Powiadomienie

Planujesz powrót pracowników do biura? Zobacz, jak może Ci w tym pomóc Chrome OS.

Zarządzanie certyfikatami klienta na urządzeniach z ChromeOS

Niektóre sieci i wewnętrzne zasoby sieci wymagają od użytkowników uwierzytelniania przy użyciu cyfrowego certyfikatu. Certyfikaty klienta pozwalają użytkownikom urządzeń z ChromeOS na dostęp do takich sieci i zasobów.

Aby zwiększyć bezpieczeństwo sieci i zasobów wewnętrznych, organizacje uwierzytelniają użytkowników korzystających z urządzeń dla pracowników i uczniów przy użyciu cyfrowych certyfikatów po stronie klienta. Na przykład uwierzytelnianie EAP-TLS (802.1x) zapewnia dostęp do sieci LAN, a wzajemne uwierzytelnianie TLS/SSL umożliwia korzystanie z wewnętrznych zasobów sieciowych.

Umieszczanie certyfikatu klienta na urządzeniu obejmuje kilka etapów, takich jak:

  • bezpieczne generowanie pary kluczy na urządzeniu;
  • wysyłanie klucza publicznego oraz innych informacji identyfikujących i uwierzytelniających do urzędu certyfikacji, aby otrzymać certyfikat;
  • importowanie certyfikatu na urządzenie.

Różne urzędy certyfikacji obsługują różne protokoły rejestracji (na przykład SCEP i EST), a organizacje mają określone przepływy pracy, testy i reguły, które muszą zostać zastosowane przed przyznaniem certyfikatu.

Na urządzeniach z ChromeOS certyfikaty klienta są obsługiwane przez moduł Chrome TPM (Trusted Platform Module). Dzięki temu klucz prywatny nigdy nie opuszcza urządzenia.

Zarządzanie certyfikatami klienta i ich obsługa administracyjna

Zarządzanie certyfikatami klienta na urządzeniach z ChromeOS przy użyciu Google Cloud Certificate Connector

Aby bezpiecznie rozpowszechniać certyfikaty i klucze uwierzytelniające z serwera Simple Certificate Enrollment Protocol (SCEP) na urządzeniach użytkowników, możesz użyć usługi Google Cloud Certificate Connector. Więcej informacji znajdziesz w artykułach Użycie usługi Google Cloud Certificate Connector i Konfigurowanie rozszerzenia Rejestracja certyfikatu dla ChromeOS przy użyciu SCEP.

Zarządzanie certyfikatami klienta na urządzeniach z ChromeOS przy użyciu rozszerzenia Rejestracja certyfikatu Google

W Chrome 37 i nowszych wersjach partnerzy, na przykład urzędy certyfikacji, dostawcy rozwiązań do zarządzania infrastrukturą i klienci, mogą utworzyć rozszerzenie przy użyciu interfejsu API chrome.enterprise.platformKeys, aby obsługiwać certyfikaty klienta na urządzeniach z ChromeOS. Dzięki rozszerzeniu możliwa jest obsługa różnych urzędów certyfikacji, protokołów rejestracji czy internetowych przepływów pracy. Klienci korzystający z usług certyfikatów Microsoft Active Directory mogą używać narzędzia Google do rejestrowania dla firmy, aby pobierać i instalować certyfikaty dla urządzeń z Chrome. Szczegółowe informacje znajdziesz w artykule Używanie rozszerzenia Rejestracja certyfikatu dla ChromeOS.

W przypadku użycia tokena użytkownika interfejsu API chrome.enterprise.platformKeys (identyfikator to „user”) certyfikaty klienta uzyskane za pomocą rozszerzeń są unikatowe dla pary użytkownik-urządzenie. Na przykład drugi użytkownik na tym samym urządzeniu ma inny certyfikat. Gdy użytkownik loguje się na innym urządzeniu, urząd certyfikacji wydaje inny certyfikat. Ponieważ certyfikaty klienta są obsługiwane przez moduł TPM, certyfikatu nie można ukraść ani zainstalować na innym urządzeniu. Certyfikatu nie może też przejąć inny użytkownik. Gdy usuniesz konto użytkownika z urządzenia, certyfikat również zostanie usunięty.

Zarządzanie certyfikatami klienta na urządzeniach z ChromeOS przy użyciu rozszerzenia innej firmy

Aby obsługiwać certyfikaty klienta przy użyciu rozszerzenia innej firmy:

  1. Sprawdź, czy masz dostęp do usługi Chrome. Zobacz Wersje usługi Chrome.

    Konsola administracyjna ułatwia wdrażanie i kontrolowanie użytkowników, urządzeń i aplikacji na wszystkich urządzeniach z Chrome w organizacji.

  2. Uzyskaj rozszerzenie wprowadzające przy użyciu interfejsu API chrome.enterprise.platformKeys, które implementuje wprowadzający przepływ pracy i integruje się z urzędem certyfikacji.

    Otwórz Chrome Web Store i znajdź rozszerzenie dla używanego urzędu certyfikacji. Jeśli nie ma rozszerzenia dla danego urzędu certyfikacji, możesz utworzyć je samodzielnie lub zlecić jego utworzenie. Więcej informacji zawiera Przewodnik dla programistów.

  3. Wymuś instalację rozszerzenia na urządzeniach użytkowników. Interfejs API chrome.enterprise.platformKeys jest dostępny tylko dla rozszerzeń, których instalacja została wymuszona na podstawie zasad.Zobacz Automatyczne instalowanie aplikacji i rozszerzeń.
  4. Sprawdź, czy sieć jest skonfigurowana w taki sposób, że użytkownicy w sieci dla gości lub sieci wprowadzającej mogą się z nią połączyć, a sieć dla gości lub sieć wprowadzająca może komunikować się z urzędem certyfikacji.

    W większości przypadków sieć dla gości ani sieć wprowadzająca nie ma uprzywilejowanego dostępu, więc przy jej użyciu można tylko przeglądać ekstranet i kontaktować się z urzędem certyfikacji, by wprowadzić certyfikat. Korzystając z tej sieci, można uruchomić proces wprowadzania certyfikatu. Sieć dla gości lub sieć wprowadzającą można wstępnie skonfigurować na wszystkich zarządzanych urządzeniach z ChromeOS. Więcej informacji zawiera artykuł Zarządzanie sieciami.

  5. Sprawdź, czy każde urządzenie z Chrome jest zarejestrowane w domenie. Tylko użytkownicy należący do domeny, w której zarejestrowano urządzenie, mogą korzystać z certyfikatu urządzenia. Zobacz Rejestrowanie urządzeń z ChromeOS.

Dodatkowe informacje

Certyfikaty użytkowników i urządzeń

Jako administrator możesz skonfigurować proces obsługi dla certyfikatów użytkowników i urządzeń.

Certyfikaty użytkowników są przypisane do zarządzanej sesji użytkownika. Można ich używać do uwierzytelniania użytkowników na stronach internetowych, w sieciach i w aplikacjach innych firm.

Certyfikaty urządzeń są przypisane do zarządzanego urządzenia. Są one dostępne w wielu miejscach, takich jak:

  • Powiązane sesje użytkowników zarządzanych w tej samej domenie co urządzenie.
  • Ekrany logowania Chrome, gdzie certyfikaty są udostępniane sieciom oraz w ramach zewnętrznego procesu logowania przez SAML.
    Uwaga: certyfikaty urządzeń są udostępniane w ramach zewnętrznego procesu logowania przez SAML tylko wtedy, gdy masz skonfigurowaną zasadę Certyfikaty klienta logowania jednokrotnego.
  • Urządzenia w trybie zarządzanej sesji gościa i trybie kiosku, gdzie certyfikaty są udostępniane stronom internetowym, sieciom i aplikacjom innych firm.

Rozszerzenia, takie jak klienty VPN, mogą korzystać z certyfikatów za pośrednictwem interfejsu API chrome.platformKeys. Dostęp do certyfikatów jest przyznawany na różne sposoby, w zależności od tego, czy konto jest zarządzane. Więcej informacji znajdziesz poniżej w sekcji Model dostępu dla certyfikatów klienta i rozszerzeń.

Przykładowy scenariusz

Użytkownik w sieci dla gości lub sieci wprowadzającej próbuje po raz pierwszy połączyć się z siecią EAP-TLS (802.1x) bez ważnego certyfikatu. Jeśli na tym etapie instalacja rozszerzenia zostanie wymuszona, użytkownik będzie musiał wykonać czynności (w tym uwierzytelnianie) przed zainstalowaniem certyfikatu wydanego przez urząd certyfikacji. Po zainstalowaniu certyfikatu użytkownik może wybrać sieć EAP-TLS (802.1x) i nawiązać z nią połączenie.

Uwaga: jeśli chcesz wdrożyć certyfikaty za pomocą usługi Google Cloud Certificate Connector, będą one wdrażane w tle bez udziału użytkownika. Jeśli urządzenie może połączyć się z serwerami Google w sieci dla gości lub sieci obsługi administracyjnej, certyfikaty powinny być od razu dostępne przy nawiązywaniu połączenia z siecią EAP-TLS (802.1x).

Gdy wewnętrzna strona internetowa wymaga wzajemnego uwierzytelnienia TLS/SSL, wewnętrzny zasób internetowy wyświetla użytkownikowi komunikat, że wymagany jest certyfikat. W tym momencie użytkownik może uruchomić rozszerzenie, którego instalacja została wymuszona, wykonać czynności podobne do opisanych przy nawiązywaniu połączenia z siecią EAP-TLS, a następnie odświeżyć przeglądarkę, by uzyskać dostęp do wewnętrznej strony internetowej.

Model dostępu dla rozszerzeń i aplikacji na Androida

Interfejs API chrome.platformKeys zapewnia rozszerzeniom dostęp do certyfikatów klienta zarządzanych przez platformę. Aplikacje na Androida używają interfejsów API KeyChain. Model uprawnień kontrolujący ich użycie jest uzależniony od tego, czy konto użytkownika jest zarządzane. Poniższe informacje mają zastosowanie bez względu na to, czy urządzenie jest zarejestrowane.

Konto niezarządzane

Gdy użytkownik loguje się na konto niezarządzane, na przykład konto osobiste, uzyskuje własność certyfikatów, które zostały ręcznie zaimportowane na urządzenie, i w pełni podlega zasadom określonym przez te certyfikaty. W takim przypadku użytkownik może przyznać określonemu rozszerzeniu uprawnienia do korzystania z interfejsu API chrome.platformKeys na potrzeby dostępu do danego certyfikatu. Nie obowiązują żadne dodatkowe ograniczenia.

Konto zarządzane

Gdy użytkownik loguje się na konto zarządzane, na przykład konto firmowe, administrator przyznaje dostęp do certyfikatów, które są używane do celów służbowych. W tym celu administrator określa rozszerzenia i aplikacje na Androida, które mogą korzystać z certyfikatów klienta.

Aby skonfigurować ustawienia dla określonej grupy użytkowników lub zarejestrowanych przeglądarek Chrome, umieść te konta użytkowników lub przeglądarki w grupie albo jednostce organizacyjnej. Do grup można dodać tylko konta użytkowników. Szczegółowe informacje znajdziesz w artykułach Grupy i Dodawanie jednostki organizacyjnej.

Aby to zrobić:

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej kliknij Menu  a potem  Urządzenia a potem Chrome a potem Aplikacje i rozszerzenia a potem Użytkownicy i przeglądarki.

    Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu  a potem  Przeglądarka Chrome a potem Aplikacje i rozszerzenia a potem Użytkownicy i przeglądarki.

  3. (Tylko w przypadku użytkowników) Aby zastosować ustawienie do grupy, wykonaj te czynności:
    1. Wybierz Grupy.
    2. Wybierz grupę, w której chcesz zastosować ustawienie.
  4. (Opcjonalnie) Aby zastosować ustawienie do działu lub zespołu, z boku wybierz jednostkę organizacyjną. Pokaż mi, jak to zrobić

  5. (Opcjonalnie) Jeśli nie zarządzasz jeszcze rozszerzeniem lub aplikacją na Androida w konsoli administracyjnej:

    1. Najedź na Dodaj i wybierz opcję:

      • Dodaj z Chrome Web Store

      • Dodaj z Google Play

    2. Znajdź rozszerzenie lub aplikację na Androida i kliknij Wybierz. Po wyświetleniu prośby zaakceptuj uprawnienia aplikacji w imieniu swojej organizacji.

  6. Na liście znajdź i kliknij rozszerzenie lub aplikację na Androida, którymi chcesz zarządzać.

  7. W panelu, który otworzy się po prawej stronie, w sekcji Zarządzanie certyfikatami, włącz opcję Zezwalaj na dostęp do kluczy.
    Uwaga: jeśli po wybraniu rozszerzenia nie pokaże się to ustawienie, oznacza to, że rozszerzenie nie obsługuje zarządzania certyfikatami. Jeśli po wybraniu aplikacji na Androida nie pokaże się to ustawienie, oznacza to, że aplikacja nie została jeszcze zatwierdzona pod kątem dostępu do interfejsów API zarządzania certyfikatami. Aby poprosić o zatwierdzenie, skontaktuj się z nami.

  8. Kliknij Zapisz.

Użytkownik nie jest pytany o zgodę na dostęp do certyfikatów przedsiębiorstwa. W celach służbowych można używać tylko certyfikatów zaimportowanych przy użyciu interfejsu API chrome.enterprise.platformKeys. Jeśli jednak rozszerzenie ma dostęp do kilku certyfikatów, może zapytać użytkownika o wskazanie jednego z nich. Wszystkie certyfikaty wygenerowane lub zaimportowane przy użyciu innych metod, na przykład ręcznie, nie są dostępne dla interfejsu API w przypadku kont zarządzanych.

Zarządzane aplikacje na Androida nie mogą prosić użytkowników o wybranie certyfikatu przedsiębiorstwa przez interfejsy API KeyChain. System zawsze wybiera certyfikat przedsiębiorstwa w imieniu użytkownika, jeśli taki certyfikat jest dostępny. Pęk kluczy powiadamia aplikacje na Androida o wszystkich dostępnych certyfikatach w tle, a same aplikacje mogą bezpośrednio wyświetlać okna użytkownikom.

Uwagi dotyczące aplikacji na Androida

  • Certyfikaty użytkowników są obsługiwane przez Chrome w wersji 89 i nowszych.
  • Certyfikaty urządzeń są obsługiwane przez Chrome w wersji 93 i nowszych.
  • Nie wszystkie aplikacje na Androida zostały zatwierdzone pod kątem uzyskiwania dostępu. Aby poprosić o zatwierdzenie określonej aplikacji na Androida, skontaktuj się z nami.

Przydatne materiały

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
5567226141257214723
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
410864
false
false