Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת תנאים לאישורים ארגוניים

עיקרון מרכזי ב-Chrome Enterprise Premium הוא שהגישה לשירותים ניתנת על סמך מה שידוע לנו עליך ועל המכשיר שלך. רמת הגישה שניתנת למשתמש יחיד או למכשיר יחיד נקבעת באופן דינמי על ידי בדיקה של כמה מקורות נתונים. ‫Chrome Enterprise Premium משתמש ברמת האמון הזו כחלק מתהליך קבלת ההחלטות שלו.

‫Access Context Manager הוא מנוע מדיניות אפס אמון של Chrome Enterprise Premium. בעזרת Access Context Manager, אפשר להגדיר בקרת גישה פרטנית שמבוססת על מאפיינים לאפליקציות ולGoogle Cloud משאבים.

אפשר להשתמש ברמות גישה כדי לאפשר גישה למשאבים על סמך מידע הקשרי לגבי הבקשה. באמצעות רמות גישה, אפשר להתחיל לארגן רמות של אמון. לדוגמה, אפשר ליצור רמת גישה בשם High_Level שמאפשרת בקשות מקבוצה קטנה של אנשים עם הרשאות גבוהות. אפשר גם לזהות קבוצה כללית יותר שרוצים לתת לה אמון, כמו טווח כתובות IP שרוצים לאפשר בקשות ממנו. במקרה כזה, אפשר ליצור רמת גישה בשם Medium_Level כדי לאשר את הבקשות האלה.

אחת הדרישות העיקריות לגישה במודל אפס אמון היא לאפשר גישה רק אם המכשיר מנוהל על ידי החברה או בבעלותה. יש כמה דרכים לקבוע אם מכשיר הוא בבעלות החברה. אחת הדרכים היא לבדוק אם במכשיר יש אישור תקף שהונפק על ידי החברה. אישור ארגוני במכשיר יכול להעיד על כך שהמכשיר נמצא בבעלות תאגיד.

אישורים ארגוניים לבקרת גישה מבוססת הקשר הם תכונה של פתרון הגישה הכולל שמבוסס על אישורים ב-Chrome Enterprise Premium. התכונה הזו משתמשת באישורים של מכשירים כאות חלופי מבוסס-הקשר כדי לקבוע אם מכשיר הוא נכס בבעלות החברה. התכונה הזו נתמכת בדפדפן Chrome בגרסה 110 ואילך.

מכיוון שמכשיר יכול להכיל יותר מאישור אחד, אפשר לגשת לאישורים של ארגונים ברמת הגישה המותאמת אישית באמצעות פקודות המאקרו .exist(e,p):

device.certificates.exists(cert, predicate)

בדוגמה, cert הוא מזהה שמשמש ב-predicate, שנקשר לאישור המכשיר. המאקרו exists() משלב תוצאות של פרדיקטים לכל רכיב עם האופרטור OR ‏(||), כלומר המאקרו מחזיר את הערך true אם לפחות אישור אחד עומד בדרישות הביטוי predicate.

לכל אישור יש את המאפיינים הבאים שאפשר לבדוק יחד. הערה השוואות של מחרוזות הן תלויות-רישיות.

מאפיין	תיאור	ביטוי פרדיקט לדוגמה (כאשר `cert` הוא מזהה של פקודות מאקרו)
`is_valid`	הערך TRUE אם האישור בתוקף ולא פג תוקפו (בוליאני). אי אפשר להשתמש במאפיין הזה עם אימות של נקודות קצה, כי באימות של נקודות קצה לא נבדקת ביטול האישור.	`cert.is_valid`
`cert_fingerprint`	טביעת האצבע של האישור (SHA256 ללא ריפוד בקידוד Base64). טביעת האצבע היא הגיבוב SHA256 בקידוד base64 ללא ריפוד, בפורמט בינארי, של האישור בקידוד DER. אפשר ליצור את המחרוזת מהאישור בפורמט PEM באמצעות התהליך הבא עם OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	טביעת האצבע של אישור ה-CA הבסיסי שמשמש לחתימה על האישור (SHA256 ללא ריפוד בקידוד base64). טביעת האצבע היא הגיבוב SHA256 בקידוד base64 ללא ריפוד, בפורמט בינארי, של האישור בקידוד DER. אפשר ליצור את המחרוזת מהאישור בפורמט PEM באמצעות התהליך הבא עם OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	שם המנפיק (שמות מלאים). כדי למצוא את שם הגורם שהנפיק את האישור, אפשר לפעול לפי השלבים הבאים: מריצים את הפקודה הבאה באישור: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` כדי לקבל את מחרוזת המנפיק של רמת הגישה, הופכים את הפלט ומחליפים כל לוכסן (/) בפסיק (,): `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	שם הנושא של האישור (שמות מורחבים מלאים).	`cert.subject == "CA_SUB"`
`serial_number`	המספר הסידורי של האישור (מחרוזת).	`cert.serial_number = "123456789"`
`template_id`	מזהה התבנית של תבנית האישור של תוסף X.509 לאישור (מחרוזת).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

בטבלה הבאה מפורטות דוגמאות למדיניות שאפשר להגדיר:

מדיניות לדוגמה	ביטוי
למכשיר יש אישור תקף שנחתם על ידי אישור הבסיס של החברה.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
למכשיר יש אישור תקף שהונפק על ידי המנפיק `CA_ABC`.	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

הגדרה של אישורי ארגון

לפני שמגדירים אישורים ארגוניים, צריך לוודא שהגדרתם רמות גישה בהתאמה אישית. הוראות מפורטות זמינות במאמר יצירת רמת גישה בהתאמה אישית.

אתם יכולים להשתמש בהגדרה של רמת גישה מותאמת אישית ב-Access Context Manager כדי להגדיר את המדיניות המתאימה. רמות גישה בהתאמה אישית משתמשות בביטויים בוליאניים שנכתבים בקבוצת משנה של Common Expression Language ‏(CEL) כדי לבדוק את המאפיינים של לקוח שמגיש בקשה.

העלאת עוגני אמון במסוף Admin

כדי ש-Chrome Enterprise Premium יוכל לאסוף ולאמת את אישור הארגון של המכשיר, צריך להעלות את נקודות העוגן של האמון ואת כל האישורים המתווכים שמשמשים להנפקת אישור המכשיר. עוגני האמון הם אישור CA בסיסי עם חתימה עצמית (רשות אישורים) ואישורי ביניים ואישורים משניים רלוונטיים. כדי להעלות את נקודות העוגן של האמון:

עוברים אל מסוף Admin ולוחצים על מכשירים > רשתות > אישורים.
בוחרים את היחידה הארגונית המתאימה.
לוחצים על הוספת אישור.
מזינים את שם האישור.
מעלים את האישור.
מסמנים את תיבת הסימון בדיקה של נקודת קצה.
לוחצים על הוספה.
חשוב לוודא שהמשתמשים שייכים ליחידה הארגונית שאליה הועלו עוגני האמון.

הגדרת מדיניות AutoSelectCertificateForUrls

כדי שהתוסף Endpoint Verification יחפש את אישור המכשיר ויאסוף אותו דרך Chrome, צריך להגדיר את המדיניות AutoSelectCertificateForURLs. לשם כך, מבצעים את השלבים הבאים:

מוודאים שדפדפן Chrome מנוהל על ידי הממשק המרכזי לניהול דפדפן Chrome.
- ב-Windows, ב-macOS וב-Linux, מגדירים את דפדפן Chrome שמנוהל בענן באמצעות קוד Chrome Enterprise. הוראות מפורטות מופיעות במאמר בנושא הרשמה ל-Chrome Enterprise Core.
- כדי לאפשר לארגון לנהל את המכשיר באופן מרכזי, צריך לרשום אותו. הוראות מפורטות מופיעות במאמר בנושא רישום של דפדפני Chrome שמנוהלים בענן.
במסוף Admin, מוסיפים את המדיניות AutoSelectCertificateForUrls:
1. נכנסים אל מסוף Admin ועוברים אל מכשירים > Chrome > הגדרות > הגדרות משתמש ודפדפן > אישורים של לקוח.
2. בוחרים את היחידה הארגונית המתאימה.
3. מוסיפים מדיניות AutoSelectCertificateForUrls, על סמך הדוגמה הבאה:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  מחליפים את CERTIFICATE_ISSUER_NAME בשם הנפוץ של רשות האישורים המנפיקה. אסור לשנות את הערך של pattern.

כדי לאמת את הגדרת המדיניות, מבצעים את השלבים הבאים:

עוברים אל chrome://policy בדפדפן.
בודקים את הערך שהוגדר עבור AutoSelectCertificateForUrls.
מוודאים שהערך של המדיניות Applies to מוגדר ל-Machine. במערכת ההפעלה Chrome, הערך חל על המשתמש הנוכחי.
מוודאים שהסטטוס של המדיניות לא מסומן כקונפליקט.

פתרון בעיות בהגדרות

בודקים את מאפייני האישור בדף פרטי המכשיר כדי לוודא שהם מופיעים בצורה נכונה.

אפשר להשתמש ביומנים של אימות נקודות קצה כדי לפתור בעיות. כדי להוריד את היומנים של Endpoint Verification, מבצעים את השלבים הבאים:

לוחצים לחיצה ימנית על התוסף Endpoint Verification ואז עוברים אל אפשרויות.
בוחרים באפשרות Log level > All > Download Logs (רמת יומן > הכל > הורדת יומנים).
אפשר לפתוח בקשת תמיכה ב-Cloud Customer Care ולשתף את היומנים כדי לקבל עזרה נוספת בניפוי הבאגים.