Gestire i connettori di attendibilità dei dispositivi Chrome Enterprise

Si applica ai browser Chrome e ai dispositivi Chrome OS gestiti.

In qualità di amministratore, puoi configurare i connettori di attendibilità dei dispositivi Chrome Enterprise in modo da condividere indicatori sensibili al contesto dai browser Chrome gestiti, dai profili Chrome gestiti e dai dispositivi ChromeOS gestiti con provider di identità (IdP) di terze parti. Questa integrazione consente di avere gli indicatori di attendibilità dei dispositivi come input nei criteri di autenticazione e autorizzazione. Questa soluzione offre una sicurezza avanzata e una minore dipendenza dalla rete come fattore di attendibilità.

Gli indicatori dei dispositivi includono ID dispositivo, numero di serie, stato della modalità protetta, versione del sistema operativo, stato del firewall e altro ancora. Per ulteriori informazioni, vai a Dati inviati da Chrome all'IDP.

Su tutte le piattaforme supportate, i segnali vengono condivisi dal browser durante la sessione. Per ChromeOS, gli indicatori vengono condivisi sia dal browser all'interno della sessione sia dalla pagina di accesso nell'ambito dell'autenticazione dell'utente.

Nota: i connettori di attendibilità dei dispositivi Chrome Enterprise non sono supportati su ChromeOS Flex.

Prima di iniziare

Puoi utilizzare i connettori di attendibilità dei dispositivi per i dispositivi gestiti (browser Chrome e ChromeOS) e per i profili Chrome gestiti sul browser Chrome.

Browser Chrome

  • Registrati a Chrome Browser Cloud Management e registra i dispositivi nell'unità organizzativa in cui vuoi configurare il connettore di attendibilità del dispositivo. Per informazioni su come iniziare a utilizzare Chrome Browser Cloud Management, vedi Configurare Chrome Browser Cloud Management.
  • Per i dispositivi non gestiti, puoi configurare il connettore attendibilità dispositivo per gli utenti con profili Chrome gestiti in base alla loro unità organizzativa. Il consenso dell'utente è necessario sui dispositivi non gestiti dalla tua organizzazione. Vedi Consenso dell'utente.

ChromeOS

  • Registrati a Chrome Enterprise Upgrade e registra i dispositivi ChromeOS nell'unità organizzativa in cui vuoi configurare il connettore di attendibilità del dispositivo. Per informazioni su come iniziare a utilizzare Chrome Enterprise Upgrade, vedi Informazioni sulla gestione dei dispositivi ChromeOS.

  • Per attivare la condivisione di indicatori solo per la pagina di accesso, aggiungi i dispositivi a un'unità organizzativa in cui vuoi configurare il connettore di attendibilità del dispositivo.

  • Per attivare la condivisione di indicatori per la pagina di accesso e per il browser all'interno della sessione, devi eseguire una delle seguenti operazioni:

    • Aggiungi i dispositivi e gli utenti alla stessa unità organizzativa in cui vuoi configurare il connettore di attendibilità del dispositivo.

    • Se i dispositivi e gli utenti non si trovano nella stessa unità organizzativa, applica la stessa configurazione dell'IdP a tutte le unità organizzative applicabili. Vedi Aggiungi nuove configurazioni IdP di seguito.

Passaggio 1: aggiungi nuove configurazioni IdP

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Dispositivie poiChromee poiConnettori.
  3. In alto, fai clic su + Configurazione nuovo provider.
  4. Nel riquadro visualizzato a destra, trova l'IdP che ti interessa.
  5. Fai clic su Configura.
  6. Inserisci i dettagli di configurazione. Per saperne di più, vedi Dettagli di configurazione del provider di seguito.
  7. (Facoltativo) Seleziona la modalità di applicazione della configurazione: Solo browser gestiti, Solo profili gestiti o Browser e profili gestiti.​​​​​​
    Nota: si applica solo al browser Chrome e viene sempre applicata in ChromeOS.
  8. Fai clic su Aggiungi configurazione.

Le configurazioni vengono aggiunte per l'intera organizzazione, in modo da poter essere utilizzate in qualsiasi unità organizzativa, in base alle esigenze.

Passaggio 2: applica le impostazioni all'unità organizzativa

Una volta aggiunta, la nuova configurazione del provider di identità (IdP) sarà indicata nella pagina Connettori. Puoi vedere le configurazioni che hai aggiunto per ciascun provider e il numero di unità organizzative a cui è connesso.

Per scegliere la configurazione da utilizzare:

  1. Nella Console di amministrazione, vai a Menu e poi Dispositivie poiChromee poiConnettori.
  2. Seleziona un'unità organizzativa secondaria.
  3. Nella sezione Connettori di attendibilità dispositivo, seleziona la configurazione che vuoi utilizzare.
  4. Fai clic su Salva.

Dettagli di configurazione del provider

PingOne DaVinci

Campo Descrizione

Nome della configurazione

 Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo.

Pattern URL da consentire, uno per riga

 https://auth.pingone.com

Service account, uno per riga

L'account di servizio viene generato mediante la piattaforma Google Cloud.

I passaggi necessari per configurare un progetto e un account di servizio della piattaforma Google Cloud sono descritti in dettaglio nella guida Integrare Ping Identity con Chrome Enterprise più avanti.

Consulta la guida di seguito per dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e di Ping Identity per DaVinci.

SCARICA LA GUIDA (PDF)

PingFederate

Campo Descrizione

Nome della configurazione

 Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo.

Pattern URL da consentire, uno per riga

 Nella console Ping Federate, vai a (System) Sistemaquindi (Protocol Settings) Impostazioni di protocolloquindi (Federation) Federazione per determinare l'URL.

Service account, uno per riga

L'account di servizio viene generato utilizzando la piattaforma Google Cloud.

I passaggi necessari per configurare un progetto e un account di servizio della piattaforma Google Cloud sono descritti in dettaglio nella guida Integrare Ping Identity con Chrome Enterprise più avanti.

Consulta la guida di seguito per i dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e PingFederate.

SCARICA LA GUIDA (PDF)

Okta (utenti di Okta Identity Engine)

Campo Descrizione

Nome della configurazione

 Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo.

Pattern URL da consentire, uno per riga

 Fornito da Okta: segui le istruzioni nella console di Okta.

Service account, uno per riga

 Fornito da Okta: segui le istruzioni nella console di Okta.

Consulta la guida di seguito per dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e Okta Identity Engine.

SCARICA LA GUIDA (PDF)

Cisco Duo

Campo Descrizione

Nome della configurazione

 Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo.

Pattern URL da consentire, uno per riga

 Fornito da Cisco Duo: segui le istruzioni nella console di Cisco Duo.

Service account, uno per riga

 Fornito da Cisco Duo: segui le istruzioni nella console di Cisco Duo.

Consulta la guida di seguito per dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e Cisco Duo.

SCARICA LA GUIDA (PDF)

Verificare la configurazione del connettore di attendibilità dei dispositivi

Innanzitutto, assicurati che il dispositivo gestito sia registrato ed elencato nella Console di amministrazione Google in un'unità organizzativa in cui hai configurato il connettore.

Verificare che i criteri vengano applicati

Su un dispositivo gestito:

  1. Vai all'indirizzo chrome://policy.
  2. Fai clic su Ricarica criteri.
  3. Solo Windows e macOS:
    1. Per BrowserContextAwareAccessSignalsAllowlist, assicurati che lo BrowserContextAwareAccessSignalsAllowlist sia impostato su BrowserContextAwareAccessSignalsAllowlist.
    2. Per BrowserContextAwareAccessSignalsAllowlist, fai clic su BrowserContextAwareAccessSignalsAllowlist e assicurati che il campo del valore corrisponda a quello impostato in BrowserContextAwareAccessSignalsAllowlist.
  4. Solo ChromeOS:
    1. Per DeviceLoginScreenContextAwareAccessSignalsAllowlist, assicurati che lo DeviceLoginScreenContextAwareAccessSignalsAllowlist sia impostato su DeviceLoginScreenContextAwareAccessSignalsAllowlist.
    2. Per DeviceLoginScreenContextAwareAccessSignalsAllowlist, fai clic su DeviceLoginScreenContextAwareAccessSignalsAllowlist e assicurati che il campo del valore corrisponda a quello impostato in DeviceLoginScreenContextAwareAccessSignalsAllowlist.

Verifica lo stato del connettore di attendibilità del dispositivo

Su un browser o un dispositivo gestito:

  1. Vai a chrome://connectors-internals.
  2. Verifica la presenza di questi valori obbligatori:
    1. Is Enabled: true
    2. Key Manager Initialized: true
    3. Key Sync: Success (200)

Il connettore può fornire l'attestazione dell'identità del dispositivo solo se la sincronizzazione delle chiavi è andata a buon fine.

Se non è presente alcun valore accanto a Key Manager Initialized, aggiorna la pagina finché non viene visualizzato un valore. Se è Is Enabled: true, la procedura non dovrebbe richiedere più di un minuto.

Nota: i dispositivi ChromeOS non dispongono di un sistema di gestione delle chiavi perché utilizzano certificati supportati da TPM nativi del sistema operativo.

Definizione dei valori su chrome://connectors-internals

Puoi anche verificare che l'integrazione sia attiva e che la chiave sia stata creata andando alla pagina chrome://connectors-internals sul dispositivo registrato.
  • Is enabled: verifica che il criterio sia attivato sul dispositivo.
  • Key Manager Initialized: Chrome ha caricato la chiave o ne ha creata una se non è già stata creata alcuna chiave.
  • Key Type: RSA o EC (curva ellittica).
  • Trust Level: HW o SW.
    • HW (hardware) indica che la chiave è memorizzata nell'hardware del dispositivo. Ad esempio, su Mac con Secure Enclave o Windows quando è presente un TPM.
    • SW (software) indica che la chiave è memorizzata a livello di sistema operativo. Ad esempio in un file, come su Linux.
  • SPKI Hash: un hash della chiave privata.
  • Key Sync: lo stato della risposta + il codice dell'ultimo tentativo di caricamento della chiave. Chrome tenta di ricaricare la chiave a ogni avvio.
  • Signals: una panoramica degli indicatori che possono essere inviati dal dispositivo.

Cancellazione di una chiave di accesso sensibile al contesto

Solo Windows e Mac

Gli amministratori con accesso alla Console di amministrazione possono cancellare una chiave pubblica attendibile per un browser specifico. Ciò può essere utile per la risoluzione dei problemi se un utente riscontra problemi di accesso, ad esempio se un browser gestito non ha più accesso alla coppia di chiavi attendibile.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Dispositivie poiChromee poiBrowser gestiti.

    Se hai eseguito la registrazione a Chrome Enterprise Core, vai a Menu e poi Browser Chromee poiBrowser gestiti.

  3. Seleziona l'unità organizzativa in cui si trova il browser.
  4. Seleziona il browser con la chiave da cancellare.
  5. Nella casella Dettagli del browser gestito a sinistra, fai clic su Configura chiave.
  6. Seleziona Cancella la chiave.

Quando la chiave viene cancellata dalla Console di amministrazione, il browser gestito ne sincronizza la chiave al riavvio e ristabilisce l'affidabilità.


Nota: se non riesci a fare clic su Configura chiave, la chiave potrebbe non esistere sul server.

Dati inviati da Chrome all'IdP

I dati inviati dai browser Chrome e dai dispositivi ChromeOS all'SP sono definiti qui. In qualità di amministratore, puoi decidere quali di questi indicatori utilizzare nelle regole di accesso sensibile al contesto.

Consenso degli utenti

Il consenso dell'utente è necessario sui dispositivi non gestiti dalla tua organizzazione. Sui dispositivi non gestiti, il browser chiede all'utente di acconsentire alla condivisione della posizione del dispositivo con la tua organizzazione. 

Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?
true
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
15581989468045197215
true
Cerca nel Centro assistenza
true
true
true
true
true
410864
false
false