Déployer des cartes à puce sous Chrome OS

Cet article décrit la procédure pour permettre l'utilisation de cartes à puce sous Chrome OS au sein de votre entreprise. Il indique également comment résoudre les erreurs courantes auxquelles les administrateurs sont susceptibles d'être confrontés. Si vous utilisez régulièrement Chrome OS et souhaitez installer des applications de carte à puce sur votre appareil personnel, consultez la section Utiliser des cartes à puce sous Chrome OS.

Étape 1 : Installez d'office l'application Smart Card Connector

L'application Smart Card Connector permet aux Chromebooks de prendre en charge l'API PCSC. Cette API peut ensuite être utilisée par d'autres applications, telles que des intergiciels pour cartes à puce et Citrix, pour fournir diverses fonctionnalités supplémentaires, comme l'intégration du navigateur et la redirection de session virtuelle.

Pour installer Smart Card Connector pour vos utilisateurs, accédez à l'application dans la section de gestion des applications Chrome de la console d'administration. Sous "User Settings" (Paramètres utilisateur), sélectionnez l'unité organisationnelle de votre choix et cochez "Force installation" (Installer d'office). Smart Card Connector sera alors installé pour tous les utilisateurs de l’organisation choisie.

Remarque : L'application Smart Card Connector tente de détecter et d'utiliser automatiquement les lecteurs de carte à puce. Toutefois, tous les lecteurs de cartes à puce ne sont pas pris en charge. L'application s'appuie sur libccid, qui répertorie ici les lecteurs pris en charge. Les lecteurs des catégories "supported" (pris en charge) et "should work" (qui devrait fonctionner) doivent fonctionner sans problème.

Étape 2 : Installez d'office une application intergicielle pour carte à puce

En plus du connecteur, les administrateurs doivent installer l'application intergicielle appropriée pour communiquer avec les cartes à puce et proposer des certificats clients permettant d'authentifier les utilisateurs sur les sites Web HTTPS. Google s'est associé à Charismathics afin de prendre en charge une large gamme de cartes et de profils, comme PIV et CAC, sous Chrome OS. Le fournisseur d'intergiciels Charismathics est accessible via le Chrome Web Store. Pour l'installer d'office pour vos utilisateurs, suivez les instructions de l'étape 1 : accédez à l'application dans la section "Chrome App Management" de la console et cochez l'option "Force installation" (Installer d'office) dans l'unité organisationnelle choisie.

Remarque : L'application Smart Card Connector fournit une API publique que d'autres applications intergicielles, telles que CACKey, peuvent également utiliser. Si vous souhaitez déployer un intergiciel différent, mettez-nous en contact avec votre fournisseur. Nous lui transmettrons les instructions nécessaires pour intégrer l'intergiciel concerné à la plate-forme Chrome OS.

Étape 3 : Transférez tous les certificats racines et intermédiaires nécessaires

Selon les sites auxquels vos utilisateurs tentent d'accéder, vous devrez peut-être installer des certificats racines et intermédiaires de confiance sur leurs appareils. Une fois ces certificats identifiés, suivez les instructions de la section Configurer l'autorité de certification HTTPS pour appliquer ces certificats aux profils de vos utilisateurs.

Remarque : L'installation d'un certificat racine sur un appareil est une opération délicate du point de vue de la confidentialité et de la sécurité. Installez uniquement des certificats racines de confiance que vous avez vérifiés et obtenus auprès de sources fiables.

Étape 4 : Configurez Smart Card Connector de façon à autoriser automatiquement la communication

Les applications telles que Citrix et Charismathics doivent contacter Smart Card Connector pour communiquer avec les cartes et les lecteurs des utilisateurs. Comme les cartes et les lecteurs contiennent des informations utilisateur sensibles, l'application affiche une boîte de dialogue d'autorisation avant de donner accès à une application.

Les administrateurs peuvent éviter cette étape aux utilisateurs, en accordant automatiquement ces autorisations lorsqu'ils configurent l'application dans la console de gestion. Pour ce faire, accédez à la section "App Management" et sélectionnez l'unité organisationnelle à configurer. Sous l'option "Configure" (Configurer), si l'option "Setting Inherited" (Paramètre hérité) apparaît, cliquez sur "Override" (Remplacer). Cliquez ensuite sur le bouton UPLOAD CONFIGURATION FILE (Importer le fichier de configuration), importez le fichier de configuration et appuyez sur "Save" (Enregistrer). Normalement, le fichier de configuration est un fichier texte contenant la valeur indiquée ci-dessous :

 {
     "force_allowed_client_app_ids": {
         "Value": [
                  "this_is_middleware_client_app_id",
                   "This_is_some_other_client_app_id"
                   ]
       }
 }

Remarque : Ajouter ces applications à la liste blanche peut permettre à des tiers d'accéder aux informations personnelles de vos utilisateurs, telles que les certificats d'une carte à puce.  Assurez-vous de bien disposer des notifications et des flux d'autorisations utilisateur appropriés pour la collecte et le partage de leurs informations personnelles.

Étape 5 (facultatif) : Configurez Chrome pour sélectionner automatiquement les certificats pour les URL

Chrome OS peut être configuré pour sélectionner automatiquement des certificats pour certaines URL. Par défaut, une liste de certificats correspondant à un site Web donné est présentée aux utilisateurs. Les administrateurs peuvent configurer cette règle afin de supprimer cette étape, en mettant préalablement en correspondance les certificats des utilisateurs avec certains formats d'URL.

Ce paramètre se trouve sous User Settings (Paramètres utilisateur) > Client Certificates (Certificats client) dans la console de gestion. Vous trouverez plus d'informations ainsi que des exemples de valeurs dans cet article du Centre d'aide.

Vos utilisateurs sont maintenant prêts à utiliser leurs cartes à puce. Il leur suffit de se connecter avec leurs identifiants Google à partir de n'importe quel Chromebook. Les paramètres que vous avez configurés sont téléchargés et appliqués, et il suffit à vos utilisateurs d'accéder à des sites Web HTTPS. Chrome les invitera alors à utiliser les certificats détectés sur leurs cartes pour les authentifier dans leurs systèmes distants.

Étape 6 (facultatif) : Configurez l'environnement de bureau virtuel

Si vous utilisez un environnement de bureau virtuel tel que Citrix ou VMware, vous devez le configurer de façon à autoriser l'accès à la carte à puce ainsi que la redirection de la carte à puce vers la session virtualisée. Vous pouvez trouver des instructions complètes de configuration des différents fournisseurs sur leurs sites respectifs : [documentation Citrix].

Problèmes connus

Chrome ne trouve pas de correspondance pour le certificat indiqué sur la carte

Il s'agit probablement d'un problème de configuration des certificats racines et intermédiaires. Assurez-vous de bien avoir suivi les instructions de configuration. Si le problème persiste, il est préférable d'envoyer un rapport de bug avec des informations détaillées.

Chrome maintient la connexion après le retrait de la carte

Lorsque l'utilisateur retire sa carte, Chrome ne ferme pas la session sur le serveur concerné. C'est tout à fait normal, il s'agit également du comportement par défaut de Chrome sur d'autres plates-formes. Chrome ne tentera de s'authentifier à nouveau que lorsque le serveur le lui demandera. Pour assurer la sécurité de vos ressources, nous vous recommandons de définir les délais d'inactivité du serveur de façon à demander au client de se réauthentifier à intervalles réguliers. Si vous effectuez un test et devez forcer la réauthentification sur le serveur, utilisez une fenêtre de navigation privée. Ainsi, vous n'utiliserez pas la session précédente et ne conserverez pas les données d'authentification pour les requêtes suivantes.

L'interface utilisateur n'affiche pas de message lors de la saisie d'un code PIN incorrect

Lorsqu'un utilisateur saisit un code PIN incorrect, Charismathics n'affiche pas de message directement dans la boîte de dialogue. L'utilisateur doit alors accéder au site pour pouvoir saisir à nouveau son code PIN.

Les certificats fournis ne sont pas filtrés

Tous les certificats sont fournis au système, quel que soit leur type. Par exemple, les certificats de signature des e-mails apparaissent également dans la liste déroulante. Cela peut entraîner une certaine confusion chez l'utilisateur. Dans ce cas, il est crucial de configurer correctement la sélection automatique des certificats pour éviter toute confusion lors du déploiement.

Signaler des bugs

Nous espérons que votre déploiement se déroule bien. Si vous rencontrez des bugs, veuillez nous les signaler pour que nous puissions résoudre le problème. Tout rapport de bug doit inclure :

  1. La description du problème et les instructions pour le reproduire. Il est préférable de fournir un enregistrement d'écran (plusieurs applications Chrome tierces permettent d'effectuer ces enregistrements d'écran, comme Screencastify).

  2. L'adresse du site Web auquel vous essayez de vous connecter. Veuillez envoyer un rapport de bug distinct pour chaque site Web concerné.

  3. Les informations sur le système, la carte et le lecteur

  4. Les journaux Smart Card Connector

  5. Les journaux des applications intergicielles

  6. Le fichier d'exportation chrome://net-internals

Une fois toutes ces données compilées, contactez l'assistance.

Informations sur le système, la carte et le lecteur

  1. Version de Chrome OS

  2. Type de lecteur de carte à puce

  3. Informations sur la carte à puce : fournisseur, type et profil de la carte à puce.

Journaux Smart Card Connector

En bas de l'écran de Smart Card Connector se trouve un lien permettant à l'utilisateur d'exporter les journaux. Il permet de copier tous les journaux dans le presse-papiers. Vous pouvez enregistrer ces journaux dans n'importe quelle éditeur de texte, puis nous les envoyer.

Journaux d'applications intergicielles

Chaque application intergicielle a sa propre méthode pour extraire les journaux. Avec l'application Charismathics, les journaux peuvent être extraits depuis la console du développeur.

  1. Accédez à chrome://extensions.

  2. Activez le mode développeur dans l'angle supérieur droit.

  3. Faites défiler la page jusqu'à l'extension Charismathics et cliquez sur la page d'arrière-plan.

  4. Accédez à la section "Console".

  5. Effectuez un clic droit, puis cliquez sur Enregistrer sous pour exporter les journaux.

Fichier d'exportation chrome://net-internals

Certains problèmes peuvent être liés à la façon dont Chrome gère les connexions client. Vous pouvez extraire les journaux Chrome via chrome://net-internals/#export. Remarque : les journaux ne se remplissant qu'à partir du moment où vous accédez à l'URL, vous devez commencer la navigation avant d'exécuter le scénario qui pose problème.

Remarque : Les journaux peuvent être très détaillés, essayez donc de limiter la capture des données au scénario qui pose problème. Cela nous aidera à nous concentrer sur ce qui ne va pas sans être gênés par des données inutiles, par exemple une recherche Google effectuée pendant la capture des journaux.

 

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?