Adición de un gestor de dispositivos Google Workspace

Editar en línea

Configure Google Workspace® como su administrador de dispositivos.

Antes de empezar

Nota: Los arrendatarios globales de mtlsidaas para gestores de dispositivos están ahora en desuso y se eliminarán después de marzo de 2024. Vaya a Obtener un nombre de host personalizado para solicitar un dominio personalizado. Para obtener más información, consulte Añadir un administrador de dispositivos.
  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la consola de administración de IBM Verify como administrador.

Procedimiento

  1. Seleccione Autenticación > Administradores de dispositivos.
  2. Seleccione Añadir gestor de dispositivos.
  3. Seleccione Google Workspace como el tipo de gestor de dispositivos que desea configurar.
  4. Seleccione Siguiente.
  5. En la página Valores generales , proporcione la información siguiente.
    • Especifique el Nombre de gestor de dispositivos en el campo proporcionado.
    • Seleccione el Proveedor de identidades en el menú.
    • Seleccione el Tipo de confianza del menú. Para la selección Confianza en el dispositivo, los usuarios deben iniciar sesión con su mecanismo de autenticación de primer factor configurado. La confianza del dispositivo sólo confirma si la autenticación se realiza desde el dispositivo gestionado o no.
      Nota: La función de confianza del dispositivo CI-114829 puede activarse bajo petición. Para solicitar esta función, póngase en contacto con su representante de ventas de IBM o con su contacto de IBM e indíquele su interés en activar esta función. Crea un ticket de soporte si tienes permiso. IBM Verify las suscripciones de prueba no pueden crear tickets de soporte.
    • Seleccione si desea habilitar el suministro puntual para las cuentas de usuario.
      Nota: El aprovisionamiento justo a tiempo (JIT) para cuentas de usuario solo es aplicable en caso de selección de confianza de usuario y dispositivo .
    • Seleccione el Periodo de validez del certificado de cliente. Por defecto, la selección es de 3 años.
    • Especifique el número máximo de certificados para cada dispositivo.
    • Especifique cuántos minutos se mantiene la información de usuario y de dispositivo.
  6. Seleccione Siguiente.
  7. En la página Credenciales de API , especifique los detalles de la API de la aplicación en Google Workspace.
    • Si ya tiene la aplicación, seleccione Sólo formulario.
      1. Proporcione el ID de aplicación, el secreto y el nombre del arrendatario.
      2. Seleccione Unique user identifier en una lista predefinida de atributos o seleccione Regla personalizada para especificar correlaciones de atributos. Si selecciona utilizar una regla personalizada, puede añadir atributos personalizados y una regla. Escriba la regla para calcular el valor de atributo. Por ejemplo:
        requestContext.email[0].split('@')[0]
        Nota: La selección de reglas personalizadas no es aplicable a Confianza en el dispositivo. Sin embargo, puede introducir el atributo apropiado en el campo previsto para ello.
      3. Seleccione Probar credenciales para verificar sus credenciales.
      4. Seleccione Siguiente.
    • Si está creando una aplicación, seleccione Mostrar con pasos y siga las instrucciones.
      1. Vaya a https://support.google.com/a/answer/7378726 para crear una cuenta de servicio.
        Nota: Complete los pasos 1, 2 y 4 en la página Crear una cuenta de servicio .
      2. Utilice las API para la cuenta de servicio.
      3. Marque el recuadro que está en la red para el nuevo proyecto.
      4. Pulse API y servicios y, a continuación, Biblioteca. Es posible que primero tenga que pulsar Menú .
      5. Para cada API que necesite, pulse el nombre de API y, a continuación, habilite: SDK de administración.
      6. Si no puede encontrar la API, especifique el nombre de la API en el recuadro de búsqueda.
    • Delegar la autorización de todo el dominio a una cuenta de servicio.
    Un superadministrador del dominio de Google Workspace debe completar los pasos siguientes.
    1. Desde la consola de administración del dominio de su Google espacio de trabajo, vaya a Menú principal > Seguridad > Control de acceso y datos > Controles de API.
    2. En la página Delegación para todo el dominio , seleccione Gestionar delegación para todo el dominio.
    3. Pulse Añadir nuevo.
    4. En el campo ID de cliente , especifique el ID de cliente de la cuenta de servicio.
      Nota: Puede encontrar el ID de cliente de la cuenta de servicio en la página Cuentas de servicio .
    5. En el campo Ámbitos de OAuth , especifique la lista de ámbitos a los que se puede otorgar acceso a la aplicación. Especifique: https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly.
    6. Pulse Autorizar.
  8. Haga clic en Siguiente.
  9. En la página Propiedades del usuario (se abre en caso de selección de confianza Usuario y dispositivo) o Propiedades del dispositivo (se abre en caso de selección de confianza Dispositivo), asigna los atributos del administrador de dispositivos a los atributos IBM Verify.
    Correlacione al menos un atributo con un atributo IBM Verify y especifique cómo almacenar el atributo.
    Nota: Los nombres de atributo no distinguen entre mayúsculas y minúsculas y no se permiten atributos duplicados.
    1. Especifique el nombre del atributo en Google Workspace.
    2. Opcional: Seleccione una transformación del menú.
    3. Requerido: Seleccione el Verify atributo al que desea asignar el atributo.
    4. Seleccione cómo desea almacenar el atributo en el perfil del usuario.
  10. Opcional: Haga clic en Añadir atributos.
    Si selecciona utilizar una regla personalizada, puede añadir atributos personalizados de uno en uno y una regla. Escriba la regla para calcular el valor de atributo. Por ejemplo:
    idsuser.email[0].split('@')[0]
    Pulse Ejecutar prueba para asegurarse de que la regla funciona.
  11. Pulse Aceptar.
  12. Haga clic en Siguiente.
  13. Cree el perfil de certificado raíz.
    Siga las instrucciones proporcionadas.
    1. Descargue los siguientes archivos .zip de certificado raíz e intermedio que se proporcionan.
    2. En la Google consola de administración (en admin.google.com), vaya a Menú > Dispositivos > Redes > Certificados > .
    3. Extraiga el archivo trusted-certificates.zip que se ha descargado del tenet IBM Verify en los pasos anteriores.
    4. Nota: Para aplicar el valor a todo el mundo, deje seleccionada la unidad organizativa padre. De lo contrario, seleccione una unidad organizativa hijo.
      Pulse Añadir certificado. Nombre de certificado: < Proporcionar un nombre descriptivo >.
    5. Cargue el perfil de certificado raíz que ha descargado en el paso 1.
    6. En la sección de entidad emisora de certificados, seleccione el libro de comprobación habilitado para Chromebook.
    7. Pulse Añadir.
    8. Repita los pasos del 2 al 7 para el certificado intermedio.
  14. Seleccione Siguiente.
  15. En la página Perfil de certificado SCEP , especifique los detalles de la API de la aplicación.
    • Si ya tiene un perfil de certificado SCEP, seleccione Sólo valores y utilice los siguientes valores para crear el perfil de certificado SCEP.
      1. Nombre común.
      2. Nombre de empresa.
      3. Unidad orgánica.
      4. URL SCEP ChromeOS.
      5. Seleccione Siguiente.
    • Si está creando un perfil de certificado SCEP, seleccione Mostrar con pasos y siga las instrucciones.
      1. En la consola Google de administración (en admin.google.com), vaya a Menú > Dispositivos > Redes.
      2. Pulse la sección asociada con SCEP seguro.
      3. Pulse AÑADIR PERFIL SCEP SEGURO.
      4. Utilice los valores de configuración siguientes:
        Plataformas de dispositivo
        Chromebook (usuario)
        Nombre de perfil SCEP
        Un nombre descriptivo para el perfil. El nombre se muestra en la lista de perfiles.
        Formato del nombre del asunto
        Seleccione Nombre distinguido completo y proporcione los valores de configuración:
        Nombre alternativo del asunto
        El valor predeterminado es none. Para especificar el correo electrónico, seleccione Personalizado y pulse el botón Añadir atributo . Seleccione Tipo de nombre alternativo de asunto como RFC822 y proporcione un valor como ${USER_EMAIL}
        Algoritmo único
        SHA256withRSA
        Uso de clave
        Cifrado de clave, firma digital.
        Tamaño de clave (bits)
        2048
        Seguridad
        Seleccione Estricto o Relajado.
        Atributos de servidor SCEP
        URL del servidor SCEP
        Utilice el valor de URL SCEP proporcionado por su arrendatario Verify.
        Periodo de validez del certificado
        Especifique un periodo de validez adecuado o déjelo con el valor predeterminado.
        Renovar en días
        Especifique un periodo de validez adecuado o déjelo con el valor predeterminado.
        Tipo de desafío
        Seleccione el recuadro de selección Estático y proporcione una contraseña adecuada.
        Entidad emisora de certificados
        Seleccione el perfil de certificado intermedio creado en el paso anterior.
      5. Pulse Guardar.
  16. Seleccione Siguiente.
  17. Configurar Conector Google Cloud de certificados.
    Siga el paso 1 mencionado en el enlace: https://support.google.com/chrome/a/answer/11053129?hl=en
  18. Pruebe la configuración.
    Siga las instrucciones.
  19. Seleccione Completar configuración.
    1. Revise los valores.
    2. Seleccione Guardar cambios.