Ajout d'un gestionnaire de périphériques dans l'espace de travail d' Google

Configurez Google Workspace® comme gestionnaire de périphériques.

Avant de commencer

Remarque : les locataires globaux mtlsidaas pour les gestionnaires de périphériques sont désormais obsolètes et seront supprimés après mars 2024. Rendez-vous sur la page « Obtenir un nom d'hôte personnalisé » pour demander un domaine personnalisé. Pour plus d'informations, consultez la section « Ajouter un gestionnaire de périphériques ».
  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la IBM Verify console d'administration en tant qu'administrateur.

Procédure

  1. Sélectionnez « Authentification » > « Gestionnaires de périphériques ».
  2. Sélectionnez « Ajouter un gestionnaire de périphériques ».
  3. Sélectionnez « Espace de travail d' Google » comme type de gestionnaire de périphériques que vous souhaitez configurer.
  4. Cliquez sur Suivant.
  5. Sur la page « Paramètres généraux », saisissez les informations suivantes.
    • Saisissez le nom du gestionnaire de périphériques dans le champ prévu à cet effet.
    • Sélectionnez le fournisseur d'identité dans le menu.
    • Sélectionnez le type de fiducie dans le menu. Pour sélectionner la confiance d'un appareil, les utilisateurs doivent se connecter à l'aide du mécanisme d'authentification à un facteur qu'ils ont configuré. La confiance dans l'appareil permet uniquement de vérifier si l'authentification est effectuée à partir d'un appareil géré ou non.
      Remarque : la fonctionnalité « Device trust » (CI-114829 ) peut être activée sur demande. Pour demander cette fonctionnalité, veuillez contacter votre représentant commercial IBM ou votre interlocuteur IBM et lui faire part de votre souhait d'activer cette fonctionnalité. Créez un ticket d'assistance si vous en avez l'autorisation. IBM Verify Les abonnements d'essai ne permettent pas de créer des tickets d'assistance.
    • Indiquez si vous souhaitez activer l'application des accès JIT pour les comptes utilisateur.
      Remarque : la création de comptes utilisateurs « juste à temps » (JIT) ne s'applique qu'en cas de sélection de la confiance de l'utilisateur et de l'appareil.
    • Sélectionnez la durée de validité du certificat client. Par défaut, la période sélectionnée est de 3 ans.
    • Spécifiez le nombre maximal de certificats de chaque périphérique.
    • Spécifiez le nombre de minutes pendant lesquelles les informations sur l'utilisateur et le périphérique sont conservées.
  6. Cliquez sur Suivant.
  7. Sur la page des identifiants API, saisissez les informations API de votre application dans l'espace de travail d' Google.
    • Si vous disposez déjà de l'application, sélectionnez Formulaire uniquement.
      1. Spécifiez l'ID d'application, le secret et le nom du titulaire.
      2. Sélectionnez Unique user identifier un élément dans une liste d'attributs prédéfinis, ou sélectionnez « Règle personnalisée » pour définir les correspondances d'attributs. Si vous choisissez d'utiliser une règle personnalisée, vous pouvez ajouter des attributs personnalisés et une règle. Saisissez la règle permettant de calculer la valeur de l'attribut. Par exemple :
        requestContext.email[0].split('@')[0]
        Remarque : la sélection de règles personnalisées ne s'applique pas à la confiance des appareils. Vous pouvez toutefois saisir l'attribut correspondant dans le champ prévu à cet effet.
      3. Sélectionnez Test credentials pour vérifier vos données d'identification.
      4. Cliquez sur Suivant.
    • Si vous créez une application, sélectionnez Afficher avec les étapes et suivez les instructions.
      1. Rendez-vous sur https://support.google.com/a/answer/7378726 pour créer un compte de service.
        Remarque : suivez les étapes 1, 2 et 4 de la page « Créer un compte de service ».
      2. Activez les API pour le compte de service.
      3. Cochez la case située à côté de votre nouveau projet.
      4. Cliquez sur « API et services », puis sur « Bibliothèque ». Il se peut que vous deviez d'abord cliquer sur « Menu ».
      5. Pour chaque API dont vous avez besoin, cliquez sur le nom de l'API, puis activez : Admin SDK.
      6. Si vous ne trouvez pas l'API, saisissez son nom dans le champ de recherche.
    • Déléguer des droits à l'échelle du domaine à un compte de service.
    Un super-administrateur du domaine « Google Workspace » doit suivre les étapes suivantes.
    1. Depuis la console d'administration de votre domaine Google Workspace, accédez à Menu principal > Sécurité > Contrôle des accès et des données > Contrôles API.
    2. Sur la page « Délégation à l'échelle du domaine », sélectionnez « Gérer la délégation à l'échelle du domaine ».
    3. Cliquez sur « Ajouter un nouvel élément ».
    4. Dans le champ « ID client », saisissez l'ID client du compte de service.
      Remarque : vous pouvez trouver l'identifiant client de votre compte de service sur la page Comptes de service.
    5. Dans le champ « OAuth : scopes », saisissez la liste des domaines d'application auxquels votre application peut avoir accès. Entrez : https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly.
    6. Cliquez sur « Autoriser ».
  8. Cliquez sur Suivant.
  9. Dans la page Propriétés de l'utilisateur (qui s'ouvre lorsque vous sélectionnez la confiance de l'utilisateur et du périphérique) ou Propriétés du périphérique (qui s'ouvre lorsque vous sélectionnez la confiance du périphérique), mappez les attributs du gestionnaire de périphériques aux IBM Verify attributs.
    Associez au moins un attribut à un autre IBM Verify attribut et précisez comment stocker cet attribut.
    Remarque : la casse des noms d'attributs n'a pas d'importance et les attributs en double ne sont pas autorisés.
    1. Indiquez le nom de l'attribut dans l'espace de travail d' Google.
    2. Facultatif : sélectionnez une transformation dans le menu.
    3. Obligatoire : sélectionnez l'attribut Verify auquel vous souhaitez associer cet attribut.
    4. Sélectionnez les modes de stockage de l'attribut dans le profil de l'utilisateur.
  10. Facultatif : cliquez sur « Ajouter des attributs ».
    Si vous choisissez d'utiliser une règle personnalisée, vous pouvez ajouter des attributs personnalisés un par un à cette règle. Saisissez la règle permettant de calculer la valeur de l'attribut. Par exemple :
    idsuser.email[0].split('@')[0]
    Cliquez sur « Exécuter le test » pour vérifier que la règle fonctionne.
  11. Cliquez sur OK.
  12. Cliquez sur Suivant.
  13. Créez le profil de certificat racine.
    Suivez les instructions fournies.
    1. Téléchargez les fichiers de certificats .zip racine et intermédiaires fournis ci-dessous.
    2. Dans votre console d'administration d' Google (à l'adresse admin.google.com), accédez à Menu > Appareils > Réseaux > Certificats > .
    3. Décompressez le trusted-certificates.zip fichier téléchargé à partir du IBM Verify lien indiqué dans les étapes précédentes.
    4. Remarque : pour que ce paramètre s'applique à tous les utilisateurs, laissez l'unité organisationnelle parente sélectionnée. Sinon, sélectionnez une unité organisationnelle subordonnée.
      Cliquez sur « Ajouter un certificat ». Nom du certificat : <Indiquez un nom descriptif>.
    5. Téléchargez le profil de certificat racine que vous avez téléchargé à l'étape 1.
    6. Dans la section « Autorité de certification », sélectionnez « Carte de contrôle activée » pour Chromebook.
    7. Cliquez sur « Ajouter ».
    8. Répétez les étapes 2 à 7 pour le certificat intermédiaire.
  14. Cliquez sur Suivant.
  15. Sur la page du profil de certificat SCEP, saisissez les informations API de votre application.
    • Si vous disposez déjà d'un profil de certificat SCEP, sélectionnez « Valeurs uniquement » et utilisez les valeurs suivantes pour créer le profil de certificat SCEP.
      1. Nom commun.
      2. Nom de l'entreprise.
      3. Unité organisationnelle.
      4. ChromeOS SCEP URL.
      5. Cliquez sur Suivant.
    • Si vous créez un profil de certificat SCEP, sélectionnez Afficher avec les étapes et suivez les instructions.
      1. Dans votre console d'administration d' Google (à l'adresse admin.google.com), accédez à Menu > Appareils > Réseaux.
      2. Cliquez sur la section associée à Secure SCEP.
      3. Cliquez sur « Ajouter un profil SCEP sécurisé ».
      4. Utilisez les paramètres de configuration suivants :
        Plates-formes matérielles
        Chromebook (utilisateur)
        Nom du profil SCEP
        Un nom descriptif pour le profil. Le nom apparaît dans la liste des profils.
        Format du nom de sujet
        Sélectionnez « Nom complet » et indiquez les valeurs de configuration :
        Autre nom du sujet
        La valeur par défaut est « none ». Pour définir l'adresse e-mail, sélectionnez « Personnalisé », puis cliquez sur le bouton « Ajouter un attribut ». Sélectionnez le type de nom alternatif « RFC822 » pour le sujet et indiquez la valeur « ${USER_EMAIL} »
        Algorithme unique
        SHA256withRSA
        Utilisation de la clé
        Chiffrement de la clé, signature numérique.
        Taille de la clé (bits)
        2048
        Sécurité
        Sélectionnez « Strict » ou « Souple ».
        Attributs du serveur SCEP
        URL du serveur SCEP
        Utilisez la valeur SCEP ( URL ) fournie par votre Verify tenant.
        Période de validité du certificat
        Indiquez une durée de validité appropriée ou conservez la valeur par défaut.
        Renouveler en quelques jours
        Indiquez une durée de validité appropriée ou conservez la valeur par défaut.
        Type de demande d'authentification
        Cochez la case « Statique » et saisissez un mot de passe approprié.
        Autorité de certification
        Sélectionnez le profil de certificat intermédiaire créé à l'étape précédente.
      5. Cliquez sur Sauvegarder.
  16. Cliquez sur Suivant.
  17. Configurer le connecteur de certificats d' Google Cloud.
    Suivez l'étape 1 indiquée dans le lien suivant : https://support.google.com/chrome/a/answer/11053129?hl=en
  18. Testez la configuration.
    Suivez les instructions.
  19. Sélectionnez « Terminer l'installation ».
    1. Passez en revue vos paramètres.
    2. Cliquez sur « Enregistrer les modifications ».