Adicionando um gerenciador de dispositivos do Workspace no Google

Editar online

Configure o Google Workspace® como seu gerenciador de dispositivos.

Antes de começar

Observação: os locatários globais mtlsidaas para gerenciadores de dispositivos estão agora obsoletos e serão removidos após março de 2024. Acesse a seção “Como obter um nome de host personalizado” para solicitar um domínio personalizado. Para obter mais informações, consulte Adicionar um gerenciador de dispositivos.
  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM Verify de administração como administrador.

Procedimento

  1. Selecione Autenticação > Gerenciadores de dispositivos.
  2. Selecione “Adicionar gerenciador de dispositivos ”.
  3. Selecione o Espaço de Trabalho do Google como o tipo de gerenciador de dispositivos que você deseja configurar.
  4. Selecione “Avançar ”.
  5. Na página Configurações gerais, forneça as seguintes informações.
    • Digite o nome do Gerenciador de Dispositivos no campo fornecido.
    • Selecione o provedor de identidade no menu.
    • Selecione o tipo de trust no menu. Para a seleção da confiança do dispositivo, os usuários precisam fazer login usando o mecanismo de autenticação de primeiro fator configurado. A confiança no dispositivo apenas confirma se a autenticação é feita a partir de um dispositivo gerenciado ou não.
      Observação: O recurso “Device trust” (CI-114829 ) pode ser ativado mediante solicitação. Para solicitar esse recurso, entre em contato com seu representante de vendas da IBM ou com o contato da IBM e indique seu interesse em ativar essa funcionalidade. Crie um ticket de suporte, caso tenha permissão para isso. IBM Verify Os usuários com assinaturas de teste não podem criar tickets de suporte.
    • Selecione se o fornecimento JIT (just-in-time) deve ser ativado para contas do usuário.
      Observação: O provisionamento Just-in-Time (JIT) para contas de usuário só é aplicável no caso da seleção de confiança do usuário e do dispositivo.
    • Selecione o período de validade do certificado do cliente. Por padrão, o período selecionado é de 3 anos.
    • Especifique o número máximo de certificados para cada dispositivo.
    • Especifique quantos minutos as informações do usuário e do dispositivo são mantidas.
  6. Selecione “Avançar ”.
  7. Na página de credenciais da API, insira os detalhes da API do seu aplicativo no Workspace d Google.
    • Se você já tiver o aplicativo, selecione Apenas formulário.
      1. Forneça o ID do aplicativo, o segredo e o nome do locatário.
      2. Selecione Unique user identifier a partir de uma lista predefinida de atributos ou selecione “Regra personalizada ” para especificar os mapeamentos de atributos. Se você optar por usar uma regra personalizada, poderá adicionar atributos personalizados e uma regra. Digite a regra para calcular o valor do atributo. Por exemplo,
        requestContext.email[0].split('@')[0]
        Observação: a seleção de regras personalizadas não se aplica à confiança do dispositivo. No entanto, você pode inserir o atributo adequado no campo fornecido.
      3. Selecione Credenciais de teste para verificar suas credenciais.
      4. Selecione “Avançar ”.
    • Se você estiver criando um aplicativo, selecione Mostrar com etapas e siga as instruções.
      1. Acesse https://support.google.com/a/answer/7378726 para criar uma conta de serviço.
        Observação: Siga as etapas 1, 2 e 4 na página “Criar uma conta de serviço ”.
      2. Ative as APIs para a conta de serviço.
      3. Marque a caixa ao lado do seu novo projeto.
      4. Clique em “APIs e serviços” e, em seguida, em “Biblioteca ”. Talvez seja necessário clicar primeiro em “Menu ”.
      5. Para cada API necessária, clique no nome da API e, em seguida, ative: Admin SDK.
      6. Se você não conseguir encontrar a API, digite o nome da API na caixa de pesquisa.
    • Delegar autoridade em todo o domínio a uma conta de serviço.
    Um superadministrador do domínio do Workspace do Google deve seguir as etapas a seguir.
    1. No Console de administração do seu domínio do Workspace do Google, acesse Menu principal > Segurança > Controle de acesso e dados > Controles de API.
    2. Na página “Delegação em todo o domínio”, selecione “Gerenciar delegação em todo o domínio ”.
    3. Clique em “Adicionar novo ”.
    4. No campo " ID do cliente ", insira o ID do cliente da conta de serviço.
      Observação: você pode encontrar o ID do cliente da sua conta de serviço na página Contas de serviço.
    5. No campo “ OAuth ” (Escopos de escopo), insira a lista de escopos aos quais sua aplicação pode ter acesso. Digite: https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly.
    6. Clique em Autorizar.
  8. Clique em Avançar.
  9. Na página Propriedades do usuário (aberta ao selecionar a confiança do usuário e do dispositivo) ou Propriedades do dispositivo (aberta ao selecionar a confiança do dispositivo), mapeie os atributos do gerenciador de dispositivos para IBM Verify os atributos.
    Mapeie pelo menos um atributo a um IBM Verify atributo e especifique como armazenar o atributo.
    Observação: os nomes dos atributos não diferenciam maiúsculas de minúsculas e não é permitido ter atributos duplicados.
    1. Especifique o nome do atributo no Workspace d Google.
    2. Opcional: Selecione uma transformação no menu.
    3. Obrigatório: Selecione o Verify atributo ao qual deseja mapear o atributo.
    4. Selecione como você deseja armazenar o atributo no perfil do usuário.
  10. Opcional: Clique em “Adicionar atributos ”.
    Se você optar por usar uma regra personalizada, poderá adicionar atributos personalizados, um de cada vez, a uma regra. Digite a regra para calcular o valor do atributo. Por exemplo,
    idsuser.email[0].split('@')[0]
    Clique em “Executar teste” para verificar se a regra funciona.
  11. Clique em OK.
  12. Clique em Avançar.
  13. Crie o perfil de certificado raiz.
    Siga as instruções fornecidas.
    1. Baixe os seguintes arquivos de certificados .zip raiz e intermediários que estão disponíveis.
    2. No console de administração do Google (em admin.google.com), acesse Menu > Dispositivos > Redes > Certificados > .
    3. Extraia o trusted-certificates.zip arquivo baixado do site IBM Verify nas etapas anteriores.
    4. Observação: para aplicar a configuração a todos, mantenha a unidade organizacional superior selecionada. Caso contrário, selecione uma unidade organizacional subordinada.
      Clique em “Adicionar certificado ”. Nome do certificado: <Insira um nome descritivo>.
    5. Carregue o perfil do certificado raiz que você baixou na Etapa 1.
    6. Na seção de autoridades de certificação, selecione “Checkbook habilitado para Chromebook”.
    7. Clique em Adicionar.
    8. Repita os passos 2 a 7 para o certificado intermediário.
  14. Selecione “Avançar ”.
  15. Na página do perfil do certificado SCEP, insira os detalhes da API do seu aplicativo.
    • Se você já possui um perfil de certificado SCEP, selecione “Apenas valores” e utilize os valores a seguir para criar o perfil de certificado SCEP.
      1. Nome comum.
      2. Nome da empresa.
      3. Unidade organizacional.
      4. ChromeOS SCEP URL.
      5. Selecione “Avançar ”.
    • Se você estiver criando um perfil de certificado do SCEP, selecione Mostrar com etapas e siga as instruções.
      1. No console de administração do Google (em admin.google.com), acesse Menu > Dispositivos > Redes.
      2. Clique na seção associada ao Secure SCEP.
      3. Clique em ADICIONAR PERFIL SCEP SEGURO.
      4. Use as seguintes definições de configuração:
        Plataformas de dispositivos
        Chromebook (usuário)
        Nome do perfil SCEP
        Um nome descritivo para o perfil. O nome aparece na lista de perfis.
        Formato do nome do assunto
        Selecione “Nome Totalmente Distinto” e forneça os valores de configuração:
        Nome alternativo do assunto
        O padrão é nenhum. Para definir o e-mail, selecione “Personalizado” e clique no botão “Adicionar atributo ”. Selecione o tipo de nome alternativo do assunto como “ RFC822 ” e insira o valor “ ${USER_EMAIL} ”
        Algoritmo único
        SHA256withRSA
        Uso da chave
        Codificação da chave, assinatura digital.
        Tamanho da chave (bits)
        2048
        Segurança
        Selecione “Rigoroso” ou “Flexível ”.
        Atributos do servidor SCEP
        URL do Servidor SCEP
        Use o valor do SCEP ( URL ) fornecido pelo seu Verify locatário.
        Período de validade do certificado
        Especifique um período de validade adequado ou mantenha o valor padrão.
        Renove em poucos dias
        Especifique um período de validade adequado ou mantenha o valor padrão.
        Tipo de desafio
        Marque a caixa de seleção “Estático” e digite uma senha adequada.
        Autoridade de certificação
        Selecione o perfil de certificado intermediário criado na etapa anterior.
      5. Clique em Save.
  16. Selecione “Avançar ”.
  17. Configurar o Conector de Certificados d Google Cloud.
    Siga o passo 1 mencionado no link: https://support.google.com/chrome/a/answer/11053129?hl=en
  18. Teste a configuração.
    Siga as instruções.
  19. Selecione “Concluir a configuração ”.
    1. Revise suas configurações.
    2. Selecione “Salvar alterações ”.