Je kunt de extensie Security Assertion Markup Language (SAML) Single sign-on (SSO) voor Chrome-apps gebruiken om SAML SSO te configureren voor Chrome-apps.
Gebruikers kunnen inloggen bij een Chrome-app met dezelfde verificatiemechanismen die je gebruikt in de rest van je organisatie. Hun wachtwoorden kunnen binnen de identiteitsprovider (IdP) van je organisatie blijven.
Aandachtspunten
- SAML Single sign-on (SSO) is een federatieve verificatie die moet worden geconfigureerd voor de backend van je service. SSO werkt automatisch met apps waarvoor SAML is ingeschakeld en die gebruikers openen met de Chrome-browser, maar werkt niet voor Chrome-apps die worden geïnstalleerd via de Chrome Web Store, zoals Citrix Receiver en Cisco AnyConnect.
- De extensie SAML SSO for Chrome Apps levert alleen cookies aan apps op de toelatingslijst in domeinen op de toelatingslijst.
- Zet alleen apps op de toelatingslijst die je volledig vertrouwt met de gegevens van je gebruikers. Zorg dat gebruikers een toestemmingsformulier hebben ingevuld, omdat je namens gebruikers rechten geeft aan bepaalde apps. Het systeem geeft geen toestemmingsformulieren weer voor gebruikers als rechten worden gegeven via een beleidsregel.
- De cookietoegang wordt afgeschermd via een primair filter voor domeinen en via secundaire filters voor cookienamen, cookiepaden en beveiligde kenmerken van de cookies. Deze secundaire parameters worden naast de domeinfilters toegepast. Voor een invoer waarvoor geen domein is opgegeven, worden geen cookies geretourneerd. Als de toelatingslijst leeg is, wordt het standaardgedrag aangehouden. Dit betekent dat alle binnenkomende verzoeken worden geblokkeerd en er geen cookies worden geleverd.
Stap 1: De app instellen voor SAML SSO
- Volg de stappen in de documentatie van de betreffende SAML-leverancier om federatieve verificatie voor de services correct te configureren.
- Verifieer de instellingen door SAML SSO voor Chromebooks te configureren.
- Log in bij de Chromebook met SAML en ga naar de inlogpagina van je SAML-leverancier in de Chrome-browser. Log niet in via de Chrome-app van de SAML-leverancier.
Als de gebruiker automatisch wordt ingelogd, heb je SAML ingesteld voor de backend van Google en de leverancier.
Stap 2: Een lijst met domeinen op de toelatingslijst ophalen
Je kunt de cookies die zijn ingesteld door je SAML-provider in Chrome OS handmatig inspecteren en een lijst maken met domeinen die op de toelatingslijst staan met de Cookie API Test Extension. Dit is een live versie van de extensie uit de API-voorbeelden van Chrome. Je kunt ook je Identity-beheerder om de lijst vragen.
- Installeer de Cookie API Test Extension.
- Log in en inspecteer meteen de cookieopslag van de Chrome-browser, zonder naar andere websites te gaan.
Je kunt het zip-bestand ook downloaden en handmatig installeren via chrome://extensions.
Stap 3: Het configuratiebestand instellen
Maak een configuratiebestand voor de domeinen op de toelatingslijst. Je vindt het volledige schema voor deze toewijzingen in het schema.json-bestand van de extensie.
Hier zie je een voorbeeldconfiguratie:
{
"allowlist": {
"Value": [
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1"
},
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1",
"name": "Secondary Cookie Name",
"secure": true
},
{
"appId": "eeeeefffffgggggghhhhhhh",
"domain": "domain1",
"path": "secondary.path"
}
]
}
}
Stap 4: De extensie SAML SSO for Chrome Apps implementeren
- Installeer automatisch de extensie SAML SSO for Chrome Apps voor gebruikers in je organisatie door naar de bijbehorende URL voor app-beheer te gaan. Zie Apps en extensies automatisch installeren voor meer informatie over het afgedwongen installeren van specifieke apps.
- Upload het configuratiebestand dat je hebt opgeslagen in stap 3. Zie Beleid voor extensies voor meer informatie over het installeren van aangepast beleid voor apps en extensies.
Problemen melden
Als je een probleem of functieverzoek hebt voor de extensie SAML SSO voor Chrome-apps, kun je deze indienen via de GitHub-opslagplaats.