Distribuera smartkort i Chrome OS

Den här artikeln fokuserar på de steg som krävs för en lyckad implementering av smartkortstöd på Chrome OS i hela företaget. Den innehåller också praktisk felsökningsinformation för vanliga fel som administratörer kan stöta på. Om du är en vanlig användare och vill installera smartkortappar på din personliga enhet läser du Använda smartkort på Chrome OS.

Steg 1: Tvångsinstallera Smart Card Connector-appen

Smart Card Connector-appen ger PCSC-stöd för Chromebooks. PCSC API:t kan sedan användas av andra appar som middleware för smartkort och Citrix för att tillhandahålla ytterligare funktioner, exempelvis webbläsarintegration och virtuell sessionsomvandling.

Om du vill installera Smart Card Connector för användarna navigerar du till appen i avsnittet Hantering av Chrome-app på administratörskonsolen. Under Användarinställningar väljer du organisationsenhet och markerar Tvångsinstallation. Detta kommer överför Smart Card Connector till alla användare i den valda organisationen.

Obs! Smart Card Connector-appen försöker automatiskt identifiera och arbeta med smartkortläsare. Alla smartkortläsare stöds dock inte. Appen bygger på libccid som anger läsare som stöds här. Läsare i kategorierna ”stöds” och ”bör fungera” förväntas fungera tillförlitligt.

Steg 2: Tvångsinstallera en middleware-app för smartkort

I tillägg till anslutaren måste administratörer installera rätt middleware-app som kan kommunicera med smartkort och erbjuda klientcertifikat som kan autentisera användare med HTTPS-webbplatser. Google har samarbetat med Charismathics för att få stöd för ett brett utbud av kort och profiler, inklusive PIV och CAC, i Chrome OS. Den middleware-leverantören Chaarismathics finns i Chrome Web Store. Tvångsinstallera den för användarna genom att följa samma anvisningar som i steg 1 genom att navigera till appen i avsnittet Hantering av Chrome-app i konsolen och markera Tvångsinstallation i önskad OE.

Obs! Connector-appen erbjuder ett offentligt API som andra middleware-appar som CACKey kan använda. Om du vill implementera annan middleware kontaktar du leverantören så ger vi dem nödvändiga instruktioner för att erbjuda stöd för Chrome OS-plattformen.

Steg 3: Tryck på alla nödvändiga rotcertifikat och mellanliggande certifikat

Beroende på vilka webbplatser användarna försöker få åtkomst till måste du kanske installera förtroenderötter och mellanled på deras enheter. När dessa certifikat har identifierats kan du följa anvisningarna i Konfigurera en HTTPS-certifikatutfärdare och distribuera dessa certifikat till användarnas profiler.

Obs! Installation av ett rotcertifikat på en enhet är en mycket sekretess- och säkerhetskänslig åtgärd. Se till att du bara installerar förtroenderötter du erhållit och verifierat från källor du litar på.

Steg 4: Konfigurera Smart Card Connector för att automatiskt tillåta kommunikation

Appar som Citrix och Charismathics måste kontakta Smart Card Connector för att kommunicera med användarnas kort och läsare. Eftersom kort och läsare innehåller känslig användarinformation visas en behörighetsrutan för användarna i Connector-appen innan de får åtkomst till någon app.

Administratörer kan ta bort det här steget för användare genom att automatiskt bevilja sådana behörigheter via appkonfiguration på hanteringskonsolen. Gör det genom att gå till avsnittet Apphantering och välja rätt OE för konfiguration. Under alternativet Konfigurera klickar du på Åsidosätt om Ärvd inställning visas. Klicka sedan på knappen LADDA UPP KONFIGURATIONSFIL och ladda upp en konfigurationsfil. Tryck på Spara. Konfigurationsfilen ska vara en textfil med följande värde. Ett exempel på en policyfil finns här.

 {
     "force_allowed_client_app_ids": {
         "Value": [
                  "this_is_middleware_client_app_id",
                   "This_is_some_other_client_app_id"
                   ]
       }
 }

Obs! När du vitlistar dessa appar kan tredje part eventuellt få åtkomst till användarnas personliga uppgifter, exempelvis certifikat på ett smartkort.  Se till att du har relevanta aviserings- och samtyckesflöden med användarna för att samla in och dela deras personliga uppgifter.

Steg 5 (Valfritt): Konfigurera Chrome för att automatiskt välja certifikat för webbadresser

Chrome OS kan konfigureras att automatiskt välja vissa certifikat för vissa webbadresser. I standardfallet ser användarna en lista över certifikat som matchar en viss webbplats. När policyn ställs in kan administratörer ta bort detta steg genom att förhandsmatcha användarcertifikat för vissa webbadressmönster.

Den här inställningen finns i hanteringskonsolen under Användar- och webbläsarinställningar > Klientcertifikat. Mer information och exempelvärden finns i hjälpcenterartikeln.

Användarna bör nu vara redo att använda sina smartkort! Allt de behöver göra är att logga in från en Chromebook med sina Google-uppgifter. Inställningarna som du har konfigurerat laddas ned och tillämpas och allt användarna behöver göra är att gå till HTTPS-webbplatser så uppmanas de i Chrome att använda certifikat som har detekterats från kort för att autentisera dem i fjärrsystem.

Steg 6 (Valfritt): Konfigurera virtuell skrivbordsmiljö

Om du använder en virtuell skrivbordsmiljö som Citrix eller VMware, måste du konfigurera den korrekt för att möjliggöra smartkortåtkomst samt omdirigering av smartkort till den virtuella sessionen. Fullständiga konfigurationsanvisningar för de olika leverantörerna finns på deras webbplatser: [Citrix-dokumentation].

Kända problem

Chrome matchar inte certifikat på kort

Det här är troligtvis ett problem med konfigurationen av rotcertifikat och mellanliggande certifikat. Kontrollera att du har följt instruktionerna för att ställa in dem korrekt. Om det här problemet fortsätter att inträffa är det troligtvis bäst att skicka en felrapport med mer information.

Chrome håller anslutningen öppen efter att ett kort har tagits bort

Om en användare tar bort sitt kort avslutar Chrome inte sessionen med denna server. Detta är avsett beteende (och är även standardbeteendet på Chrome på andra plattformar). Chrome försöker bara att verifiera igen vid uppmaning av servern. Garantera säkerheten för dina resurser genom att även ställa in tidsgränser för servern som kräver omautentisering från klienten med jämna mellanrum. Om du testar och måste tvinga omautentisering med servern försöker du använda ett inkognitofönster som inte använder föregående session och inte behålls i efterföljande begäranden.

Ingen UI-feedback vid fel pinkod

Om användare anger fel pinkod visas ingen direkt feedback i dialogrutan i Charismathics. Användaren måste navigera till webbplatsen för att bli tillfrågad om pinkoden igen.

Certifikat som tillhandahålls filtreras inte

Alla certifikat anges i systemet oavsett typ, exempelvis visas även certifikat för e-postsignering på rullgardinsmenyn. Detta kan göra användarna förvirrade. Korrekt konfiguration av automatiskt val av certifikat är avgörande i fall som dessa för att undvika förvirring vid implementeringen.

Anmäla fel

Förhoppningsvis går implementeringen mycket smidigt. Om du stöter på fel tar vi gärna emot felrapport som kan hjälpa oss undersöka ärendet. Alla felrapporter måste innehålla:

  1. Beskrivning av problemet och instruktioner för att återskapa det. Helst en screencast (det finns flera Chrome-appar från tredje part som kan spela in screencast, exempelvis Screencastify).

  2. Webbplatsen du försöker ansluta till. Ange separata felrapporter för separata webbplatser.

  3. Information om system, kort och läsare.

  4. Smart Card Connector-loggar.

  5. Middleware-apploggar

  6. Export av chrome://net-internals.

Kontakta support när du har sammanställt informationen.

Information om system, kort och läsare.

  1. Chrome OS-version.

  2. Typ av smartkortläsare.

  3. Information om smartkort: smartkortleverantör, typ och profil.

Smart Card Connector-loggar.

Skärmen för Smart Card Connector har en länk längst ned där användaren kan exportera loggarna. Detta kopierar alla loggar till Urklipp. Använd en textredigeringsapp för att spara loggarna och skicka dem vidare.

Middleware-apploggar

Varje middleware-app har en egen metod för att extrahera loggar. Framför allt för Charismathics-appen kan loggar extraheras från utvecklarens konsol.

  1. Gå till chrome://extensions.

  2. Markera Utvecklarläge uppe till höger.

  3. Rulla till Charismathics-tillägget. Klicka på bakgrundssidan.

  4. Gå till avsnittet Konsol.

  5. Högerklicka och välj Spara som ... för att exportera loggarna.

Export av chrome://net-internals.

Vissa problem kan röra hur Chrome hanterar klientanslutningar. Du kan extrahera Chrome-loggar genom att gå till chrome://net-internals/#export. Observera att loggarna bara fyllas på först när du navigerar till webbadressen. Var därför noga med att gå dit innan du kör så var noga med att du navigerar innan du kör felscenariot.

Obs! Eftersom loggarna kan vara mycket detaljerade ska du testa att begränsa loggregistreringen till enbart felscenariot. Detta hjälper oss att fokusera på de saker som går fel utan att bli distraherad av bullrig trafik, exempelvis att göra en Google-sökning medan du registrerar loggar.

 

Var det här till hjälp?
Hur kan vi förbättra den?