תרחיש שימוש: דרישה לאישורים ארגוניים

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard,‏ Frontline Plus,‏ Enterprise Standard,‏ Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Chrome Enterprise Premium

אישורים ארגוניים עוזרים לוודא שהמכשירים של המשתמשים מהימנים ויכולים לגשת לשירותים ולנתונים בארגון. בדוגמה הזו, יוצרים רמת גישה מודעת-הקשר שדורשת מהמכשירים של המשתמשים אישור ארגוני שהונפק על ידי החברה כדי לגשת לאפליקציות.

התוסף Endpoint Verification (אימות של נקודת קצה) מדווח רק על אישור אחד של Enterprise במסוף Google Admin.

לפני שמתחילים

מידע על אישורים

  • אם לחברה שלכם אין אישור CA ואישורי לקוח תואמים, אתם יכולים ליצור אותם באמצעות שירות רשות האישורים של Google Cloud.
  • אישורי הלקוח חייבים לתמוך באימות לקוח (1.3.6.1.5.5.7.3.2).
  • ב-Windows, אישורי לקוח צריכים להיות במאגר האישורים של המשתמש הנוכחי. אישורים במאגר האישורים של המכונה המקומית לא ניתנים לאימות.

הגדרת אמון באישור

כדי לאסוף ולאמת את אישור הארגון של המכשיר, צריך להעלות את נקודות העוגן של האמון ששימשו להנפקת אישור המכשיר. עוגני האמון הם אישור ה-CA (רשות האישורים) הבסיסי והאישורים הרלוונטיים ברמת הביניים וברמת המשנה. כדי להוריד את התוכן:

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואז רשתות.

    נדרשת הרשאת אדמין להגדרות של מכשיר משותף.

  2. בוחרים את היחידה הארגונית המתאימה.
  3. מבצעים אחת מהפעולות הבאות:
    • אם לא מופיעים אישורים בקטע אישורים, לוחצים על העלאת אישור.
    • אם יש אישורים, לוחצים על הקטע אישורים ואז על הוספת אישור.
  4. מזינים את שם האישור ומעלים אותו.
  5. מסמנים את תיבת הסימון מופעל לאימות של נקודות קצה.
  6. לוחצים על הוספה.

הגדרת מדיניות ל-Chrome

כדי שהתוסף Endpoint Verification יחפש את אישור המכשיר ויאסוף אותו דרך Chrome, צריך להגדיר את מדיניות Chrome‏ AutoSelectCertificateForURLs.

  1. במסוף Admin, עוברים אל מכשירים ואז Chrome ואז הגדרות ואז הגדרות משתמש ודפדפן ואז אישורי לקוח.
  2. בוחרים את היחידה הארגונית או הקבוצה המתאימה.

  3. מוסיפים את המדיניות AutoSelectCertificateForUrls באמצעות התחביר הבא: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

    מחליפים את CERTIFICATE_ISSUER_NAME בשם המוכר של רשות האישורים המנפיקה. אל תשנו את הערך של pattern.

    במהלך תהליך האיסוף והאימות של האישורים, אישור הלקוח מאפשר את חיבור ה-mTLS בפועל למארחים clients6.google.com שצוינו למעלה.

אימות ההגדרות של כללי המדיניות של Chrome

  1. בדפדפן, עוברים אל chrome://policy.
  2. מוודאים שהערך שהוגדר עבור AutoSelectCertificateForUrls הוא הערך שהוגדר בשלב 3 בקטע הגדרת מדיניות Chrome שלמעלה.
  3. מוודאים שערך המדיניות Applies to מוגדר ל-Machine. במערכת ההפעלה Chrome, הערך חל על Current User*.

  4. מוודאים שהסטטוס של המדיניות לא מסומן כקונפליקט.

    מידע נוסף על סדר העדיפות של המדיניות ועל פתרון של סתירות במדיניות זמין במאמר הסבר על ניהול המדיניות של Chrome.

אימות איסוף אישורי הלקוח במכשיר

  1. (בנקודת הקצה) נכנסים לחשבון ומתחילים סנכרון באמצעות התוסף Google Endpoint Verification.

    במהלך השלב הזה, אישור הלקוח מאומת בצד השרת מול עוגני המהימנות שהועלו בשלב הגדרת מהימנות האישורים שלמעלה.

  2. (מסוף Admin) עוברים אל מכשירים ואז ניידים ונקודות קצה ומאתרים את המכשיר.

  3. מוודאים שהאישור מוצג בהגדרות של אימות נקודות קצה.

  4. שימו לב לשדות האישור כמו טביעת האצבע של רשות אישורים (CA) הבסיסית, מחרוזת המנפיק או שדות אחרים בדף הזה, ותשתמשו בערכים האלה כדי ליצור רמת גישה בקטע הגדרת רמת גישה מבוססת-הקשר שבהמשך.

  5. אפשר להשתמש ביומנים של אימות בנקודת קצה כדי לפתור בעיות. כדי להוריד את היומנים:

    1. לוחצים לחיצה ימנית על התוסף Endpoint Verification (אימות נקודות קצה) ואז על Options (אפשרויות).
    2. בוחרים באפשרות רמת היומן ואז הכול ואז הורדת יומנים.
    3. פותחים פנייה לתמיכה של Google Workspace ומשתפים את היומנים כדי לבצע ניפוי באגים נוסף.

הגדרת רמת גישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בוחרים באפשרות רמות גישה.
  3. לוחצים על יצירה של רמת גישה.
  4. מוסיפים שם לרמת הגישה (למשל, 'נדרש אישור ארגוני') ותיאור אופציונלי.
  5. לוחצים על הכרטיסייהמתקדם. בכרטיסייה הזו, יוצרים את רמת הגישה המותאמת אישית בחלון עריכה באמצעות Common Expressions Language ‏(CEL). פרטים נוספים זמינים במאמרים יצירת בקרות גישה מבוססות-הקשר והגדרת בקרות גישהמצב מתקדם.

  6. מוסיפים את ביטוי ה-CEL לרמת הגישה.

    רמת הגישה יכולה לבדוק מאפיינים שונים של האישור, כמו אימות טביעת האצבע של אישור CA בסיסי (דוגמה 1), או בדיקה אם מדובר באישור תקף שהונפק על ידי מנפיק ספציפי (דוגמה 2). רשימה מלאה של מאפייני האישור שאפשר לשלוח לגביהם שאילתות זמינה בטבלת המאפיינים כאן.

    ‫1) אישור תקף, שאומת מול נקודות מהימנות ונחתם על ידי אישור הבסיס של החברה: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

    מחליפים את מחרוזת טביעת האצבע של הבסיס במחרוזת שהעתקתם בשלב אימות האישור שלמעלה.

    ‫2) אישור תקף, שאומת מול עוגני אמון והונפק על ידי מנפיק ספציפי: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

  7. לוחצים על יצירה. עכשיו אפשר להקצות את רמת הגישה הזו לאפליקציות.