Как настроить систему единого входа на базе SAML для устройств с ChromeOS

С помощью системы единого входа на базе SAML механизмы аутентификации, принятые в вашей компании, можно распространить и на устройства с ChromeOS. При этом пароли могут храниться у вашего поставщика идентификационной информации. Такая авторизация почти не отличается от входа в аккаунт Google Workspace с помощью браузера и системы единого входа на базе SAML. Однако у нее есть свои особенности.

Требования

  • Устройство с ChromeOS 36 или более поздней версии.
  • Домен, в котором настроена система единого входа на базе SAML для аккаунтов Google Workspace.
  • URL SAML с протоколом HTTPS (не HTTP).
  • Лицензии ChromeOS для устройств.

Подробную информацию о проверенных корпоративных поставщиках идентификационной информации, которые соответствуют требованиям ChromeOS, можно найти в описании программы Chrome Enterprise Recommended.

Шаг 1. Настройте систему единого входа

Настройте систему единого входа для управляемых аккаунтов Google с использованием сторонних поставщиков идентификационной информации, если вы ещё не сделали это.

Шаг 2. Протестируйте систему единого входа

Настройте систему единого входа на базе SAML в тестовом домене и проверьте ее работу. Если у вас нет такого домена, создайте тестовую группу и включите систему только для ее участников. После проверки увеличьте группу, включив в нее примерно 5 % пользователей устройств с ChromeOS в организации.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.

    Если вы зарегистрировались в Chrome Enterprise Core, нажмите на значок меню а затем Браузер Chromeа затемНастройки.

  3. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  4. Откройте раздел Безопасность.
  5. Нажмите Система единого входа.
  6. Выберите Включить систему единого входа на базе SAML для устройств Chrome.
  7. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

    Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Шаг 3 (необязательный). Разрешите передачу файлов cookie системы единого входа на базе SAML

Чтобы разрешить пользователям входить на корпоративные сайты и в облачные сервисы, включите сохранение файлов cookie системы единого входа. Обратите внимание, что поставщик идентификационной информации во всех случаях должен быть один и тот же.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройкиа затемНастройки устройств.
     
  3. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  4. Перейдите в раздел Настройки входа.
  5. Нажмите Передача файлов cookie системы единого входа.
  6. Выберите Разрешить передачу файлов cookie системы единого входа на базе SAML в пользовательский сеанс при входе. Подробнее о том, как настроить правила для устройств с ChromeOS
  7. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

    Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Шаг 4 (необязательный). Настройте синхронизацию локальных паролей ChromeOS и паролей для системы единого входа на базе SAML

Вы можете синхронизировать локальные пароли пользователей для устройств с ChromeOS с паролями для системы единого входа на базе SAML.

По умолчанию локальный пароль обновляется каждый раз, когда пользователь выполняет вход онлайн. Вы можете указать, как часто пользователи должны будут выполнять онлайн-вход, с помощью настройки Периодичность использования системы единого входа на базе SAML или Периодичность разблокировки системы единого входа на базе SAML. Если пользователь изменил пароль для системы единого входа, но не вошел в нее, локальный пароль для устройства с ChromeOS будет действовать, пока пользователь не выполнит онлайн-вход.

Чтобы синхронизировать локальный пароль для устройства с ChromeOS и пароль для системы единого входа, настройте параметры таким образом, чтобы пользователь должен был выполнять онлайн-вход сразу после смены пароля для системы единого входа на базе SAML. В этом случае пароль для устройства с ChromeOS будет обновляться почти сразу.

  1. Чтобы сообщать в Google об изменениях пароля пользователя, можно применять один из следующих способов:
    1. Интеграция с поставщиком идентификационной информации. Например, если вы используете Okta, можно применять рабочие процессы Okta. Дополнительные сведения доступны в документации GitHub.
    2. Интеграция с Microsoft Entra ID. Инструмент Change Password Notifier (CPN для Microsoft Entra ID) уведомляет Google об изменении паролей Microsoft Entra ID. Подробные сведения можно найти в статье Как синхронизировать пароли ChromeOS с помощью Change Password Notifier для Microsoft Entra ID.

    3. Интеграция с AD. Инструмент Change Password Notifier для Active Directory (CPN для AD) уведомляет Google об изменении паролей Microsoft AD. Подробные сведения можно найти в статье Как синхронизировать пароли ChromeOS с помощью Change Password Notifier.
    4. Интеграция с API. Интегрируйте Chrome Device Token API в систему используемого поставщика идентификационной информации. Получить API можно в Google Cloud Platform. Подробнее о том, как включить набор API для облачного проекта
  2. Задайте нужные настройки:
    1. Для параметра Действия при синхронизации паролей для системы единого входа на базе SAML выберите значение "Принудительно запрашивать учетные данные только на экране входа" или "Принудительно запрашивать учетные данные на экране входа и заблокированном экране". Подробнее о настройке правил Chrome для пользователей или браузеров
    2. Для параметра Синхронизация паролей для системы единого входа на базе SAML выберите значение Запускать аутентификацию для синхронизации паролей, хранящихся у сторонних поставщиков услуг единого входа. Подробнее о настройке правил Chrome для пользователей или браузеров

Шаг 5 (необязательный). Сообщите пользователям о предстоящих изменениях

При необходимости вы можете уведомить пользователей о предстоящей смене паролей на устройствах с ChromeOS.

В настоящее время для Microsoft Entra ID уведомления о сроках действия паролей не поддерживаются.

Примечание. Рекомендуем вам выполнить шаг 4 или шаг 5, но не оба.

Чтобы уведомить пользователей о предстоящей смене пароля:

  1. В консоли администратора настройте систему единого входа для управляемых аккаунтов Google с использованием сторонних поставщиков идентификационной информации.
  2. Настройте утверждение SAML об истечении срока действия пароля для поставщика системы единого входа на базе SAML (см. пример ниже).
  3. Задайте настройки в консоли администратора.
    1. Для параметра Периодичность использования системы единого входа на базе SAML укажите значение, которое не превышает срок действия пароля. ChromeOS обновляет утверждения, когда пользователь входит в систему. Подробнее о настройке правил Chrome для пользователей или браузеров
    2. Для параметра Синхронизация паролей для системы единого входа на базе SAML выберите значение Запускать аутентификацию для синхронизации паролей, хранящихся у сторонних поставщиков услуг единого входа. Укажите, за сколько дней предупреждать пользователей об истечении срока действия пароля. Допустимое значение – от 0 до 90 дней. Если ничего не указано, действует значение по умолчанию – 0. В этом случае пользователи получат уведомление, только когда срок действия их пароля истечет. Подробнее о настройке правил Chrome для пользователей или браузеров

Пример атрибута AttributeStatement

В примере:

  • В названии атрибута есть параметр passwordexpirationtimestamp. Это временная метка, определяющая, когда истечет срок действия пароля проходящего аутентификацию пользователя. Параметр может быть пустым, если у пароля нет срока действия, или содержать дату и время в прошлом, если срок действия пароля уже истек. При необходимости вместо этого параметра можно использовать параметр passwordmodifiedtimestamp.
  • Значение атрибута имеет формат времени файла в системе NTFS. Время файла – это значение, представляющее число 100-наносекундных интервалов, которые прошли с 1 января 1601 года (по всемирному координированному времени). Вы можете также указать значение в формате Unix-времени или ISO 8601. Другие форматы не поддерживаются.

<AttributeStatement>
<Attribute
Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
<AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>

Шаг 6 (необязательный). Включите перенаправление к поставщику идентификационной информации для системы единого входа

Чтобы разрешить пользователям переходить напрямую на страницу поставщика идентификационной информации SAML, не вводя адрес электронной почты, включите перенаправление.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройкиа затемНастройки устройств.
     
  3. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  4. Перейдите в раздел Настройки входа.
  5. Нажмите Перенаправление к поставщику идентификационной информации для системы единого входа.
  6. Выберите Разрешить пользователям переходить напрямую на страницу поставщика идентификационной информации для системы единого входа на базе SAML. Подробнее о том, как настроить правила для устройств с ChromeOS
  7. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

    Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Шаг 7 (необязательный). Настройте передачу имен пользователей

Вы можете автоматически передавать имена пользователей из сервиса идентификации Google сторонним поставщикам идентификационной информации, чтобы пользователям не приходилось дважды вводить свое имя.

Подготовка

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройкиа затемНастройки устройств.
     
  3. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  4. Перейдите в раздел Настройки входа.
  5. Выберите Автоматически заполнять имя пользователя на странице входа стороннего поставщика идентификационной информации SAML.
  6. Укажите название параметра URL.
  7. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

    Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Шаг 8 (необязательный). Запретите открывать некоторые URL на экране входа и заблокированном экране

Если для аутентификации используется система единого входа на базе SAML или OpenID Connect или сетевое подключение выполняется через страницу входа вне пользовательского сеанса, вы можете заблокировать или разрешить загрузку URL на экранах входа и заблокированных экранах, используя правила DeviceAuthenticationURLBlocklist и DeviceAuthenticationURLAllowlist.

Подробную информацию можно найти в разделах Заблокированные URL на странице входа и заблокированных экранах и Исключения заблокированных URL на странице входа и заблокированных экранах.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройкиа затемНастройки устройств.
     
  3. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  4. Перейдите в раздел Настройки входа.
  5. Нажмите Заблокированные URL на странице входа и заблокированных экранах.
    1. Укажите URL, которые нужно заблокировать.
    2. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

  6. Нажмите Исключения заблокированных URL на странице входа и заблокированных экранах.
    1. Укажите разрешенные URL.
    2. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Шаг 9 (необязательный). Включите автоматическое обновление экрана входа

Если страница входа стороннего поставщика идентификационной информации SAML или OpenID всегда показывается на экране входа, настройте его автоматическое обновление. Это позволит предотвратить превышение времени ожидания при отсутствии активности на странице. Рекомендуем установить интервал обновления, который как минимум на минуту меньше, чем срок действия страницы входа. Подробнее о настройке Автоматическое обновление экрана входа в режиме онлайн

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  3. Перейдите в раздел Настройки входа.
  4. Нажмите Автоматическое обновление экрана входа в режиме онлайн.
  5. Введите значение от 5 до 10 080 минут.
  6. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

    Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Шаг 10. Разверните систему единого входа на базе SAML для всех устройств

Завершив тестирование для 5 % устройств, добавьте в систему остальных пользователей в организации. Для этого распространите на них правила тестовой группы. Если у вас возникнут проблемы, обратитесь в службу поддержки Google Cloud.

Как войти в аккаунт на устройстве с ChromeOS с помощью системы единого входа на базе SAML

Ниже описано, как войти в аккаунт на устройстве с ChromeOS, если в организации настроена система единого входа на базе SAML.

Требования

  • Выполнены все описанные выше шаги.

Процедура входа

Отправьте пользователям приведенные ниже инструкции. Обратите внимание! Прежде чем развертывать систему в масштабах всей организации, ее необходимо протестировать.

  1. Введите имя пользователя (полный адрес электронной почты) на странице входа в аккаунт на устройстве с ChromeOS. Пароль пока не нужен.
  2. Откроется страница системы единого входа на базе SAML. Введите свои учетные данные SAML.
  3. Если поставщик идентификационной информации не использует Credentials Passing API, вам потребуется ввести пароль ещё раз. Это необходимо для автономного доступа к устройству и его разблокировки.
  4. После входа начнется сеанс и откроется браузер. При следующем входе вам нужно будет ввести пароль только один раз. Если у вас возникли проблемы, обратитесь к системному администратору.

Часто задаваемые вопросы

Могут ли пользователи входить в веб-приложения и интранет с помощью Windows Integrated Authentication (WIA), не вводя имя и пароль?

Нет. WIA больше не поддерживается в службе федерации Active Directory. Подробнее о том, как управлять устройствами с ChromeOS с помощью Active Directory

После ввода пароля на странице поставщика услуг SAML система предлагает указать его повторно. Всё ли в порядке?

Да. Это нужно, чтобы обеспечить автономный доступ к устройству с ChromeOS или его разблокировку. Поставщик услуг SAML может отменить этот этап с помощью специального API.

Как сделать так, чтобы устройство можно было разблокировать новым паролем, если он был изменен с другого компьютера?

Мы советуем использовать метод update в Directory API. Благодаря ему информация о смене пароля сразу поступает на наш сервер аутентификации. Введите пароль в поле Тело запроса. Если API не используется, мы узнаем о внесенных изменениях, когда пользователь в следующий раз войдет в систему. По умолчанию входить в аккаунт на устройстве в режиме онлайн необходимо каждые 14 дней, даже если пароль остается прежним. Чтобы изменить этот период, в главном меню слева в консоли администратора выберите Устройства>Chrome>Настройки>Пользователи и браузеры>Периодичность использования системы единого входа на базе SAML.

Можно ли использовать в пароле специальные символы?

Для входа в систему можно использовать только пароли, содержащие печатные символы ASCII.

Появляется сообщение "Не удалось выполнить вход из-за перенаправления на небезопасный URL. Обратитесь к администратору или повторите попытку". Что нужно сделать?

Если ваши сотрудники видят эту ошибку, значит поставщик идентификационной информации SAML использует URL с протоколом HTTP там, где поддерживается только HTTPS. Очень важно, чтобы во время входа в систему использовался исключительно протокол HTTPS. Однако сообщение может появиться, даже когда HTTPS применяется на начальной странице входа. Это происходит, если поставщик идентификационной информации перенаправляет вас на страницу с протоколом HTTP позднее в процессе входа. Если вы устранили проблему, но пользователи все равно получают сообщение об ошибке, обратитесь в службу поддержки Google Cloud.

Я системный администратор. Почему меня не перенаправляют к поставщику идентификационной информации SAML?

Это сделано намеренно. Мы хотим, чтобы в случае возникновения неполадок администратор мог войти в систему и исправить их.

Поддерживает ли система единого входа фильтры контента TLS и SSL?

Да. Ознакомьтесь со статьей о том, как настроить проверку TLS (или SSL) на устройствах с ChromeOS. Добавьте в белый список имена хостов, перечисленные в статье Настройте белый список имен хостов, а также домен своего поставщика идентификационной информации для системы единого входа и адрес google.com.

Как система единого входа работает с разрешениями на доступ к камере?

Чтобы предоставить стороннему ПО непосредственный доступ к камере устройства от имени пользователей системы единого входа, включите разрешения на доступ к камере для системы единого входа.

Выберите Устройства>Chrome>Настройки>Настройки устройств>Разрешения на доступ к камере для системы единого входа>Белый список URL системы единого входа для запроса разрешений на доступ к камере.

Подробнее о том, как настроить правила для устройств с ChromeOS

Включив это правило, администратор предоставляет третьим лицам доступ к камерам их пользователей от имени этих пользователей. Администратор должен предусмотреть форму, с помощью которой можно получить согласие пользователей, так как в противном случае они не узнают о предоставленном разрешении.

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню
5125584765344418529
true
Поиск по Справочному центру
true
true
true
true
true
410864
false
false