Intégrer Okta à Chrome Enterprise

Pour sécuriser votre environnement Chrome Enterprise, configurez Chrome Device Trust et des profils Chrome gérés.

En configurant le Connecteur Chrome Device Trust, vous pouvez utiliser les signaux d'appareils provenant de ChromeOS ou du navigateur Chrome pour créer des politiques de connexion à l'app qui contrôlent accès aux ressources protégées.

Pour garantir un posture de sécurité élevé, vous pouvez sécuriser l'environnement de votre navigateur en configurant des profils Chrome gérés pour que les utilisateurs puissent se connecter au navigateur Chrome avec leurs identifiants Okta.

Sécurisez l'accès sur ChromeOS et le navigateur Chrome avec Chrome Device Trust

Avant de configurer Chrome Device Trust, assurez-vous que ces conditions sont remplies :

  • Okta Integration Network est activé pour votre locataire Okta
  • Vous utilisez Google Chrome Enterprise :
  • Vous avez configuré une intégration app pour Google Workspace dans votre org Okta afin que les utilisateurs se connectent à Google Workspace avec leurs informations d'identification Okta . Consultez Démarrer avec les intégrations d'app.
  • Vous avez configuré l'authentification unique (SSO) Okta dans la console administrateur de Google. Consultez Configurer la SSO pour votre organization.
  • Pour recevoir des signaux de ChromeOS, vous avez configuré l'inscription de la gestion des appareils dans la console administrateur Google.
  • Les appareils macOS disposent de Enclave sécurisée.
  • Chrome Device Trust ne prend pas en charge le mode de navigation privée.

Activer Chrome Device Trust dans la Okta Admin Console

  1. Dans la Okta Admin Console, accédez à SécuritéIntégrations d'appareils.
  2. Sélectionnez l'onglet Sécurité des points de terminaison, puis cliquez sur Ajouter une intégration de point de terminaison) .
  3. Sélectionnez Chrome Device Trust, puis choisissez les plateformes pour lesquelles vous souhaitez activer l'intégration.

  4. Cliquez sur Enregistrer.

  5. La page de l'intégration Chrome Device Trust contient les paramètres générés. Copiez les valeurs des champs Modèle d'URL de connexion et Compte de service sur la page de l'intégration. Ces valeurs sont propres à votre locataire et sont utilisées pour associer vos comptes Okta et Google Workspace.

Activer Chrome Device Trust dans la console Google Admin

  1. Connectez-vous à votre console d'administration Google.
  2. Accédez à AppareilsChromeConnecteurs et cliquez sur Configuration d'un nouveau fournisseur. Faites défiler la liste jusqu'à Okta dans la liste des fournisseurs et cliquez sur Configurer.
  3. Saisissez un nom de configuration, puis ajoutez les informations sur le modèle d'URL et le compte de service de l'intégration que vous avez créée dans l'Okta Admin Console à la configuration du fournisseur. Cliquez sur Ajouter une configuration.
  4. Appliquez la configuration du fournisseur à votre unité organisationnelle (OU). Pour garantir que la configuration est appliquée à l'unité org appropriée, vérifiez que la configuration du navigateur géré est mappée à la même unité org.

    Pour éviter les erreurs d'autorisation et de signal, assurez-vous que l'appareil ChromeOS et utilisateur se trouvent dans la même unité organisationnelle que celle de la configuration du fournisseur Okta. Pour plus d'informations, consultez Gérer les connecteurs Chrome Enterprise Device Trust.

Ajouter une politique de garantie des appareils pour ChromeOS

Pour configurer une politique pour ChromeOS, consultez Ajouter une politique de garantie des appareils.

Ajouter une politique de garantie des appareils pour un navigateur Chrome géré sous macOS ou Windows

Pour configurer une politique, consultez Ajouter une politique de garantie des appareils. Définissez les conditions pour macOS ou Windows, y compris celles offertes par l'intégration Chrome Device Trust .

Lorsque les utilisateurs finaux connexion à leurs appareils ChromeOS, ils effectuent la SSO pour toutes leurs applications Google Workspace directement à partir de la page de connexion. Cela signifie qu'une politique de garantie des appareils pour Google Workspace sur ChromeOS est uniquement évaluée lors de cette tentative de connexion initiale sur la page de connexion de ChromeOS. Pour éviter le verrouillage des appareils, Okta vous recommande d'affecter une politique de garantie des appareils de base pour Google Workspace sur ChromeOS. Vous pouvez ajouter des contrôles de sécurité pour les applications qui ne font pas partie de Google Workspace.

Ajouter l'assurance d'appareil à une politique de connexion à l'application

Pour effectuer cette tâche, consultez Ajouter l'assurance des appareils à une politique de connexion à une app.

Journaux systèmes

Pour vous assurer que les signaux Chrome Device Trust sont collectés, affichez les signaux dans le Journal système. Développez l'option Appareil sous la clé Intégrateur d'appareil . Recherchez les événements suivants :

  • factors user.session.start
  • user.authentication.verify
  • policy.evaluate_sign_on
  • utilisateur.authentification.auth_via_mfa Cet événement apparaît uniquement si votre politique de connexion à une app requiert une authentification multifacteur. Consultez la documentation API Politiques de garantie des appareils.

Sécuriser votre navigateur Chrome

Lorsque les utilisateurs connexion à des profils Google Chrome personnels sur des appareils gérés par l'entreprise, votre org est exposée à des risques de sécurité :

  • Fuite d'informations d'identification : les informations d'identification des applications d'entreprise peuvent être enregistrées dans le gestionnaire de mot de passe d'un compte Google personnel. Si le compte personnel est compromis, les informations d'identification de l'entreprise sont exposées.
  • Extensions non sécurisées : les extensions de navigateur qui ne sont pas approuvées par le service informatique de l'entreprise peuvent comporter des vulnérabilités pouvant être utilisées pour accès aux données protégées.
  • Non-respect des politiques : les profils personnels contournent les politiques et contrôles de sécurité (tels que le filtrage du contenu, les restrictions de téléchargement) appliqués sur un navigateur géré.

Pour atténuer ces risques, vous pouvez imposer une séparation entre les profils de navigateur professionnels et personnels à l'aide de profils Chrome gérés. En configurant cette fonctionnalité, vous créez un profil professionnel contrôlé par l'entreprise dans le navigateur Chrome sur les appareils gérés ou non.

Pour configurer cette fonctionnalité, consultez la documentation Google.

Rubriques liées

Assurance d'appareil

Messages de correction pour l'assurance des appareils