Alcune reti e risorse web interne richiedono l'autenticazione da parte degli utenti mediante un certificato digitale. I certificati client consentono agli utenti che utilizzano dispositivi ChromeOS di accedere a questi tipi di reti e risorse.
Per potenziare la sicurezza delle reti e delle risorse interne, le organizzazioni richiedono l'autenticazione degli utenti sui dispositivi in dotazione a dipendenti e studenti mediante certificati digitali lato client. Alcuni esempi sono l'autenticazione EAP-TLS (802.1x) per consentire l'accesso alle reti LAN e l'autenticazione TLS/SSL reciproca per consentire l'accesso alle risorse web interne.
L'impostazione di un certificato client per un dispositivo prevede una procedura composta da diversi passaggi, tra cui:
- Generazione protetta di una coppia di chiavi nel dispositivo.
- Invio della chiave pubblica e di altre informazioni di identificazione e autenticazione a un'autorità di certificazione per acquisire un certificato.
- Importazione del certificato nel dispositivo.
Le diverse autorità di certificazione supportano protocolli di registrazione differenti, come SCEP ed EST, mentre le organizzazioni hanno regole, controlli e flussi di lavoro specifici che devono essere verificati prima di concedere un certificato.
I certificati client sono supportati dal TPM (Trusted Platform Module) di Chrome sui dispositivi ChromeOS. Ciò garantisce che la chiave privata rimanga associata al dispositivo.
Gestire ed eseguire il provisioning dei certificati client
Per distribuire in modo sicuro certificati e chiavi di autenticazione dal server SCEP (Simple Certificate Enrollment Protocol) ai dispositivi degli utenti, puoi utilizzare Google Cloud Certificate Connector. Consulta Utilizzare Google Cloud Certificate Connector per maggiori dettagli o Configurazione della registrazione dei certificati per ChromeOS tramite SCEP per una guida completa.
A partire da Chrome versione 37, i partner quali le autorità di certificazione, i fornitori di gestione dell'infrastruttura e i clienti possono scrivere un'estensione utilizzando l'API chrome.enterprise.platformKeys per eseguire il provisioning di certificati client sui dispositivi ChromeOS. Utilizzando un'estensione, è possibile supportare un'ampia gamma di autorità di certificazione, protocolli di registrazione e qualsiasi forma di flusso di lavoro basato sul web. I clienti che utilizzano i Servizi certificati Microsoft Active Directory possono utilizzare lo strumento Registrazione aziendale di Google per richiedere e installare certificati per i dispositivi Chrome. Per scoprire di più, consulta Utilizzare l'estensione Registrazione di certificati per ChromeOS.
Quando viene utilizzato il token dell'utente dell'API chrome.enterprise.platformKeys (ID corrisponde a "utente"), i certificati client acquisiti utilizzando le estensioni sono associati in modo univoco per un utente e un dispositivo. Ad esempio, un secondo utente sullo stesso dispositivo ha un certificato differente. Quando l'utente accede a un altro dispositivo, l'autorità di certificazione emette un certificato diverso. I certificati client sono supportati da TPM, pertanto il certificato non può essere rubato e installato su un altro dispositivo o manomesso da un altro utente. Quando rimuovi un utente da un dispositivo, anche il certificato viene rimosso.
Per eseguire il provisioning dei certificati client utilizzando un'estensione di terze parti:
- Verifica di disporre di un servizio Chrome. Vedi Opzioni per i servizi Chrome.
La Console di amministrazione consente di implementare e controllare facilmente utenti, dispositivi e app su tutti i dispositivi ChromeOS dell'organizzazione.
- Acquisisci un'estensione di onboarding utilizzando l'API chrome.enterprise.platformKeys, in grado di implementare il tuo flusso di lavoro di onboarding e di integrarsi con la tua autorità di certificazione.
Vai al Chrome Web Store per trovare un'estensione per l'autorità di certificazione che utilizzi. Se non esiste già un'estensione per l'autorità di certificazione, puoi crearne una tu stesso o avvalerti del servizio di un consulente o fornitore per crearne una. Per scoprire di più, consulta la Guida per gli sviluppatori.
- Esegui un'installazione forzata dell'estensione per i tuoi utenti. L'API chrome.enterprise.platformKeys è disponibile solo per le estensioni che sono state installate in modo forzato secondo le norme. Vedi Installare automaticamente app ed estensioni.
- Verifica che la rete sia configurata in modo tale che gli utenti nella rete ospite o di onboarding vi si possano connettere. Così facendo, le due reti possono comunicare con l'autorità di certificazione.
Nella maggior parte dei casi, una rete ospite o di onboarding non ha accesso con privilegi e, pertanto, può essere utilizzata solo per esplorare l'Extranet e raggiungere l'autorità di certificazione per l'onboarding del certificato. Il processo di onboarding del certificato può essere avviato utilizzando questa rete. Puoi preconfigurare la rete ospite o di onboarding su tutti i dispositivi ChromeOS da te gestiti. Per scoprire di più, consulta Gestire le reti.
- Verifica che ogni dispositivo ChromeOS sia registrato nel dominio. Solo gli utenti del dominio in cui è stato registrato il dispositivo potranno utilizzarne il certificato. Vedi Registrare i dispositivi ChromeOS.
Informazioni aggiuntive
In qualità di amministratore, puoi configurare il flusso di provisioning per i certificati utente e dispositivo.
I certificati utente sono vincolati alla sessione di un utente gestito. Possono essere utilizzati per l'autenticazione a livello di utente in siti web, reti e applicazioni di terze parti.
I certificati dispositivo sono vincolati a un dispositivo gestito. Sono disponibili in più posti, ad esempio:
- Sessioni utente affiliate per gli utenti gestiti dallo stesso dominio del dispositivo.
- Schermate di accesso di Chrome, dove i certificati sono disponibili per le reti e nell'ambito del flusso di accesso SAML di terze parti.
Nota: i certificati dispositivo sono disponibili nel flusso di accesso SAML di terze parti solo se hai configurato il criterio Certificati client Single Sign-On. - Dispositivi in modalità kiosk e sessione Ospite gestita, dove i certificati sono disponibili per siti web, reti e applicazioni di terze parti.
Questi certificati possono essere utilizzati anche da estensioni, come i client VPN che utilizzano l'API chrome.platformKeys. L'accesso ai certificati può essere concesso in diversi modi, a seconda che l'account sia gestito o meno. Per scoprire di più, consulta Modello di accesso per le estensioni e i certificati client.
Da una rete ospite o di onboarding, l'utente tenta di connettersi alla rete EAP-TLS (802.1x) per la prima volta senza un certificato valido. A questo punto, se un'estensione viene installata in modo forzato, l'utente viene guidato attraverso una serie di passaggi (inclusa l'autenticazione) prima di installare il certificato emesso dalla CA. Quando il certificato è stato installato, l'utente può selezionare la rete EAP-TLS (802.1x) e collegarvisi.
Nota: se scegli di utilizzare Google Cloud Certificate Connector per i certificati, il deployment viene eseguito in background. Devono essere immediatamente disponibili quando si tenta di connettersi alla rete EAP-TLS (802.1x) se il dispositivo riesce a connettersi ai server Google su una rete ospite o di provisioning.
Quando una pagina web interna richiede un'autenticazione TLS/SSL reciproca, la risorsa web interna mostra un messaggio all'utente per comunicare che è richiesto un certificato. A questo punto, l'utente può avviare l'estensione installata in modo forzato, eseguire una procedura simile a quella descritta per collegarsi a una rete EAP-TLS e aggiornare il browser per accedere alla pagina web interna.
L'API chrome.platformKeys consente alle estensioni di accedere ai certificati client gestiti dalla piattaforma. Le app Android utilizzano le API KeyChain. Il modello di autorizzazioni che ne regola l'utilizzo varia a seconda che l'account utente sia gestito o non gestito. Le seguenti regole si applicano indipendentemente dal fatto che il dispositivo sia registrato o meno.
Account non gestitoQuando l'utente accede con un account non gestito, ad esempio il suo account personale, l'utente è il proprietario dei certificati che sono stati importati manualmente nel dispositivo e ne detiene il controllo completo. In questo scenario, l'utente può concedere a un'estensione specifica l'autorizzazione a utilizzare chrome.platformKeys per accedere a un determinato certificato. Non esiste nessun'altra limitazione.
Account gestitoQuando l'utente accede con un account gestito, ad esempio il suo account di lavoro, l'amministratore gestisce l'accesso ai certificati destinati all'utilizzo aziendale. Per farlo, l'amministratore specifica le estensioni e le app Android a cui è consentito utilizzare i certificati client.
Per configurare le impostazioni per un determinato gruppo di utenti o per i browser Chrome registrati, inserisci gli account utente o i browser in un gruppo o un'unità organizzativa. Solo gli account utente possono essere aggiunti ai gruppi. Per maggiori dettagli, vedi Gruppi e Aggiungere un'unità organizzativa.
Per specificare le estensioni e le app Android che possono utilizzare i certificati client:
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu
Dispositivi
Chrome
Se hai eseguito la registrazione a Chrome Browser Cloud Management, vai a Menu
Browser Chrome
- (Solo utenti) Per applicare l'impostazione a un gruppo, procedi come segue:
- Seleziona Gruppi.
- Seleziona il gruppo a cui vuoi applicare l'impostazione.
- Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
-
(Facoltativo) Se non gestisci già l'estensione o l'app Android nella Console di amministrazione:
-
Posiziona il cursore del mouse su Aggiungi
e scegli un'opzione:
-
Aggiungi da Chrome Web Store
-
Aggiungi da Google Play
-
-
Trova l'estensione o l'app per Android e fai clic su Seleziona. Se richiesto, accetta le autorizzazioni app per conto della tua organizzazione.
-
-
Nell'elenco, individua e fai clic sull'estensione o sull'app Android che vuoi gestire.
-
Nel riquadro che si apre a destra, in Gestione dei certificati, attiva Consenti l'accesso alle chiavi.
Nota: se selezioni un'estensione e non vedi l'impostazione, questa non supporta la gestione dei certificati. Se selezioni un'app Android e non vedi l'impostazione, l'app non è ancora stata approvata per accedere alle API di gestione dei certificati. Contattaci per richiedere l'approvazione. - Fai clic su Salva.
All'utente non viene richiesto di concedere l'autorizzazione ad accedere ai certificati aziendali e solo i certificati che sono stati importati utilizzando l'API chrome.enterprise.platformKeys sono idonei per l'utilizzo aziendale. Un'estensione potrà comunque chiedere all'utente di selezionare un certificato, se ha accesso a più certificati. Qualsiasi certificato che viene generato o importato con altri metodi, ad esempio manualmente, non è disponibile per l'API in caso di account gestiti.
Le app Android gestite non possono chiedere agli utenti di selezionare un certificato aziendale tramite le API KeyChain. Il sistema sceglie sempre un certificato aziendale per conto dell'utente, se disponibile. KeyChain notifica alle app Android di tutti i certificati disponibili in background e le app stesse possono scegliere di mostrare finestre di dialogo per gli utenti direttamente nell'app.
Considerazioni per le app Android
- I certificati utente sono supportati per Chrome versione 89 o successive.
- I certificati dei dispositivi sono supportati per Chrome versione 93 o successive.
- Non tutte le app Android sono state approvate per l'accesso. Contattaci se vuoi richiedere l'approvazione per una determinata app Android.