Как использовать устройства с Chrome OS совместно с Imprivata OneSign

2. Настройка обязательных правил

Далее: 3. Изменение типа интеграции (необязательно)

Относится к управляемым устройствам ChromeOS.

Рекомендуем сначала применить настройки к небольшому количеству устройств в тестовом организационном подразделении. Убедившись, что устройства работают надлежащим образом, можно применить настройки в масштабах всей организации.

Инструкции

В ChromeOS доступно три разных типа интеграции для Imprivata:

При начальной настройке мы рекомендуем вам следовать приведенным ниже инструкциям и задать параметры совместного управляемого гостевого сеанса. Затем при необходимости вы можете переключиться на изолированный управляемый гостевой сеанс или сеанс пользователя. Подробнее о смене типа интеграции…

Развернуть все | Свернуть все

Шаг 1. Задайте настройки управляемых гостевых сеансов

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню УстройстваChromeНастройкиНастройки управляемых гостевых сеансов.
Чтобы применить параметр к отделу или команде, выберите сбоку организационное подразделение. Инструкции
Разрешите управляемые гостевые сеансы на устройствах с ChromeOS.
1. Перейдите в раздел Общие.
2. Нажмите Управляемый гостевой сеанс.
3. Выберите Разрешить управляемые гостевые сеансы.
4. Введите название сеанса.
5. Нажмите Сохранить.
Отключите действие после периода неактивности.
Примечание. Настройте время ожидания и действие после периода неактивности в консоли администратора Imprivata.
1. Перейдите в раздел Питание и выключение.
2. Нажмите Настройки поведения при бездействии.
3. Для параметра "Действие после периода неактивности при питании от сети" выберите значение Ничего не делать.
4. Для параметра "Действие после периода неактивности при питании от батареи" выберите значение Ничего не делать.
5. Нажмите Сохранить.
Отключите диалоговое окно автоматического выхода.
1. Перейдите в раздел Настройки сеанса.
2. Нажмите Показывать диалоговое окно подтверждения выхода.
3. Выберите Не показывать диалоговое окно подтверждения выхода при закрытии последнего окна.
4. Нажмите Сохранить.
При необходимости отключите показ кнопки выхода в области уведомлений.
Примечание. Эта настройка рекомендуется для общих киосков.
1. Перейдите в раздел Настройки сеанса.
2. Нажмите Показывать кнопку выхода в области уведомлений.
3. Выберите Не показывать кнопку выхода в области уведомлений.
4. Нажмите Сохранить.
При необходимости запретите автоматическую загрузку браузера при запуске.
1. Перейдите в раздел Запуск.
2. Нажмите Загрузка браузера при запуске.
3. Выберите Не загружать браузер при запуске.
4. Нажмите Сохранить.
Если необходимо, настройте расположение панели запуска.
Примечание. Это поможет предотвратить взаимное наложение нативной и виртуальной панелей запуска при работе с виртуальным рабочим столом в полноэкранном режиме.
1. Перейдите в раздел Взаимодействие пользователей с системой.
2. Нажмите Положение панели запуска.
3. Выберите Справа.
4. Нажмите Сохранить.
При необходимости выберите язык сеанса.
1. Перейдите в раздел Взаимодействие пользователей с системой.
2. Нажмите Разрешенные языки в ChromeOS.
3. Выберите предпочитаемые языки.
4. Нажмите Сохранить.
5. Нажмите Региональные настройки сеансов.
6. Задайте приоритет языков.
7. Нажмите Сохранить.
  Примечание. Параметр Региональные настройки сеансов влияет на язык ChromeOS и язык уведомлений расширения Imprivata для сеанса.
Если вы настраиваете клиент Citrix Workspace или VMware Horizon Client for Chrome в полноэкранном режиме, рекомендуем указать URL, которые могут открываться без уведомления после разблокировки устройства:
1. Перейдите в раздел Взаимодействие пользователей с системой.
2. Нажмите Полноэкранный режим после разблокировки.
3. Укажите нужные URL. Подробная информация о синтаксисе URL приведена в статье Как разрешить или запретить доступ к сайтам: формат URL-фильтров.
  - Пример URL: chrome-extension://appId, где appId – идентификатор приложения Citrix или VMware.
4. Нажмите Сохранить.

Шаг 2. Задайте настройки устройств

В консоли администратора нажмите на значок меню УстройстваChromeНастройкиНастройки устройств.
Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
Укажите имя хоста устройства.
1. Перейдите в раздел Другие настройки.
2. Нажмите Шаблон сетевого имени хоста устройства.
3. Укажите шаблон имени хоста, который вы хотите использовать.
  Устройства будут показываться в консоли администратора Imprivata с этим именем хоста. Если не указать шаблон, то в качестве имени хоста будет использоваться серийный номер устройства.
4. Нажмите Сохранить.
Укажите, к каким USB-устройствам приложения и расширения могут обращаться напрямую.
1. Перейдите в раздел Другие настройки.
2. Нажмите Доступ по USB.
3. В поле Разрешенные USB-устройства введите идентификаторы производителя (VID) и идентификаторы продукта (PID) каждого устройства в виде пар шестнадцатеричных чисел, разделенных двоеточием (VID:PID). Вводите по одной паре чисел в каждой строке.
  Укажите следующие поддерживаемые устройства чтения идентификационных карт:
  c27:3bfa
  c27:3b1e
4. Нажмите Сохранить.
При необходимости запретите устройствам переходить в режим сна или выключаться при бездействии.
1. Перейдите в раздел Питание и выключение.
2. Нажмите Управление питанием.
3. Выберите Запретить устройству переход в спящий режим или выключение при простое на экране входа.
4. Нажмите Сохранить.
При необходимости выберите язык устройства:
1. Перейдите в раздел Настройки входа.
2. Выберите предпочтительный язык.
  Примечание. Параметр "Язык, доступный при входе" влияет на язык ChromeOS и язык расширения Imprivata для экрана входа.
3. Нажмите Сохранить.
  Примечание. Некоторые строки расширения Imprivata связаны с устройством Imprivata. Измените правила для устройства Imprivata, относящиеся к этим строкам, чтобы адаптировать их к выбранному вами языку.

Шаг 3. Настройте расширения Imprivata

Расширение Imprivata (sign-in screen)

В консоли администратора нажмите на значок меню УстройстваChromeНастройкиНастройки устройств.
Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
Перейдите в раздел Imprivata.
Нажмите Интеграция приложения Imprivata с экраном входа.
Выберите Использовать расширение Imprivata на экране входа.
Нажмите ОК, чтобы подтвердить, что вы согласны с передачей компании Imprivata Inc. конфиденциальных данных, включая пароли.
Настройте правила для экрана входа.
1. Создайте в текстовом редакторе файл с правилами расширения в формате JavaScript Object Notation (JSON). Here is an example JSON file. Поддерживаемые правила перечислены в таблице ниже.
  Проверьте, правильно ли отформатирован код в файле JSON, с помощью стороннего валидатора формата JSON.
2. Нажмите Загрузить.
3. Выберите нужный файл.
4. Нажмите Открыть.
В пункте Версия экрана входа Imprivata выберите Закрепить версию 4.
Нажмите Сохранить.
Если в JSON-файле для параметра agentType выбрано значение sharedKiosk, настройте параметры Imprivata.
1. Нажмите Режим общего киоска.
2. Выберите Включить режим общего киоска.
3. Нажмите Сохранить.
4. Нажмите Общие приложения и расширения.
5. Укажите идентификаторы приложений и расширений, которые не будут закрываться и снова запускаться при смене пользователя.
  - Важно! Обязательно укажите идентификатор расширения Imprivata (для сеанса) версии 4 – pllbepacblmgialkkpcceohmjakafnbb, а также идентификаторы расширений, таких как Citrix или VMware, которые вы указали в файле с правилами расширений.
  - Также добавьте идентификаторы расширений VDI, если вы хотите, чтобы данные этих расширений сохранялись при смене пользователей. Если пользователи запускают ресурсы вручную, не добавляйте расширения VDI в список, чтобы данные не сохранялись.
6. Нажмите Сохранить.

Правила экрана входа

Правило	Описание
Основные
agentType	Значение по умолчанию – `sharedKiosk`. Выберите значение `singleUser` или `sharedKiosk` в зависимости от того, как планируется использовать рабочие станции в этом организационном подразделении. Режим общего киоска (`sharedKiosk`) ускоряет вход в многопользовательской среде. Дополнительная информация приведена в разделе Изменение типа интеграции.
dailySessionLogoutTime	Значение по умолчанию – `01:00`. Если экран устройства заблокирован и оно не используется в течение времени, заданного правилом dailySessionLogoutRequiredIdleTimeInMinutes, расширение завершает сеанс по истечении периода времени, который складывается из суммы значений правил dailySessionLogoutTime и jitterDurationMaximumSeconds. Используйте это правило в сочетании с правилом dailySessionLogoutRequiredIdleTimeInMinutes.
dailySessionLogoutRequiredIdleTimeInMinutes	Значение по умолчанию – `5`. Если экран устройства заблокирован и оно не используется, это правило указывает, через сколько минут расширение запускает управляемый гостевой сеанс. Если до завершения управляемого гостевого сеанса устройство использовалось, время бездействия сбрасывается до 0. Как только экран устройства будет заблокирован, отсчет времени бездействия начнется снова. Используйте это правило в сочетании с правилом dailySessionLogoutTime.
serverUrls	Укажите минимум один URL. URL для устройств Imprivata. Список должен содержать все устройства, используемые на вашем сайте. Клиент случайным образом выбирает один сервер (для балансировки нагрузки) до тех пор, пока в рамках первоначального обновления настроек устройства не будет получен список серверов с сайтами, настроенными на отработку отказа. Необходимо указать имена DNS, а не IP-адреса.
Дополнительные
adfsLoginPagesAllowlist	Дополнительное правило для организаций, в которых есть как клинические рабочие станции с системой единого входа Imprivata для веб-приложений, так и неклинические рабочие станции со стандартным процессом аутентификации на базе AD FS. Документация Microsoft Active Directory Federation Services: настройка системы единого входа Imprivata для веб-приложений (на английском языке) доступна на сайте Imprivata. Примечание. У вас должен быть доступ к партнерскому порталу Imprivata. Поддерживается только в сеансе.
citrixReceiverExtensionId	Значение по умолчанию – `haiffjcadagjlijoggckpgfnoeiflnem`. Идентификатор расширения приложения Citrix Receiver.
debugLoggingEnabled	Значение по умолчанию – `false`. Укажите, доступны ли журналы отладки. Устанавливать значение `true` следует только для отдельных устройств в организационном подразделении, изолированном от рабочей среды. Подробные сведения можно найти в статье Выявление и устранение возможных проблем, связанных с интеграцией Imprivata OneSign.
debugSessionEnabled	Значение по умолчанию – `false`. Укажите, может ли экран входа быть закрыт для запуска сеанса отладки. Устанавливать значение `true` следует только для отдельных устройств в организационном подразделении, изолированном от рабочей среды. Подробные сведения можно найти в статье Выявление и устранение возможных проблем, связанных с интеграцией Imprivata OneSign.
defaultDomain	Значение по умолчанию – первый домен в списке, отсортированном по алфавиту. Домен по умолчанию, который выбран на экране входа и экране блокировки. Строка должна полностью совпадать с именем одного из доступных доменов.
greetingNotificationDurationMs	Значение по умолчанию – `8000`. Время показа приветствия в миллисекундах. Если изменить значение на `0`, приветствие не будет показываться.
guestSessionOnOutageEnabled	Значение по умолчанию – `false`. Укажите, разрешено ли пользователям входить в систему в качестве гостей, когда устройство с ChromeOS не может подключиться к устройству Imprivata.
jitterDurationMaximumSeconds	Значение по умолчанию – `600`. Максимальное количество секунд, в течение которых установленные расширения Imprivata будут ожидать, прежде чем подключиться к устройству Imprivata. Эта функция позволяет избежать скачков нагрузки на серверы Imprivata. Если изменить значение на `0`, все устройства будут подключаться мгновенно. Значение `600` обеспечивает сбалансированную нагрузку на устройство Imprivata от установленных расширений в течение 10 минут. Пользователи могут в любое время подключить устройства Imprivata и пропустить период ожидания.
metricsCollectionEnabled	Значение по умолчанию – `true`. Определяет, будет ли собираться статистика использования. Подробнее о настройке дополнительных функций…
pinnedRemoteApp	Название приложения VDI, которое закреплено на панели запуска ChromeOS при запуске сеанса. Пользователи могут запустить приложение, нажав на его значок. Открывать панель запуска ChromeOS не потребуется. Строка должна полностью совпадать с названием удаленного приложения, которое есть у пользователя.
roamingEnabled	Значение по умолчанию – `true`. Укажите, выполняется ли автоматический выход после закрытия последнего виртуального приложения или рабочего стола (например, при перемещении профилей).
showAppsInLauncher	Значение по умолчанию – `true`. Укажите, нужно ли добавить ярлыки удаленных приложений на панель запуска.
showDesktopsInLauncher	Значение по умолчанию – `true`. Укажите, нужно ли добавить ярлыки удаленных рабочих столов на панель запуска.
showUsernameOnSharedKioskLockScreen	Значение по умолчанию – `true`. Укажите, будет ли отображаться имя пользователя на заблокированном экране сеансов общего киоска. Примечание. Применимо только в том случае, если вы используете управляемые гостевые сеансы.
skipLoginScreen	Значение по умолчанию – `false`. Если задано значение `true`, расширение Imprivata не показывает экран входа и запускает управляемый гостевой сеанс. Это позволяет быстрее подготовить устройство к использованию.
smartCardConnectorExtensionId	Значение по умолчанию – `khpfeaanjngmcnplbdlpegiifgpfgdco`. Идентификатор расширения приложения Smart Card Connector, который используется для считывающих устройств PC/SC. Подробнее о настройке дополнительных функций…
ssoProfile	Идентификатор профиля системы единого входа, относящийся к организационному подразделению, в котором система единого входа Imprivata для веб-приложений выбрана в качестве поставщика идентификационной информации. Например, если идентификатор объекта выглядит как https://accounts.google.com/samlrp/metadata?rpid=ABCxyz123, для правила ssoProfile нужно указать значение ABCxyz123. Используйте это правило в сочетании с правилом useSamlUserSessionsForSingleUserWorkstation.
useSamlUserSessionsForSingleUserWorkstation	Значение по умолчанию – `false`. Укажите, нужно ли сразу запускать сеанс пользователя ChromeOS. Это правило используется только в том случае, если для параметра agentType выбрано значение `singleUser`. Необходимо настроить систему единого входа для веб-приложений и правило ssoProfile.
vmwareClientExtensionId	Значение по умолчанию – `ppkfnjlimknmjoaemnpidmdlfchhehel`. Идентификатор расширения клиентского приложения VMware.

Расширение Imprivata (in-session)

В консоли администратора нажмите на значок меню УстройстваChromeПриложения и расширенияУправляемые гостевые сеансы.
Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
Добавьте расширение Imprivata (in-session).
1. Нажмите на значок "Добавить" "Добавить приложение или расширение Chrome по идентификатору" .
2. Укажите идентификатор расширения Imprivata для сеанса: pllbepacblmgialkkpcceohmjakafnbb.
3. Выберите По собственному URL.
4. Введите URL без пробелов:
  https://storage.googleapis.com/chromeos-mgmt-public-extension/imprivata/v4/update_manifest.xml
5. Нажмите Сохранить.
Настройте расширение Imprivata для сеанса.
1. Найдите в списке приложений и расширений добавленное расширение Imprivata для сеанса: pllbepacblmgialkkpcceohmjakafnbb.
2. В поле "Правила установки" выберите Установить принудительно.
3. Выберите расширение Imprivata для сеанса: pllbepacblmgialkkpcceohmjakafnbb. Откроется панель параметров.
4. В разделе "Управление сертификатами" установите переключатель Разрешить доступ к ключам в положение ВКЛ .
5. Нажмите Сохранить.

Примечание. Для расширения Imprivata, используемого во время сеанса, не требуется файл c правилами.

Шаг 4. Настройте расширение Citrix Workspace или VMware Horizon Client for Chrome

Citrix

Выбор версии

Citrix предлагает стабильное клиентское приложение, которое можно найти в интернет-магазине Chrome. Идентификатор расширения Citrix Workspace: haiffjcadagjlijoggckpgfnoeiflnem.

Если вы не пользуетесь стабильной версией Citrix по умолчанию (например, у вас предварительная версия Citrix Tech или собственный хостинг), выполните указанные ниже действия.

Измените правило citrixReceiverExtensionId для расширения Imprivata (sign-in screen), как описано в разделе Шаг 3. Настройте расширения Imprivata.
Добавьте идентификатор клиентского приложения Citrix в белый список на сервере Citrix. Подробные сведения можно найти в документации Citrix.

Установка и настройка

В консоли администратора нажмите на значок меню УстройстваChromeПриложения и расширенияУправляемые гостевые сеансы.
Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
Добавьте Citrix Workspace.
1. Нажмите на значок "Добавить" "Добавить приложение или расширение Chrome по идентификатору" .
2. Введите идентификатор расширения и источник версии, которую вы хотите использовать.
3. Нажмите Сохранить.
Настройте Citrix Workspace.
1. Найдите Citrix Workspace в списке приложений и расширений.
2. В поле "Правила установки" выберите Установить принудительно.
3. Нажмите Citrix Workspace. Откроется панель параметров.
4. В разделе "Правила для расширений" измените или загрузите JSON-файл с правилами. Here is an example JSON file Это позволит расширению Imprivata обмениваться данными с приложением Citrix Workspace.
  Подробные сведения о настройках, в том числе о полноэкранном режиме, можно найти в документации по продуктам Citrix.
5. Нажмите Сохранить.
Чтобы обеспечить дополнительную стабильность, ограничьте обновление версий.
Подробные сведения о том, как закрепить версию ChromeOS, приведены в статье Как управлять обновлением устройств с ChromeOS.

VMware

Выбор версии

VMware предлагает стабильное клиентское приложение, которое можно найти в интернет-магазине Chrome. Идентификатор расширения VMware Horizon Client for Chrome: ppkfnjlimknmjoaemnpidmdlfchhehel.

Если вы не пользуетесь стабильной версией VMware по умолчанию (например, у вас бета-версия или собственный хостинг), выполните указанные ниже действия.

Измените правило vmwareClientExtensionId для расширения Imprivata, используемого на экране входа, как описано в разделе Шаг 3. Настройте расширения Imprivata.
Добавьте идентификатор клиентского приложения VMware в белый список на сервере VMware.
1. На виртуальной машине Horizon Connection Server откройте файл settings.properties, расположенный по адресу:
  C:/Program Files/VMware/VMware View/Server/sslgateway/conf
2. Добавьте следующие строки в конец файла и при необходимости укажите идентификатор клиентского приложения VMware.
  chromeExtension.1=ppkfnjlimknmjoaemnpidmdlfchhehel chromeExtension.2=kenkpdjcfppbccchillfdjkjnejjgand
3. Перезапустите сервис VMware Security Gateway Component или сервер Horizon Connection Server.

Установка и настройка

В консоли администратора нажмите на значок меню УстройстваChromeПриложения и расширенияУправляемые гостевые сеансы.
Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
Добавьте приложение VMware:
1. Введите идентификатор расширения и источник версии, которую вы хотите использовать.
2. Нажмите Сохранить.
Нажмите на значок "Добавить" "Добавить приложение или расширение Chrome по идентификатору" .
Настройте приложение VMware:
1. Найдите приложение VMWare в списке приложений и расширений.
2. В поле "Правила установки" выберите Установить принудительно.
3. Нажмите на приложение VMWare. Откроется панель параметров.
4. В разделе "Правила для расширений" измените или загрузите JSON-файл с правилами. Расширение Imprivata (in-session) добавлено в белый список по умолчанию, поэтому все представленные здесь параметры являются необязательными. Подробные сведения можно найти в документации VMware.
5. Нажмите Сохранить.
Чтобы обеспечить дополнительную стабильность, ограничьте обновление версий.
Подробные сведения о том, как закрепить версию ChromeOS, приведены в статье Как управлять обновлением устройств с ChromeOS.

Шаг 5. Задайте настройки сети

Как добавить сертификат

Вам потребуется сертификат, который выдан корневым центром сертификации и используется устройством Imprivata OneSign. Если вы используете самозаверяющий сертификат, вы можете скачать его на вкладке Security (Безопасность)SSL консоли администратора Imprivata.

В консоли администратора нажмите на значок меню УстройстваСети.
Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
Чтобы добавить сертификат:
1. Нажмите СертификатыЗагрузить сертификат.
2. Введите название сертификата.
3. Нажмите Загрузить.
4. Выберите файл с сертификатом корневого центра сертификации.
5. Нажмите Открыть.
6. Выберите Chromebook и Приложение Imprivata на устройствах Chromebook. Это платформы, для которых сертификат будет выполнять роль центра сертификации.
7. Нажмите Добавить.

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?