תרחיש שימוש: דרישה לאישורים ארגוניים

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard,‏ Frontline Plus,‏ Enterprise Standard,‏ Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Chrome Enterprise Premium

אישורים ארגוניים עוזרים לוודא שהמכשירים של המשתמשים הם מהימנים לצורך גישה לשירותים ולנתונים בארגון. בדוגמה הזו, יוצרים רמת גישה מבוססת-הקשר שדורשת שלמשתמשים יהיו במכשירים אישורים ארגוניים שהונפקו על ידי החברה כדי לגשת לאפליקציות.

התוסף Endpoint Verification מדווח רק על אישור אחד של הארגון למסוף Google Admin.

לפני שמתחילים

מידע על אישורים

  • אם לחברה שלכם אין אישור CA ואישורי לקוח תואמים, אתם יכולים ליצור אותם באמצעות שירות רשות האישורים של Google Cloud.
  • אישורי הלקוח חייבים לתמוך באימות לקוח (1.3.6.1.5.5.7.3.2).
  • ב-Windows, אישורי הלקוח צריכים להיות במאגר האישורים של המשתמש הנוכחי. אי אפשר לאמת אישורים במאגר האישורים של המכונה המקומית.

הגדרת אמון באישור

כדי לאסוף ולאמת את האישור הארגוני של המכשיר, צריך להעלות את נקודות העוגן של האמון ששימשו להנפקת אישור המכשיר. נקודות העוגן של האמון הן אישור ה-CA (רשות האישורים) הבסיסי והאישורים הרלוונטיים של הביניים והמשנה. כך עושים את זה:

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואז רשתות

    כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

  2. בוחרים את היחידה הארגונית המתאימה.
  3. מבצעים אחת מהפעולות הבאות:
    • אם לא מופיעים אישורים בקטע אישורים, לוחצים על העלאת אישור.
    • אם יש אישורים, לוחצים על הקטע אישורים ואז על הוספת אישור.
  4. מזינים את שם האישור ומעלים אותו.
  5. מסמנים את תיבת הסימון מופעל לאימות של נקודות קצה.
  6. לוחצים על הוספה.

הגדרת מדיניות ל-Chrome

כדי שהתוסף Endpoint Verification יחפש את אישור המכשיר ויאסוף אותו דרך Chrome, צריך להגדיר את מדיניות Chrome‏ AutoSelectCertificateForURLs.

  1. במסוף Admin, עוברים אל מכשירים ואז Chrome and then הגדרות and then הגדרות משתמש ודפדפן ואז אישורי לקוח.
  2. בוחרים את היחידה הארגונית או הקבוצה המתאימה.

  3. מוסיפים את המדיניות AutoSelectCertificateForUrls באמצעות התחביר הבא: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

    מחליפים את CERTIFICATE_ISSUER_NAME בשם המוכר של רשות האישורים המנפיקה. אל תשנו את הערך של pattern.

    במהלך תהליך איסוף האישורים והאימות שלהם, אישור הלקוח מאפשר את חיבור ה-mTLS בפועל למארחים clients6.google.com שצוינו למעלה.

אימות ההגדרות של כללי המדיניות של Chrome

  1. בדפדפן, עוברים אל chrome://policy.
  2. מוודאים שהערך שהוגדר עבור AutoSelectCertificateForUrls הוא הערך שהוגדר בשלב 3 בקטע הגדרת מדיניות Chrome שלמעלה.
  3. מוודאים שערך המדיניות חלה על מוגדר למכונה. במערכת ההפעלה Chrome, הערך חל על המשתמש הנוכחי*‎.

  4. מוודאים שהסטטוס של המדיניות לא מסומן כקונפליקט.

    מידע נוסף על סדר העדיפות של המדיניות ועל פתרון של סתירות במדיניות זמין במאמר הסבר על ניהול המדיניות של Chrome.

אימות איסוף אישורי הלקוח במכשיר

  1. (בנקודת הקצה) נכנסים לחשבון ומתחילים סנכרון באמצעות התוסף Google Endpoint Verification.

    במהלך השלב הזה, אישור הלקוח מאומת בצד השרת מול עוגני המהימנות שהועלו בשלב הגדרת מהימנות האישורים שלמעלה.

  2. (מסוף Admin) עוברים אל מכשירים ואז ניידים ונקודות קצה ומאתרים את המכשיר.

  3. מוודאים שהאישור מוצג בהגדרות של Endpoint Verification.

  4. כדאי לרשום את שדות האישור כמו טביעת האצבע של רשות האישורים הבסיסית, מחרוזת המנפיק או שדות אחרים בדף הזה, ולהשתמש בערכים האלה כדי ליצור רמת גישה בקטע הגדרת רמת גישה מבוססת-הקשר שבהמשך.

  5. אפשר להשתמש ביומני אימות בנקודת קצה כדי לפתור בעיות. כדי להוריד את היומנים:

    1. לוחצים לחיצה ימנית על התוסף Endpoint Verification (אימות נקודות קצה) ואז על Options (אפשרויות).
    2. בוחרים באפשרות Log level (רמת יומן) ואז All (הכול) ואז Download Logs (הורדת יומנים).
    3. פותחים פנייה אל תמיכת Google Workspace ומשתפים את היומנים כדי לבצע ניפוי באגים נוסף.

הגדרת רמת גישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בוחרים באפשרות רמות גישה.
  3. לוחצים על יצירה של רמת גישה.
  4. מוסיפים שם לרמת הגישה (למשל, 'נדרש אישור ארגוני') ותיאור אופציונלי.
  5. לוחצים על הכרטיסייה מתקדם. בכרטיסייה הזו, יוצרים את רמת הגישה המותאמת אישית בחלון עריכה באמצעות Common Expressions Language ‏(CEL). פרטים נוספים מופיעים במאמרים בנושא יצירת בקרות גישה מבוססות-הקשר והגדרת רמות גישהמצב מתקדם.

  6. מוסיפים את ביטוי ה-CEL לרמת הגישה.

    רמת הגישה יכולה לבדוק מאפיינים שונים של האישור, כמו אימות טביעת האצבע של אישור ה-CA הבסיסי (דוגמה 1), או בדיקה אם מדובר באישור תקף שהונפק על ידי מנפיק ספציפי (דוגמה 2). רשימה מלאה של מאפייני האישורים שאפשר לשלוח שאילתות לגביהם מופיעה בטבלת המאפיינים כאן.

    ‫1) אישור תקף, שאומת מול נקודות מהימנות ונחתם על ידי אישור הבסיס של החברה: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

    מחליפים את מחרוזת טביעת האצבע של הבסיס במחרוזת שהעתקתם בשלב אימות האישור שלמעלה.

    ‫2) אישור תקף, שאומת מול עוגני אמון והונפק על ידי מנפיק ספציפי: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

  7. לוחצים על יצירה. עכשיו אפשר להקצות את רמת הגישה הזו לאפליקציות.