Notificação

Planejando sua estratégia de retorno ao escritório? Veja como o Chrome OS pode ajudar.

Gerenciar certificados do cliente em dispositivos Chrome OS

 Algumas redes e alguns recursos internos da Web exigem que os usuários sejam autenticados por um certificado digital. Os certificados do cliente permitem que usuários de dispositivos Chrome OS acessem esses tipos de redes e recursos.

Para aumentar a segurança das redes e dos recursos internos, as organizações estão autenticando usuários em dispositivos de funcionários e de alunos com o uso de certificados digitais do lado do cliente. Por exemplo, com a autenticação EAP-TLS (802.1x), você tem acesso a LANs, e com a autenticação TLS/SSL mútua, a recursos da Web internos.

Há várias etapas para adicionar um certificado do cliente a um dispositivo, incluindo:

  • gerar um par de chaves com segurança no dispositivo;
  • enviar a chave pública e outras informações de identificação e autenticação para uma autoridade de certificação (CA, na sigla em inglês) para receber um certificado;
  • importar o certificado para o dispositivo.

As autoridades de certificação aceitam alguns protocolos de inscrição, como SCEP e EST, e as organizações têm verificações, regras e fluxos de trabalho específicos que precisam ser analisados antes da concessão de um certificado.

Os certificados do cliente têm suporte do Trusted Platform Module (TPM) do Chrome em dispositivos ChromeOS. Isso garante que a chave privada nunca saia do dispositivo.

Gerenciar e provisionar certificados do cliente

Gerenciar certificados do cliente em dispositivos ChromeOS usando o Conector de certificação do Google Cloud

Para distribuir com segurança certificados e chaves de autenticação do servidor de Protocolo de inscrição de certificado simples (SCEP, na sigla em inglês) para dispositivos de usuários, use o Conector de certificação do Google Cloud. Veja mais detalhes em Usar o Conector de certificação do Google Cloud ou Como configurar a inscrição de certificados do Chrome OS via SCEP para ver um guia completo.

Gerenciar certificados do cliente em dispositivos ChromeOS com a extensão Inscrição de certificado do Google

A partir do Chrome versão 37, parceiros como autoridades de certificação, fornecedores de gerenciamento de infraestrutura e clientes podem criar uma extensão usando a API chrome.enterprise.platformKeys para provisionar certificados do cliente em dispositivos Chrome OS. Com uma extensão, é possível usar uma grande variedade de CAs, protocolos de inscrição e qualquer forma de fluxo de trabalho baseado na Web. Os clientes dos serviços de certificados do Active Directory da Microsoft podem usar a ferramenta de inscrição empresarial do Google para solicitar e instalar certificados em dispositivos Chrome. Veja mais informações em Usar a extensão Inscrição de certificado do ChromeOS.

Quando o token de usuário da API chrome.enterprise.platformKeys é usado (código = "usuário"), os certificados do cliente acessados via extensões são exclusivos para um usuário/dispositivo. Por exemplo, um segundo usuário no mesmo dispositivo tem um certificado diferente. Quando o usuário faz login em outro dispositivo, um certificado diferente é emitido pela CA. Como os certificados do cliente são protegidos pelo TPM, eles não podem ser roubados e instalados em outro dispositivo nem acessados por outro usuário. Quando você remove um usuário de um dispositivo, o certificado também é removido.

Gerenciar certificados do cliente em dispositivos ChromeOS usando uma extensão de terceiros

Para provisionar certificados do cliente usando uma extensão de terceiros, faça o seguinte:

  1. Confirme se você tem um serviço do Chrome. Vejas as opções de serviço do Chrome.

    O Admin Console facilita a implantação e o controle de usuários, dispositivos e apps em todos os dispositivos Chrome OS da sua organização.

  2. Acesse uma extensão de integração usando a API chrome.enterprise.platformKeys, que implementa seu fluxo de trabalho e se integra à CA.

    Acesse a Chrome Web Store para encontrar uma extensão para a CA que você usa. Se não existir uma extensão, crie uma ou contrate um consultor ou um desenvolvedor para fazer isso. Para saber mais, consulte o Guia do desenvolvedor.

  3. Force a instalação da extensão para seus usuários. A API chrome.enterprise.platformKeys está disponível apenas para extensões de instalação forçada por política.Consulte Instalar automaticamente apps e extensões.
  4. Confirme se a rede está configurada para conexão dos usuários na rede de visitantes ou de integração e para a comunicação da rede de visitantes ou de integração com a CA.

    Na maioria dos casos, uma rede para visitantes ou de integração não tem acesso privilegiado: ela só pode ser usada para navegação na extranet e integração do certificado via CA. Você pode usar essa rede para iniciar o processo de integração do certificado. É possível pré-configurar a rede de visitantes ou de integração em todos os dispositivos Chrome OS que você gerencia. Para saber mais, consulte Gerenciar redes.

  5. Confirme se cada dispositivo Chrome OS está inscrito no domínio. O uso do certificado do dispositivo só é possível para usuários no domínio no qual o dispositivo estiver inscrito. Consulte Inscrever dispositivos Chrome OS.

Outras informações

Certificados do usuário e dispositivo

Por ser administrador, você pode configurar o fluxo de provisionamento de certificados de usuário e de dispositivo.

Os certificados de usuário estão vinculados a uma sessão de usuário gerenciada. Eles podem ser usados para a autenticação no nível do usuário em sites, redes e aplicativos de terceiros.

Os certificados de dispositivo estão vinculados a um dispositivo gerenciado. Eles são expostos em vários lugares, como:

  • sessões de usuários afiliados e gerenciados pelo mesmo domínio do dispositivo;
  • telas de login do Chrome, em que os certificados são exibidos em redes e como parte do fluxo de login SAML de terceiros;
    Observação: os certificados de dispositivo só serão exibidos em um fluxo de login SAML de terceiros se você tiver configurado a política de certificados do cliente de Logon único.
  • dispositivos na Sessão de visitante gerenciada e no modo quiosque, em que os certificados são exibidos em sites, redes e apps de terceiros.

Esses certificados também podem ser usados por extensões, como clientes VPN que acessam a API chrome.platformKeys. O acesso aos certificados é concedido de diferentes formas, dependendo do tipo de conta: gerenciada ou não. Para saber mais, consulte Modelo de acesso para extensões e certificados do cliente.

Exemplo de experiência do usuário

Em uma rede para visitantes ou de integração, o usuário tenta se conectar à rede EAP-TLS (802.1x) pela primeira vez sem um certificado válido. Nesse momento, se uma extensão for de instalação forçada, ela orienta o usuário em várias etapas (incluindo autenticação) antes de instalar o certificado emitido pela CA. Quando o certificado é instalado, o usuário pode selecionar e se conectar à rede EAP-TLS (802.1x).

Observação: se você optar por implantar certificados com o Conector de certificação do Google Cloud, eles serão implantados silenciosamente em segundo plano. Eles estarão disponíveis imediatamente ao tentar se conectar à rede EAP-TLS (802.1x) se o dispositivo puder se conectar aos servidores do Google em uma rede para visitantes ou de provisionamento.

Quando uma página interna da Web exige autenticação TLS/SSL mútua, o recurso interno da Web mostra uma mensagem para o usuário informando que um certificado é obrigatório. O usuário então pode iniciar a extensão de instalação forçada, seguir um conjunto de etapas semelhantes às descritas para se conectar a uma rede EAP-TLS e atualizar o navegador para acessar a página interna da Web.

Modelo de acesso para extensões e apps Android

Com a API chrome.platformKeys, as extensões podem acessar os certificados do cliente gerenciados pela plataforma. Os apps Android usam APIs KeyChain. O modelo de permissão que rege o uso depende do tipo de conta de usuário (gerenciada ou não gerenciada). As especificações a seguir são aplicáveis independentemente do registro do dispositivo.

Conta não gerenciada

Quando o usuário faz login com uma conta não gerenciada, como uma conta pessoal, ele é o proprietário e tem controle total dos certificados importados manualmente para o dispositivo. Nesse cenário, o usuário pode permitir que uma extensão específica use a chrome.platformKeys para acessar um determinado certificado. Não há outras restrições.

Conta gerenciada

Quando o usuário faz login com uma conta gerenciada, como uma conta de trabalho, o administrador é responsável por dar acesso aos certificados de uso corporativo. Para fazer isso, o administrador especifica as extensões e os apps Android que podem usar os certificados do cliente.

Para definir as configurações de um grupo específico de usuários ou dos navegadores Chrome registrados, coloque as contas de usuário ou os navegadores em um grupo ou unidade organizacional. Só é possível adicionar contas de usuário a grupos. Veja mais detalhes em Grupos e Adicionar uma unidade organizacional.

Para especificar as extensões e os apps Android que podem usar certificados do cliente, siga estas etapas:

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisChromee depoisApps e extensõese depoisUsuários e navegadores.

    Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu e depois Navegador Chromee depoisApps e extensõese depoisUsuários e navegadores.

  3. (Apenas usuários) Para aplicar a configuração a um grupo, faça o seguinte:
    1. Selecione Grupos.
    2. Escolha o grupo para aplicar a configuração.
  4. Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.

  5. (Opcional) Se você ainda não gerencia a extensão ou o app Android no Admin Console, siga estas etapas:

    1. Aponte para Adicionar e escolha uma opção:

      • Adicionar da Chrome Web Store

      • Adicionar do Google Play

    2. Localize a extensão ou o app Android e clique em Selecionar. Se solicitado, aceite as permissões do app em nome da organização.

  6. Na lista, localize e clique na extensão ou no app Android que você quer gerenciar.

  7. No painel à direita, em Gerenciamento de certificados, ative a opção Permitir o acesso às chaves.
    Observação: caso você veja a configuração depois de selecionar uma extensão, isso significa que a extensão não é compatível com o gerenciamento de certificados. Caso você não veja a configuração depois de selecionar um app Android, isso significa que ele não tem aprovação para acessar APIs de gerenciamento de certificados. Entre em contato para solicitar aprovação.

  8. Clique em Salvar.

O usuário não precisa permitir o acesso aos certificados, e apenas os certificados empresariais importados com a API chrome.enterprise.platformKeys estão qualificados para uso corporativo. Caso a extensão tenha acesso a vários certificados, ela ainda pode solicitar que o usuário selecione um deles. Os certificados gerados ou importados de outra forma, por exemplo, manualmente, não estão disponíveis para a API nas contas gerenciadas.

Os apps Android gerenciados não podem pedir que os usuários selecionem um certificado empresarial por APIs KeyChain. O sistema sempre escolhe um certificado empresarial disponível em nome do usuário. O KeyChain notifica os apps Android sobre todos os certificados disponíveis em segundo plano, e os próprios apps podem mostrar caixas de diálogo aos usuários.

Considerações sobre apps Android

  • Os certificados de usuário são compatíveis com o Chrome 89 ou mais recente.
  • Os certificados de dispositivo são compatíveis com o Chrome 93 ou mais recente.
  • Nem todos os apps Android foram aprovados para o acesso. Para solicitar a aprovação de um app Android específico, entre em contato.

Temas relacionados

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
12374965384698927130
true
Pesquisar na Central de Ajuda
true
true
true
true
true
410864
false
false