Un principio chiave di Chrome Enterprise Premium è "L'accesso ai servizi viene concesso in base a ciò che sappiamo su di te e sul tuo dispositivo". Il livello di accesso concesso a un singolo utente o un singolo dispositivo viene dedotto dinamicamente interrogando più dati fonti. Chrome Enterprise Premium utilizza questo livello di attendibilità come parte del proprio processo decisionale.
Gestore contesto accesso è il motore dei criteri Zero Trust di Chrome Enterprise Premium. Gestore contesto accesso consente agli amministratori di definire un controllo granulare dell'accesso basato sugli attributi per le applicazioni e le risorse Google Cloud.
Utilizza i livelli di accesso per consentire l'accesso alle risorse in base a informazioni contestuali
in merito alla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare i livelli di affidabilità. Ad esempio, potresti creare un livello di accesso denominato High_Level
che consente le richieste di un piccolo gruppo di utenti con privilegi elevati. Potresti
identificare un gruppo più generico attendibile, come un intervallo IP che
per consentire le richieste. In questo caso, potresti creare un livello di accesso chiamato
Medium_Level
per dare seguito a queste richieste.
Uno dei requisiti chiave per l'accesso Zero Trust è consentire l'accesso solo quando Il dispositivo è gestito o di proprietà dell'azienda. Esistono molti modi per determinare se un dispositivo è di proprietà dell'azienda e un modo è determinare se un dispositivo esistente sia presente sul dispositivo. L'esistenza di un certificato aziendale di un dispositivo può essere utilizzato per indicare che il dispositivo di proprietà aziendale.
I certificati aziendali per l'accesso sensibile al contesto sono una funzionalità della soluzione di accesso basata su certificati di Chrome Enterprise Premium. Questa funzionalità utilizza il dispositivo certificati come indicatore alternativo sensibile al contesto per determinare se un dispositivo una risorsa di proprietà dell'azienda. Questa funzionalità è supportata nel browser Chrome 110 o successivo.
Poiché un dispositivo può avere più di un certificato, i certificati aziendali possono
accessibile nel livello di accesso personalizzato tramite le macro .exist(e,p)
:
device.certificates.exists(cert, predicate)
Nell'esempio, cert
è un identificatore da utilizzare in predicator
,
si associa al certificato del dispositivo. La macro exist()
combina per elemento
risultati del predicato con "or" (||), in cui le macro restituiscono true.
se almeno un certificato soddisfa l'espressione predicate
.
Il certificato ha i seguenti attributi che possono essere controllati insieme. Tieni presente che i confronti delle stringhe sono sensibili alle maiuscole.
Attributo | Descrizione | Esempio di espressione di predicato (dove cert è un identificatore di macro) |
---|---|---|
is_valid |
Vero se il certificato è valido e non è scaduto (booleano). | cert.is_valid |
cert_fingerprint |
Impronta del certificato (SHA256 base64 senza padding).
L'impronta è il digest SHA256 codificato in Base64 senza padding, formato binario, del certificato con codifica DER. Puoi generare del certificato in formato PEM utilizzando la seguente stringa con OpenSSL:
|
cert.cert_fingerprint == origin.clientCertFingerprint()
|
root_ca_fingerprint |
Impronta del certificato CA radice utilizzato per firmare il certificato (SHA256 base64 senza padding).
L'impronta è il digest SHA256 con codifica base64 senza padding, in formato binario, del certificato con codifica DER. Puoi generare la stringa dal certificato in formato PEM utilizzando la procedura seguente con OpenSSL:
|
cert.root_ca_fingerprint == "the_fingerprint" |
issuer |
Nome dell'emittente (nomi completamente espansi).
Per trovare il nome dell'emittente, puoi utilizzare il seguente approccio: Esegui il comando seguente sul certificato:
$ openssl x509 -in ca_1.crt -issuer
issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/[email protected]
La stringa dell'emittente utilizzata nel livello di accesso è il contrario dell'output e / è sostituita da una virgola. Esempio:
|
cert.issuer == "[email protected], CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN" |
subject |
Nome del soggetto del certificato (nomi completamente espansi). | cert.subject == "CA_SUB" |
serial_number |
Numero di serie del certificato (stringa). | cert.serial_number = "123456789" |
template_id |
ID modello dell'estensione X.509 CertificateTemplate del certificato (stringa). | cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047" |
La tabella seguente contiene esempi di criteri che puoi impostare:
Norma di esempio | Espressione |
---|---|
Il dispositivo ha un certificato valido firmato dal certificato radice dell'azienda. | device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
|
Il dispositivo ha un certificato valido emesso dall'emittente CA_ABC. |
device.certificates.exists(cert, cert.is_valid && cert.issuer == "[email protected], CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")
|
Configurazione dei certificati aziendali
Prima di configurare i certificati aziendali, assicurati di aver configurato livelli di accesso. Per le istruzioni, consulta la guida alla creazione di un livello di accesso personalizzato.
Puoi utilizzare una definizione di livello di accesso personalizzato di Access Context Manager per impostare i criteri appropriati. I livelli di accesso personalizzati utilizzano espressioni booleane scritte in un sottoinsieme di Common Expression Language (CEL) per testare gli attributi di un client che effettua una richiesta.
Caricare le ancore di attendibilità nella Console di amministrazione
Affinché Chrome Enterprise Premium raccolga e convalidi il certificato aziendale del dispositivo, devi caricare le ancore di attendibilità e tutti i certificati intermedi utilizzati per emettere il certificato del dispositivo. Le ancore di attendibilità qui fanno riferimento al certificato dell'autorità di certificazione (CA) radice autofirmato e ai certificati intermedi e subordinati pertinenti. Completa i seguenti passaggi per carica i trust anchor:
- Vai alla Console di amministrazione e vai a Dispositivi > Reti > certificati.
- Seleziona l'unità organizzativa appropriata.
- Seleziona Aggiungi certificato.
- Inserisci il nome del certificato.
- Carica il certificato.
- Attiva la casella di controllo Verifica endpoint.
- Fai clic su Aggiungi.
- Assicurati che gli utenti appartengano all'unità organizzativa per la quale i trust anchor vengono caricati.
Configurare un criterio AutoSelectCertificateForUrls
Per fare in modo che Verifica degli endpoint cerchi il certificato del dispositivo e lo raccolga tramite Chrome, devi configurare il campo AutoSelectCertificateForURLs completa seguendo questi passaggi:
Assicurati che il browser Chrome sia gestito da Chrome Browser Cloud Management.
- [Win/OSX/Linux] Configurazione del browser Chrome gestito utilizzando CBCM https://support.google.com/chrome/a/answer/9301891.
- [Chrome] Registra il dispositivo nell'azienda.
Nella Console di amministrazione, aggiungi il criterio AutoSelectCertificateForUrls:
- Vai alla Console di amministrazione e vai a Dispositivi > Chrome > Impostazioni > Utente & Impostazioni del browser > Certificati client.
- Seleziona l'unità organizzativa appropriata.
Aggiungi un criterio AutoSelectCertificateForUrls, come mostrato nell'esempio seguente:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
Sostituisci CERTIFICATE_ISSUER_NAME con il nome comune della CA radice. Non modificare il valore di
pattern
.
Per verificare la configurazione dei criteri, completa i seguenti passaggi:
- Vai a chrome://policy nel browser.
- Verifica il valore configurato per AutoSelectCertificateForUrls.
- Assicurati che il valore del criterio Si applica a sia impostato su Macchina. Sul sistema operativo Chrome, il valore viene applicato a Utente corrente*.
- Assicurati che lo stato del criterio non abbia un conflitto.
Risoluzione dei problemi di configurazione
Controlla gli attributi del certificato nella pagina dei dettagli del dispositivo per assicurarti che siano elencati correttamente.
Puoi utilizzare i log di Verifica degli endpoint per risolvere eventuali problemi. Per scaricare i log di verifica degli endpoint, svolgi i seguenti passaggi:
- Fai clic con il tasto destro del mouse sull'estensione Verifica degli endpoint e seleziona Opzioni.
- Seleziona Livello log > Tutti > Scarica log.
- Apri una richiesta di assistenza con l'Assistenza clienti Google Cloud e condividi i log per un ulteriore debugging.