حالة الاستخدام: طلب شهادات المؤسسات

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وChrome Enterprise Premium

تساعد شهادات المؤسسات في ضمان أنّ أجهزة المستخدمين موثوق بها للوصول إلى الخدمات والبيانات في مؤسستك. في هذا المثال، يمكنك إنشاء مستوى "وصول مستند إلى السياق" يتطلب أن تكون أجهزة المستخدمين مزوّدة بشهادة مؤسسة صادرة عن الشركة من أجل الوصول إلى التطبيقات.

لا تُبلغ إضافة "التحقّق من نقطة النهاية" سوى عن شهادة مؤسسة واحدة إلى "وحدة تحكّم المشرف في Google".

قبل البدء

لمحة عن الشهادات

  • إذا لم تكن شركتك تمتلك شهادة CA وشهادات العملاء المقابلة، يمكنك إنشاؤها من خلال خدمة هيئة إصدار الشهادات في Google Cloud.
  • يجب أن تتوافق شهادات العميل مع مصادقة العميل (1.3.6.1.5.5.7.3.2).
  • في نظام التشغيل Windows، يجب أن تكون شهادات العميل متوفّرة في مخزّن الشهادات الخاص بـ "المستخدم الحالي". لا يمكن مصادقة الشهادات في مخزّن شهادات "الجهاز المحلي".

ضبط ثقة الشهادة

لجمع شهادة المؤسسة الخاصة بالجهاز والتحقّق منها، يجب تحميل كيانات الثقة المستخدَمة لإصدار شهادة الجهاز. كيانات الثقة هي شهادة هيئة إصدار الشهادات (CA) الجذر والشهادات الوسيطة والتابعة ذات الصلة. يُرجى اتّباع الخطوات التالية:

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزةثمالشبكات

    يتطلب الحصول على امتيازات المشرف إعدادات جهاز مشترك.

  2. اختَر الوحدة التنظيمية المناسبة.
  3. نفِّذ أيًّا ممّا يلي:
    • إذا لم تكن هناك أيّ شهادات في قسم الشهادات، انقر على تحميل شهادة.
    • إذا كانت هناك شهادات، انقر على قسم الشهادات، ثم على إضافة شهادة.
  4. أدخِل اسم الشهادة وحمِّلها.
  5. انقر على مربّع الاختيار مفعَّل لميزة "التحقّق من نقطة النهاية".
  6. انقر على إضافة.

ضبط سياسة Chrome

لكي تتمكّن ميزة "التحقُّق من نقاط النهاية" من البحث في شهادة الجهاز وجمعها من خلال Chrome، يجب ضبط سياسة Chrome‏ هذه AutoSelectCertificateForURLs.

  1. في "وحدة تحكّم المشرف"، انتقِل إلى الأجهزةثمChromeثمالإعداداتثمإعدادات المستخدم والمتصفّحثمشهادات العميل.
  2. اختَر الوحدة التنظيمية أو المجموعة المناسبة.

  3. أضِف سياسة AutoSelectCertificateForUrls باستخدام البنية التالية: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

    يجب استبدال CERTIFICATE_ISSUER_NAME بالاسم الشائع لجهة إصدار الشهادات، لا تعدِّل قيمة pattern.

    أثناء عملية جمع الشهادة والتحقّق منها، تُفعِّل شهادة العميل اتصال mTLS الفعلي بمضيفي clients6.google.com المذكورين أعلاه.

التحقّق من إعدادات سياسة Chrome

  1. انتقِل إلى chrome://policy في المتصفّح.
  2. يُرجى التأكُّد من أنّ القيمة التي تم ضبطها لمفتاح AutoSelectCertificateForUrls هي القيمة التي تم ضبطها في الخطوة 3 من قسم ضبط سياسة Chrome أعلاه.
  3. يُرجى التأكُّد من ضبط قيمة السياسة تنطبق على على الجهاز. في نظام التشغيل Chrome، يتم تطبيق القيمة على المستخدم الحالي*.

  4. يُرجى التأكُّد من أنّ الحالة للسياسة لا تتضمّن تعارضًا.

    لمزيد من المعلومات عن ترتيب أولوية السياسات وحلّ تعارضات السياسات، يمكنك الاطّلاع على التعرّف على إدارة سياسات Chrome.

التحقّق من جمع شهادات العميل على الجهاز

  1. (على نقطة النهاية) يجب تسجيل الدخول وبدء المزامنة باستخدام إضافة "التحقُّق من نقطة النهاية" من Google.

    خلال هذه الخطوة، يتم التحقّق من شهادة العميل من جهة الخادم مقارنةً بكيانات الثقة التي تم تحميلها في ضبط ثقة الشهادة أعلاه.

  2. (وحدة تحكُّم المشرف) يُرجى الانتقال إلى الأجهزةثمالأجهزة الجوّالة ونقاط النهاية وتحديد موقع الجهاز.

  3. يُرجى التأكُّد من ظهور الشهادة في إعدادات "التحقّق من نقطة النهاية".

  4. يُرجى ملاحظة حقول الشهادة، مثل الملف المرجعي لشهادة CA الجذر أو سلسلة جهة الإصدار أو غيرها في هذه الصفحة، واستخدام هذه القيم لإنشاء مستوى وصول في القسم ضبط مستوى الوصول الواعي بالسياق أدناه.

  5. يمكنك استخدام سجلّات "التحقّق من نقطة النهاية" لمساعدتك في تحديد أي مشاكل وحلّها. لتنزيل السجلّات، اتّبِع الخطوات التالية:

    1. انقر بزر الماوس الأيمن على إضافة "التحقّق من نقطة النهاية"، ثم انتقِل إلى الخيارات.
    2. انقر على مستوى السجلّثمالكلثمتنزيل السجلات.
    3. يُرجى فتح طلب دعم لدى فريق دعم Google Workspace ومشاركة السجلات لإجراء المزيد من عمليات تصحيح الأخطاء.

ضبط مستوى "الوصول المستنِد إلى السياق"

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمانثمالتحكّم في البيانات والوصولثمالوصول الواعي بالسياق.

    يتطلب ذلك امتيازات إدارة القواعد ومستوى الوصول لأمان البيانات وامتيازات "القراءة" لمجموعات ومستخدمي Admin API.

  2. اختَر مستويات الوصول.
  3. انقر على إنشاء مستوى وصول.
  4. أضِف اسم مستوى الوصول (على سبيل المثال، "طلب شهادة المؤسسة") ووصفًا اختياريًا.
  5. انقر على علامة التبويب إعدادات متقدمة. يمكنك في علامة التبويب هذه إنشاء مستوى الوصول المُخصَّص في نافذة تعديل باستخدام لغة التعبير العادي (CEL). لمعرفة التفاصيل، يُرجى الانتقال إلى مقالة إنشاء مستويات "الوصول المستنِد إلى السياق"، قسم تحديد مستويات الوصول - الوضع المتقدِّم.

  6. أضِف تعبير CEL لمستوى الوصول.

    يمكن أن يختبر مستوى الوصول سمات مختلفة من الشهادة، مثل التحقّق من الملف المرجعي لشهادة CA الجذر (المثال 1)، أو التحقّق مما إذا كانت شهادة صالحة صادرة عن جهة إصدار معيّنة (المثال 2). للحصول على قائمة كاملة بسمات الشهادة التي يمكن الاستعلام عنها، يُرجى الاطّلاع على جدول السمات هنا.

    1) شهادة صالحة تم التحقّق منها وفقًا لكيانات الثقة وموقَّعة من خلال شهادة الجذر الخاصة بالشركة: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

    يجب استبدال سلسلة الملف المرجعي للجذر بالسلسلة التي نسختها في خطوة التحقّق من الشهادة أعلاه.

    2) شهادة صالحة تم التحقّق منها وفقًا لكيانات الثقة وإصدارها من جهة إصدار محدّدة: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

  7. انقر على إنشاء. يمكنك الآن تحديد مستوى الوصول هذا للتطبيقات.