Trường hợp sử dụng: Yêu cầu chứng chỉ doanh nghiệp

Các phiên bản hỗ trợ tính năng này: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus và Chrome Enterprise Premium

Chứng chỉ doanh nghiệp giúp đảm bảo rằng các thiết bị của người dùng được tin cậy để truy cập vào các dịch vụ và dữ liệu trong tổ chức của bạn. Trong ví dụ này, bạn tạo một cấp truy cập theo bối cảnh yêu cầu thiết bị của người dùng phải có chứng chỉ doanh nghiệp do công ty cấp thì mới có thể truy cập vào các ứng dụng.

Tiện ích Xác minh điểm cuối chỉ báo cáo một chứng chỉ doanh nghiệp cho Bảng điều khiển dành cho quản trị viên của Google.

Trước khi bắt đầu

• Đảm bảo rằng thiết bị của người dùng được quản lý bằng Chrome Enterprise Core hoặc các giải pháp quản lý thiết bị khác.
• Thiết bị của người dùng phải cài đặt tiện ích Xác minh điểm cuối. Tìm hiểu cách cài đặt tính năng Xác minh điểm cuối.
• (Đối với người dùng Windows) Để cải thiện tính bảo mật của dữ liệu Chrome, hãy đảm bảo rằng Dịch vụ nâng cao của Google Chrome vẫn bật cho tính năng Mã hoá liên kết với ứng dụng.

Giới thiệu về chứng chỉ

• Nếu công ty của bạn không có chứng chỉ CA và chứng chỉ ứng dụng tương ứng, bạn có thể tạo chúng thông qua Dịch vụ tổ chức phát hành chứng chỉ của Google Cloud.
• Chứng chỉ ứng dụng phải hỗ trợ Xác thực ứng dụng (1.3.6.1.5.5.7.3.2).
• Trên Windows, chứng chỉ ứng dụng phải có trong kho chứng chỉ của Người dùng hiện tại. Không thể xác thực các chứng chỉ trong kho chứng chỉ Local Machine.

Định cấu hình độ tin cậy của chứng chỉ

Để thu thập và xác thực chứng chỉ doanh nghiệp của thiết bị, bạn phải tải các neo tin cậy được dùng để phát hành chứng chỉ thiết bị lên. Neo tin cậy là chứng chỉ CA gốc (Tổ chức phát hành chứng chỉ) và các chứng chỉ trung gian và phụ có liên quan. Hãy làm theo các bước sau:

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Thiết bịMạng. 

   Chuyển đến trang Mạng

   Bạn phải có đặc quyền của quản trị viên đối với Cài đặt thiết bị dùng chung.

2. Chọn đơn vị tổ chức phù hợp.
3. Thực hiện một trong các thao tác sau:
   • Nếu không có chứng chỉ nào, trong phần Chứng chỉ, hãy nhấp vào Tải chứng chỉ lên.
   • Nếu có chứng chỉ, hãy nhấp vào phần Chứng chỉ, rồi nhấp vào Thêm chứng chỉ.
4. Nhập tên chứng chỉ và tải chứng chỉ lên.
5. Nhấp vào hộp đánh dấu Đã bật tính năng Xác minh điểm cuối.
6. Nhấp vào Thêm.

Định cấu hình chính sách Chrome

Để Xác minh điểm cuối tìm kiếm chứng chỉ thiết bị và thu thập chứng chỉ đó thông qua Chrome, bạn phải định cấu hình chính sách AutoSelectCertificateForURLs của Chrome.

1. Trong Bảng điều khiển dành cho quản trị viên, hãy chuyển đến phần Thiết bịChromeCài đặtCài đặt trình duyệt và người dùngChứng chỉ máy khách.
2. Chọn đơn vị tổ chức hoặc nhóm thích hợp.

3. Thêm chính sách AutoSelectCertificateForUrls bằng cú pháp sau: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Thay thế CERTIFICATE_ISSUER_NAME bằng tên chung của CA nhà phát hành. Đừng sửa đổi giá trị của pattern.

   Trong quá trình thu thập và xác thực chứng chỉ, chứng chỉ ứng dụng cho phép kết nối mTLS thực tế với các máy chủ clients6.google.com ở trên.

Xác minh cấu hình chính sách của Chrome

1. Chuyển đến chrome://policy trong trình duyệt.
2. Xác minh rằng giá trị đã định cấu hình cho AutoSelectCertificateForUrls là giá trị được đặt ở Bước 3 trong phần Định cấu hình chính sách Chrome ở trên.
3. Đảm bảo rằng giá trị Áp dụng cho của chính sách được đặt thành Máy. Trên hệ điều hành Chrome, giá trị này được áp dụng cho Người dùng hiện tại*.

4. Đảm bảo rằng Trạng thái của chính sách không có Xung đột.

   Để biết thêm thông tin về mức độ ưu tiên của chính sách và cách giải quyết xung đột chính sách, hãy xem bài viết Tìm hiểu về việc quản lý chính sách của Chrome.

Xác minh hoạt động thu thập chứng chỉ ứng dụng trên thiết bị

1. (Trên thiết bị đầu cuối) Đăng nhập và bắt đầu đồng bộ hoá bằng tiện ích Xác minh điểm cuối của Google.

   Trong bước này, chứng chỉ máy khách sẽ được xác thực ở phía máy chủ dựa trên các neo tin cậy được tải lên trong phần Định cấu hình độ tin cậy của chứng chỉ ở trên.

2. (Bảng điều khiển dành cho quản trị viên) Chuyển đến mục Thiết bịThiết bị di động và thiết bị đầu cuối rồi tìm thiết bị.

3. Xác minh rằng chứng chỉ đang xuất hiện trong phần cài đặt Xác minh thiết bị đầu cuối.

4. Ghi chú các trường chứng chỉ như dấu vân tay CA gốc, chuỗi tổ chức phát hành hoặc các trường khác trên trang này, rồi sử dụng các giá trị này để tạo cấp truy cập trong phần Định cấu hình cấp truy cập dựa trên bối cảnh bên dưới.

5. Bạn có thể sử dụng nhật ký Xác minh điểm cuối để khắc phục mọi vấn đề. Cách tải nhật ký xuống:

   1. Nhấp chuột phải vào tiện ích Xác minh thiết bị đầu cuối, rồi chuyển đến Tuỳ chọn.
   2. Chọn Cấp nhật kýTất cảTải nhật ký xuống.
   3. Mở một yêu cầu hỗ trợ với Nhóm hỗ trợ Google Workspace và chia sẻ nhật ký để được gỡ lỗi thêm.

Định cấu hình cấp truy cập theo bối cảnh

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mậtQuyền truy cập và chế độ kiểm soát dữ liệuQuyền truy cập dựa trên bối cảnh.

   Chuyển đến phần Quyền truy cập dựa trên bối cảnh

   Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

2. Chọn Cấp truy cập.
3. Nhấp vào Tạo cấp truy cập.
4. Thêm tên cấp truy cập (ví dụ: "Yêu cầu chứng chỉ doanh nghiệp") và nội dung mô tả (không bắt buộc).
5. Nhấp vào thẻ Nâng cao. Trên thẻ này, bạn sẽ tạo cấp truy cập tuỳ chỉnh trong cửa sổ chỉnh sửa bằng cách sử dụng Ngôn ngữ diễn đạt thông thường (CEL). Hãy tham khảo bài viết Tạo cấp truy cập theo bối cảnh, Xác định cấp truy cập – Chế độ nâng cao để biết thêm chi tiết.

6. Thêm biểu thức CEL cho cấp truy cập.

   Cấp độ truy cập có thể kiểm thử nhiều thuộc tính của chứng chỉ, chẳng hạn như xác minh dấu vân tay của chứng chỉ CA gốc (ví dụ 1) hoặc kiểm tra xem đó có phải là chứng chỉ hợp lệ do một tổ chức phát hành cụ thể phát hành hay không (ví dụ 2). Để xem danh sách đầy đủ các thuộc tính chứng chỉ có thể được truy vấn, hãy xem bảng thuộc tính tại đây.

   1) Chứng chỉ hợp lệ, được xác minh dựa trên neo tin cậy và được ký bằng chứng chỉ gốc của công ty: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Thay thế chuỗi dấu vân tay gốc bằng chuỗi mà bạn đã sao chép ở bước xác minh chứng chỉ ở trên.

   2) Chứng chỉ hợp lệ, được xác minh dựa trên neo tin cậy và do một tổ chức phát hành cụ thể cấp: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Nhấp vào Tạo. Giờ đây, bạn có thể chỉ định cấp truy cập này cho các ứng dụng.