Kasus penggunaan: Wajibkan sertifikat perusahaan

Edisi yang didukung untuk fitur ini: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, dan Chrome Enterprise Premium

Sertifikat perusahaan membantu memastikan bahwa perangkat pengguna dipercaya untuk mengakses layanan dan data di organisasi Anda. Dalam contoh ini, Anda membuat tingkat Akses Kontekstual yang mengharuskan perangkat pengguna memiliki sertifikat perusahaan yang dikeluarkan perusahaan untuk mengakses aplikasi.

Ekstensi Verifikasi Endpoint hanya melaporkan satu sertifikat perusahaan ke konsol Google Admin.

Sebelum memulai

Tentang sertifikat

  • Jika perusahaan Anda tidak memiliki sertifikat CA dan sertifikat klien yang sesuai, Anda dapat membuatnya melalui Certificate Authority Service Google Cloud.
  • Sertifikat klien harus mendukung Autentikasi Klien (1.3.6.1.5.5.7.3.2).
  • Di Windows, sertifikat klien harus ada di penyimpanan sertifikat Pengguna Saat Ini. Sertifikat di penyimpanan sertifikat Komputer Lokal tidak dapat diautentikasi.

Mengonfigurasi kepercayaan sertifikat

Untuk mengumpulkan dan memvalidasi sertifikat perusahaan perangkat, Anda harus mengupload trust anchor yang digunakan untuk menerbitkan sertifikat perangkat. Trust anchor adalah sertifikat root CA (Certificate Authority) dan sertifikat perantara dan bawahan yang relevan. Ikuti langkah-langkah berikut:

  1. Di konsol Google Admin, buka Menu lalu PerangkatlaluJaringan

    Memerlukan hak istimewa administrator Setelan perangkat bersama.

  2. Pilih unit organisasi yang sesuai.
  3. Lakukan salah satu langkah berikut:
    • Jika tidak ada sertifikat di bagian Sertifikat, klik Upload sertifikat.
    • Jika ada sertifikat, klik bagian Sertifikat, lalu Tambahkan sertifikat.
  4. Masukkan nama sertifikat dan upload sertifikat.
  5. Klik kotak centang Diaktifkan untuk Verifikasi Endpoint.
  6. Klik Tambahkan.

Mengonfigurasi kebijakan Chrome

Agar Verifikasi Endpoint dapat menelusuri sertifikat perangkat dan mengumpulkannya di Chrome, Anda harus mengonfigurasi kebijakan Chrome AutoSelectCertificateForURLs.

  1. Di konsol Admin, buka PerangkatlaluChromelaluSetelanlaluSetelan Pengguna & BrowserlaluSertifikat klien.
  2. Pilih unit organisasi atau grup yang sesuai.

  3. Tambahkan kebijakan AutoSelectCertificateForUrls, menggunakan sintaksis ini: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

    Ganti CERTIFICATE_ISSUER_NAME dengan nama umum CA penerbit. Jangan ubah nilai pattern.

    Selama proses pengumpulan dan validasi sertifikat, sertifikat klien memungkinkan koneksi mTLS yang sebenarnya ke host clients6.google.com di atas.

Memverifikasi konfigurasi kebijakan Chrome

  1. Buka chrome://policy di browser.
  2. Pastikan nilai yang dikonfigurasi untuk AutoSelectCertificateForUrls adalah nilai yang ditetapkan pada Langkah 3 di Mengonfigurasi kebijakan Chrome, di atas.
  3. Pastikan nilai Berlaku untuk kebijakan ditetapkan ke Perangkat. Di sistem operasi Chrome, nilai diterapkan ke Pengguna Saat Ini*.

  4. Pastikan Status untuk kebijakan tidak memiliki Konflik.

    Untuk mengetahui informasi selengkapnya tentang prioritas kebijakan dan cara menyelesaikan konflik kebijakan, lihat Memahami pengelolaan kebijakan Chrome.

Memverifikasi pengumpulan sertifikat klien di perangkat

  1. (Di endpoint) Login dan mulai sinkronisasi menggunakan ekstensi Verifikasi Endpoint Google.

    Selama langkah ini, sertifikat klien divalidasi di sisi server berdasarkan trust anchor yang diupload di Mengonfigurasi kepercayaan sertifikat di atas.

  2. (Konsol Admin) Buka PerangkatlaluSeluler dan endpoint, lalu temukan perangkat.

  3. Pastikan sertifikat ditampilkan di setelan Verifikasi Endpoint.

  4. Perhatikan kolom sertifikat seperti Sidik jari CA root, String penerbit, atau lainnya di halaman ini, dan gunakan nilai ini untuk membuat tingkat akses di Mengonfigurasi tingkat akses berbasis konteks di bawah.

  5. Anda dapat menggunakan log Verifikasi Endpoint untuk membantu memecahkan masalah. Untuk mendownload log:

    1. Klik kanan ekstensi Verifikasi Endpoint, lalu buka Opsi.
    2. Pilih Tingkat loglaluSemualaluDownload Log.
    3. Buka kasus dengan dukungan Google Workspace dan bagikan log untuk proses debug lebih lanjut.

Mengonfigurasi tingkat Akses Kontekstual

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluKontrol data dan akseslaluAkses Kontekstual.

    Memerlukan Hak istimewa pengelolaan aturan dan tingkat akses Keamanan data serta Hak istimewa baca untuk pengguna dan grup Admin API.

  2. Pilih Access levels.
  3. Klik Buat tingkat akses.
  4. Tambahkan nama tingkat akses (misalnya, "Wajibkan sertifikat perusahaan") dan deskripsi opsional.
  5. Klik tab Lanjutan. Di tab ini, Anda dapat membuat tingkat akses kustom di jendela pengeditan menggunakan Common Expression Language (CEL). Buka Membuat tingkat akses Kontekstual, Menentukan tingkat akses - Mode lanjutan untuk mengetahui detailnya.

  6. Tambahkan ekspresi CEL untuk tingkat akses.

    Level akses dapat menguji berbagai atribut sertifikat, seperti memverifikasi sidik jari sertifikat CA root (contoh 1), atau memeriksa apakah sertifikat tersebut valid dan diterbitkan oleh penerbit tertentu (contoh 2). Untuk mengetahui daftar lengkap atribut sertifikat yang dapat dikueri, lihat tabel atribut di sini.

    1) Sertifikat valid, diverifikasi berdasarkan trust anchor dan ditandatangani oleh root certificate perusahaan: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

    Ganti string sidik jari root dengan string yang Anda salin di langkah verifikasi sertifikat di atas.

    2) Sertifikat valid, diverifikasi berdasarkan trust anchor dan diterbitkan oleh penerbit tertentu: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

  7. Klik Buat. Sekarang Anda dapat menetapkan tingkat akses ini ke aplikasi.