L'un des principes fondamentaux de Chrome Enterprise Premium est que l'accès aux services est accordé en fonction que nous savons sur vous et votre appareil. » Le niveau d'accès accordé à un seul utilisateur ou un seul appareil est inféré de manière dynamique en interrogeant plusieurs données sources. Chrome Enterprise Premium utilise ce niveau de confiance dans son processus décisionnel.
Access Context Manager est le moteur de règles zéro confiance de Chrome Enterprise Premium. Access Context Manager permet aux administrateurs de définir un contrôle des accès précis basé sur des attributs des applications et des ressources Google Cloud.
Utiliser des niveaux d'accès pour autoriser l'accès aux ressources en fonction d'informations contextuelles
à propos de la demande. En utilisant des niveaux d'accès, vous
pouvez commencer à organiser les niveaux de
de la confiance. Par exemple, vous pouvez créer un niveau d'accès appelé High_Level
qui
permet d'envoyer des requêtes à un petit groupe
d'individus hautement privilégiés. Vous pourriez
identifiez également un groupe plus général digne de confiance, tel qu'une plage d'adresses IP
pour autoriser les demandes. Dans ce cas, vous pouvez
créer un niveau d'accès appelé
Medium_Level
pour autoriser ces requêtes.
L'une des exigences clés d'un accès zéro confiance est de n'autoriser l'accès l'appareil est géré ou détenu par l'entreprise. Il existe de nombreuses façons de déterminer si un appareil est détenu par l'entreprise, et l'une des méthodes consiste à déterminer si un appareil délivré par l'entreprise est présent sur l'appareil. L'existence d'une certificat d'entreprise sur un appareil peut être utilisé pour indiquer que celui-ci appartenant à l'entreprise.
Les certificats d'entreprise pour l'accès contextuel sont une fonctionnalité Solution d'accès basée sur des certificats pour Chrome Enterprise Premium. Cette fonctionnalité exploite les comme un signal contextuel alternatif permettant de déterminer si un appareil un actif détenu par l'entreprise. Cette fonctionnalité est compatible avec le navigateur Chrome 110 ou plus tard.
Étant donné qu'un appareil peut posséder plusieurs certificats, les certificats d'entreprise peuvent
est accessible dans le niveau d'accès personnalisé à l'aide des macros .exist(e,p)
:
device.certificates.exists(cert, predicate)
Dans l'exemple, cert
est un identifiant simple à utiliser dans predicator
, qui
se lie au certificat de l'appareil. La macro exist()
combine les éléments par élément
les résultats du prédicat
avec le « ou » (||), ce qui signifie que les macros renvoient "true"
si au moins un certificat satisfait à l'expression predicate
.
Le certificat comporte les attributs suivants, qui peuvent être vérifiés ensemble. Remarque que les comparaisons de chaînes sont sensibles à la casse.
Attribut | Description | Exemple d'expression de prédicat (où cert est un identifiant de macros) |
---|---|---|
is_valid |
"True" si le certificat est valide et qu'il n'a pas expiré (booléen). | cert.is_valid |
cert_fingerprint |
Empreinte du certificat (SHA256 sans remplissage base64).
L'empreinte est le condensé SHA256 encodé en base64 sans remplissage, dans du certificat encodé au format DER. Vous pouvez générer du certificat au format PEM à l'aide de la chaîne avec OpenSSL:
|
cert.cert_fingerprint == origin.clientCertFingerprint()
|
root_ca_fingerprint |
Empreinte du certificat CA racine utilisé pour signer le certificat (SHA256 sans remplissage base64).
L'empreinte est le condensé SHA256 encodé en base64 sans remplissage, dans du certificat encodé au format DER. Vous pouvez générer du certificat au format PEM à l'aide de la chaîne avec OpenSSL:
|
cert.root_ca_fingerprint == "the_fingerprint" |
issuer |
Nom de l'émetteur (noms complets).
Pour trouver le nom de l'émetteur, vous pouvez utiliser l'approche suivante: Exécutez la commande suivante sur le certificat:
$ openssl x509 -in ca_1.crt -issuer
issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in
La chaîne d'émetteur utilisée dans le niveau d'accès est l'inverse de la sortie et le / est remplacé par une virgule. Exemple :
|
cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN" |
subject |
Nom de l'objet du certificat (noms complets). | cert.subject == "CA_SUB" |
serial_number |
Numéro de série du certificat (chaîne). | cert.serial_number = "123456789" |
template_id |
ID du modèle de l'extension X.509 du modèle de certificat du certificat (chaîne). | cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047" |
Le tableau suivant contient des exemples de règles que vous pouvez définir :
Exemple de règle | Expression |
---|---|
L'appareil dispose d'un certificat valide signé par le certificat racine de l'entreprise. | device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
|
L'appareil dispose d'un certificat valide émis par l'émetteur CA_ABC. |
device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")
|
Configurer des certificats d'entreprise
Avant de configurer des certificats d'entreprise, assurez-vous d'avoir configuré et des niveaux d'accès. Pour obtenir des instructions, consultez la section Créer un accès personnalisé niveau supérieur.
Vous pouvez utiliser une définition de niveau d'accès personnalisée Access Context Manager pour définir les stratégies appropriées. Les niveaux d'accès personnalisés utilisent des expressions booléennes écrites dans un sous-ensemble de Common Expression Language (CEL) pour tester les attributs d'une qui envoie une requête.
Importer des ancres de confiance dans la console d'administration
Pour permettre à Chrome Enterprise Premium de collecter et de valider l'entreprise de l'appareil , vous devez importer les ancres de confiance utilisées pour émettre l'appareil certificat. Les ancres de confiance font ici référence à l'autorité de certification racine autosignée (Autorité de certification), ainsi que les certifications intermédiaire et et des certificats subordonnés. Pour importer l'approbation, procédez comme suit : ancres:
- Accédez à la console d'administration, puis à Appareils > Réseaux > Certificats.
- Sélectionnez l'unité organisationnelle appropriée.
- Sélectionnez Ajouter un certificat.
- Saisissez le nom du certificat.
- Importez le certificat.
- Cochez la case Validation des points de terminaison.
- Cliquez sur Ajouter.
- Assurez-vous que les utilisateurs appartiennent à l'unité organisationnelle pour laquelle les ancres de confiance sont importés.
Configurer une règle AutoSelectCertificateForUrls
Pour que la validation des points de terminaison puisse rechercher le certificat de l'appareil et le collecter par le biais de Chrome, vous devez configurer en suivant les étapes ci-dessous:
Assurez-vous que le navigateur Chrome est géré par la gestion cloud du navigateur Chrome.
- [Win/OSX/Linux] Configuration du navigateur Chrome géré à l'aide de CBCM https://support.google.com/chrome/a/answer/9301891.
- [Chrome] Enregistrez l'appareil auprès de l'entreprise.
Dans la console d'administration, ajoutez la règle AutoSelectCertificateForUrls:
- Accédez à la console d'administration, puis à Appareils > Chrome > Paramètres > Utilisateur et Paramètres du navigateur > Les certificats client.
- Sélectionnez l'unité organisationnelle appropriée.
Ajoutez une règle AutoSelectCertificateForUrls. comme illustré dans l'exemple suivant:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
Remplacez CERTIFICATE_ISSUER_NAME par le nom commun. de la CA racine. Ne modifiez pas la valeur de
pattern
.
Pour vérifier la configuration de la stratégie, procédez comme suit:
- Accédez à chrome://policy dans le navigateur.
- Vérifiez la valeur configurée pour AutoSelectCertificateForUrls.
- Assurez-vous que la valeur de la stratégie S'applique à est définie sur Machine. Le système d'exploitation Chrome, la valeur est appliquée à Utilisateur actuel*.
- Assurez-vous que l'état de la stratégie n'indique pas Conflit.
Résoudre les problèmes de configuration
Examinez les attributs de certificat sur la page des détails de l'appareil pour vous assurer que les attributs de certificat sont correctement répertoriés.
Vous pouvez utiliser les journaux Endpoint Verification pour vous aider à résoudre les problèmes que vous rencontrez. À téléchargez les journaux Endpoint Verification, puis procédez comme suit:
- Effectuez un clic droit sur l'extension Endpoint Verification, puis accédez à Options.
- Sélectionnez Niveau de journalisation > Tout > Télécharger les journaux
- Ouvrez une demande d'assistance auprès de Cloud Customer Care et partagez les journaux pour le débogage.