Um princípio importante do Chrome Enterprise Premium é "O acesso aos serviços é concedido com base nós sabemos sobre você e seu dispositivo". Nível de acesso concedido a um único usuário ou um único dispositivo é inferido dinamicamente com o interrogatório de vários dados de dados. O Chrome Enterprise Premium usa esse nível de confiança no processo de decisão.
O Access Context Manager é o mecanismo de política de confiança zero do Chrome Enterprise Premium. O Access Context Manager permite administradores definam um controle de acesso refinado e baseado em atributos para e os recursos do Google Cloud.
Use níveis de acesso para permitir o acesso a recursos com base em informações contextuais
sobre a solicitação. Com os níveis de acesso, é possível organizar os níveis de
confiança. Por exemplo, é possível criar um nível de acesso chamado High_Level
que
permite solicitações de um pequeno grupo de indivíduos altamente privilegiados. Talvez você
você também vai identificar um grupo mais geral de confiança, como um intervalo de IP
para permitir solicitações. Nesse caso, é possível criar um nível de acesso chamado
Medium_Level
para permitir essas solicitações.
Um dos principais requisitos para o acesso de confiança zero é permitir acesso apenas quando o dispositivo é gerenciado ou pertence à empresa. Há muitas maneiras de determinar se um dispositivo é de propriedade da empresa. Uma maneira é determinar se um dispositivo emitido pela empresa, existe no dispositivo. A existência de um o certificado empresarial de um dispositivo pode ser usado para indicar que o dispositivo está de propriedade da empresa.
Os certificados empresariais para acesso baseado no contexto são um recurso da Solução de acesso com base em certificado do Chrome Enterprise Premium. Esse recurso usa as funções do de segurança como um sinal alternativo baseado no contexto para determinar se um dispositivo está um ativo de propriedade da empresa. Esse recurso está disponível no navegador Chrome 110 ou mais tarde.
Como um dispositivo pode ter mais de um certificado, os certificados empresariais podem
ser acessado no nível de acesso personalizado por meio de macros .exist(e,p)
:
device.certificates.exists(cert, predicate)
No exemplo, cert
é um identificador simples a ser usado em predicator
, que
é vinculado ao certificado do dispositivo. A macro exist()
combina por elemento
predicar resultados com "or" (||), o que significa que as macros retornam "true"
se pelo menos um certificado satisfizer a expressão predicate
.
O certificado tem os seguintes atributos que podem ser verificados juntos. Observação que as comparações de strings diferenciam maiúsculas de minúsculas.
Atributo | Descrição | Exemplo de expressão de predicado (em que cert é um identificador de macros) |
---|---|---|
is_valid |
Verdadeiro se o certificado for válido e não tiver expirado (booleano). | cert.is_valid |
cert_fingerprint |
Impressão digital do certificado (SHA256 em Base64 sem preenchimento).
A impressão digital é o resumo SHA256 codificado em base64 sem preenchimento, formato binário, do certificado codificado por DER. É possível gerar o string do certificado no formato PEM usando o seguinte com o OpenSSL:
|
cert.cert_fingerprint == origin.clientCertFingerprint()
|
root_ca_fingerprint |
Impressão digital do certificado da CA raiz usado para assinar o certificado (SHA256 em Base64 sem preenchimento).
A impressão digital é o resumo SHA256 codificado em base64 sem preenchimento, formato binário, do certificado codificado por DER. É possível gerar o string do certificado no formato PEM usando o seguinte com o OpenSSL:
|
cert.root_ca_fingerprint == "the_fingerprint" |
issuer |
Nome do emissor (nomes totalmente expandidos).
Para encontrar o nome do emissor, use a seguinte abordagem: Execute o seguinte comando no certificado:
$ openssl x509 -in ca_1.crt -issuer
issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in
A string do emissor usada no nível de acesso é o inverso da saída e o / é substituído por uma vírgula. Exemplo:
|
cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN" |
subject |
Nome do assunto do certificado (nomes totalmente expandidos). | cert.subject == "CA_SUB" |
serial_number |
Número de série do certificado (string). | cert.serial_number = "123456789" |
template_id |
ID do modelo da extensão X.509 Certificate Template do certificado (string). | cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047" |
A tabela a seguir contém exemplos de políticas que podem ser definidas:
Exemplo de política | Expressão |
---|---|
O dispositivo tem um certificado válido assinado pelo certificado raiz da empresa. | device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
|
O dispositivo tem um certificado válido emitido pelo emissor CA_ABC. |
device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")
|
Como configurar certificados empresariais
Antes de configurar certificados corporativos, verifique se você configurou níveis de acesso. Para mais instruções, consulte Como criar um plano de do Google Workspace.
É possível usar uma definição de nível de acesso personalizado do Access Context Manager para definir políticas adequadas. Os níveis de acesso personalizados usam expressões booleanas escritas em um subconjunto de Common Expression Language (CEL) para testar os atributos que está fazendo uma solicitação.
Fazer upload de âncoras de confiança no Admin Console
Para que o Chrome Enterprise Premium colete e valide o dispositivo empresarial faça o upload das âncoras de confiança usadas para emitir os certificado. As âncoras de confiança aqui se referem à CA raiz autoassinada (Autoridade de certificação) e o certificado intermediário e certificados subordinados. Conclua as etapas a seguir para fazer upload do arquivo de confiança âncoras:
- Acesse o Admin Console e navegue até Dispositivos > Redes > Certificados.
- Selecione a unidade organizacional apropriada.
- Selecione Adicionar certificado.
- Digite o nome do certificado.
- Faça upload do certificado.
- Marque a caixa de seleção Verificação de endpoints.
- Clique em Adicionar.
- Verifique se os usuários pertencem à unidade organizacional em que as âncoras de confiança são enviados.
Configurar uma política AutoSelectCertificateForUrls
Para que a Verificação de endpoints pesquise e colete o certificado do dispositivo por meio do Google Chrome, é necessário configurar a API AutoSelectCertificateForURLs seguindo estas etapas:
Confirme que o Chrome é gerenciado pelo Gerenciamento de nuvem do navegador Chrome.
- [Win/OSX/Linux] Configuração do navegador Chrome gerenciado usando o CBCM https://support.google.com/chrome/a/answer/9301891.
- [Chrome] Registra o dispositivo na empresa.
No Admin Console, adicione a política AutoSelectCertificateForUrls:
- Acesse o Admin Console e navegue até Dispositivos > Chrome > Configurações > Usuário e Configurações do navegador > Certificados do cliente.
- Selecione a unidade organizacional apropriada.
Adicione uma política AutoSelectCertificateForUrls. conforme demonstrado neste exemplo:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
Substitua CERTIFICATE_ISSUER_NAME pelo nome real. da CA raiz. Não modifique o valor de
pattern
.
Para verificar a configuração da política, siga estas etapas:
- Acesse chrome://policy no navegador.
- Verifique o valor configurado para AutoSelectCertificateForUrls.
- Verifique se o valor da política Aplica-se a está definido como Máquina. No(s) dia(s) Chrome, o valor será aplicado a Usuário atual*.
- Verifique se o Status da política não tem um Conflito.
Solução de problemas de configuração
Revise os atributos do certificado na página de detalhes do dispositivo para garantir que atributos de certificado estejam listados corretamente.
Use os registros da Verificação de endpoints para resolver problemas. Para faça o download dos registros da Verificação de endpoints, siga estas etapas:
- Clique com o botão direito do mouse na extensão Verificação de endpoints e acesse Opções.
- Selecione Nível de registro > Todos > Fazer o download de registros.
- Abra um caso de suporte no Cloud Customer Care e compartilhe os registros depuração.