Trường hợp sử dụng: Yêu cầu chứng chỉ doanh nghiệp

Các phiên bản được hỗ trợ cho tính năng này: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus và Chrome Enterprise Premium

Chứng chỉ Enterprise giúp đảm bảo rằng các thiết bị của người dùng được tin cậy để truy cập vào các dịch vụ và dữ liệu trong tổ chức của bạn. Trong ví dụ này, bạn sẽ tạo một quyền truy cập dựa trên bối cảnh yêu cầu các thiết bị của người dùng phải có chứng chỉ Enterprise do công ty cấp để truy cập vào các ứng dụng.

Tiện ích Xác minh điểm cuối chỉ báo cáo một chứng chỉ Enterprise cho Bảng điều khiển dành cho quản trị viên của Google.

Trước khi bắt đầu

• Đảm bảo rằng các thiết bị của người dùng được quản lý bằng Chrome Enterprise Core hoặc các giải pháp quản lý thiết bị khác.
• Các thiết bị của người dùng phải đã cài đặt tiện ích Xác minh điểm cuối. Tìm hiểu cách cài đặt tiện ích Xác minh điểm cuối.
• (Đối với người dùng trên Windows) Để cải thiện tính bảo mật của dữ liệu Chrome, hãy đảm bảo rằng Dịch vụ nâng cao của Google Chrome vẫn bật cho tính năng Mã hoá liên kết với ứng dụng.

Giới thiệu về chứng chỉ

• Nếu công ty của bạn không có chứng chỉ CA và chứng chỉ ứng dụng tương ứng, thì bạn có thể tạo các chứng chỉ đó thông qua Dịch vụ tổ chức phát hành chứng chỉ của Google Cloud.
• Chứng chỉ ứng dụng phải hỗ trợ tính năng Xác thực ứng dụng (1.3.6.1.5.5.7.3.2).
• Trên Windows, chứng chỉ ứng dụng phải có trong kho chứng chỉ Người dùng hiện tại certificate store. Không thể xác thực chứng chỉ trong kho chứng chỉ Máy cục bộ.

Định cấu hình độ tin cậy của chứng chỉ

Để thu thập và xác thực chứng chỉ Enterprise của thiết bị, bạn phải tải các neo tin cậy dùng để phát hành chứng chỉ thiết bị lên. Các neo tin cậy là chứng chỉ CA (Tổ chức phát hành chứng chỉ) gốc và các chứng chỉ trung gian và chứng chỉ phụ có liên quan. Hãy làm theo các bước sau:

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Thiết bị Mạng. 

   Chuyển đến trang Mạng

   Yêu cầu có đặc quyền của quản trị viên Cài đặt thiết bị dùng chung.

2. Chọn đơn vị tổ chức thích hợp.
3. Thực hiện một trong những thao tác sau:
   • Nếu không có chứng chỉ Trong phần Chứng chỉ, hãy nhấp vào Tải chứng chỉ lên.
   • Nếu có chứng chỉ, hãy nhấp vào phần Chứng chỉ, sau đó nhấp vào Thêm chứng chỉ.
4. Nhập tên chứng chỉ và tải chứng chỉ lên.
5. Nhấp vào hộp kiểm Đã bật cho tính năng Xác minh điểm cuối.
6. Nhấp vào Thêm.

Định cấu hình chính sách Chrome

Để tiện ích Xác minh điểm cuối tìm kiếm và thu thập chứng chỉ thiết bị thông qua Chrome, bạn phải định cấu hình chính sách Chrome AutoSelectCertificateForURLs.

1. Trong Bảng điều khiển dành cho quản trị viên, hãy chuyển đến Thiết bị Chrome Cài đặt Cài đặt người dùng và trình duyệt Chứng chỉ ứng dụng.
2. Chọn đơn vị tổ chức hoặc nhóm thích hợp.

3. Thêm chính sách AutoSelectCertificateForUrls bằng cú pháp sau: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Thay thế CERTIFICATE_ISSUER_NAME bằng tên chung của CA tổ chức phát hành. Không sửa đổi giá trị của pattern.

   Trong quá trình thu thập và xác thực chứng chỉ, chứng chỉ ứng dụng cho phép kết nối mTLS thực tế với các máy chủ clients6.google.com ở trên.

Xác minh cấu hình chính sách Chrome

1. Chuyển đến chrome://policy trong trình duyệt.
2. Xác minh rằng giá trị đã định cấu hình cho AutoSelectCertificateForUrls là giá trị được đặt ở Bước 3 trong phần Định cấu hình chính sách Chrome ở trên.
3. Đảm bảo rằng giá trị chính sách Áp dụng cho được đặt thành Máy. Trên hệ điều hành Chrome, giá trị này được áp dụng cho Người dùng hiện tại*.

4. Đảm bảo rằng Trạng thái của chính sách không có Xung đột.

   Để biết thêm thông tin về mức độ ưu tiên của chính sách và cách giải quyết xung đột chính sách, hãy xem bài viết Tìm hiểu về việc quản lý chính sách đối với Chrome .

Xác minh việc thu thập chứng chỉ ứng dụng trên thiết bị

1. (Trên điểm cuối) Đăng nhập và bắt đầu đồng bộ hoá bằng tiện ích Xác minh điểm cuối của Google.

   Trong bước này, chứng chỉ ứng dụng được xác thực ở phía máy chủ dựa trên các neo tin cậy được tải lên trong Định cấu hình độ tin cậy của chứng chỉ ở trên.

2. (Bảng điều khiển dành cho quản trị viên) Chuyển đến Thiết bị Thiết bị di động và điểm cuối rồi tìm thiết bị.

3. Xác minh rằng chứng chỉ đang hiển thị trong phần cài đặt Xác minh điểm cuối.

4. Ghi lại các trường chứng chỉ như dấu vân tay CA gốc, chuỗi Tổ chức phát hành hoặc các trường khác trên trang này, rồi sử dụng các giá trị này để tạo cấp truy cập trong phần Định cấu hình cấp truy cập theo bối cảnh bên dưới.

5. Bạn có thể sử dụng nhật ký Xác minh điểm cuối để khắc phục mọi vấn đề. Cách tải nhật ký xuống:

   1. Nhấp chuột phải vào tiện ích Xác minh điểm cuối, sau đó chuyển đến Tuỳ chọn.
   2. Chọn Cấp nhật ký Tất cả Tải nhật ký xuống.
   3. Mở một trường hợp với Google Workspace hỗ trợ và chia sẻ nhật ký để gỡ lỗi thêm.

Định cấu hình quyền truy cập dựa trên bối cảnh

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mật Quyền truy cập và chế độ kiểm soát dữ liệu Quyền truy cập theo bối cảnh.

   Chuyển đến phần Quyền truy cập dựa trên bối cảnh

   Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

2. Chọn Cấp truy cập.
3. Nhấp vào Tạo cấp truy cập.
4. Thêm tên cấp truy cập (ví dụ: "Yêu cầu chứng chỉ Enterprise") và nội dung mô tả không bắt buộc.
5. Nhấp vào thẻ Nâng cao. Trên thẻ này, bạn sẽ tạo cấp truy cập tuỳ chỉnh trong cửa sổ chỉnh sửa bằng Ngôn ngữ diễn đạt thông thường (CEL). Hãy chuyển đến phần Tạo cấp truy cập theo bối cảnh levels, Xác định cấp truy cập levels – Chế độ nâng cao để biết thông tin chi tiết.

6. Thêm biểu thức CEL cho cấp truy cập.

   Cấp truy cập có thể kiểm tra nhiều thuộc tính của chứng chỉ, chẳng hạn như xác minh dấu vân tay của chứng chỉ CA gốc (ví dụ 1) hoặc kiểm tra xem đó có phải là chứng chỉ hợp lệ do một tổ chức phát hành cụ thể cấp hay không (ví dụ 2). Để xem danh sách đầy đủ các thuộc tính chứng chỉ có thể được truy vấn, hãy xem bảng thuộc tính tại đây.

   1) Chứng chỉ hợp lệ, được xác minh dựa trên các neo tin cậy và được chứng chỉ gốc của công ty ký: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Thay thế chuỗi dấu vân tay gốc bằng chuỗi mà bạn đã sao chép trong bước xác minh chứng chỉ ở trên.

   2) Chứng chỉ hợp lệ, được xác minh dựa trên các neo tin cậy và do một tổ chức phát hành cụ thể cấp: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Nhấp vào Tạo. Giờ đây, bạn có thể chỉ định cấp truy cập này cho các ứng dụng.