  3. 根据系统提示重新输入密码,然后完成登录。仅在身份提供商未实施 Credentials Passing API 的情况下,您才需要执行此步骤。只有这样,用户才能离线访问您的设备并为其解锁。
  4. 成功登录后,系统就会启动您的会话并打开浏览器。下次登录时,您只需在启动设备时输入一次密码即可。如果您遇到问题,请与 IT 管理员联系。

常见问题解答

我可以使用 Windows 集成身份验证 (WIA) 允许用户在无需手动输入用户名和密码的情况下登录基于浏览器的应用和内网吗?

不可以。我们不再支持在 Active Directory Federation Services (AD FS) 中使用 WIA。如需了解详情,请参阅迁移到云端 Chrome 管理

通过 SAML 提供商登录后,系统提示我重新输入密码。这种情况正常吗?

正常。因为只有这样,用户才能离线访问您的 ChromeOS 设备并为其解锁。我们提供了一个 API,SAML 供应商实施该 API 后便可省去此确认步骤。

如果用户在其他设备上更改了自己的密码,如何确保 Chrome 设备能够同步更新,以使用新密码解锁?

我们建议您使用 Directory API 提供的简单更新方式。当密码发生变化时,此 API 就会通知身份验证服务器。请在请求正文中输入密码值。如果您未使用此 API,系统就要等到下一次在线登录流程,才能检测到密码更改。默认情况下,即使密码未更改,设备也会强制用户每 14 天在线登录一次。您可以在管理控制台中更改此期限,具体方法如下:转到设备 接着点按 Chrome 接着点按 设置 接着点按 用户和浏览器 接着点按 SAML 单点登录的登录频率

我的密码包含特殊字符,该密码能正常使用吗?

我们仅支持 ASCII 码中的可打印字符

我看到屏幕上显示“糟糕!您无法登录。由于已配置为使用不安全的网址,因此登录失败了。请与管理员联系或重试”。我该怎么办?

如果您的员工报告此错误消息,则表示 SAML IdP 正在尝试使用 HTTP 网址(但系统仅支持 HTTPS 网址)。整个登录流程必须仅使用 HTTPS,这一点非常重要。因此,即使系统通过 HTTPS 提供了初始登录表单,如果您稍后在登录流程中将 IdP 重定向至某个 HTTP 网址,屏幕上也会显示此错误消息。如果用户在您解决此问题后仍收到该错误消息,请与 Google Cloud 支持团队联系。

我是一名 IT 管理员,为什么系统没有将我重定向至我的 SAML 身份提供商?

这是设计所致。如果设置过程中出现问题,我们还是希望管理员能够登录并排查问题。

单点登录能否与 TLS 和 SSL 内容过滤器搭配使用?

能。请按照在 ChromeOS 设备上设置 TLS(或 SSL)检查中的相关说明进行设置。除了设置主机名许可名单中记录的已列入许可名单的网域之外,您还需要将 SSO 身份提供方网域和 www.google.com 列入许可名单。

如何授权通过 SSO 登录的软件使用相机?

如要代表您的单点登录用户授权第三方软件直接使用设备相机,您可以启用单点登录相机权限。

转到设备接着点按Chrome接着点按设置接着点按设备设置接着点按单点登录相机权限接着点按单点登录相机权限许可名单

如需了解更多详情,请参阅设置 ChromeOS 设备政策

启用此设置即表示管理员将代表用户授予第三方访问用户相机的权限。管理员应确保为用户提供适当的同意书,因为通过此政策授予相机访问权限后,系统将不会向最终用户显示任何同意书。

“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单
15136501638812346494
true
搜索支持中心
true
true
true
true
true
410864
false
false