Hinzufügen eines „ Google “-Arbeitsbereichs-Geräte-Managers

Richten Sie „ Google Workspace®“ als Ihren Gerätemanager ein.

Vorbereitende Schritte

Hinweis: Die globalen „mtlsidaas“-Tenants für Gerätemanager sind nun veraltet und werden nach März 2024 entfernt. Gehen Sie zu „Einen individuellen Hostnamen beantragen“, um eine individuelle Domain zu beantragen. Weitere Informationen finden Sie unter „Geräte-Manager hinzufügen “.

Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
Melden Sie sich als Administrator bei der IBM Verify Verwaltungskonsole an.

Vorgehensweise

Wählen Sie „Authentifizierung “ > „Geräteverwaltung “.
Wählen Sie „Geräte-Manager hinzufügen “.
Wählen Sie den Arbeitsbereich „ Google “ als den Typ des Gerätemanagers aus, den Sie einrichten möchten.
Wählen Sie „Weiter “.
Geben Sie auf der Seite „Allgemeine Einstellungen “ die folgenden Informationen ein.
- Geben Sie den Namen des Gerätemanagers in das dafür vorgesehene Feld ein.
- Wählen Sie den Identitätsanbieter aus dem Menü aus.
- Wählen Sie den Trust-Typ aus dem Menü aus. Für die Auswahl der Gerätevertrauenswürdigkeit müssen sich die Benutzer mit ihrem konfigurierten Mechanismus zur Erstfaktor-Authentifizierung anmelden. Die Gerätevertrauenswürdigkeit bestätigt lediglich, ob die Authentifizierung von einem verwalteten Gerät aus erfolgt ist oder nicht.
  Hinweis: Die Funktion „Gerätevertrauen“ CI-114829 kann auf Anfrage aktiviert werden. Um diese Funktion anzufordern, wenden Sie sich bitte an Ihren Vertriebsmitarbeiter bei IBM oder an IBM und teilen Sie uns mit, dass Sie diese Funktion nutzen möchten. Erstellen Sie ein Support-Ticket, sofern Sie die entsprechende Berechtigung haben. IBM Verify Mit Probeabonnements können keine Support-Tickets erstellt werden.
- Wählen Sie aus, ob die Just-in-time-Bereitstellung für Benutzeraccounts aktiviert werden soll.
  Hinweis: Die Just-in-Time-Bereitstellung (JIT) für Benutzerkonten gilt nur bei der Auswahl der Benutzer- und Gerätevertrauensstufe.
- Wählen Sie die Gültigkeitsdauer des Client-Zertifikats aus. Standardmäßig beträgt der Zeitraum 3 Jahre.
- Geben Sie die maximale Anzahl Zertifikate für jedes Gerät an.
- Geben Sie an, wie viele Minuten die Benutzer- und Geräteinformationen aufbewahrt werden.
Wählen Sie „Weiter “.
Geben Sie auf der Seite „API-Anmeldedaten“ die API-Daten Ihrer Anwendung in Ihrem „ Google “-Arbeitsbereich ein.
- Wenn Sie bereits über die Anwendung verfügen, wählen Sie Nur Formular aus.
  1. Geben Sie die Anwendungs-ID, den geheimen Schlüssel und den Tenantnamen an.
  2. Wählen Sie Unique user identifier aus einer vordefinierten Liste von Attributen aus oder wählen Sie „Benutzerdefinierte Regel“, um Attributzuordnungen festzulegen. Wenn Sie sich für die Verwendung einer benutzerdefinierten Regel entscheiden, können Sie benutzerdefinierte Attribute und eine Regel hinzufügen. Geben Sie die Regel zur Berechnung des Attributwerts ein. Beispiel:
```
requestContext.email[0].split('@')[0]
```
    Hinweis: Die Auswahl benutzerdefinierter Regeln gilt nicht für die Gerätevertrauensstellung. Sie können jedoch das entsprechende Attribut in das dafür vorgesehene Feld eingeben.
  3. Wählen Sie Berechtigungsnachweise testen aus, um Ihre Berechtigungsnachweise zu überprüfen.
  4. Wählen Sie „Weiter “.
- Wenn Sie eine Anwendung erstellen, wählen Sie Mit Schritten anzeigen aus und führen Sie die Anweisungen aus.
  1. Gehen Sie auf https://support.google.com/a/answer/7378726, um ein Dienstkonto zu erstellen.
    Hinweis: Führen Sie die Schritte 1, 2 und 4 auf der Seite „Dienstkonto erstellen“ aus.
  2. Aktivieren Sie die APIs für das Dienstkonto.
  3. Aktivieren Sie das Kontrollkästchen neben Ihrem neuen Projekt.
  4. Klicken Sie auf „APIs & Dienste“ und anschließend auf „Bibliothek “. Möglicherweise müssen Sie zuerst auf „Menü“ klicken.
  5. Klicken Sie für jede benötigte API auf den API-Namen und aktivieren Sie dann: Admin SDK.
  6. Wenn Sie die API nicht finden können, geben Sie den Namen der API in das Suchfeld ein.
- Übertragen Sie domänenweite Berechtigungen an ein Dienstkonto.
Ein Superadministrator der „ Google “-Workspace-Domäne muss die folgenden Schritte ausführen.
1. Rufen Sie in der Verwaltungskonsole Ihrer „ Google “-Workspace-Domäne das Hauptmenü > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerelemente auf.
2. Wählen Sie auf der Seite „Domänenweite Delegierung “ die Option „Domänenweite Delegierung verwalten “ aus.
3. Klicken Sie auf „Neu hinzufügen “.
4. Geben Sie im Feld „Client-ID “ die Client-ID des Dienstkontos ein.
  Hinweis: Die Client-ID Ihres Dienstkontos finden Sie auf der Seite „Dienstkonten “.
5. Geben Sie im Feld „ OAuth -Bereiche “ die Liste der Bereiche ein, auf die Ihre Anwendung Zugriff erhalten soll. Eingabe: https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly.
6. Klicken Sie auf „Autorisieren “.
Klicken Sie auf Weiter.
Ordnen Sie auf der Seite „Benutzereigenschaften “ (wird bei Auswahl von „Benutzer- und Gerätevertrauen“ geöffnet) oder „Geräteeigenschaften“ (wird bei Auswahl von „Gerätevertrauen“ geöffnet) die Attribute des Gerätemanagers den entsprechenden Attributen zu IBM Verify .
Ordnen Sie mindestens ein Attribut einem IBM Verify Attribut zu und legen Sie fest, wie das Attribut gespeichert werden soll.
Hinweis: Bei Attributnamen wird die Groß-/Kleinschreibung nicht berücksichtigt, und doppelte Attribute sind nicht zulässig.
1. Geben Sie den Attributnamen im „ Google “-Arbeitsbereich an.
2. Optional: Wählen Sie eine Transformation aus dem Menü aus.
3. Erforderlich: Wählen Sie das Verify Attribut aus, dem Sie das Attribut zuordnen möchten.
4. Wählen Sie aus, wie das Attribut im Benutzerprofil gespeichert werden soll.
Optional: Klicken Sie auf „Attribute hinzufügen “.
Wenn Sie sich für die Verwendung einer benutzerdefinierten Regel entscheiden, können Sie jeweils ein benutzerdefiniertes Attribut und eine Regel hinzufügen. Geben Sie die Regel zur Berechnung des Attributwerts ein. Beispiel:
```
idsuser.email[0].split('@')[0]
```
Klicken Sie auf „Test ausführen“, um sicherzustellen, dass die Regel funktioniert.
Klicken Sie auf „OK “.
Klicken Sie auf Weiter.
Erstellen Sie das Stammzertifikatprofil.
Führen Sie die bereitgestellten Anweisungen aus.
1. Laden Sie die folgenden bereitgestellten Stamm- und Zwischenzertifikatsdateien .zip herunter.
2. In Ihrer Google Admin-Konsole (unter admin.google.com Gehen Sie zu Menü > Geräte > Netzwerke > Zertifikate > Die
3. Entpacken Sie die trusted-certificates.zip Datei, die Sie in den vorherigen Schritten von der IBM Verify Website heruntergeladen haben.
4. Hinweis: Um die Einstellung für alle anzuwenden, lassen Sie die übergeordnete Organisationseinheit ausgewählt. Andernfalls wählen Sie eine untergeordnete Organisationseinheit aus.
  Klicken Sie auf „Zertifikat hinzufügen “. Name des Zertifikats: <Geben Sie einen aussagekräftigen Namen ein>.
5. Laden Sie das Stammzertifikatsprofil hoch, das Sie in Schritt 1 heruntergeladen haben.
6. Wählen Sie im Abschnitt „Zertifizierungsstelle“ die Option „Checkbook für Chromebook aktivieren“ aus.
7. Klicken Sie auf „Hinzufügen “.
8. Wiederholen Sie die Schritte 2 bis 7 für das Zwischenzertifikat.
Wählen Sie „Weiter “.
Geben Sie auf der Seite „SCEP-Zertifikatsprofil“ die API-Daten Ihrer Anwendung ein.
- Wenn Sie bereits über ein SCEP-Zertifikatsprofil verfügen, wählen Sie „Nur Werte“ aus und verwenden Sie die folgenden Werte, um das SCEP-Zertifikatsprofil zu erstellen.
  1. Allgemeiner Name.
  2. Firmenname.
  3. Organisationseinheit.
  4. ChromeOS SCEP - URL
  5. Wählen Sie „Weiter “.
- Wenn Sie ein SCEP-Zertifikatprofil erstellen, wählen Sie Mit Schritten anzeigen aus und führen Sie die Anweisungen aus.
  1. Gehen Sie in Ihrer „ Google “-Verwaltungskonsole (unter admin.google.com) zu „Menü > Geräte > Netzwerke “.
  2. Klicken Sie auf den Abschnitt, der mit Secure SCEP verknüpft ist.
  3. Klicken Sie auf „Sicheres SCEP-Profil hinzufügen “.
  4. Verwenden Sie die folgenden Konfigurationseinstellungen:
    
    Geräteplattformen
    
    Chromebook (Benutzer)
    
    SCEP-Profilname
    
    Eine aussagekräftige Bezeichnung für das Profil. Der Name wird in der Liste der Profile angezeigt.
    
    Format des Antragstellernamens
    
    Wählen Sie „Vollständiger Distinguished Name“ aus und geben Sie die Konfigurationswerte ein:
    
    Alternativer Antragstellername
    
    Die Standardeinstellung ist "none". Um die E-Mail-Adresse anzugeben, wählen Sie „Benutzerdefiniert“ aus und klicken Sie auf die Schaltfläche „Attribut hinzufügen “. Wählen Sie als alternativen Namen für das Subjekt „ RFC822 “ aus und geben Sie als Wert „ ${USER_EMAIL} “ ein
    
    Einzelner Algorithmus
    
    SHA256withRSA
    
    Schlüsselverwendung
    
    Schlüsselverschlüsselung, Digitale Signatur.
    
    Schlüsselgröße (Bits)
    
    2048
    
    Sicherheit
    
    Wählen Sie „Streng“ oder „Locker “.
    
    SCEP-Server-Attribute
    
    URL des SCEP-Servers
    
    Verwenden Sie den SCEP- URL -Wert, den Ihr Verify Mandant bereitstellt.
    
    Gültigkeitsdauer des Zertifikats
    
    Geben Sie eine geeignete Gültigkeitsdauer an oder behalten Sie den Standardwert bei.
    
    Innerhalb weniger Tage verlängern
    
    Geben Sie eine geeignete Gültigkeitsdauer an oder behalten Sie den Standardwert bei.
    
    Abfragetyp
    
    Aktivieren Sie das Kontrollkästchen „Statisch“ und geben Sie ein geeignetes Passwort ein.
    
    Zertifizierungsstelle
    
    Wählen Sie das im vorherigen Schritt erstellte Zwischenzertifikatsprofil aus.
  5. Klicken Sie auf Speichern.
Wählen Sie „Weiter “.
Konfigurieren Sie den „ Google Cloud “-Zertifikats-Connector.
Befolgen Sie Schritt 1, der unter dem folgenden Link beschrieben ist: https://support.google.com/chrome/a/answer/11053129?hl=en
Testen Sie die Konfiguration.
Folgen Sie den Anweisungen.
Wählen Sie „Einrichtung abschließen “.
1. Überprüfen Sie Ihre Einstellungen.
2. Wählen Sie „Änderungen speichern “.