Añadir un administrador de dispositivos de Workspace de Google

Editar en línea

Configura Google Workspace® como tu gestor de dispositivos.

Antes de empezar

Nota: Los inquilinos globales de mtlsidaas para los gestores de dispositivos han quedado obsoletos y se eliminarán a partir de marzo de 2024. Ve a la sección «Cómo obtener un nombre de host personalizado» para solicitar un dominio personalizado. Para obtener más información, consulta «Añadir un administrador de dispositivos ».
  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM Verify consola de administración como administrador.

Procedimiento

  1. Selecciona «Autenticación » > «Administradores de dispositivos ».
  2. Selecciona «Añadir administrador de dispositivos ».
  3. Selecciona el espacio de trabajo « Google » como el tipo de administrador de dispositivos que deseas configurar.
  4. Selecciona «Siguiente ».
  5. En la página «Configuración general», introduce la siguiente información.
    • Introduzca el nombre del Administrador de dispositivos en el campo correspondiente.
    • Selecciona el proveedor de identidad en el menú.
    • Selecciona el tipo de fideicomiso en el menú. Para seleccionar la confianza del dispositivo, los usuarios deben iniciar sesión mediante el mecanismo de autenticación de primer factor que tengan configurado. La confianza en el dispositivo solo confirma si la autenticación se realiza desde un dispositivo gestionado o no.
      Nota: La función «Confianza en el dispositivo» CI-114829 se puede activar previa solicitud. Para solicitar esta función, ponte en contacto con tu representante de ventas de IBM o con IBM e indica tu interés en activar esta función. Crea un ticket de asistencia si tienes permiso para hacerlo. IBM Verify Las suscripciones de prueba no permiten crear tickets de asistencia.
    • Seleccione si desea habilitar el suministro puntual para las cuentas de usuario.
      Nota: La configuración «Just-in-Time» (JIT) para las cuentas de usuario solo es aplicable en caso de que se seleccione la opción de confianza de usuario y dispositivo.
    • Seleccione el período de validez del certificado de cliente. Por defecto, el periodo seleccionado es de 3 años.
    • Especifique el número máximo de certificados para cada dispositivo.
    • Especifique cuántos minutos se mantiene la información de usuario y de dispositivo.
  6. Selecciona «Siguiente ».
  7. En la página de credenciales de la API, introduce los datos de la API de tu aplicación en un espacio de trabajo de Google.
    • Si ya tiene la aplicación, seleccione Sólo formulario.
      1. Proporcione el ID de aplicación, el secreto y el nombre del arrendatario.
      2. Seleccione Unique user identifier de una lista predefinida de atributos o elija «Regla personalizada » para especificar las asignaciones de atributos. Si eliges utilizar una regla personalizada, puedes añadir atributos personalizados y una regla. Escribe la regla para calcular el valor del atributo. Por ejemplo:
        requestContext.email[0].split('@')[0]
        Nota: La selección de reglas personalizadas no es aplicable a la confianza del dispositivo. No obstante, puede introducir el atributo correspondiente en el campo correspondiente.
      3. Seleccione Probar credenciales para verificar sus credenciales.
      4. Selecciona «Siguiente ».
    • Si está creando una aplicación, seleccione Mostrar con pasos y siga las instrucciones.
      1. Entra en https://support.google.com/a/answer/7378726 para crear una cuenta de servicio.
        Nota: Sigue los pasos 1, 2 y 4 de la página «Crear una cuenta de servicio ».
      2. Activa las API para la cuenta de servicio.
      3. Marca la casilla situada junto a tu nuevo proyecto.
      4. Haz clic en «API y servicios» y, a continuación, en «Biblioteca ». Es posible que primero tengas que hacer clic en «Menú ».
      5. Para cada API que necesites, haz clic en el nombre de la API y, a continuación, activa: Admin SDK.
      6. Si no encuentras la API, escribe su nombre en el cuadro de búsqueda.
    • Delegar la autoridad sobre todo el dominio a una cuenta de servicio.
    Un superadministrador del dominio del espacio de trabajo de Google debe seguir los siguientes pasos.
    1. Desde la consola de administración de tu dominio de Google Workspace, ve a Menú principal > Seguridad > Control de acceso y datos > Controles de API.
    2. En la página «Delegación para todo el dominio », seleccione «Gestionar delegación para todo el dominio ».
    3. Haz clic en «Añadir nuevo ».
    4. En el campo «ID de cliente », introduce el ID de cliente de la cuenta de servicio.
      Nota: Puedes encontrar el ID de cliente de tu cuenta de servicio en la página «Cuentas de servicio ».
    5. En el campo « OAuth » (Ámbitos de acceso), introduce la lista de ámbitos a los que se puede conceder acceso a tu aplicación. Introduce: https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly.
    6. Haz clic en «Autorizar ».
  8. Haga clic en Siguiente.
  9. En la página Propiedades de usuario (se abre en caso de selección de confianza de usuario y dispositivo) o Propiedades del dispositivo (se abre en caso de selección de confianza de dispositivo), asigne los atributos del administrador de dispositivos a IBM Verify atributos.
    Asigna al menos un atributo a un IBM Verify atributo y especifica cómo se va a almacenar dicho atributo.
    Nota: Los nombres de los atributos no distinguen entre mayúsculas y minúsculas, y no se permiten atributos duplicados.
    1. Especifica el nombre del atributo en el espacio de trabajo de Google.
    2. Opcional: Selecciona una transformación en el menú.
    3. Requisito: Selecciona el Verify atributo al que deseas asignar el atributo.
    4. Seleccione cómo desea almacenar el atributo en el perfil del usuario.
  10. Opcional: haz clic en «Añadir atributos ».
    Si eliges utilizar una regla personalizada, puedes añadir atributos personalizados de uno en uno a la regla. Escribe la regla para calcular el valor del atributo. Por ejemplo:
    idsuser.email[0].split('@')[0]
    Haz clic en «Ejecutar prueba» para comprobar que la regla funciona.
  11. Haz clic en Aceptar.
  12. Haga clic en Siguiente.
  13. Cree el perfil de certificado raíz.
    Siga las instrucciones proporcionadas.
    1. Descarga los siguientes archivos de certificados .zip raíz e intermedios que se proporcionan.
    2. En la consola de administración de Google (en admin.google.com), ve a Menú > Dispositivos > Redes > Certificados > .
    3. Descomprime el trusted-certificates.zip archivo que has descargado del enlace IBM Verify en los pasos anteriores.
    4. Nota: Para aplicar la configuración a todos los usuarios, mantén seleccionada la unidad organizativa principal. De lo contrario, seleccione una unidad organizativa subordinada.
      Haz clic en «Añadir certificado ». Nombre del certificado: <Introduce un nombre descriptivo>.
    5. Sube el perfil del certificado raíz que descargaste en el paso 1.
    6. En la sección de autoridades de certificación, selecciona «Chequeo habilitado» para Chromebook.
    7. Haz clic en «Añadir ».
    8. Repite los pasos 2 a 7 para el certificado intermedio.
  14. Selecciona «Siguiente ».
  15. En la página del perfil de certificado SCEP, introduce los datos de la API de tu aplicación.
    • Si ya dispone de un perfil de certificado SCEP, seleccione «Solo valores» y utilice los siguientes valores para crear el perfil de certificado SCEP.
      1. Nombre común.
      2. Nombre de la empresa.
      3. Unidad organizativa.
      4. ChromeOS SCEP URL.
      5. Selecciona «Siguiente ».
    • Si está creando un perfil de certificado SCEP, seleccione Mostrar con pasos y siga las instrucciones.
      1. En la consola de administración de Google (en admin.google.com), ve a Menú > Dispositivos > Redes.
      2. Haz clic en la sección relacionada con Secure SCEP.
      3. Haz clic en «Añadir perfil SCEP seguro ».
      4. Utilice los valores de configuración siguientes:
        Plataformas de dispositivos
        Chromebook (usuario)
        Nombre del perfil SCEP
        Un nombre descriptivo para el perfil. El nombre aparece en la lista de perfiles.
        Formato del nombre del asunto
        Seleccione «Nombre completo distinguido» e introduzca los valores de configuración:
        Nombre alternativo del asunto
        El valor predeterminado es none. Para especificar el correo electrónico, selecciona «Personalizado» y haz clic en el botón «Añadir atributo ». Selecciona el tipo de nombre alternativo «Asunto» como « RFC822 » e introduce el valor « ${USER_EMAIL} »
        Un único algoritmo
        SHA256withRSA
        Uso de clave
        Cifrado de clave, firma digital.
        Tamaño de clave (bits)
        2048
        Seguridad
        Selecciona «Estricto» o «Flexible ».
        Atributos del servidor SCEP
        URL del servidor SCEP
        Utiliza el valor « URL » de SCEP que te haya facilitado tu Verify tenant.
        Periodo de validez del certificado
        Especifique un período de validez adecuado o mantenga el valor predeterminado.
        Renovar en unos días
        Especifique un período de validez adecuado o mantenga el valor predeterminado.
        Tipo de desafío
        Marque la casilla «Estático» e introduzca una contraseña adecuada.
        Entidad emisora de certificados
        Seleccione el perfil de certificado intermedio creado en el paso anterior.
      5. Pulse Guardar.
  16. Selecciona «Siguiente ».
  17. Configurar el conector de certificados de Google Cloud.
    Sigue el paso 1 que se indica en el enlace: https://support.google.com/chrome/a/answer/11053129?hl=en
  18. Pruebe la configuración.
    Siga las instrucciones.
  19. Selecciona «Finalizar la configuración ».
    1. Revise los valores.
    2. Selecciona «Guardar cambios ».