תרחיש שימוש: דרישה לאישורים ארגוניים

התכונה הזו תומכת במהדורות הבאות: Frontline Standard,‏ Frontline Plus,‏ Enterprise Standard,‏ Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Chrome Enterprise Premium

אישורים ארגוניים עוזרים לוודא שהמכשירים של המשתמשים מהימנים לצורך גישה לשירותים ולנתונים בארגון. בדוגמה הזו, יוצרים רמת גישה מבוססת-הקשר שדורשת שלמשתמשים יהיה אישור ארגוני שהונפק על ידי החברה כדי לגשת לאפליקציות.

התוסף Endpoint Verification מדווח רק על אישור אחד של הארגון למסוף Google Admin.

לפני שמתחילים

• מוודאים שהמכשירים של המשתמשים מנוהלים על ידי Chrome Enterprise Core או פתרונות אחרים לניהול מכשירים.
• במכשירים של המשתמשים צריך להיות מותקן התוסף Endpoint Verification. איך מתקינים את Endpoint Verification
• (למשתמשים ב-Windows) כדי לשפר את האבטחה של נתוני Chrome, חשוב לוודא ששירות ההרשאות של Google Chrome Elevation Service מופעל עבור הצפנה שקשורה לאפליקציה.

מידע על אישורים

• אם לחברה שלכם אין אישור CA ואישורי לקוח תואמים, אתם יכולים ליצור אותם באמצעות שירות רשות האישורים של Google Cloud.
• אישורי הלקוח חייבים לתמוך באימות לקוח (1.3.6.1.5.5.7.3.2).
• ב-Windows, אישורי לקוח צריכים להיות בחנות האישורים של המשתמש הנוכחי. אי אפשר לאמת אישורים במאגר האישורים של המכונה המקומית.

הגדרת אמון באישור

כדי לאסוף ולאמת את האישור הארגוני של המכשיר, צריך להעלות את נקודות העוגן של האמון ששימשו להנפקת אישור המכשיר. עוגני המהימנות הם אישור ה-CA (רשות האישורים) הבסיסי והאישורים הרלוונטיים ברמת הביניים וברמת המשנה. כך עושים את זה:

1. במסוף Google Admin, נכנסים לתפריט מכשיריםרשתות. 

   מעבר ל'רשתות'

   כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

2. בוחרים את היחידה הארגונית המתאימה.
3. מבצעים אחת מהפעולות הבאות:
   • אם לא מופיעים אישורים בקטע אישורים, לוחצים על העלאת אישור.
   • אם יש אישורים, לוחצים על הקטע אישורים ואז על הוספת אישור.
4. מזינים את שם האישור ומעלים אותו.
5. מסמנים את תיבת הסימון מופעל לאימות של נקודות קצה.
6. לוחצים על הוספה.

הגדרת מדיניות ל-Chrome

כדי שהתוסף Endpoint Verification יחפש את אישור המכשיר ויאסוף אותו דרך Chrome, צריך להגדיר את מדיניות Chrome‏ AutoSelectCertificateForURLs.

1. במסוף Admin, עוברים אל מכשיריםChromeהגדרותהגדרות משתמש ודפדפןאישורי לקוח.
2. בוחרים את היחידה הארגונית או הקבוצה המתאימה.

3. מוסיפים את המדיניות AutoSelectCertificateForUrls באמצעות התחביר הבא: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   מחליפים את CERTIFICATE_ISSUER_NAME בשם המוכר של רשות האישורים המנפיקה. אל תשנו את הערך של pattern.

   במהלך תהליך איסוף האישורים והאימות שלהם, אישור הלקוח מאפשר את חיבור ה-mTLS בפועל למארחים של clients6.google.com שצוינו למעלה.

אימות ההגדרות של כללי המדיניות של Chrome

1. בדפדפן, עוברים אל chrome://policy.
2. מוודאים שהערך שהוגדר עבור AutoSelectCertificateForUrls הוא הערך שהוגדר בשלב 3 בקטע הגדרת מדיניות Chrome שלמעלה.
3. מוודאים שערך המדיניות Applies to מוגדר ל-Machine. במערכת ההפעלה Chrome, הערך חל על המשתמש הנוכחי*‎.

4. מוודאים שהסטטוס של המדיניות לא מסומן כקונפליקט.

   מידע נוסף על סדר העדיפויות של המדיניות ועל פתרון של סתירות בין מדיניות זמין במאמר ניהול המדיניות של Chrome.

אימות איסוף אישורי הלקוח במכשיר

1. (בנקודת הקצה) נכנסים לחשבון ומתחילים סנכרון באמצעות התוסף Endpoint Verification של Google.

   במהלך השלב הזה, אישור הלקוח מאומת בצד השרת מול עוגני המהימנות שהועלו בשלב הגדרת מהימנות האישורים שלמעלה.

2. (מסוף Admin) עוברים אל מכשיריםניידים ונקודות קצה ומאתרים את המכשיר.

3. מוודאים שהאישור מופיע בהגדרות של אימות נקודות קצה.

4. שימו לב לשדות האישור, כמו טביעת האצבע של רשות האישורים הבסיסית, מחרוזת המנפיק או שדות אחרים בדף הזה, ותשתמשו בערכים האלה כדי ליצור רמת גישה בקטע הגדרת רמת גישה מודעת-הקשר שבהמשך.

5. אפשר להשתמש ביומנים של אימות נקודות קצה כדי לפתור בעיות. כדי להוריד את היומנים:

   1. לוחצים לחיצה ימנית על התוסף Endpoint Verification (אימות נקודות קצה) ואז עוברים אל אפשרויות.
   2. בוחרים באפשרות רמת יומןהכולהורדת יומנים.
   3. כדי לקבל עזרה נוספת בניפוי הבאגים, אפשר לפתוח פנייה אל התמיכה של Google Workspace ולשתף את היומנים.

הגדרת רמת גישה מבוססת-הקשר

1. במסוף Google Admin, נכנסים לתפריט אבטחהשליטה בגישה ובנתוניםגישה מודעת-הקשר.

   מעבר לבקרת גישה מבוססת-הקשר

   נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

2. בוחרים באפשרות רמות גישה.
3. לוחצים על יצירה של רמת גישה.
4. מוסיפים שם לרמת הגישה (לדוגמה, 'נדרש אישור ארגוני') ותיאור אופציונלי.
5. לוחצים על הכרטיסייה מתקדם. בכרטיסייה הזו, יוצרים את רמת הגישה המותאמת אישית בחלון עריכה באמצעות Common Expressions Language (CEL). פרטים נוספים זמינים במאמר בנושא יצירת בקרות גישה מבוססות-הקשר, בקטע הגדרת רמות גישה – מצב מתקדם.

6. מוסיפים את ביטוי ה-CEL לרמת הגישה.

   רמת הגישה יכולה לבדוק מאפיינים שונים של האישור, כמו אימות טביעת האצבע של אישור ה-CA הבסיסי (דוגמה 1), או בדיקה אם מדובר באישור תקף שהונפק על ידי מנפיק ספציפי (דוגמה 2). רשימה מלאה של מאפייני האישורים שאפשר לשלוח לגביהם שאילתות זמינה בטבלת המאפיינים כאן.

   ‫1) אישור תקף, שאומת מול נקודות עוגן מהימנות ונחתם על ידי אישור הבסיס של החברה: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   מחליפים את מחרוזת טביעת האצבע של הבסיס במחרוזת שהעתקתם בשלב אימות האישור שלמעלה.

   ‫2) אישור תקף, שאומת מול עוגני אמון והונפק על ידי מנפיק ספציפי: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. לוחצים על יצירה. עכשיו אפשר להקצות את רמת הגישה הזו לאפליקציות.