Caso d'uso: richiedere certificati aziendali

Versioni supportate per questa funzionalità: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus e Chrome Enterprise Premium

I certificati aziendali contribuiscono a garantire che i dispositivi degli utenti siano attendibili per accedere ai servizi e ai dati della tua organizzazione. In questo esempio crei un livello di accesso sensibile al contesto che richiede ai dispositivi degli utenti di disporre di un certificato aziendale emesso dall'azienda per accedere alle app.

L'estensione Verifica degli endpoint segnala solo un certificato aziendale alla Console di amministrazione Google.

Prima di iniziare

• Assicurati che i dispositivi degli utenti siano gestiti da Chrome Enterprise Core o da altre soluzioni per la gestione di dispositivi.
• Sui dispositivi degli utenti deve essere installata l'estensione Verifica degli endpoint. Scopri come installare Verifica degli endpoint.
• (Per gli utenti Windows) Per migliorare la sicurezza dei dati di Chrome, assicurati che il servizio di elevazione di Google Chrome rimanga attivo per la crittografia vincolata all'app.

Informazioni sui certificati

• Se la tua azienda non dispone di un certificato CA e dei certificati client corrispondenti, puoi crearli tramite il Google Cloud Certificate Authority Service.
• I certificati client devono supportare l'autenticazione del client (1.3.6.1.5.5.7.3.2).
• Su Windows, i certificati client devono essere presenti nell'archivio certificati dell'utente corrente certificate store. Non è possibile autenticare i certificati nell'archivio certificati della macchina locale.

Configurare l'attendibilità dei certificati

Per raccogliere e convalidare il certificato aziendale del dispositivo, devi caricare i trust anchor utilizzati per emettere il certificato del dispositivo. I trust anchor sono il certificato dell'autorità di certificazione (CA) radice e i certificati intermedi e subordinati pertinenti. Procedi nel seguente modo:

1. Nella Console di amministrazione Google, vai a Menu DispositiviReti. 

   Vai a Reti

   È necessario disporre del privilegio di amministratore Impostazioni dei dispositivi condivisi.

2. Seleziona l'unità organizzativa appropriata.
3. Esegui una delle seguenti operazioni:
   • Se non sono presenti certificati nella sezione Certificati, fai clic su Carica certificato.
   • Se sono presenti certificati, fai clic sulla sezione Certificati, poi su Aggiungi certificato.
4. Inserisci il nome del certificato e caricalo.
5. Fai clic sulla casella di controllo Attivato per la verifica degli endpoint.
6. Fai clic su Aggiungi.

Configurare la policy di Chrome

Affinché Verifica degli endpoint possa cercare il certificato del dispositivo e raccoglierlo tramite Chrome, devi configurare la policy AutoSelectCertificateForURLs di Chrome.

1. Nella Console di amministrazione, vai a DispositiviChromeImpostazioniImpostazioni browser e utenteCertificati client.
2. Seleziona l'unità organizzativa o il gruppo appropriato.

3. Aggiungi la policy AutoSelectCertificateForUrls utilizzando la seguente sintassi: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Sostituisci CERTIFICATE_ISSUER_NAME con il nome comune della CA dell'emittente. Non modificare il valore di pattern.

   Durante la procedura di raccolta e convalida dei certificati, il certificato client abilita la connessione mTLS effettiva agli host clients6.google.com sopra indicati.

Verificare la configurazione della policy di Chrome

1. Vai a chrome://policy nel browser.
2. Verifica che il valore configurato per AutoSelectCertificateForUrls sia quello impostato nel passaggio 3 della sezione Configurare la policy di Chrome sopra.
3. Assicurati che il valore Si applica a della policy sia impostato su Computer. Nel sistema operativo Chrome, il valore viene applicato a Utente corrente*.

4. Assicurati che lo Stato della policy non sia Conflitto.

   Per ulteriori informazioni sulla precedenza delle policy e sulla risoluzione dei relativi conflitti, vedi Comprendi la gestione delle policy di Chrome.

Verificare la raccolta dei certificati client sul dispositivo

1. (Sull'endpoint) Accedi e avvia una sincronizzazione utilizzando l'estensione Verifica degli endpoint di Google.

   Durante questo passaggio, il certificato client viene convalidato sul lato server in base ai trust anchor caricati in Configurare l'attendibilità dei certificati sopra.

2. (Console di amministrazione) Vai a DispositiviDispositivi mobili ed endpoint e individua il dispositivo.

3. Verifica che il certificato sia visualizzato nelle impostazioni di Verifica degli endpoint.

4. Prendi nota dei campi del certificato, come Impronta CA radice, Stringa emittente o altri in questa pagina e utilizza questi valori per creare un livello di accesso in Configurare il livello di accesso sensibile al contesto di seguito.

5. Puoi utilizzare i log di Verifica degli endpoint per risolvere eventuali problemi. Per scaricare i log:

   1. Fai clic con il tasto destro del mouse sull'estensione Verifica degli endpoint e vai a Opzioni.
   2. Seleziona Livello di logTuttiScarica log.
   3. Apri una richiesta di assistenza con l'assistenza Google Workspace e condividi i log per ulteriore debug.

Configurare un livello di accesso sensibile al contesto

1. Nella Console di amministrazione Google, vai a Menu SicurezzaAccesso e controllo dei datiAccesso sensibile al contesto.

   Vai all'accesso sensibile al contesto

   È necessario disporre del livello di accesso Sicurezza dei dati e dei privilegi Gestione regole nonché dei privilegi di lettura Utenti e Gruppi delle API amministrative.

2. Seleziona Livelli di accesso.
3. Fai clic su Crea livello di accesso.
4. Aggiungi un nome del livello di accesso (ad esempio "Richiedi certificato aziendale") e una descrizione facoltativa.
5. Fai clic sulla scheda Avanzate. In questa scheda, puoi creare il tuo livello di accesso personalizzato in una finestra di modifica utilizzando Common Expression Language (CEL). Per informazioni dettagliate, vai a Creare livelli di accesso sensibile al contesto, Definire i livelli di accesso - Modalità avanzata.

6. Aggiungi l'espressione CEL per il livello di accesso.

   Il livello di accesso può testare diversi attributi del certificato, ad esempio verificare l'impronta del certificato CA radice (esempio 1) o controllare se si tratta di un certificato valido emesso da un emittente specifico (esempio 2). Per un elenco completo degli attributi dei certificati su cui è possibile eseguire query, consulta la tabella degli attributi qui.

   1) Certificato valido, verificato rispetto a trust anchor e firmato dal certificato radice dell'azienda: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Sostituisci la stringa dell'impronta radice con la stringa che hai copiato nel passaggio di verifica del certificato sopra.

   2) Certificato valido, verificato rispetto a trust anchor ed emesso da un emittente specifico: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Fai clic su Crea. Ora puoi assegnare questo livello di accesso alle app.