مورد استفاده: الزام به گواهینامه‌های سازمانی

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard، Frontline Plus، Enterprise Standard، Enterprise Plus، Education Standard، Education Plus و Chrome Enterprise Premium

گواهینامه‌های سازمانی به اطمینان از دسترسی دستگاه‌های کاربر به خدمات و داده‌ها در سازمان شما کمک می‌کنند. در این مثال، شما یک سطح دسترسی آگاه از متن ایجاد می‌کنید که دستگاه‌های کاربر را ملزم می‌کند برای دسترسی به برنامه‌ها، یک گواهینامه سازمانی صادر شده توسط شرکت داشته باشند.

افزونه‌ی Endpoint Verification فقط یک گواهی سازمانی را به کنسول مدیریت گوگل گزارش می‌دهد.

قبل از اینکه شروع کنی

درباره گواهینامه‌ها

  • اگر شرکت شما گواهی CA و گواهی‌های کلاینت مربوطه را ندارد، می‌توانید آنها را از طریق سرویس مرجع صدور گواهی ابری گوگل (Google Cloud Certificate Authority Service) ایجاد کنید.
  • گواهی‌های کلاینت باید از احراز هویت کلاینت (1.3.6.1.5.5.7.3.2) پشتیبانی کنند.
  • در ویندوز، گواهی‌های کلاینت باید در مخزن گواهی کاربر فعلی (Current User) موجود باشند. گواهی‌های موجود در مخزن گواهی ماشین محلی (Local Machine) قابل احراز هویت نیستند.

پیکربندی اعتماد به گواهینامه

برای جمع‌آوری و تأیید گواهی سازمانی دستگاه، باید لنگرهای اعتمادی که برای صدور گواهی دستگاه استفاده می‌شوند را بارگذاری کنید. لنگرهای اعتماد، گواهی CA ریشه (مرجع صدور گواهی) و گواهی‌های میانی و فرعی مربوطه هستند. این مراحل را دنبال کنید:

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دستگاه‌ها و سپس شبکه‌ها .

    نیاز به داشتن امتیاز مدیر تنظیمات دستگاه مشترک دارد.

  2. واحد سازمانی مناسب را انتخاب کنید.
  3. یکی از موارد زیر را انجام دهید:
    • اگر هیچ گواهی‌نامه‌ای وجود ندارد، در بخش گواهی‌نامه‌ها ، روی بارگذاری گواهی‌نامه کلیک کنید.
    • اگر گواهی‌هایی وجود دارد، روی بخش گواهی‌ها (Certificates) و سپس افزودن گواهی (Add certificate) کلیک کنید.
  4. نام گواهی را وارد کنید و گواهی را آپلود کنید.
  5. روی کادر تأیید فعال‌شده برای تأیید نقطه پایانی کلیک کنید.
  6. روی افزودن کلیک کنید.

پیکربندی خط‌مشی Chrome

برای اینکه Endpoint Verification بتواند گواهی دستگاه را جستجو کرده و آن را از طریق کروم جمع‌آوری کند، باید سیاست کروم AutoSelectCertificateForURLs را پیکربندی کنید.

  1. در کنسول مدیریت، به بخش دستگاه‌ها بروید و سپس کروم و سپس تنظیمات و سپس تنظیمات کاربر و مرورگر و سپس گواهی‌های مشتری .
  2. واحد یا گروه سازمانی مناسب را انتخاب کنید.

  3. با استفاده از این سینتکس، سیاست AutoSelectCertificateForUrls را اضافه کنید: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

    به جای CERTIFICATE_ISSUER_NAME نام رایج CA صادرکننده را قرار دهید. مقدار pattern را تغییر ندهید.

    در طول فرآیند جمع‌آوری و اعتبارسنجی گواهی، گواهی کلاینت اتصال واقعی mTLS را به میزبان‌های clients6.google.com فوق فعال می‌کند.

پیکربندی خط‌مشی Chrome را تأیید کنید

  1. در مرورگر به آدرس chrome://policy بروید.
  2. تأیید کنید که مقدار پیکربندی‌شده برای AutoSelectCertificateForUrls همان مقداری است که در مرحله ۳ در Configure Chrome policy در بالا تنظیم شده است.
  3. مطمئن شوید که خط‌مشی «اعمال بر مقدار» روی «ماشین» تنظیم شده باشد. در سیستم عامل کروم، این مقدار روی «کاربر فعلی » * اعمال می‌شود.

  4. مطمئن شوید که وضعیت ( Status) مربوط به سیاست (Policy) دارای « تعارض» (Conflict) نباشد.

    برای اطلاعات بیشتر در مورد اولویت خط‌مشی‌ها و حل تداخل خط‌مشی‌ها، به بخش «درک مدیریت خط‌مشی‌های Chrome» مراجعه کنید.

تأیید جمع‌آوری گواهی‌نامه کلاینت روی دستگاه

  1. (در نقطه پایانی) وارد سیستم شوید و با استفاده از افزونه تأیید نقطه پایانی گوگل ، همگام‌سازی را آغاز کنید .

    در طول این مرحله، گواهی کلاینت در سمت سرور با توجه به trust anchor های آپلود شده در Configure certificate trust در بالا، اعتبارسنجی می‌شود.

  2. (کنسول مدیریت) به بخش دستگاه‌ها بروید و سپس موبایل و نقاط پایانی را پیدا کنید و دستگاه را پیدا کنید.

  3. تأیید کنید که گواهی در تنظیمات تأیید نقطه پایانی نمایش داده می‌شود.

  4. به فیلدهای گواهی مانند اثر انگشت مرکز صدور گواهی ریشه، رشته صادرکننده یا موارد دیگر در این صفحه توجه کنید و از این مقادیر برای ساخت سطح دسترسی در پیکربندی سطح دسترسی آگاه از متن در زیر استفاده کنید.

  5. شما می‌توانید از گزارش‌های تأیید نقطه پایانی برای کمک به عیب‌یابی هرگونه مشکل استفاده کنید. برای دانلود گزارش‌ها:

    1. روی افزونه‌ی Endpoint Verification کلیک راست کنید و سپس به Options بروید.
    2. سطح گزارش را انتخاب کنید و سپس همه و سپس دانلود گزارش‌ها .
    3. یک پرونده با پشتیبانی Google Workspace باز کنید و گزارش‌ها را برای اشکال‌زدایی بیشتر به اشتراک بگذارید.

پیکربندی سطح دسترسی آگاه از متن

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس دسترسی آگاه از متن .

    به سطح دسترسی امنیت داده‌ها و امتیازات مدیریت قوانین و همچنین گروه‌های API ادمین و امتیازات خواندن کاربران نیاز دارد.

  2. سطوح دسترسی را انتخاب کنید.
  3. روی ایجاد سطح دسترسی کلیک کنید.
  4. یک نام سطح دسترسی (مثلاً «نیاز به گواهی سازمانی») و یک توضیح اختیاری اضافه کنید.
  5. روی برگه پیشرفته (Advanced ) کلیک کنید. در این برگه، سطح دسترسی سفارشی خود را در یک پنجره ویرایش با استفاده از زبان عبارات مشترک (CEL) ایجاد می‌کنید. برای جزئیات بیشتر به ایجاد سطوح دسترسی آگاه از متن ، تعریف سطوح دسترسی - حالت پیشرفته (Define access levels - Advanced mode) بروید.

  6. عبارت CEL را برای سطح دسترسی اضافه کنید.

    سطح دسترسی می‌تواند ویژگی‌های مختلف گواهی را آزمایش کند، مانند تأیید اثر انگشت گواهی مرکز صدور گواهی ریشه (مثال ۱) یا بررسی اینکه آیا گواهی معتبری است که توسط یک صادرکننده خاص صادر شده است یا خیر (مثال ۲). برای مشاهده لیست کاملی از ویژگی‌های گواهی که می‌توان از آنها استعلام کرد، به جدول ویژگی‌ها در اینجا مراجعه کنید.

    ۱) گواهی معتبر، تأیید شده در برابر لنگرهای اعتماد و امضا شده توسط گواهی ریشه شرکت: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg") .

    رشته اثر انگشت ریشه را با رشته‌ای که در مرحله تأیید گواهی در بالا کپی کرده‌اید، جایگزین کنید.

    ۲) گواهی معتبر، تأیید شده در برابر لنگرهای اعتماد و صادر شده توسط یک صادرکننده خاص: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US") .

  7. روی ایجاد کلیک کنید. اکنون می‌توانید این سطح دسترسی را به برنامه‌ها اختصاص دهید .