当您需要为 Chrome 应用配置安全断言标记语言 (SAML) 单点登录 (SSO) 时,可以使用 SAML SSO for Chrome Apps 扩展程序。
用户可以通过您在贵单位其他地方使用的同一种身份验证机制来登录 Chrome 应用。他们的密码可以保留在贵单位身份提供商 (IdP) 的系统中。
注意事项
- SAML 单点登录 (SSO) 是一种联合身份验证方式,必须为您的服务后端配置。SSO 自动支持用户通过 Chrome 浏览器访问的启用了 SAML 的应用,但不支持他们通过 Chrome 应用商店安装的 Chrome 应用,例如 Citrix Receiver 或 AnyConnect。
- SAML SSO for Chrome Apps 扩展程序仅会为许可名单网域中已列入许可名单的应用提供 Cookie。
- 列入许可名单的应用必须是您完全信任(即能够保障用户数据的隐私与安全)的应用。请确保为用户提供同意书,因为您实际上是代表用户向特定应用授予权限,而一旦通过政策授予了权限,系统便不会向用户显示任何同意书。
- 针对 Cookie 的访问由两个过滤器控制:一是针对网域的主过滤器;二是针对 Cookie 名称、路径和安全属性的辅助过滤器。除过滤网域外,系统还会应用这些辅助参数。对于未提供网域的条目,系统不会返回任何 Cookie。如果许可名单中没有任何内容,系统会执行默认行为,也就是屏蔽所有收到的请求,且不提供任何 Cookie。
第 1 步:为您的应用设置 SAML SSO
- 请根据相关 SAML 提供商的帮助文档为他们的服务正确配置这种联合身份验证机制。
- 为 Chromebook 配置 SAML SSO,以验证您的设置。
- 使用 SAML 登录 Chromebook,然后在 Chrome 浏览器中转到 SAML 供应商的登录页面。请勿通过 Chrome 应用登录。
如果用户自动登录了,则说明您已为 Google 和供应商的后端设置 SAML。
第 2 步:获取列入许可名单的网域列表
您可以使用 Cookie API Test Extension 手动检查 SAML 提供商在 Chrome 操作系统中设置的 Cookie,并整理出列入许可名单的网域列表。这是该扩展程序在 Chrome API 示例中的现行版本。您也可以请 Identity 管理员提供网域列表。
- 安装 Cookie API Test Extension。
- 登录帐号并直接检查 Chrome 浏览器的 Cookie 存储区,无需访问任何其他网站。
您也可以下载 ZIP 文件,然后通过 chrome://extensions 手动安装。
第 3 步:设置配置文件
为列入许可名单的网域设置配置文件。您可以在该扩展程序的 schema.json 文件中找到完整的映射架构。
配置示例:
{
"allowlist": {
"Value": [
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1"
},
{
"appId": "aaaaabbbbbbcccccddddd",
"domain": "domain1",
"name": "Secondary Cookie Name",
"secure": true
},
{
"appId": "eeeeefffffgggggghhhhhhh",
"domain": "domain1",
"path": "secondary.path"
}
]
}
}
第 4 步:部署 SAML SSO for Chrome Apps 扩展程序
- 前往相应的应用管理网址来为您单位的用户设置自动安装 SAML SSO for Chrome Apps 扩展程序。要详细了解如何强制安装特定应用,请参阅自动安装应用和扩展程序。
- 上传在第 3 步中保存的配置文件。有关为应用和扩展程序安装自定义政策的信息,请参阅扩展程序政策。
报告问题
如果您对 SAML SSO for Chrome Apps 扩展程序有任何问题或功能请求,请在 GitHub 存储区中提出。