什么是“已验证的访问权限”?
“已验证的访问权限”可确保连接到您网络的设备未经修改,且符合政策。“已验证的访问权限”可充当网络服务(如 VPN 网关、敏感服务器、企业证书授权机构 [CA] 或企业 Wi-Fi 接入点)的接入点,以获得设备和正在尝试访问该设备的用户的身份的硬件支持加密保证。详细了解已验证的访问权限功能的运作方式。
工作原理
“已验证的访问权限”使用每台 ChromeOS 设备中都有的可信平台模块 (TPM),让企业网络服务能够使用 Google 服务器端应用编程接口 (API) 以加密方式确认安全模式和企业政策的身份和状态。
您需要在 Google 管理控制台中启用“已验证的访问权限”功能,并在用户设备上强制安装一个 Chrome 扩展程序。完成此操作后,您的网络服务会与 Verified Access API 通信以确定政策合规性,并与 Google 通信以确定客户端设备的身份(可选)。如需详细了解网络服务端点,请参阅下文中的第 3 步。
为我的公司设置“已验证的访问权限”
第 1 步:注册 ChromeOS 设备
“已验证的访问权限”仅适用于在您管理的网域中注册的设备上的受管理企业用户。了解如何注册 ChromeOS 设备。
第 2 步:安装“已验证的访问权限”扩展程序
如需在您的组织中使用“已验证的访问权限”,您需要有一个用于在客户端设备上调用 Verified Access API 的 Chrome 扩展程序。您可以从独立软件供应商 (ISV)(例如 Cloudpath)处获取扩展程序,也可以按照 Google Verified Access API 开发者指南实现自己的扩展程序。
确保此扩展程序已部署到 Chrome 应用商店或您的组织特有的企业 Chrome 应用商店。
注意:chrome.enterprise.platformKeys 命名空间中有两个 API:challengeUserKey 和 challengeMachineKey。在第 4 步中,如果您要进行设备验证,则需要调用“challengeMachineKey”。如果您要进行用户验证,则需要调用“challengeUserKey”。如果您有任何疑问,请咨询您的 ISV。
第 3 步:配置网络服务端点
您需要有一项网络服务,该服务能够理解“已验证的访问权限”协议并根据 Google Verified Access API 调用的结果做出授权决策。例如,支持“已验证的访问权限”的 VPN 设备,或可让您向合规设备颁发客户端设备证书的证书服务扩展程序。与上述 Chrome 扩展程序类似,您可以从 ISV 处获取这些扩展程序,也可以按照 Google Verified Access API 开发者指南中的说明实现自己的扩展程序。
您需要:
- 了解此端点与 Google API 通信时所使用的 Google 服务账号(请咨询您的供应商)。
- 在后续步骤中,在您的组织的管理控制台中向此账号授予访问权限。
第 4 步:配置管理控制台政策
您可以选择配置设备验证或用户验证。注重安全的企业通常会进行用户验证,因为它会同时验证用户和设备,而仅进行设备验证意味着使用相应设备的任何人都可以访问受保护的网络。
配置设备政策
- 获允接收设备 ID 的服务账号
- 能够验证设备但不接收设备 ID 的服务账号
配置用户政策
- 获允接收用户数据的服务账号
- 能够验证用户但不接收用户数据的服务账号
启用应用政策(必需)
- 启用强制安装。
- 启用允许访问验证企业密钥。
注意:只有根据政策强制安装的扩展程序才可以使用 chrome.enterprise.platformKeys API。
大功告成!您已设置“已验证的访问权限”。有疑问?请参阅 Verified Access API 开发者指南。