Si applica ai browser Chrome e ai dispositivi Chrome OS gestiti.
In qualità di amministratore, puoi configurare i connettori di attendibilità dei dispositivi Chrome Enterprise in modo da condividere indicatori sensibili al contesto dai browser Chrome gestiti, dai profili Chrome gestiti e dai dispositivi ChromeOS gestiti con provider di identità (IdP) di terze parti. Questa integrazione consente di avere gli indicatori di attendibilità dei dispositivi come input nei criteri di autenticazione e autorizzazione. Questa soluzione offre una sicurezza avanzata e una minore dipendenza dalla rete come fattore di attendibilità.
Gli indicatori dei dispositivi includono ID dispositivo, numero di serie, stato della modalità protetta, versione del sistema operativo, stato del firewall e altro ancora. Per ulteriori informazioni, vai a Dati inviati da Chrome all'IDP.
Su tutte le piattaforme supportate, i segnali vengono condivisi dal browser durante la sessione. Per ChromeOS, gli indicatori vengono condivisi sia dal browser all'interno della sessione sia dalla pagina di accesso nell'ambito dell'autenticazione dell'utente.
Nota: i connettori di attendibilità dei dispositivi Chrome Enterprise non sono supportati su ChromeOS Flex.
Prima di iniziare
Puoi utilizzare i connettori di attendibilità dei dispositivi per i dispositivi gestiti (browser Chrome e ChromeOS) e per i profili Chrome gestiti sul browser Chrome.
Browser Chrome
- Registrati a Chrome Browser Cloud Management e registra i dispositivi nell'unità organizzativa in cui vuoi configurare il connettore di attendibilità del dispositivo. Per informazioni su come iniziare a utilizzare Chrome Browser Cloud Management, vedi Configurare Chrome Browser Cloud Management.
- Per i dispositivi non gestiti, puoi configurare il connettore attendibilità dispositivo per gli utenti con profili Chrome gestiti in base alla loro unità organizzativa. Il consenso dell'utente è necessario sui dispositivi non gestiti dalla tua organizzazione. Vedi Consenso dell'utente.
ChromeOS
- Registrati a Chrome Enterprise Upgrade e registra i dispositivi ChromeOS nell'unità organizzativa in cui vuoi configurare il connettore di attendibilità del dispositivo. Per informazioni su come iniziare a utilizzare Chrome Enterprise Upgrade, vedi Informazioni sulla gestione dei dispositivi ChromeOS.
-
Per attivare la condivisione di indicatori solo per la pagina di accesso, aggiungi i dispositivi a un'unità organizzativa in cui vuoi configurare il connettore di attendibilità del dispositivo.
-
Per attivare la condivisione di indicatori per la pagina di accesso e per il browser all'interno della sessione, devi eseguire una delle seguenti operazioni:
- Aggiungi i dispositivi e gli utenti alla stessa unità organizzativa in cui vuoi configurare il connettore di attendibilità del dispositivo.
-
Se i dispositivi e gli utenti non si trovano nella stessa unità organizzativa, applica la stessa configurazione dell'IdP a tutte le unità organizzative applicabili. Vedi Aggiungi nuove configurazioni IdP di seguito.
Passaggio 1: aggiungi nuove configurazioni IdP
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu DispositiviChromeConnettori.
- In alto, fai clic su + Configurazione nuovo provider.
- Nel riquadro visualizzato a destra, trova l'IdP che ti interessa.
- Fai clic su Configura.
- Inserisci i dettagli di configurazione. Per saperne di più, vedi Dettagli di configurazione del provider di seguito.
- (Facoltativo) Seleziona la modalità di applicazione della configurazione: Solo browser gestiti, Solo profili gestiti o Browser e profili gestiti.
Nota: si applica solo al browser Chrome e viene sempre applicata in ChromeOS. - Fai clic su Aggiungi configurazione.
Le configurazioni vengono aggiunte per l'intera organizzazione, in modo da poter essere utilizzate in qualsiasi unità organizzativa, in base alle esigenze.
Passaggio 2: applica le impostazioni all'unità organizzativa
Una volta aggiunta, la nuova configurazione del provider di identità (IdP) sarà indicata nella pagina Connettori. Puoi vedere le configurazioni che hai aggiunto per ciascun provider e il numero di unità organizzative a cui è connesso.
Per scegliere la configurazione da utilizzare:
-
Nella Console di amministrazione, vai a Menu DispositiviChromeConnettori.
- Seleziona un'unità organizzativa secondaria.
- Nella sezione Connettori di attendibilità dispositivo, seleziona la configurazione che vuoi utilizzare.
- Fai clic su Salva.
Dettagli di configurazione del provider
PingOne DaVinci
Campo | Descrizione |
---|---|
Nome della configurazione |
Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo. |
Pattern URL da consentire, uno per riga |
https://auth.pingone.com |
Service account, uno per riga |
L'account di servizio viene generato mediante la piattaforma Google Cloud. I passaggi necessari per configurare un progetto e un account di servizio della piattaforma Google Cloud sono descritti in dettaglio nella guida Integrare Ping Identity con Chrome Enterprise più avanti. |
Consulta la guida di seguito per dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e di Ping Identity per DaVinci.
PingFederate
Campo | Descrizione |
---|---|
Nome della configurazione |
Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo. |
Pattern URL da consentire, uno per riga |
Nella console Ping Federate, vai a (System) Sistema (Protocol Settings) Impostazioni di protocollo (Federation) Federazione per determinare l'URL. |
Service account, uno per riga |
L'account di servizio viene generato utilizzando la piattaforma Google Cloud. I passaggi necessari per configurare un progetto e un account di servizio della piattaforma Google Cloud sono descritti in dettaglio nella guida Integrare Ping Identity con Chrome Enterprise più avanti. |
Consulta la guida di seguito per i dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e PingFederate.
Okta (utenti di Okta Identity Engine)
Campo | Descrizione |
---|---|
Nome della configurazione |
Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo. |
Pattern URL da consentire, uno per riga |
Fornito da Okta: segui le istruzioni nella console di Okta. |
Service account, uno per riga |
Fornito da Okta: segui le istruzioni nella console di Okta. |
Consulta la guida di seguito per dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e Okta Identity Engine.
Cisco Duo
Campo | Descrizione |
---|---|
Nome della configurazione |
Il nome visualizzato nella pagina Connettori in Connettori di attendibilità dispositivo. |
Pattern URL da consentire, uno per riga |
Fornito da Cisco Duo: segui le istruzioni nella console di Cisco Duo. |
Service account, uno per riga |
Fornito da Cisco Duo: segui le istruzioni nella console di Cisco Duo. |
Consulta la guida di seguito per dettagli sulla configurazione dell'integrazione tra gli utenti di Chrome Device Trust Connector e Cisco Duo.
Verificare la configurazione del connettore di attendibilità dei dispositivi
Innanzitutto, assicurati che il dispositivo gestito sia registrato ed elencato nella Console di amministrazione Google in un'unità organizzativa in cui hai configurato il connettore.
Verificare che i criteri vengano applicati
Su un dispositivo gestito:
- Vai all'indirizzo chrome://policy.
- Fai clic su Ricarica criteri.
- Solo Windows e macOS:
- Per BrowserContextAwareAccessSignalsAllowlist, assicurati che lo BrowserContextAwareAccessSignalsAllowlist sia impostato su BrowserContextAwareAccessSignalsAllowlist.
- Per BrowserContextAwareAccessSignalsAllowlist, fai clic su BrowserContextAwareAccessSignalsAllowlist e assicurati che il campo del valore corrisponda a quello impostato in BrowserContextAwareAccessSignalsAllowlist.
- Solo ChromeOS:
- Per DeviceLoginScreenContextAwareAccessSignalsAllowlist, assicurati che lo DeviceLoginScreenContextAwareAccessSignalsAllowlist sia impostato su DeviceLoginScreenContextAwareAccessSignalsAllowlist.
- Per DeviceLoginScreenContextAwareAccessSignalsAllowlist, fai clic su DeviceLoginScreenContextAwareAccessSignalsAllowlist e assicurati che il campo del valore corrisponda a quello impostato in DeviceLoginScreenContextAwareAccessSignalsAllowlist.
Verifica lo stato del connettore di attendibilità del dispositivo
Su un browser o un dispositivo gestito:
- Vai a chrome://connectors-internals.
- Verifica la presenza di questi valori obbligatori:
Is Enabled: true
Key Manager Initialized: true
Key Sync: Success (200)
Il connettore può fornire l'attestazione dell'identità del dispositivo solo se la sincronizzazione delle chiavi è andata a buon fine.
Se non è presente alcun valore accanto a Key Manager Initialized
, aggiorna la pagina finché non viene visualizzato un valore. Se è Is Enabled: true
, la procedura non dovrebbe richiedere più di un minuto.
Nota: i dispositivi ChromeOS non dispongono di un sistema di gestione delle chiavi perché utilizzano certificati supportati da TPM nativi del sistema operativo.
Definizione dei valori su chrome://connectors-internals
Is enabled:
verifica che il criterio sia attivato sul dispositivo.Key Manager Initialized:
Chrome ha caricato la chiave o ne ha creata una se non è già stata creata alcuna chiave.Key Type:
RSA o EC (curva ellittica).Trust Level:
HW o SW.- HW (hardware) indica che la chiave è memorizzata nell'hardware del dispositivo. Ad esempio, su Mac con Secure Enclave o Windows quando è presente un TPM.
- SW (software) indica che la chiave è memorizzata a livello di sistema operativo. Ad esempio in un file, come su Linux.
SPKI Hash:
un hash della chiave privata.Key Sync:
lo stato della risposta + il codice dell'ultimo tentativo di caricamento della chiave. Chrome tenta di ricaricare la chiave a ogni avvio.Signals:
una panoramica degli indicatori che possono essere inviati dal dispositivo.
Cancellazione di una chiave di accesso sensibile al contesto
Solo Windows e Mac
Gli amministratori con accesso alla Console di amministrazione possono cancellare una chiave pubblica attendibile per un browser specifico. Ciò può essere utile per la risoluzione dei problemi se un utente riscontra problemi di accesso, ad esempio se un browser gestito non ha più accesso alla coppia di chiavi attendibile.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu DispositiviChromeBrowser gestiti.
Se hai eseguito la registrazione a Chrome Enterprise Core, vai a Menu Browser ChromeBrowser gestiti.
- Seleziona l'unità organizzativa in cui si trova il browser.
- Seleziona il browser con la chiave da cancellare.
- Nella casella Dettagli del browser gestito a sinistra, fai clic su Configura chiave.
- Seleziona Cancella la chiave.
Quando la chiave viene cancellata dalla Console di amministrazione, il browser gestito ne sincronizza la chiave al riavvio e ristabilisce l'affidabilità.
Nota: se non riesci a fare clic su Configura chiave, la chiave potrebbe non esistere sul server.
Dati inviati da Chrome all'IdP
I dati inviati dai browser Chrome e dai dispositivi ChromeOS all'SP sono definiti qui. In qualità di amministratore, puoi decidere quali di questi indicatori utilizzare nelle regole di accesso sensibile al contesto.
Consenso degli utenti
Il consenso dell'utente è necessario sui dispositivi non gestiti dalla tua organizzazione. Sui dispositivi non gestiti, il browser chiede all'utente di acconsentire alla condivisione della posizione del dispositivo con la tua organizzazione.
Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.