Chrome Enterprise Premium의 핵심 원칙은 'Google이 알고 있는 사용자와 사용자 기기에 따라 서비스에 대한 액세스 권한이 부여된다'는 점입니다. 단일 사용자 또는 단일 기기에 부여된 액세스 수준은 여러 데이터 소스 조사를 통해 동적으로 추론됩니다. Chrome Enterprise Premium은 결정 프로세스의 일부로 이러한 수준의 신뢰를 사용합니다.
Access Context Manager는 Chrome Enterprise Premium의 제로 트러스트 정책 엔진입니다. 관리자가 Access Context Manager를 사용하면 애플리케이션과 Google Cloud 리소스에 대한 세분화된 속성 기반 액세스 제어를 정의할 수 있습니다.
액세스 수준을 사용하여 요청에 대한 컨텍스트 정보를 기반으로 리소스에 대한 액세스를 허용합니다. 액세스 수준을 사용하면 트러스트 계층을 구성할 수 있습니다. 예를 들어 권한이 높은 소규모 개인 그룹의 요청을 허용하는 High_Level 액세스 수준을 만들 수 있습니다. 또한 요청을 허용할 IP 범위와 같이 신뢰할 수 있는 보다 일반적인 그룹을 식별할 수도 있습니다. 이 경우 Medium_Level이라는 액세스 수준을 만들어 이러한 요청을 허용할 수 있습니다.
제로 트러스트 액세스의 주요 요구사항 중 하나는 회사에서 기기를 관리하거나 소유하는 경우에만 액세스를 허용한다는 점입니다. 기기가 회사 소유인지 여부를 확인하는 방법은 여러 가지가 있으며 이 중 한 가지 방법은 회사에서 발급한 유효한 인증서가 기기에 있는지 확인하는 것입니다. 기기에 엔터프라이즈 인증서가 있으면 해당 기기가 기업 소유임을 나타낼 수 있습니다.
컨텍스트 인식 액세스에 대한 엔터프라이즈 인증서는 전체 Chrome Enterprise Premium 인증서 기반 액세스 솔루션의 기능입니다. 이 기능은 기기 인증서를 대체 컨텍스트 인식 신호로 활용하여 기기가 기업 소유 애셋인지 확인합니다. 이 기능은 Chrome 브라우저 110 이상에서 지원됩니다.
기기에는 인증서가 두 개 이상 있을 수 있으므로 매크로 .exist(e,p)를 통해 커스텀 액세스 수준에서 엔터프라이즈 인증서에 액세스할 수 있습니다.
device.certificates.exists(cert, predicate)
이 예시에서 cert는 기기 인증서에 바인딩되는 predicator에서 사용되는 식별자입니다. exist() 매크로는 요소별 조건자 결과를 'or'(||) 연산자와 결합합니다. 즉, 최소한 인증서 하나 이상이 predicate 표현식을 충족하면 매크로에서 true를 반환합니다.
인증서에는 다음과 같이 함께 확인할 수 있는 속성이 있습니다. 문자열 비교에서는 대소문자가 구분됩니다.
속성
설명
조건자 표현식 예(여기서 cert는 매크로의 식별자)
is_valid
인증서가 유효하고 만료되지 않았다면 true입니다(불리언).
cert.is_valid
cert_fingerprint
인증서의 지문(base64 패딩되지 않은 SHA256)
디지털 지문은 DER로 인코딩된 인증서의 패딩되지 않은 base64로 인코딩된 SHA256 다이제스트(바이너리 형식)입니다. OpenSSL에서 다음 절차를 수행하여 PEM 형식의 인증서에서 문자열을 생성할 수 있습니다.
엔터프라이즈 인증서를 구성하기 전에 커스텀 액세스 수준을 구성했는지 확인합니다. 자세한 내용은 커스텀 액세스 수준 만들기를 참고하세요.
사용자는 Access Context Manager 커스텀 액세스 수준 정의를 사용하여 적합한 정책을 설정할 수 있습니다. 커스텀 액세스 수준은 Common Expression Language(CEL)의 하위 집합으로 작성된 부울 표현식을 사용하여 요청하는 클라이언트의 속성을 테스트합니다.
관리 콘솔에서 트러스트 앵커 업로드
Chrome Enterprise Premium에서 기기 엔터프라이즈 인증서를 수집하고 검증하려면 기기 인증서를 발급하는 데 사용되는 신뢰 앵커와 모든 중간 인증서를 업로드해야 합니다. 여기에서 신뢰 앵커는 자체 서명 루트 CA(인증 기관) 인증서 및 관련 중간 및 종속 인증서를 의미합니다. 신뢰 앵커를 업로드하려면 다음 단계를 완료하세요.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2024-12-21(UTC)"],[[["\u003cp\u003eChrome Enterprise Premium uses a zero-trust approach, dynamically granting access based on user and device information via its Access Context Manager.\u003c/p\u003e\n"],["\u003cp\u003eAccess Context Manager enables administrators to establish fine-grained, attribute-based access controls for applications and Google Cloud resources, organizing trust into tiers, such as \u003ccode\u003eHigh_Level\u003c/code\u003e and \u003ccode\u003eMedium_Level\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eEnterprise certificates serve as a critical context-aware signal to identify corporate-owned devices, and they can be assessed in custom access levels using macros like \u003ccode\u003e.exists(e,p)\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eAdministrators must upload trust anchors (root CA and intermediary certificates) in the Admin console to allow Chrome Enterprise Premium to validate device certificates.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring the AutoSelectCertificateForUrls Chrome policy is essential for Endpoint Verification to search for and collect device certificates, ensuring proper policy application and status.\u003c/p\u003e\n"]]],[],null,["# Configuring enterprise certificate conditions\n\nA key principle of Chrome Enterprise Premium is \"Access to services is granted based on what\nwe know about you and your device.\" The level of access given to a single user\nor a single device is dynamically inferred by interrogating multiple data\nsources. Chrome Enterprise Premium uses this level of trust as part of its decision process.\n\nAccess Context Manager is Chrome Enterprise Premium's zero-trust policy engine. Access Context Manager allows\nadministrators to define fine-grained, attribute based access control for\napplications and Google Cloud resources.\n\nUse access levels to permit access to resources based on contextual information\nabout the request. By using access levels, you can start to organize tiers of\ntrust. For example, you might create an access level called `High_Level` that\npermits requests from a small group of highly-privileged individuals. You might\nalso identify a more general group to trust, such as an IP range that you want\nto permit requests from. In that case, you might create an access level called\n`Medium_Level` to permit those requests.\n\nOne of the key requirements for zero trust access is to only allow access when\nthe device is managed or owned by the company. There are many ways to determine\nwhether a device is corporate-owned, and one way is to determine if a valid\ncertificate, issued by the company, exists on the device. The existence of an\nenterprise certificate on a device can be used to indicate that the device is\ncorporate-owned.\n\nEnterprise certificates for context-aware access is a feature of the overall\nChrome Enterprise Premium certificate-based access solution. This feature leverages device\ncertificates as an alternative context-aware signal to determine if a device is\na corporate-owned asset. This feature is supported on Chrome browser 110 or\nlater.\n\nBecause a device can have more than one certificate, enterprise certificates can\nbe accessed in the custom access level through macros `.exist(e,p)`: \n\n device.certificates.exists(cert, predicate)\n\nIn the example, `cert` is an identifier to be used in `predicator` which\nbinds to the device certificate. The `exist()` macro combines per-element\npredicate results with the \"or\" (\\|\\|) operator, meaning that macros return true\nif at least one certificate satisfies the `predicate` expression.\n\nThe certificate has the following attributes that can be checked together. Note\nthat string comparisons are case-sensitive.\n\nThe following table contains examples of policies that you can set:\n\n| **Important:** Endpoint Verification reports a single enterprise device certificate to the Admin console, even if multiple certificates are present on a device. This means that, regardless of how many enterprise certificates your device has, the Admin console displays only one.\n\nConfiguring enterprise certificates\n-----------------------------------\n\nBefore configuring enterprise certificates, ensure you have configured custom\naccess levels. For instructions, see [Creating a custom access\nlevel](/access-context-manager/docs/create-custom-access-level).\n\nYou can use an Access Context Manager custom access level definition to set the\nappropriate policies. Custom access levels use boolean expressions written in a\nsubset of [Common Expression Language\n(CEL)](https://opensource.google/projects/cel) to test the attributes of a\nclient making a request.\n| **Important:** For Windows devices, install the client certificate in the user certificate store, not in the computer certificate store. If the client certificate is installed in the computer certificate store, authenticated users must be able read but not export its private key container for mTLS signing.\n\n### Uploading trust anchors in the Admin console\n\nIn order for Chrome Enterprise Premium to collect and validate the device enterprise\ncertificate, you must upload the trust anchors and any intermediary certificates\nthat are used to issue the device certificate. The trust anchors here refer to\nthe self signed root CA (Certification Authority) certificate and the relevant\nintermediate and subordinate certificates. Complete the following steps to\nupload the trust anchors:\n\n1. Go to the [Admin console](https://admin.google.com/) and navigate to **Devices \\\u003e Networks \\\u003e Certificates**.\n2. Select the appropriate organizational unit.\n3. Select **Add Certificate**.\n4. Enter the certificate name.\n5. Upload the certificate.\n6. Enable the **Endpoint Verification** checkbox.\n7. Click **Add**.\n8. Ensure users belong to the organizational unit for which the trust anchors are uploaded.\n\n### Configure an AutoSelectCertificateForUrls policy\n\nFor Endpoint Verification to search the device certificate and collect it\nthrough Chrome, you must configure the AutoSelectCertificateForURLs chrome\npolicy by completing the following steps:\n\n1. Ensure that the Chrome browser is managed by Chrome Browser Cloud Management.\n\n - \\[Win/OSX/Linux\\] Setup for managed chrome browser using CBCM \u003chttps://support.google.com/chrome/a/answer/9301891\u003e.\n - \\[Chrome\\] Enroll the device to the enterprise.\n2. In the Admin console, add the AutoSelectCertificateForUrls policy:\n\n 1. Go to the [Admin console](https://admin.google.com/) and navigate to **Devices \\\u003e Chrome \\\u003e Settings \\\u003e User \\& Browser Settings \\\u003e Client certificates**.\n 2. Select the appropriate organizational unit.\n 3. Add a policy [AutoSelectCertificateForUrls](https://chromeenterprise.google/policies/?policy=AutoSelectCertificateForUrls),\n as demonstrated in the following example:\n\n {\"pattern\":\"https://[*.]clients6.google.com\",\"filter\":{\"ISSUER\":{\"CN\":\"\u003cvar translate=\"no\"\u003eCERTIFICATE_ISSUER_NAME\u003c/var\u003e\"}}}\n\n Replace \u003cvar translate=\"no\"\u003eCERTIFICATE_ISSUER_NAME\u003c/var\u003e with the common name\n of the root CA.\n Do not modify the value of `pattern`.\n\n| **Note:** The filter should refer to an issuer certificate, uploaded in the previous steps.\n\nTo verify the policy configuration, complete the following steps:\n\n1. Navigate to chrome://policy in the browser.\n2. Verify the configured value for **AutoSelectCertificateForUrls**.\n3. Ensure that the policy **Applies to** value is set to **Machine** . On the Chrome operating system, the value is applied to **Current User**\\*.\n4. Ensure that the **Status** for the policy does not have a **Conflict**.\n\nTroubleshooting your configuration\n----------------------------------\n\nReview the certificate attributes on the device details page to ensure that\ncertificate attributes are listed correctly.\n\nYou can use the Endpoint Verification logs to help you troubleshoot any issues. To\ndownload the Endpoint Verification logs, complete the following steps:\n\n1. Right-click on the Endpoint Verification extension and then go to **Options**.\n2. Select **Log level \\\u003e All \\\u003e Download Logs**.\n3. Open a support case with Cloud Customer Care and share the logs for further debugging."]]