إشعار

إذا كنت تخطِّط لعودة الموظفين إلى العمل من مقر الشركة، ننصحك بالتعرّف على كيفية الاستفادة من نظام التشغيل Chrome.

إدارة شهادات العميل على أجهزة ChromeOS

 تتطلب بعض الشبكات وموارد الويب الداخلية مصادقة المستخدمين لأنفسهم باستخدام شهادة رقمية. تتيح شهادات العميل للمستخدمين على الأجهزة التي تعمل بنظام التشغيل Chrome الوصول إلى هذه الأنواع من الشبكات والموارد.

لتعزيز أمان الشبكات والموارد الداخلية، تعمل المؤسسات على مصادقة مستخدمي أجهزة الموظفين والطلاب باستخدام شهادات رقمية من جهة العميل. على سبيل المثال، يتم استخدام مصادقة EAP-TLS (802.1x) للسماح بالوصول إلى شبكات LAN، والمصادقة المتبادلة من خلال بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة (TLS/SSL) للسماح بالوصول إلى موارد الويب الداخلية.

هناك عدة خطوات لوضع شهادة العميل على أحد الأجهزة، بما في ذلك:

  • إنشاء زوج من المفاتيح بأمان على الجهاز.
  • إرسال المفتاح العام ومعلومات التحديد والمصادقة الأخرى إلى مرجع تصديق للحصول على شهادة.
  • استيراد الشهادة إلى الجهاز.

تدعم مراجع التصديق المختلفة بروتوكولات تسجيل مختلفة، مثل SCEP وEST، وتطبّق المؤسسات خطط سير العمل، وعمليات تحقّق، وقواعد مُحدَّدة يجب التحقُّق منها قبل منح شهادة.

يتم دعم شهادات العميل من خلال وحدة النظام الأساسي الموثوق به (TPM) في Chrome على أجهزة ChromeOS، ويضمن هذا الإجراء عدم انفصال المفتاح الخاص عن الجهاز مطلقًا.

إدارة شهادات العميل وتوفيرها

إدارة شهادات العميل على أجهزة ChromeOS باستخدام Google Cloud Certificate Connector

يمكنك استخدام Google Cloud Certificate Connector لتوزيع الشهادات ومفاتيح المصادقة بأمان من خادم Simple Sign Enroling Protocol ‏(SCEP) على أجهزة المستخدمين. للحصول على التفاصيل، يُرجى الاطّلاع على مقالة استخدام Google Cloud Certificate Connector أو مقالة ضبط تسجيل الشهادة لنظام التشغيل ChromeOS عبر SCEP للحصول على دليل شامل.

إدارة شهادات العميل على أجهزة ChromeOS باستخدام إضافة Certificate Enrollment من Google

بدءًا من الإصدار 37 لنظام التشغيل Chrome، بإمكان الشركاء، مثل مراجع التصديق ومورّدي إدارة البنية التحتية والعملاء، كتابة إضافة باستخدام واجهة برمجة التطبيقات chrome.enterprise.platformKeys لتوفير شهادات العميل على الأجهزة التي تعمل بنظام التشغيل Chrome. وباستخدام إضافة، يمكن دعم مجموعة متنوعة من مراجع التصديق وبروتوكولات التسجيل وأي شكل من أشكال سير العمل المستند إلى الويب. يمكن للعملاء الذين يستخدمون خدمات شهادات Windows Active Directory استخدام أداة "تسجيل المؤسسة" من Google لطلب الشهادات لأجهزة Chrome وتثبيتها. ولمعرفة مزيد من المعلومات، يُرجى الاطّلاع على المقالة استخدام الإضافة "تسجيل الشهادة لنظام التشغيل ChromeOS".

وعند استخدام الرمز المميز لمستخدم (مُعرّف يساوي "المستخدم") واجهة برمجة التطبيقات chrome.enterprise.platformKeys، تصبح شهادات العميل، التي تم الحصول عليها باستخدام إضافات، فريدة للمستخدم والجهاز. على سبيل المثال، مستخدم ثانٍ على نفس الجهاز لديه شهادة مختلفة. عندما يسجل المستخدم الدخول إلى جهاز آخر، يصدر مرجع التصديق شهادة أخرى. وبما أنّ شهادات العميل لديها نسخة احتياطية في وحدة النظام الأساسي الموثوق، لا يستطيع مستخدم آخر أن يسرق الشهادة وأن يثبّتها على جهاز آخر أو أن يستولي عليها. وعند إزالة مستخدم من الجهاز، تتم كذلك إزالة الشهادة.

إدارة شهادات العميل على أجهزة ChromeOS باستخدام إضافة تابعة لجهة خارجية

لتوفير شهادات العميل باستخدام إضافة تابعة لجهة خارجية:

  1. تأكّد من توفّر إحدى خدمات Chrome. اطّلع علىخيارات خدمة Chrome.

    تعمل "وحدة تحكّم المشرف" على تسهيل نشر المستخدمين والأجهزة والتطبيقات والتحكّم فيها على جميع الأجهزة التي تعمل بنظام التشغيل Chrome في مؤسستك.

  2. احصل على إضافة تنظيم باستخدام واجهة برمجة تطبيقات chrome.enterprise.platformKeys التي تطبِّق خطوات سير عمل التنظيم وتتكامل مع مرجع التصديق الذي تستخدمه.

    انتقِل إلى "سوق Chrome الإلكتروني" للعثور على إضافة مرجع التصديق الذي تستخدمه. وإذا لم تكن هناك إضافة متوفرة من قبل لمرجع التصديق، يمكنك إنشاء واحدة بنفسك أو استئجار استشاري أو مورد لإنشاء إضافة لك. وللحصول على مزيد من المعلومات، يمكنك الاطّلاع على دليل المطوِّر.

  3. فرض تثبيت المؤسسة للإضافة لدى مستخدمين. لا تتوفّر واجهة برمجة تطبيقات chrome.enterprise.platformKeys إلا للإضافات التي فرضت المؤسسة تثبيتها حسب السياسة. اطّلع علىتثبيت التطبيقات والإضافات تلقائيًا.
  4. تحقَّق من ضبط الشبكة بحيث يمكن للمستخدمين في شبكة الضيف أو التنظيم الاتصال بها، وبالتالي يمكن لشبكة الضيف أو التنظيم الاتصال بمرجع التصديق.

    في معظم الحالات، لا تملك شبكة الضيف أو التنظيم إذن الوصول ذا الامتيازات، لذلك يمكن استخدامه فقط لتصفّح الشبكة الخارجية وللوصول إلى مرجع التصديق لتنظيم الشهادة. ويمكن البدء في عملية تنظيم الشهادة باستخدام هذه الشبكة. يمكنك إجراء عملية ضبط مسبقة لشبكة الضيف أو التنظيم على جميع الأجهزة التي تعمل بنظام التشغيل Chrome التي تديرها. للمزيد من المعلومات، يُرجى الاطّلاع على إدارة الشبكات.

  5. تحقق من أنّ كل جهاز من الأجهزة التي تعمل بنظام التشغيل Chrome مسجَّل في النطاق. لن يتمكّن من استخدام شهادة الجهاز إلا المستخدمون المسجَّلون في نطاق تسجيل الجهاز. يُرجى الاطِّلاع على تسجيل الأجهزة التي تعمل بنظام التشغيل Chrome.

معلومات إضافية

شهادات الجهاز والمستخدم

بصفتك مشرفًا، يمكنك ضبط عملية الإعداد لشهادات المستخدم والجهاز.

يتم ربط شهادات المستخدم بجلسة مستخدم مُدار. ويمكن استخدام هذه الشهادات للمصادقة على مستوى المستخدم على مواقع الويب والشبكات وتطبيقات الطرف الثالث.

يتم ربط شهادات الجهاز بجهاز مُدار. ويتم عرض هذه الشهادات في أماكن متعدّدة، مثل:

  • جلسات المستخدمين التابعين للمستخدمين الذين تتم إدارتهم من خلال النطاق نفسه الذي يستخدمه الجهاز.
  • شاشات تسجيل الدخول إلى Chrome حيث تظهر الشهادات للشبكات وتُعد جزءًا من تدفُّق تسجيل الدخول عبر SAML للجهات الخارجية.
    ملاحظة: لا تظهر شهادات الجهاز إلا في تدفُّق تسجيل الدخول عبر SAML للجهات الخارجية عندما تُعِد سياسة شهادات العميل للدخول الموحّد.
  • الأجهزة في جلسة الضيف المُدارة ووضع الكشك حيث تظهر الشهادات للمواقع الإلكترونية والشبكات والتطبيقات التابعة للجهات الخارجية.

يمكن أيضًا استخدام هذه الشهادات بواسطة إضافات مثل عملاء الشبكة الافتراضية الخاصة عبر واجهة برمجة تطبيقات chrome.platformKeys. ويتم منح إذن الوصول إلى الشهادات بطرق مختلفة وفقًا لما إذا كان الحساب مدارًا أم لا. وللحصول على مزيد من المعلومات، يمكنك الاطّلاع على الوصول إلى نموذج للإضافات وشهادات العميل.

مثال على تجربة المستخدم

يحاول المستخدم الاتصال بشبكة EAP-TLS‏ (802.1x) للمرة الأولى من إحدى شبكات الضيف أو الإعداد. وفي هذه المرحلة، إذا تم فرض تثبيت إضافة، توجِّه الإضافة المستخدم من خلال مجموعة من الخطوات (بما في ذلك المصادقة) قبل تثبيت الشهادة الصادرة من مرجع التصديق. وعند تثبيت الشهادة، يستطيع المستخدم اختيار شبكة EAP-TLS ‏(802.1x) مرة أخرى والاتصال بنجاح.

ملاحظة: إذا اختَرت نشر الشهادات باستخدام Google Cloud Certificate Connector، سيتم نشرها تلقائيًا في الخلفية. ويجب أن تكون الشهادات متاحة في حينه عند محاولة الاتصال بشبكة EAP-TLS ‏(802.1x) إذا كان بإمكان الجهاز الاتصال بخوادم Google على إحدى شبكات الضيف أو تشغيل الخدمة.

عندما تتطلّب صفحة الويب الداخلية مصادقة TLS/SSL متبادلة، يعرض مورد الويب الداخلي عادةً رسالة إلى المستخدم الذي يطلب شهادة. وفي هذه المرحلة، يمكن للمستخدم إطلاق الإضافة التي ثبّتتها المؤسسة واتّباع مجموعة مماثلة من الخطوات الموضّحة للاتصال بشبكة EAP-TLS، وإعادة تحميل المتصفِّح للوصول إلى صفحة الويب الداخلية.

الوصول إلى نموذج للإضافات والتطبيقات المتوافقة مع Android

إنّ واجهة API‏ chrome.platformKeys تتيح للإضافات إمكانية الوصول إلى شهادات العميل التي يديرها النظام الأساسي. وتستخدم التطبيقات المتوافقة مع Android واجهات API‏ KeyChain. ويعتمد نموذج الأذونات الذي يتحكّم في استخدامها على ما إذا كان حساب المستخدم مُدارًا أو غير مدار. وينطبق ما يلي بغض النظر عما إذا كان الجهاز مسجلاً أو لا.

الحساب غير المُدار

عندما يسجِّل المستخدم الدخول باستخدام حساب غير مُدار، مثل حسابه الشخصي، فهو يمتلك الشهادات التي تم استيرادها يدويًا على الجهاز ويتحكّم فيها بشكلٍ كامل. وفي هذا السيناريو، يستطيع المستخدم أن يمنح الإذن لإضافة خاصة باستخدام chrome.platformKeys من أجل الوصول إلى شهادة معيَّنة. وليست هناك قيود إضافية.

الحساب المُدار

عندما يسجِّل المستخدم الدخول باستخدام حساب مُدار، مثل حساب العمل، يتحمل المشرف مسؤولية منح إذن الوصول إلى الشهادات المخصَّصة لاستخدام الشركة، ويفعل ذلك عن طريق تحديد الإضافات والتطبيقات المتوافقة مع Android والمسموح لها استخدام شهادات العميل.

لضبط الإعدادات لمجموعة معيّنة من المستخدمين أو متصفِّحات Chrome المسجّلة، أدرِج حسابات المستخدمين أو المتصفِّحات في مجموعة أو وحدة تنظيمية. يمكن إضافة حسابات المستخدمين فقط إلى المجموعات. للتعرُّف على التفاصيل، يُرجى الاطِّلاع على المجموعات وإضافة وحدة تنظيمية.

لتحديد الإضافات والتطبيقات المتوافقة مع Android التي يمكنها استخدام شهادات العميل:

  1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

    يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

  2. في "وحدة تحكُّم المشرف"، انقر على رمز القائمة ثم الأجهزةثمChromeثمالتطبيقات والإضافاتثمالمستخدمون والمتصفّحات.

    في حال اشتراكك في "إدارة السحابة الإلكترونية في متصفّح Chrome"، انقر على رمز القائمة ثم متصفّح Chromeثمالتطبيقات والإضافاتثمالمستخدمون والمتصفِّحات.

  3. (للمستخدمين فقط) لتطبيق الإعدادات على مجموعة، عليك تنفيذ ما يلي:
    1. اختَر المجموعات.
    2. اختَر المجموعة التي تريد تطبيق الإعدادات عليها.
  4. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك

  5. (اختياري) إذا لم تكن تدير الإضافة أو التطبيق المتوافق مع Android من قبل في وحدة تحكُّم المشرف:

    1. أشِر إلى رمز الإضافة وحدِّد خيارًا:

      • الإضافة من سوق Chrome الإلكتروني

      • الإضافة من Google Play

    2. ابحث عن الإضافة أو التطبيق المتوافق مع Android وانقر على اختيار. يمكنك قبول أذونات التطبيق نيابةً عن مؤسستك، في حال طُلب منك ذلك.

  6. في القائمة، ابحث عن الإضافة أو التطبيق المتوافق مع Android الذي تريد إدارته وانقر عليه.

  7. في اللوحة التي تفتح على يسار الصفحة، ضمن إدارة الشهادة، فعِّل السماح بالوصول إلى المفاتيح.
    ملاحظة: إذا اختَرت إحدى الإضافات ولم يظهر الإعداد، يعني هذا أنّ الإضافة لا تتيح إدارة الشهادات. إذا اخترت أحد التطبيقات المتوافقة مع Android ولم يظهر الإعداد، يعني هذا أنّه لم تتم الموافقة بعد على التطبيق للوصول إلى واجهات برمجة تطبيقات إدارة الشهادات. يمكنك التواصل معنا لطلب الموافقة.

  8. انقر على حفظ.

لا يُطلَب من المستخدم منح إذن الوصول إلى الشهادات، ولا تصلح لاستخدام الشركات سوى الشهادات التي تم استيرادها باستخدام واجهة API‏ chrome.enterprise.platformKeys. ويظل بإمكان الإضافة الطلب من المستخدم اختيار شهادة إذا كان بإمكان الإضافة الوصول إلى شهادات متعدّدة. وأي شهادة يتم إنشاؤها أو استيرادها بطرق أخرى، مثلاً يدويًا، تكون غير متاحة لواجهة برمجة التطبيقات الخاصة بالحسابات المُدارة.

إنّ التطبيقات المدارة والمتوافقة مع Android لا يمكن أن تطلب من المستخدمين اختيار شهادة مؤسسة من خلال واجهات API‏ KeyChain. ويختار النظام دائمًا شهادة مؤسسة نيابةً عن المستخدم، في حال توفّرها. وتُبلِغ KeyChain التطبيقات المتوافقة مع Android بجميع الشهادات المتاحة في الخلفية، ويمكن للتطبيقات نفسها اختيار عرض بعض مربّعات الحوار للمستخدمين داخل التطبيق مباشرةً.

اعتبارات التطبيقات المتوافقة مع Android

  • تتوفَّر شهادات المستخدم للإصدار 89 من Chrome أو الإصدارات الأحدث.
  • تكون شهادات الجهاز متوافقة مع الإصدار 93 من Chrome أو الإصدارات الأحدث.
  • لم تتم الموافقة على وصول بعض التطبيقات المتوافقة مع Android. لطلب الموافقة على تطبيق معيّن متوافق مع Android، يمكنك التواصل معنا.

مواضيع ذات صلة

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟
true
بحث
محو البحث
إغلاق البحث
القائمة الرئيسية
15517661502163470878
true
مركز مساعدة البحث
true
true
true
true
true
410864
false
false