Algumas redes e alguns recursos internos da Web exigem que os usuários sejam autenticados por um certificado digital. Com os certificados do cliente, os usuários nos dispositivos Chrome OS podem acessar esses tipos de redes e recursos. Para aumentar a segurança das redes e dos recursos internos, as organizações estão autenticando usuários em dispositivos de
funcionários e de alunos com o uso de certificados digitais do cliente. Por exemplo, com a autenticação EAP-TLS (802.1x), você tem acesso a LANs, e com a autenticação TLS/SSL mútua, a recursos da Web internos. Há várias etapas para adicionar um certificado do cliente a um dispositivo, incluindo: As autoridades de certificação aceitam alguns protocolos de inscrição, como SCEP e EST, e as organizações têm verificações, regras e fluxos de trabalho específicos que precisam ser analisados antes da concessão de um certificado. Gerenciar certificados do cliente em dispositivos
Chrome A partir do Chrome versão 37, parceiros como autoridades de certificação, fornecedores de gerenciamento de infraestrutura e clientes podem criar uma extensão usando a API chrome.enterprise.platformKeys para provisionar certificados do cliente em dispositivos Chrome. Com uma extensão, é possível usar uma grande variedade de CAs, protocolos de inscrição e qualquer
forma de fluxo de trabalho baseado na Web. Os clientes dos serviços de certificados do Active Directory do Windows podem usar a ferramenta de inscrição empresarial do Google para solicitar e instalar certificados em dispositivos Chrome. Veja mais informações em Permitir que os usuários solicitem certificados digitais. O uso de extensões é uma forma flexível de provisionar certificados do cliente. Elas garantem que a
chave privada nunca saia do dispositivo, além de serem protegidas pelo módulo de plataforma confiável (TPM, na sigla em inglês) do Google Chrome. Quando o token de usuário da API chrome.enterprise.platformKeys é usado (código = "usuário"), os certificados do cliente acessados via extensões são exclusivos para um usuário/dispositivo. Por exemplo, um segundo usuário no mesmo dispositivo tem um certificado diferente. Quando o usuário faz login em outro dispositivo, um certificado diferente é
emitido pela CA. Como os certificados do cliente são protegidos pelo TPM, eles não podem ser roubados e instalados em outro dispositivo nem acessados por outro usuário. Quando você remove um usuário de um dispositivo, o certificado também é removido. Esses certificados também podem ser usados por extensões, como clientes VPN que acessam a API chrome.platformKeys. O acesso aos certificados é
concedido de diferentes formas, dependendo do tipo de conta: gerenciada ou não. Para saber mais, consulte Modelo de acesso para extensões e certificados do cliente. Provisionar certificados do cliente usando uma extensão Siga estas etapas para provisionar certificados do cliente usando uma extensão: O Admin Console facilita a implantação e o controle de usuários, dispositivos e apps em todos os dispositivos Chrome da sua organização.Gerenciar e provisionar certificados do cliente
Acesse a Chrome Web Store para encontrar uma extensão para a CA que você usa. Se não existir uma extensão, crie uma ou contrate um consultor ou um desenvolvedor para fazer isso. Para saber mais, consulte o Guia do desenvolvedor.
Na maioria dos casos, uma rede para visitantes ou de integração não tem acesso privilegiado: ela só pode ser usada para navegação na extranet e integração do certificado via CA. Você pode usar essa rede para iniciar o processo de integração do certificado. É possível pré-configurar a rede de visitantes ou de integração em todos os dispositivos Chrome que você gerencia. Para saber mais, consulte Gerenciar redes.
Certificados do usuário e dispositivo
Como administrador, você pode configurar o fluxo de inscrição para certificados de usuário e dispositivo.
Os certificados de usuário estão vinculados a uma sessão de usuário gerenciada. Eles podem ser usados para a autenticação no nível do usuário em sites, redes e aplicativos de terceiros.
Os certificados de dispositivo estão vinculados a um dispositivo gerenciado. Eles são expostos em vários lugares, como:
- sessões de usuários afiliados e gerenciados pelo mesmo domínio do dispositivo;
- telas de login do Chrome, em que os certificados são
exibidos em redes e como parte do fluxo de login SAML de terceiros;
Observação: os certificados de dispositivo só serão exibidos em um fluxo de login SAML de terceiros se você tiver configurado a política de certificados do cliente de Logon único. - dispositivos na Sessão de visitante gerenciada e no modo quiosque, em que os certificados são exibidos em sites, redes e apps de terceiros.
Se você quiser configurar uma extensão para certificados do usuário e dispositivo, consulte a documentação de inscrição de certificados da extensão.
Exemplo de experiência do usuário
O usuário em uma rede para visitantes ou de integração tenta se conectar à rede EAP-TLS (802.1x) pela primeira vez. A extensão de instalação forçada guia o usuário por um conjunto de etapas (incluindo autenticação) antes de instalar o certificado emitido pela CA. Quando o certificado é instalado, o usuário pode selecionar e se conectar à rede EAP-TLS (802.1x).
Quando uma página interna da Web exige autenticação TLS/SSL mútua, o recurso interno da Web mostra uma mensagem para o usuário informando que um certificado é obrigatório. O usuário então pode iniciar a extensão de instalação forçada, seguir um conjunto de etapas semelhantes às descritas para se conectar a uma rede EAP-TLS e atualizar o navegador para acessar a página interna da Web.
Modelo de acesso para extensões e apps Android
Com a API chrome.platformKeys, as extensões podem acessar os certificados do cliente gerenciados pela plataforma. Os apps Android usam APIs KeyChain. O modelo de permissão que rege o uso depende do tipo de conta de usuário (gerenciada ou não gerenciada). As especificações a seguir são aplicáveis independentemente do registro do dispositivo.
Conta não gerenciada
Quando o usuário faz login com uma conta não gerenciada, como uma conta pessoal, ele é o proprietário e tem controle total dos certificados importados manualmente para o dispositivo. Nesse cenário, o usuário pode permitir que uma extensão específica use a chrome.platformKeys para acessar um determinado certificado. Não há outras restrições.
Conta gerenciada
Quando o usuário faz login com uma conta gerenciada, como uma conta de trabalho, o administrador é responsável por dar acesso aos certificados de uso corporativo. Para fazer isso, o administrador especifica as extensões e os apps Android que podem usar os certificados do cliente.
Para especificar as extensões e os apps Android que podem usar certificados do cliente, siga estas etapas:
Na página inicial do Admin Console, acesse Dispositivos
Gerenciamento do Google Chrome.- Clique em Apps e extensõesUsuários e navegadores.
- Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.
(Opcional) Se você ainda não gerencia a extensão ou o app Android no Admin Console, siga estas etapas:
Clique em Adicionar e escolha uma opção:
Adicionar da Chrome Web Store
Adicionar do Google Play
Localize a extensão ou o app Android e clique em Selecionar. Se solicitado, aceite as permissões do app em nome da organização.
Na lista, localize e clique na extensão ou no app Android que você quer gerenciar.
No painel à direita, em Gerenciamento de certificados, ative a opção Permitir o acesso às chaves.
Observação: caso você veja a configuração depois de selecionar uma extensão, isso significa que a extensão não é compatível com o gerenciamento de certificados. Caso você não veja a configuração depois de selecionar um app Android, isso significa que ele não tem aprovação para acessar APIs de gerenciamento de certificados. Entre em contato para solicitar aprovação.- Clique em Salvar.
O usuário não precisa permitir o acesso aos certificados, e apenas os certificados empresariais importados com a API chrome.enterprise.platformKeys estão qualificados para uso corporativo. Caso a extensão tenha acesso a vários certificados, ela ainda pode solicitar que o usuário selecione um deles. Os certificados gerados ou importados de outra forma, por exemplo, manualmente, não estão disponíveis para a API nas contas gerenciadas.
Os apps Android gerenciados não podem pedir que os usuários selecionem um certificado empresarial por APIs KeyChain. O sistema sempre escolhe um certificado empresarial disponível em nome do usuário. O KeyChain notifica os apps Android sobre todos os certificados disponíveis em segundo plano, e os próprios apps podem mostrar caixas de diálogo aos usuários.
Considerações sobre apps Android
- Os certificados de usuário são compatíveis com o Chrome 89 ou mais recente.
- Os certificados de dispositivo são compatíveis com o Chrome 93 ou mais recente.
- Nem todos os apps Android foram aprovados para o acesso. Para solicitar a aprovação de um app Android específico, entre em contato.
Isso foi útil?
Como podemos melhorá-lo?