Gérer les certificats client sur les appareils ChromeOS

Pour accéder à certains réseaux et à certaines ressources Web internes, les utilisateurs doivent s'authentifier à l'aide d'un certificat numérique. Dans ce cas, des certificats côté client sont à la disposition des utilisateurs d'appareils ChromeOS.

Afin de renforcer la sécurité des réseaux et des ressources internes, les organisations authentifient, à l'aide d'un certificat numérique côté client, les personnes qui se connectent sur les appareils de leurs employés ou de leurs étudiants. Par exemple, l'authentification EAP-TLS (802.1x) régit l'accès aux réseaux LAN, et l'authentification mutuelle TLS/SSL régit l'accès aux ressources Web internes.

Plusieurs étapes sont nécessaires pour installer un certificat client sur un appareil. Vous devez par exemple :

  • générer une paire de clés de manière sécurisée sur l'appareil ;
  • envoyer la clé publique, ainsi que d'autres informations d'identification et d'authentification, à une autorité de certification afin d'obtenir un certificat ;
  • importer le certificat sur l'appareil.

Les protocoles d'enregistrement (SCEP et EST par exemple) diffèrent d'une autorité de certification à l'autre. Par ailleurs, les workflows, les contrôles et les règles spécifiques des organisations doivent être vérifiés avant l'octroi d'un certificat.

Les certificats client reposent sur le module de plate-forme sécurisée (TPM) des appareils ChromeOS. Cela permet de s'assurer que la clé privée ne quitte jamais l'appareil.

Gérer et créer des certificats client

Gérer les certificats client sur les appareils ChromeOS à l'aide du connecteur de certificat Google Cloud

Pour distribuer de manière sécurisée des certificats et des clés d'authentification de votre serveur SCEP (Simple Certificate Enrollment Protocol) aux appareils des utilisateurs, vous pouvez utiliser le connecteur de certificat Google Cloud. Pour en savoir plus, consultez Utiliser le connecteur de certificat Google Cloud ou Configurer l'inscription de certificats pour ChromeOS via SCEP pour un guide complet.

Gérer les certificats client sur les appareils ChromeOS à l'aide de l'extension Inscription de certificat Google

À partir de la version 37 de Chrome, les partenaires tels que les autorités de certification, les fournisseurs de gestion d'infrastructure et les clients peuvent créer une extension à l'aide de l'API chrome.enterprise.platformKeys, afin de fournir des certificats client sur les appareils ChromeOS. Utiliser une extension permet d'offrir une compatibilité avec un large éventail d'autorités de certification et de protocoles d'inscription, ainsi qu'avec toute forme de workflows Web. Les clients qui utilisent les services de certificats Active Directory de Microsoft peuvent demander et installer des certificats pour les appareils Chrome via l'outil d'inscription dédié aux entreprises de Google. Pour en savoir plus, consultez Utiliser l'extension Inscription de certificat pour ChromeOS.

En cas d'utilisation du jeton utilisateur de l'API chrome.enterprise.platformKeys (l'identifiant est "user"), les certificats client obtenus via les extensions sont spécifiques à un utilisateur et à un appareil. Autrement dit, le certificat n'est pas le même pour un autre utilisateur sur le même appareil. Lorsque l'utilisateur se connecte à un autre appareil, l'autorité de certification émet un autre certificat. Comme les certificats client reposent sur le module TPM, il est impossible de les voler afin de les installer sur un autre appareil, ou encore de les pirater. En cas de suppression d'un compte utilisateur sur un appareil, le certificat correspondant est également supprimé.

Gérer les certificats client sur les appareils ChromeOS à l'aide d'une extension tierce

Pour provisionner des certificats client à l'aide d'une extension tierce :

  1. Vérifiez que vous disposez d'un service Chrome. Pour en savoir plus, consultez Services Chrome disponibles.

    La console d'administration facilite le déploiement, ainsi que le contrôle des comptes utilisateur, des appareils et des applications, sur tous les appareils ChromeOS de votre organisation.

  2. Procurez-vous une extension d'intégration à l'aide de l'API chrome.enterprise.platformKeys pour mettre en œuvre le processus d'intégration et communiquer avec l'autorité de certification.

    Pour trouver une extension adaptée à l'autorité de certification que vous utilisez, rendez-vous sur le Chrome Web Store. Si une telle extension n'existe pas encore pour l'autorité de certification concernée, vous pouvez en créer une vous-même, ou demander à un consultant ou à un fournisseur de le faire. Pour en savoir plus, consultez le guide du développeur.

  3. Installez l'extension d'office pour vos utilisateurs. L'API chrome.enterprise.platformKeys ne fonctionne qu'avec les extensions qui ont été installées d'office par le biais de règles. Pour en savoir plus, consultez Installer automatiquement des applications et des extensions.
  4. Vérifiez que le réseau est configuré de sorte que les utilisateurs du réseau "invité" ou du réseau d'intégration puissent s'y connecter, et que la communication entre eux et l'autorité de certification fonctionne.

    Dans la plupart des cas, l'accès au réseau "invité" ou au réseau d'intégration n'est pas privilégié. Les utilisateurs peuvent seulement y parcourir l'Extranet et communiquer avec l'autorité de certification afin d'intégrer le certificat. Le processus d'intégration des certificats peut être lancé à partir de ce type de réseau. Vous pouvez préconfigurer le réseau "invité" ou le réseau d'intégration sur tous les appareils ChromeOS que vous gérez. Pour en savoir plus, consultez Gérer les réseaux.

  5. Vérifiez que chaque appareil ChromeOS est inscrit au sein du domaine. Seuls les utilisateurs faisant partie du domaine sur lequel l'appareil ChromeOS est enregistré sont en mesure d'utiliser le certificat correspondant. Consultez Enregistrer des appareils ChromeOS.

Informations supplémentaires

Certificats utilisateur et certificats d'appareil

En tant qu'administrateur, vous pouvez configurer le flux de provisionnement des certificats utilisateur et des certificats d'appareil.

Les certificats utilisateur sont associés à la session d'un utilisateur dont le compte est géré. Ils permettent d'authentifier les utilisateurs sur des sites Web, sur des réseaux et dans des applications tierces.

Les certificats d'appareil sont associés à l'appareil géré. Leurs usages sont multiples :

  • Sessions utilisateur affiliées pour les utilisateurs qui sont gérés dans le même domaine que l'appareil
  • Écrans de connexion à Chrome, où les certificats permettent l'authentification sur les réseaux, ainsi que dans le cadre du processus de connexion SAML tiers
    Remarque : Les certificats d'appareil ne sont utilisés dans le flux de connexion SAML tiers que si vous avez configuré la règle Certificats client d'authentification unique.
  • Appareils en mode session Invité gérée ou en mode Kiosque, où les certificats sont transmis à des sites Web, des réseaux ou des applications tierces.

Ces certificats peuvent également être utilisés par des extensions comme les clients VPN, à l'aide de l'API chrome.platformKeys. L'accès aux certificats est octroyé de différentes manières selon qu'il s'agit ou non d'un compte géré. Pour en savoir plus, consultez Modèle d'accès pour les extensions et les certificats client.

Exemple d'utilisation

Depuis un réseau invité ou un réseau d'intégration, l'utilisateur tente de se connecter au réseau EAP-TLS (802.1x) pour la première fois sans certificat valide. À ce stade, si une extension est installée d'office, elle guide l'utilisateur à travers un ensemble d'étapes (y compris l'authentification) avant d'installer le certificat émis par l'autorité de certification. Une fois celui-ci installé, l'utilisateur peut sélectionner le réseau EAP-TLS (802.1x) et se connecter.

Remarque : Si vous choisissez de déployer les certificats avec le connecteur de certificat Google Cloud, ils sont déployés de façon silencieuse en arrière-plan. Ils doivent être disponibles immédiatement lors de la tentative de connexion au réseau EAP-TLS (802.1x) si l'appareil peut se connecter aux serveurs Google sur un réseau invité ou sur un réseau de provisionnement.

Lorsqu'une page Web interne nécessite une authentification mutuelle TLS/SSL, la ressource Web interne indique à l'utilisateur qu'un certificat est obligatoire. À ce stade, l'utilisateur peut lancer l'extension que vous avez installée d'office, suivre des étapes similaires à celles décrites pour se connecter à un réseau EAP-TLS, puis actualiser le navigateur afin d'accéder à la page Web interne.

Modèle d'accès pour les extensions et les applications Android

L'API chrome.platformKeys autorise les extensions à accéder aux certificats client gérés par la plate-forme. Les applications Android utilisent les API KeyChain. Le modèle d'autorisations qui régit l'utilisation de ces extensions et applications varie selon que le compte de l'utilisateur est géré ou non. Les informations suivantes s'appliquent que l'appareil soit inscrit ou non au sein du domaine.

Compte non géré

Lorsque l'utilisateur se connecte avec un compte non géré (son compte personnel, par exemple), il est le propriétaire des certificats qui ont été importés manuellement sur l'appareil et en a le contrôle total. Dans ce cas, l'utilisateur peut octroyer à une extension spécifique l'autorisation d'utiliser l'API chrome.platformKeys pour accéder à un certificat donné. Il n'y a pas d'autres restrictions.

Compte géré

Lorsque l'utilisateur se connecte avec un compte géré (son compte professionnel, par exemple), c'est l'administrateur qui octroie l'accès aux certificats destinés à une utilisation professionnelle. Pour ce faire, l'administrateur spécifie quelles extensions et applications Android sont autorisées à utiliser des certificats clients.

Pour définir les paramètres d'un groupe spécifique d'utilisateurs ou de navigateurs Chrome enregistrés, placez les comptes utilisateur ou navigateurs dans un groupe ou une unité organisationnelle. Seuls des comptes utilisateur peuvent être ajoutés aux groupes. Pour en savoir plus, consultez Groupes et Ajouter une unité organisationnelle.

Pour indiquer les extensions et les applications Android pouvant utiliser des certificats clients :

  1. Connectez-vous à la Console d'administration Google avec un compte administrateur.

    Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Accédez à Menu puis Appareils > Chrome > Applications et extensions > Utilisateurs et navigateurs.

    Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu puis Navigateur Chrome > Applications et extensions > Utilisateurs et navigateurs.

  3. (Utilisateurs uniquement) Pour appliquer le paramètre à un groupe :
    1. Sélectionnez Groupes.
    2. Sélectionnez le groupe auquel vous souhaitez appliquer le paramètre.
  4. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté. Voir la marche à suivre

  5. (facultatif) si vous ne gérez pas déjà l'extension ou l'application Android dans la console d'administration :

    1. Pointez sur Ajouter et sélectionnez une option :

      • Ajouter à partir du Chrome Web Store

      • Ajouter à partir de Google Play

    2. recherchez l'extension ou l'application Android souhaitée, puis cliquez sur Sélectionner. Si vous y êtes invité, acceptez les autorisations de l'application au nom de votre organisation.

  6. Dans la liste, recherchez l'extension ou l'application Android que vous souhaitez gérer, puis cliquez dessus.

  7. Dans le panneau qui s'ouvre à droite, sous Gestion des certificats, activez l'option Autoriser l'accès aux clés.
    Remarque : Si vous sélectionnez une extension et que ce paramètre ne s'affiche pas, cela signifie qu'elle n'est pas compatible avec la gestion des certificats. Si vous sélectionnez une application Android et que ce paramètre ne s'affiche pas, cela signifie que votre application n'a pas encore été autorisée à accéder aux API de gestion des certificats. Contactez-nous pour demander l'approbation.

  8. Cliquez sur Enregistrer.

L'utilisateur ne reçoit pas de message demandant l'autorisation d'accéder aux certificats d'entreprise. Seuls les certificats qui ont été importés à l'aide de l'API chrome.enterprise.platformKeys peuvent être utilisés dans l'entreprise. Si une extension a accès à plusieurs certificats, l'utilisateur peut se voir demander d'en sélectionner un. Un certificat qui est généré ou importé par d'autres moyens (manuellement, par exemple) n'est pas disponible pour l'API dans le cas de comptes gérés.

Les applications Android gérées ne peuvent pas demander aux utilisateurs de sélectionner un certificat d'entreprise via les API KeyChain. Sous réserve qu'un certificat d'entreprise soit disponible, le système en choisit toujours un au nom de l'utilisateur. KeyChain informe les applications Android de tous les certificats disponibles en arrière-plan, et les applications peuvent choisir d'afficher une boîte de dialogue auprès des utilisateurs directement dans les applications.

Remarques concernant les applications Android

  • Les certificats utilisateur sont compatibles avec Chrome version 89 ou ultérieure.
  • Les certificats d'appareils sont compatibles avec Chrome version 93 ou ultérieure.
  • L'accès à certaines applications Android n'a pas été approuvé. Pour demander l'approbation d'une application Android spécifique, contactez-nous.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
16130511336851325112
true
Rechercher dans le centre d'aide
true
true
true
true
true
410864
false
false
false