Para los dispositivos ChromeOS gestionados.
ChromeOS ofrece tres tipos de integración diferentes para Imprivata:
- Sesión de invitado gestionada compartida (predeterminada): estación de trabajo de kiosco compartido
- Sesión de invitado gestionada aislada: estación de trabajo de un solo usuario
- Sesión de usuario: estación de trabajo de un solo usuario
Comparar tipos de integración
Sesión de invitado gestionada compartida | Sesión de invitado gestionada aislada | Sesión de usuario | |
---|---|---|---|
Recomendada para |
Dispositivos compartidos con cambios de usuario muy frecuentes |
Dispositivos compartidos que requieren cambios de usuario habituales o que el aislamiento sea mayor |
Dispositivos compartidos con cambios de usuario habituales o que necesiten servicios de Google Dispositivos asignados |
Duración de cambio de sesión | Muy baja | Baja | Baja para usuarios anteriores del dispositivo |
Compartir aplicaciones entre usuarios y compatibilidad con el cambio de usuarios internos de las aplicaciones | Sí | No | No |
Asistencia para servicios de Google durante la sesión, como Sincronización de Chrome o el inicio de sesión único (SSO) en Workspace | No | No | Sí |
Almacenamiento en el dispositivo |
Efímera | Efímera | Efímero o permanente |
Seguridad y aislamiento de usuarios |
Alto (limpieza) | Muy alto (aislamiento completo) | Muy alto (aislamiento completo) |
Tipo de Imprivata equiparable |
Tipo 2: estación de trabajo de kiosco compartido | Tipo 1: estación de trabajo de un solo usuario | Tipo 1: estación de trabajo de un solo usuario |
Tipo de sesión de Chrome OS |
Sesión de invitado gestionada |
Sesión de invitado gestionada |
Sesión de usuario |
Elegir el tipo de integración preferido
Sesión de invitado gestionada compartida
Te recomendamos que utilices sesiones de invitado gestionadas compartidas si va a haber cambios frecuentes de usuarios en dispositivos ChromeOS. Permiten acceder al instante a través de la función de cambio rápido de usuario (Fast User Switching, FUS) tanto a nivel de la estación de trabajo como de la aplicación.
- Consulta la documentación de Imprivata sobre el cambio rápido de usuarios.
- Mira este vídeo sobre Imprivata Agent Type 2 (kiosco compartido).
Los usuarios comparten una sesión en el dispositivo a nivel de SO. Con el cambio de usuario, la integración de Imprivata con ChromeOS limpia los datos de usuario más importantes. El proceso de limpieza incluye los siguientes pasos:
- Cerrar las ventanas del navegador y borrar los datos del navegador, como las cookies, el historial, la configuración de sitios, etc.
- Desinstalar y volver a instalar todas las aplicaciones y extensiones que no estén exentas del ajuste Aplicaciones y extensiones compartidas. Consulta el Paso 3: Configurar las extensiones de Imprivata.
- Eliminar los archivos locales.
- Borra el contenido del portapapeles para copiar y pegar.
Sesión de invitado gestionada aislada
Te recomendamos que utilices sesiones de invitado gestionadas aisladas si va a haber cambios de usuario menos frecuentes en dispositivos ChromeOS. En cada cambio, se cierra la sesión del usuario anterior a nivel de sistema operativo y se inicia una nueva sesión para el siguiente usuario.
Las sesiones de invitado gestionadas aisladas ayudan a mejorar la seguridad mediante el aislamiento de usuarios. Sin embargo, aumenta considerablemente los tiempos de inicio y cierre de sesión.
- Echa un vistazo a este vídeo sobre Imprivata Agent Type 1 (usuario único).
Sesiones de usuario
Al igual que con las sesiones de invitado gestionadas aisladas, recomendamos crear sesiones de usuario cuando los cambios de usuario sean menos frecuentes e incluso cuando tengan dispositivos asignados.
Las sesiones de usuario permiten a los usuarios personalizar su experiencia; por ejemplo, configurando el monitor y el teclado. Permiten acceder a servicios como Sincronización de Chrome, los marcadores y el gestor de contraseñas. Las sesiones de usuario ofrecen el SSO instantáneo en todos los servicios que se basan en Cloud Identity, como Google Workspace.
Cambiar a sesiones de invitado gestionadas aisladas
Primero, configura los valores predeterminados para las sesiones de invitado gestionadas compartidas, tal como se describe en el artículo Definir políticas obligatorias. A continuación, sigue estos pasos para cambiar a sesiones de invitado gestionadas aisladas:
Paso 1: Cambiar la configuración de la extensión de Imprivata (login screen)
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
-
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
- Ve a Imprivata.
- Haz clic en Imprivata login screen integration (Integración con "login screen" de Imprivata).
- Con un editor de texto, en el archivo de políticas de la extensión, asigna el valor
singleUser
a agentType. - Sube el nuevo archivo de políticas de la extensión.
- Haz clic en Guardar.
Paso 2: Impedir el modo de estación de trabajo compartida
-
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
-
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
- Ve a Imprivata.
- Haz clic en Shared kiosk mode (Modo Kiosco compartido).
-
Selecciona Disable shared kiosk mode (Inhabilitar el modo Kiosco compartido).
-
Haz clic en Guardar.
Paso 3: (Opcional) Dejar de compartir aplicaciones y extensiones entre usuarios
-
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
-
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
- Ve a Imprivata.
- Haz clic en Shared apps & extensions (Aplicaciones y extensiones compartidas).
-
Borra la lista de IDs de extensiones.
-
Haz clic en Guardar.
Cambiar a sesiones de usuario
Primero, configura los valores predeterminados para las sesiones de invitado gestionadas compartidas, tal como se describe en el artículo Definir políticas obligatorias. A continuación, sigue estos pasos para cambiar a las sesiones de usuario:
Paso 1: Configura Google Workspace como proveedor de servicios
En la consola de administración de Imprivata:
- En la consola de administración de Imprivata, ve a Web app login configuration (Configuración de inicio de sesión en aplicaciones web)View and copy Imprivata (IdP) SAML metadata (Ver y copiar metadatos de SAML de Imprivata [IdP]). Se abrirá una ventana con los metadatos de proveedor de identidades de Imprivata.
- Copia los metadatos del proveedor de identidades de Imprivata: ID de entidad, SSO (URL de página de inicio de sesión) y SLO (URL de página de cierre de sesión).
- Descarga el certificado del proveedor de identidades de Imprivata.
En la consola de administración de Google:
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú Seguridad Autenticación SSO con un proveedor de identidades de terceros.
- Haz clic en Añadir perfil SAML.
- Introduce un nombre para el perfil.
- Rellena la información de Imprivata que ya has obtenido de la consola de administración de Imprivata: el ID de entidad del proveedor de identidades, la URL de la página de inicio de sesión y la URL de la página de cierre de sesión.
- Introduce una URL para cambiar la contraseña. Los usuarios accederán a esta URL (en lugar de a la página de cambio de contraseña de Google) para cambiar sus contraseñas.
- Haz clic en Subir certificado y, a continuación, busca y sube el archivo del certificado del proveedor de identidades de Imprivata.
- Haz clic en Guardar.
- En la sección Detalles del proveedor de servicios, copia y guarda el ID de entidad y la URL ACS del perfil de SSO de SAML que acabas de crear.
- En Gestionar asignaciones de perfil de SSO, asigna el perfil de SSO de SAML que acabas de crear a la unidad organizativa que habías creado para las sesiones de usuario de Imprivata.
- Guarda los cambios.
Paso 2: Configura Imprivata como proveedor de identidades
Nota: Imprivata solo acepta la información del proveedor de servicios a través de metadatos XML. Google Workspace no ofrece la posibilidad de descargar los metadatos en formato XML, por lo que tendrás que compilarlos manualmente.
- Compila manualmente los metadatos XML utilizando el ID de entidad y la URL ACS que acabas de copiar. See this sample XML metadata.
- En la consola de administración de Imprivata, ve a Applications (Aplicaciones)Single sign-on application profiles (Perfiles de aplicaciones de inicio de sesión único)Web Application using SAML (Aplicación web basada en SAML).
- En Get SAML metadata (Obtener metadatos de SAML), haz lo siguiente:
- Selecciona From XML (Desde XML).
- Sube el archivo XML que has descargado o creado.
- Guarda los cambios.
- Se te redirigirá a la página de perfiles de aplicaciones de inicio de sesión único de OneSign, donde verás el perfil de aplicación SAML que acabas de crear. En Deployment status (Estado de implementación), debería aparecer como Not deployed (No implementada).
- Haz clic en Not Deployed (No implementada).
- Marca la casilla Deploy This Application? (¿Implementar esta aplicación?).
- Elige para quién quieres implementar la aplicación.
- Haz clic en Guardar.
Paso 3: Configura los ajustes
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
- Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
- Ve a Imprivata.
- Haz clic en Imprivata login screen integration (Integración con "login screen" de Imprivata).
- En el archivo de políticas de la extensión, usa un editor de texto:
- Asigna el valor
singleUser
a agentType.
Nota: Las sesiones de usuario de ChromeOS no funcionan si se asigna el valorsharedKiosk
a agentType. - Asigna el valor
true
a useSamlUserSessionsForSingleUserWorkstation. - Define el valor ssoProfile para el parámetro "rpid" del ID de entidad.
- Por ejemplo, si el ID de entidad tiene un formato similar a https://accounts.google.com/webstorerp/metadata?rpid=ABCxyz123, el perfil ssoProfile será ABCxyz123.
- Asigna el valor
- Sube el nuevo archivo de políticas de la extensión.
- Haz clic en Guardar.
-
En la consola de administración, ve a Menú Dispositivos Chrome Aplicaciones y extensionesUsuarios y navegadores.
Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú Navegador ChromeAplicaciones y extensionesUsuarios y navegadores.
- Instala las extensiones (in-session) de Imprivata, Citrix/VMware y Smart Cards Connector (si hace falta para garantizar la compatibilidad con el lector de tarjetas Prox). Utiliza la misma configuración que en las sesiones de invitado gestionadas. Consulta el Paso 4: Configurar la solución de aplicaciones y escritorios virtuales
-
En la consola de administración, ve a Menú DispositivosChromeConfiguración. La página Configuración de usuarios y navegadores se abre de forma predeterminada.
Si te has registrado en Chrome Enterprise Core, ve a Menú Navegador ChromeConfiguración.
- Ve a Hardware.
- Haz clic en Dispositivos permitidos con la API WebUSB.
- Introduce la URL y el PID o el VID:
- URL: chrome-extension://omificdfgpipkkpdhbjmefgfgbppehke
- VID:PID:
- 0C27:3BFA
- 0C27:3B1E
- Haz clic en Guardar.
- Ve a Batería y apagado.
- Para activar el modo de inactividad con CA, selecciona No hacer nada.
- Para activar la acción por inactividad con batería, selecciona No hacer nada.
- Haz clic en Guardar.
-
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
- (Opcional) Elimina todos los ajustes almacenados de forma local y los datos de usuario de los dispositivos ChromeOS cada vez que un usuario cierre sesión.
- Ve a Configuración de inicio de sesión.
- Haz clic en Datos de usuario.
- Selecciona Borrar todos los datos de usuario locales.
- Haz clic en Guardar.
Google y las marcas y los logotipos relacionados son marcas de Google LLC. Los demás nombres de empresas y de productos son marcas de las empresas a las que están asociados.