Configura condiciones de certificado empresarial

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Un principio clave de BeyondCorp Enterprise es que "el acceso a los servicios se otorga en función de lo que sabemos sobre ti y tu dispositivo". El nivel de acceso otorgado a un solo usuario o dispositivo individual se infiere de forma dinámica cuando se consultan múltiples fuentes de datos. BeyondCorp Enterprise usa este nivel de confianza como parte de su proceso de decisión.

Access Context Manager es el motor de políticas de confianza cero de BeyondCorp Enterprise. Access Context Manager permite a los administradores definir un control de acceso detallado y basado en atributos para las aplicaciones y los recursos de Google Cloud.

Usa los niveles de acceso para permitir el acceso a los recursos según la información contextual de la solicitud. Con los niveles de acceso, puedes comenzar a organizar niveles de confianza. Por ejemplo, puedes crear un nivel de acceso llamado High_Level que permita solicitudes de un grupo pequeño de personas con muchos privilegios. También puede identificar un grupo más general en el que confíe, como el rango de IP en el que desea permitir solicitudes. En ese caso, puedes crear un nivel de acceso llamado Medium_Level para permitir esas solicitudes.

Uno de los requisitos clave de este acceso es permitir el acceso únicamente cuando el dispositivo esté administrado o sea propiedad de la empresa. Hay muchas maneras de determinar si un dispositivo es de propiedad corporativa, y una es determinar si existe un certificado válido emitido por la empresa. La existencia de un certificado empresarial en un dispositivo se puede usar para indicar que el dispositivo es de propiedad corporativa.

Los certificados empresariales para el acceso adaptado al contexto son una función de la solución general de acceso basado en certificados de BeyondCorp Enterprise. Esta función utiliza certificados de dispositivos como un indicador alternativo de contexto alternativo para determinar si un dispositivo es un activo de la empresa.

Como un dispositivo puede tener más de un certificado, se puede acceder a los certificados empresariales en el nivel de acceso personalizado a través de las macros .exist(e,p):

device.certificates.exists(cert, predicate)

En el ejemplo, cert es un identificador simple que se usa en predicator, que se vincula con el certificado del dispositivo. La macro exist() combina resultados de predicado por elemento con el operador "o" (||), lo que significa que las macros muestran verdadero si al menos un certificado cumple con la expresión predicate.

El certificado tiene los siguientes atributos que se pueden verificar juntos. Tenga en cuenta que las comparaciones de strings distinguen mayúsculas de minúsculas.

Atributo Descripción Ejemplo de expresión de predicado (donde cert es un identificador de macros)
is_valid Verdadero si el certificado es válido y no caducó (booleano). cert.is_valid
cert_fingerprint Huella digital del certificado (SHA656 sin rellenar con base64). cert.cert_fingerprint == origin.clientCertFingerprint()
root_ca_fingerprint Huella digital del certificado de CA raíz que se usó para firmar el certificado (base64 unpadding SHA256) cert.root_ca_fingerprint == "the_fingerprint"
issuer Nombre de la entidad emisora (nombres completamente expandidos)

Para encontrar el nombre de la entidad emisora, puedes usar el siguiente enfoque:

Ejecuta el siguiente comando en el certificado:

$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in

La string de la entidad emisora que se usa en el nivel de acceso es la inversa del resultado y la / se reemplaza por una coma. Ejemplo:

EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN

cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"
subject Nombre del asunto del certificado (nombres completamente expandidos). cert.subject == "CA_SUB"
serial_number Número de serie del certificado (string). cert.serial_number = "123456789"
template_id ID de plantilla de la plantilla del certificado de la extensión X.509 para el certificado (string). cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"

En la siguiente tabla, se incluyen ejemplos de políticas que puedes establecer:

Ejemplo de una política Expresión
El dispositivo tiene un certificado válido firmado por el certificado raíz de la empresa. device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
El dispositivo tiene un certificado válido emitido por la entidad emisora CA_ABC. device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")

Configurar certificados empresariales

Antes de configurar certificados empresariales, asegúrate de haber configurado niveles de acceso personalizados. Crea un nivel de acceso personalizado.

Puedes usar una definición de nivel de acceso personalizado de Access Context Manager para establecer las políticas adecuadas. Los niveles de acceso personalizados usan expresiones booleanas escritas en un subconjunto de Common Expression Language (CEL) para probar los atributos de un cliente que realiza una solicitud.

Cómo subir anclajes de confianza en la Consola del administrador

Para que BeyondCorp Enterprise recopile y valide el certificado empresarial del dispositivo, debes subir los anclajes de confianza que se usan para emitir el certificado del dispositivo. Los anclajes de confianza aquí se refieren al certificado de CA raíz (autoridad de certificación) autofirmado y a los certificados intermedios y subordinados correspondientes. Completa los siguientes pasos para subir los anclajes de confianza:

  1. Vaya a la Consola del administrador y navegue a Dispositivos > Redes > Certificados.
  2. Selecciona la unidad organizativa adecuada.
  3. Selecciona Agregar certificado.
  4. Ingresa el nombre del certificado.
  5. Sube el certificado.
  6. Habilita la casilla de verificación Verificación de extremos.
  7. Haga clic en Agregar.
  8. Asegúrate de que los usuarios pertenezcan a la unidad organizativa para la que se suben los anclajes de confianza.

Configura una política de AutoSelectCertificateForUrls

Para que Endpoint Verification busque el certificado de dispositivo y lo recopile a través de Chrome, debes configurar la política de Chrome AutoSelectCertificateForURLs completando los siguientes pasos:

  1. Asegúrese de que el navegador Chrome esté administrado por la Administración en la nube para el navegador Chrome o la política de grupo de Windows.
  2. En la Consola del administrador, agrega la política AutoSelectCertificateForUrls:

    1. Vaya a la Consola del administrador y navegue a Dispositivos > Chrome > Configuración > Configuración del usuario y el navegador > Certificados de cliente.
    2. Selecciona la unidad organizativa adecuada.
    3. Agrega una política (AutoSelectCertificateForUrls, como se muestra en el siguiente ejemplo:
    {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{<issuerDNs>}}}
    

    NOTA: El filtro debe hacer referencia a un certificado de la entidad emisora que se haya subido en los pasos anteriores.

Para verificar la configuración de la política, completa los siguientes pasos:

  1. Navega a chrome://policy en el navegador.
  2. Verifica el valor configurado para AutoSelectCertificateForUrls.
  3. Asegúrate de que el valor de la política Se aplica a esté configurado como Máquina. En el sistema operativo Chrome, el valor se aplica a Current user*.
  4. Asegúrate de que el Estado de la política no tenga un conflicto.

Soluciona problemas de configuración

Revisa los atributos del certificado en la página de detalles del dispositivo para asegurarte de que los atributos del certificado aparezcan correctamente

Puedes usar los registros de verificación de extremos para solucionar cualquier problema. Para descargar los registros de verificación de extremos, completa los siguientes pasos:

  1. Haz clic con el botón derecho en la extensión de verificación de extremos y, luego, ve a Opciones.
  2. Selecciona Nivel de registro > Todos > Descargar registros.
  3. Abre un caso de ayuda con el servicio de Atención al cliente de Cloud y comparte los registros para una mayor depuración.