Esta página foi traduzida pela API Cloud Translation.

Configurar condições de certificados empresariais

Um princípio fundamental do Chrome Enterprise Premium é que o acesso aos serviços é concedido com base no que sabemos sobre si e o seu dispositivo. O nível de acesso concedido a um único utilizador ou a um único dispositivo é inferido dinamicamente através da consulta de várias origens de dados. O Chrome Enterprise Premium usa este nível de confiança como parte do respetivo processo de decisão.

O Gestor de acesso sensível ao contexto é o motor de políticas de confiança zero do Chrome Enterprise Premium. O Gestor de acesso sensível ao contexto permite-lhe definir um controlo de acesso detalhado baseado em atributos para aplicações eGoogle Cloud recursos.

Use níveis de acesso para permitir o acesso a recursos com base em informações contextuais acerca do pedido. Ao usar níveis de acesso, pode começar a organizar níveis de confiança. Por exemplo, pode criar um nível de acesso denominado High_Level que permite pedidos de um pequeno grupo de indivíduos com privilégios elevados. Também pode identificar um grupo mais geral no qual confiar, como um intervalo de endereços IP a partir do qual quer permitir pedidos. Nesse caso, pode criar um nível de acesso denominado Medium_Level para permitir esses pedidos.

Um dos principais requisitos para o acesso de confiança zero é permitir o acesso apenas quando o dispositivo é gerido ou pertence à empresa. Existem várias formas de determinar se um dispositivo é propriedade da empresa. Uma forma é determinar se existe um certificado válido emitido pela empresa no dispositivo. Um certificado empresarial num dispositivo pode indicar que é propriedade da empresa.

Os certificados empresariais para o Acesso sensível ao contexto são uma funcionalidade da solução de acesso baseada em certificados do Chrome Enterprise Premium. Esta funcionalidade usa certificados de dispositivos como um sinal sensível ao contexto alternativo para determinar se um dispositivo é um recurso pertencente à empresa. Esta funcionalidade é suportada na versão 110 ou posterior do navegador Chrome.

Uma vez que um dispositivo pode ter mais do que um certificado, pode aceder a certificados empresariais no nível de acesso personalizado através das macros .exist(e,p):

device.certificates.exists(cert, predicate)

No exemplo, cert é um identificador usado em predicate, que está associado ao certificado do dispositivo. A macro exists() combina os resultados dos predicados por elemento com o operador "ou" (||), o que significa que as macros devolvem verdadeiro se, pelo menos, um certificado satisfizer a expressão predicate.

O certificado tem os seguintes atributos que podem ser verificados em conjunto. Tenha em atenção que as comparações de strings são sensíveis a maiúsculas e minúsculas.

Atributo	Descrição	Exemplo de expressão de predicado (em que `cert` é um identificador de macros)
`is_valid`	Verdadeiro se o certificado for válido e não tiver expirado (booleano). Não pode usar este atributo com a validação de pontos finais, porque a validação de pontos finais não verifica a revogação de certificados.	`cert.is_valid`
`cert_fingerprint`	Impressão digital do certificado (SHA256 sem preenchimento base64). A impressão digital é o resumo SHA256 codificado em base64 sem preenchimento, no formato binário, do certificado codificado DER. Pode gerar a string a partir do certificado no formato PEM através do seguinte procedimento com o OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	Impressão digital do certificado da CA de raiz usado para assinar o certificado (SHA256 sem preenchimento base64). A impressão digital é o resumo SHA256 codificado em base64 sem preenchimento, no formato binário, do certificado codificado DER. Pode gerar a string a partir do certificado no formato PEM através do seguinte procedimento com o OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	Nome do emissor (nomes totalmente expandidos). Para encontrar o nome do emissor, pode usar a seguinte abordagem: Execute o seguinte comando no certificado: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` Para obter a string do emissor para o nível de acesso, inverta a saída e substitua cada barra (/) por uma vírgula (,): `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	Nome do requerente do certificado (nomes totalmente expandidos).	`cert.subject == "CA_SUB"`
`serial_number`	Número de série do certificado (string).	`cert.serial_number = "123456789"`
`template_id`	ID do modelo de certificado de extensão X.509 para o certificado (string).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

A tabela seguinte contém exemplos de políticas que pode definir:

Política de exemplo	Expressão
O dispositivo tem um certificado válido assinado pelo certificado de raiz da empresa.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
O dispositivo tem um certificado válido emitido pelo emissor `CA_ABC`.	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

Configurar certificados empresariais

Antes de configurar certificados empresariais, certifique-se de que configurou níveis de acesso personalizados. Para ver instruções, consulte o artigo Criar um nível de acesso personalizado.

Pode usar uma definição de nível de acesso personalizado do Gestor de acesso sensível ao contexto para definir as políticas adequadas. Os níveis de acesso personalizados usam expressões booleanas escritas num subconjunto do Idioma de expressão comum (IEC) para testar os atributos de um cliente que faz um pedido.

Carregar âncoras de confiança na consola do administrador

Para que o Chrome Enterprise Premium recolha e valide o certificado empresarial do dispositivo, tem de carregar as âncoras de confiança e todos os certificados intermédios usados para emitir o certificado do dispositivo. As âncoras de confiança são o certificado autoassinado da CA (autoridade de certificação) de raiz e os certificados intermediários e subordinados relevantes. Conclua os passos seguintes para carregar os pontos de referência de confiança:

Aceda à consola do administrador e navegue para Dispositivos > Redes > Certificados.
Selecione a unidade organizacional adequada.
Selecione Adicionar certificado.
Introduza o nome do certificado.
Carregue o certificado.
Ative a caixa de verificação Validação de pontos finais.
Clique em Adicionar.
Certifique-se de que os utilizadores pertencem à unidade organizacional para a qual os pontos de confiança foram carregados.

Configure uma política AutoSelectCertificateForUrls

Para que a validação de pontos finais procure o certificado do dispositivo e o recolha através do Chrome, tem de configurar a política AutoSelectCertificateForURLs concluindo os seguintes passos:

Certifique-se de que o navegador Chrome é gerido pelo Chrome Browser Cloud Management.
- Para o Windows, o macOS e o Linux, configure o navegador Chrome gerido na nuvem através do código do Chrome Enterprise. Para ver instruções, consulte o artigo Inscreva-se no Chrome Enterprise Core.
- Inscreva o seu dispositivo para permitir que a sua organização o gere centralmente. Para ver instruções, consulte o artigo Inscreva navegadores Chrome geridos na nuvem.
Na consola do administrador, adicione a política AutoSelectCertificateForUrls:
1. Aceda à consola do administrador e navegue para Dispositivos > Chrome > Definições > Definições de utilizadores e navegadores > Certificados de cliente.
2. Selecione a unidade organizacional adequada.
3. Adicione uma política AutoSelectCertificateForUrls com base no seguinte exemplo:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  Substitua CERTIFICATE_ISSUER_NAME pelo nome comum da AC emissora. Não modifique o valor de pattern.

Para validar a configuração da política, conclua os seguintes passos:

Navegue para chrome://policy no navegador.
Verifique o valor configurado para AutoSelectCertificateForUrls.
Certifique-se de que o valor Aplica-se a da política está definido como Máquina. No sistema operativo Chrome, o valor é aplicado ao utilizador atual.
Certifique-se de que o Estado da política não tem um Conflito.

Resolução de problemas da configuração

Reveja os atributos do certificado na página de detalhes do dispositivo para garantir que estão listados corretamente.

Pode usar os registos da validação de pontos finais para ajudar a resolver problemas. Para transferir os registos da validação de pontos finais, conclua os seguintes passos:

Clique com o botão direito do rato na extensão Endpoint Verification e, de seguida, aceda a Opções.
Selecione Nível de registo > Tudo > Transferir registos.
Abra um registo de apoio ao cliente com o Cloud Customer Care e partilhe os registos para uma depuração mais detalhada.