Configurer les conditions de certificat d'entreprise

L'un des principes fondamentaux de Chrome Enterprise Premium est que l'accès aux services est accordé en fonction que nous savons sur vous et votre appareil. » Le niveau d'accès accordé à un seul utilisateur ou un seul appareil est inféré de manière dynamique en interrogeant plusieurs données sources. Chrome Enterprise Premium utilise ce niveau de confiance dans son processus décisionnel.

Access Context Manager est le moteur de règles zéro confiance de Chrome Enterprise Premium. Access Context Manager permet aux administrateurs de définir un contrôle des accès précis basé sur des attributs des applications et des ressources Google Cloud.

Utiliser des niveaux d'accès pour autoriser l'accès aux ressources en fonction d'informations contextuelles à propos de la demande. En utilisant des niveaux d'accès, vous pouvez commencer à organiser les niveaux de de la confiance. Par exemple, vous pouvez créer un niveau d'accès appelé High_Level qui permet d'envoyer des requêtes à un petit groupe d'individus hautement privilégiés. Vous pourriez identifiez également un groupe plus général digne de confiance, tel qu'une plage d'adresses IP pour autoriser les demandes. Dans ce cas, vous pouvez créer un niveau d'accès appelé Medium_Level pour autoriser ces requêtes.

L'une des exigences clés d'un accès zéro confiance est de n'autoriser l'accès l'appareil est géré ou détenu par l'entreprise. Il existe de nombreuses façons de déterminer si un appareil est détenu par l'entreprise, et l'une des méthodes consiste à déterminer si un appareil délivré par l'entreprise est présent sur l'appareil. L'existence d'une certificat d'entreprise sur un appareil peut être utilisé pour indiquer que celui-ci appartenant à l'entreprise.

Les certificats d'entreprise pour l'accès contextuel sont une fonctionnalité Solution d'accès basée sur des certificats pour Chrome Enterprise Premium. Cette fonctionnalité exploite les comme un signal contextuel alternatif permettant de déterminer si un appareil un actif détenu par l'entreprise. Cette fonctionnalité est compatible avec le navigateur Chrome 110 ou plus tard.

Étant donné qu'un appareil peut posséder plusieurs certificats, les certificats d'entreprise peuvent est accessible dans le niveau d'accès personnalisé à l'aide des macros .exist(e,p):

device.certificates.exists(cert, predicate)

Dans l'exemple, cert est un identifiant simple à utiliser dans predicator, qui se lie au certificat de l'appareil. La macro exist() combine les éléments par élément les résultats du prédicat avec le « ou » (||), ce qui signifie que les macros renvoient "true" si au moins un certificat satisfait à l'expression predicate.

Le certificat comporte les attributs suivants, qui peuvent être vérifiés ensemble. Remarque que les comparaisons de chaînes sont sensibles à la casse.

Attribut	Description	Exemple d'expression de prédicat (où cert est un identifiant de macros)
is_valid	"True" si le certificat est valide et qu'il n'a pas expiré (booléen).	cert.is_valid
cert_fingerprint	Empreinte du certificat (SHA256 sans remplissage base64). L'empreinte est le condensé SHA256 encodé en base64 sans remplissage, dans du certificat encodé au format DER. Vous pouvez générer du certificat au format PEM à l'aide de la chaîne avec OpenSSL: $ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha	cert.cert_fingerprint == origin.clientCertFingerprint()
root_ca_fingerprint	Empreinte du certificat CA racine utilisé pour signer le certificat (SHA256 sans remplissage base64). L'empreinte est le condensé SHA256 encodé en base64 sans remplissage, dans du certificat encodé au format DER. Vous pouvez générer du certificat au format PEM à l'aide de la chaîne avec OpenSSL: $ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha	cert.root_ca_fingerprint == "the_fingerprint"
issuer	Nom de l'émetteur (noms complets). Pour trouver le nom de l'émetteur, vous pouvez utiliser l'approche suivante: Exécutez la commande suivante sur le certificat: $ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in La chaîne d'émetteur utilisée dans le niveau d'accès est l'inverse de la sortie et le / est remplacé par une virgule. Exemple : EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN	cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"
subject	Nom de l'objet du certificat (noms complets).	cert.subject == "CA_SUB"
serial_number	Numéro de série du certificat (chaîne).	cert.serial_number = "123456789"
template_id	ID du modèle de l'extension X.509 du modèle de certificat du certificat (chaîne).	cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"

Le tableau suivant contient des exemples de règles que vous pouvez définir :

Exemple de règle	Expression
L'appareil dispose d'un certificat valide signé par le certificat racine de l'entreprise.	device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
L'appareil dispose d'un certificat valide émis par l'émetteur CA_ABC.	device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")

Configurer des certificats d'entreprise

Avant de configurer des certificats d'entreprise, assurez-vous d'avoir configuré et des niveaux d'accès. Pour obtenir des instructions, consultez la section Créer un accès personnalisé niveau supérieur.

Vous pouvez utiliser une définition de niveau d'accès personnalisée Access Context Manager pour définir les stratégies appropriées. Les niveaux d'accès personnalisés utilisent des expressions booléennes écrites dans un sous-ensemble de Common Expression Language (CEL) pour tester les attributs d'une qui envoie une requête.

Importer des ancres de confiance dans la console d'administration

Pour permettre à Chrome Enterprise Premium de collecter et de valider l'entreprise de l'appareil , vous devez importer les ancres de confiance utilisées pour émettre l'appareil certificat. Les ancres de confiance font ici référence à l'autorité de certification racine autosignée (Autorité de certification), ainsi que les certifications intermédiaire et et des certificats subordonnés. Pour importer l'approbation, procédez comme suit : ancres:

1. Accédez à la console d'administration, puis à Appareils > Réseaux > Certificats.
2. Sélectionnez l'unité organisationnelle appropriée.
3. Sélectionnez Ajouter un certificat.
4. Saisissez le nom du certificat.
5. Importez le certificat.
6. Cochez la case Validation des points de terminaison.
7. Cliquez sur Ajouter.
8. Assurez-vous que les utilisateurs appartiennent à l'unité organisationnelle pour laquelle les ancres de confiance sont importés.

Configurer une règle AutoSelectCertificateForUrls

Pour que la validation des points de terminaison puisse rechercher le certificat de l'appareil et le collecter par le biais de Chrome, vous devez configurer en suivant les étapes ci-dessous:

1. Assurez-vous que le navigateur Chrome est géré par la gestion cloud du navigateur Chrome.

   • [Win/OSX/Linux] Configuration du navigateur Chrome géré à l'aide de CBCM https://support.google.com/chrome/a/answer/9301891.
   • [Chrome] Enregistrez l'appareil auprès de l'entreprise.

2. Dans la console d'administration, ajoutez la règle AutoSelectCertificateForUrls:

   1. Accédez à la console d'administration, puis à Appareils > Chrome > Paramètres > Utilisateur et Paramètres du navigateur > Les certificats client.
   2. Sélectionnez l'unité organisationnelle appropriée.

   3. Ajoutez une règle AutoSelectCertificateForUrls. comme illustré dans l'exemple suivant:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
      

      Remplacez CERTIFICATE_ISSUER_NAME par le nom commun. de la CA racine. Ne modifiez pas la valeur de pattern.

Pour vérifier la configuration de la stratégie, procédez comme suit:

1. Accédez à chrome://policy dans le navigateur.
2. Vérifiez la valeur configurée pour AutoSelectCertificateForUrls.
3. Assurez-vous que la valeur de la stratégie S'applique à est définie sur Machine. Le système d'exploitation Chrome, la valeur est appliquée à Utilisateur actuel*.
4. Assurez-vous que l'état de la stratégie n'indique pas Conflit.

Résoudre les problèmes de configuration

Examinez les attributs de certificat sur la page des détails de l'appareil pour vous assurer que les attributs de certificat sont correctement répertoriés.

Vous pouvez utiliser les journaux Endpoint Verification pour vous aider à résoudre les problèmes que vous rencontrez. À téléchargez les journaux Endpoint Verification, puis procédez comme suit:

1. Effectuez un clic droit sur l'extension Endpoint Verification, puis accédez à Options.
2. Sélectionnez Niveau de journalisation > Tout > Télécharger les journaux
3. Ouvrez une demande d'assistance auprès de Cloud Customer Care et partagez les journaux pour le débogage.