为 Chrome 应用配置 SAML 单点登录

您可以通过企业的 SAML 提供商为 Chrome 设备配置单点登录访问模式。通过单点登录功能,用户只需在设备上登录一次,即可完成整个会话。此功能自动支持用户通过 Chrome 浏览器访问的已启用 SAML 的应用,但不支持通过 Chrome 网上应用店安装的 Chrome 应用,例如 Citrix Receiver、AnyConnect 等等。

为方便在 Chrome 应用中配置 SAML SSO,Chrome for Work 团队发布了 SAML SSO for Chrome Apps 扩展程序。以下部分介绍了相关设置步骤。

第 1 步:为您的应用设置 SAML SSO

您还需要为服务的后端配置 SAML SSO(一种联合身份验证机制)。供应商不同,此项配置也会有所不同。因此,请与相应供应商的团队合作,根据相关文档说明为他们的服务正确配置这种联合身份验证机制。

要验证在第 1 步进行的设置,请为 Chromebook 配置 SAML SSO 并通过 SAML 登录 Chromebook,然后使用 Chrome 浏览器(而非 Chrome 应用)访问服务的登录页面。如果该服务利用浏览器的 SAML 状态让用户成功登录,则说明您已为 Google 和供应商的后端正确设置 SAML,并可以继续进行第 2 步操作。

第 2 步:整理相关 SAML Cookie 网域

SAML SSO for Chrome Apps 扩展程序仅会为白名单网域中的白名单应用提供 Cookie。要获取白名单网域的列表,您可以请求身份管理员提供,也可以在 Chrome 操作系统中手动检查 SAML 提供商设置的 Cookie。如果选择第二种方法,请在登录后直接(无需访问任何其他网站)检查 Chrome 的 Cookie 存储区。

Chrome for Work 提供了一款 Cookie 检查工具,可在 Chrome 网上应用店中下载。请注意,这只是该扩展程序在 Chrome 的 API 范例中的现行版本;如果它更适合管理员使用,请通过 chrome://extensions 下载相应压缩包并手动安装。

第 3 步:设置配置文件

获取列入白名单的应用和网域列表后,可通过将这些值相互映射的方式来设置配置文件。您可以在该扩展程序的 schema.json 文件中找到完整的映射架构。

针对 Cookie 的访问由两个过滤器控制:一是针对网域的主过滤器;二是针对 Cookie 名称、路径和安全属性的辅助过滤器。除过滤网域外,系统还会应用这些辅助参数。对于未提供网域的条目,系统不会返回任何 Cookie。如果白名单中没有任何内容,系统会执行以下默认行为:屏蔽收到的所有请求,且不提供任何 Cookie。

配置示例:

{
  "whitelist": {
    "Value": [
      {
        "appId": "aaaaabbbbbbcccccddddd",
        "domain": "domain1"
      },
      {
        "appId": "aaaaabbbbbbcccccddddd",
        "domain": "domain1",
        "name": "Secondary Cookie Name",
        "secure": true
      },
      {
        "appId": "eeeeefffffgggggghhhhhhh",
        "domain": "domain1",
        "path": "secondary.path"
      }
    ]
  }
}

第 4 步:部署 SAML SSO for Chrome Apps 扩展程序

现在,管理员可前往相应的应用管理网址来部署 SAML SSO for Chrome Apps 扩展程序。首先,请通过“强制安装”选项为适当的单位部门强制安装该扩展程序,然后上传在第 3 步中保存的配置文件。

请注意:列入白名单的应用必须是管理员完全信任(即能够保障用户数据的隐私与安全)的应用。此外,管理员还必须为用户设置所有适当的同意表单。因为管理员实际上是代表用户向特定应用授予权限,而一旦通过管理策略授予了权限,系统便不会向用户显示任何同意表单。

报告问题

SAML SSO for Chrome Apps 扩展程序已在 Github 存储区中开放源代码。如有需要,请直接在相应问题页面提交错误报告或提出功能请求。

该内容对您有帮助吗?
您有什么改进建议?