Utilizar dispositivos equipados con ChromeOS con Imprivata OneSign

3. (Opcional) Cambiar tipo de integración

Siguiente: 4. (Opcional) Configurar funciones adicionales

Para los dispositivos ChromeOS gestionados.

ChromeOS ofrece tres tipos de integración diferentes para Imprivata:

Sesión de invitado gestionada compartida (predeterminada): estación de trabajo de kiosco compartido
Sesión de invitado gestionada aislada: estación de trabajo de un solo usuario
Sesión de usuario: estación de trabajo de un solo usuario

Comparar tipos de integración

	Sesión de invitado gestionada compartida	Sesión de invitado gestionada aislada	Sesión de usuario
Recomendada para	Dispositivos compartidos con cambios de usuario muy frecuentes	Dispositivos compartidos que requieren cambios de usuario habituales o que el aislamiento sea mayor	Dispositivos compartidos con cambios de usuario habituales o que necesiten servicios de Google Dispositivos asignados
Duración de cambio de sesión	Muy baja	Baja	Baja para usuarios anteriores del dispositivo
Compartir aplicaciones entre usuarios y compatibilidad con el cambio de usuarios internos de las aplicaciones	Sí	No	No
Asistencia para servicios de Google durante la sesión, como Sincronización de Chrome o el inicio de sesión único (SSO) en Workspace	No	No	Sí
Almacenamiento en el dispositivo	Efímera	Efímera	Efímero o permanente
Seguridad y aislamiento de usuarios	Alto (limpieza)	Muy alto (aislamiento completo)	Muy alto (aislamiento completo)
Tipo de Imprivata equiparable	Tipo 2: estación de trabajo de kiosco compartido	Tipo 1: estación de trabajo de un solo usuario	Tipo 1: estación de trabajo de un solo usuario
Tipo de sesión de Chrome OS	Sesión de invitado gestionada	Sesión de invitado gestionada	Sesión de usuario

Elegir el tipo de integración preferido

Sesión de invitado gestionada compartida

Te recomendamos que utilices sesiones de invitado gestionadas compartidas si va a haber cambios frecuentes de usuarios en dispositivos ChromeOS. Permiten acceder al instante a través de la función de cambio rápido de usuario (Fast User Switching, FUS) tanto a nivel de la estación de trabajo como de la aplicación.

Consulta la documentación de Imprivata sobre el cambio rápido de usuarios.
Mira este vídeo sobre Imprivata Agent Type 2 (kiosco compartido).

Los usuarios comparten una sesión en el dispositivo a nivel de SO. Con el cambio de usuario, la integración de Imprivata con ChromeOS limpia los datos de usuario más importantes. El proceso de limpieza incluye los siguientes pasos:

Cerrar las ventanas del navegador y borrar los datos del navegador, como las cookies, el historial, la configuración de sitios, etc.
Desinstalar y volver a instalar todas las aplicaciones y extensiones que no estén exentas del ajuste Aplicaciones y extensiones compartidas. Consulta el Paso 3: Configurar las extensiones de Imprivata.
Eliminar los archivos locales.
Borra el contenido del portapapeles para copiar y pegar.

Sesión de invitado gestionada aislada

Te recomendamos que utilices sesiones de invitado gestionadas aisladas si va a haber cambios de usuario menos frecuentes en dispositivos ChromeOS. En cada cambio, se cierra la sesión del usuario anterior a nivel de sistema operativo y se inicia una nueva sesión para el siguiente usuario.

Las sesiones de invitado gestionadas aisladas ayudan a mejorar la seguridad mediante el aislamiento de usuarios. Sin embargo, aumenta considerablemente los tiempos de inicio y cierre de sesión.

Echa un vistazo a este vídeo sobre Imprivata Agent Type 1 (usuario único).

Sesiones de usuario

Al igual que con las sesiones de invitado gestionadas aisladas, recomendamos crear sesiones de usuario cuando los cambios de usuario sean menos frecuentes e incluso cuando tengan dispositivos asignados.

Las sesiones de usuario permiten a los usuarios personalizar su experiencia; por ejemplo, configurando el monitor y el teclado. Permiten acceder a servicios como Sincronización de Chrome, los marcadores y el gestor de contraseñas. Las sesiones de usuario ofrecen el SSO instantáneo en todos los servicios que se basan en Cloud Identity, como Google Workspace.

Cambiar a sesiones de invitado gestionadas aisladas

Primero, configura los valores predeterminados para las sesiones de invitado gestionadas compartidas, tal como se describe en el artículo Definir políticas obligatorias. A continuación, sigue estos pasos para cambiar a sesiones de invitado gestionadas aisladas:

Paso 1: Cambiar la configuración de la extensión de Imprivata (login screen)

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Imprivata.
Haz clic en Imprivata login screen integration (Integración con "login screen" de Imprivata).
Con un editor de texto, en el archivo de políticas de la extensión, asigna el valor singleUser a agentType.
Sube el nuevo archivo de políticas de la extensión.
Haz clic en Guardar.

Paso 2: Impedir el modo de estación de trabajo compartida

En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Imprivata.
Haz clic en Shared kiosk mode (Modo Kiosco compartido).
Selecciona Disable shared kiosk mode (Inhabilitar el modo Kiosco compartido).
Haz clic en Guardar.

Paso 3: (Opcional) Dejar de compartir aplicaciones y extensiones entre usuarios

En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Imprivata.
Haz clic en Shared apps & extensions (Aplicaciones y extensiones compartidas).
Borra la lista de IDs de extensiones.
Haz clic en Guardar.

Cambiar a sesiones de usuario

Paso 1: Configura Google Workspace como proveedor de servicios

En la consola de administración de Imprivata:

En la consola de administración de Imprivata, ve a Web app login configuration (Configuración de inicio de sesión en aplicaciones web)View and copy Imprivata (IdP) SAML metadata (Ver y copiar metadatos de SAML de Imprivata [IdP]). Se abrirá una ventana con los metadatos de proveedor de identidades de Imprivata.
Copia los metadatos del proveedor de identidades de Imprivata: ID de entidad, SSO (URL de página de inicio de sesión) y SLO (URL de página de cierre de sesión).
Descarga el certificado del proveedor de identidades de Imprivata.

En la consola de administración de Google:

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú Seguridad Autenticación SSO con un proveedor de identidades de terceros.
Haz clic en Añadir perfil SAML.
Introduce un nombre para el perfil.
Rellena la información de Imprivata que ya has obtenido de la consola de administración de Imprivata: el ID de entidad del proveedor de identidades, la URL de la página de inicio de sesión y la URL de la página de cierre de sesión.
Introduce una URL para cambiar la contraseña. Los usuarios accederán a esta URL (en lugar de a la página de cambio de contraseña de Google) para cambiar sus contraseñas.
Haz clic en Subir certificado y, a continuación, busca y sube el archivo del certificado del proveedor de identidades de Imprivata.
Haz clic en Guardar.
En la sección Detalles del proveedor de servicios, copia y guarda el ID de entidad y la URL ACS del perfil de SSO de SAML que acabas de crear.
En Gestionar asignaciones de perfil de SSO, asigna el perfil de SSO de SAML que acabas de crear a la unidad organizativa que habías creado para las sesiones de usuario de Imprivata.
Guarda los cambios.

Paso 2: Configura Imprivata como proveedor de identidades

Nota: Imprivata solo acepta la información del proveedor de servicios a través de metadatos XML. Google Workspace no ofrece la posibilidad de descargar los metadatos en formato XML, por lo que tendrás que compilarlos manualmente.

Compila manualmente los metadatos XML utilizando el ID de entidad y la URL ACS que acabas de copiar. See this sample XML metadata.
En la consola de administración de Imprivata, ve a Applications (Aplicaciones)Single sign-on application profiles (Perfiles de aplicaciones de inicio de sesión único)Web Application using SAML (Aplicación web basada en SAML).
En Get SAML metadata (Obtener metadatos de SAML), haz lo siguiente:
1. Selecciona From XML (Desde XML).
2. Sube el archivo XML que has descargado o creado.
Guarda los cambios.
Se te redirigirá a la página de perfiles de aplicaciones de inicio de sesión único de OneSign, donde verás el perfil de aplicación SAML que acabas de crear. En Deployment status (Estado de implementación), debería aparecer como Not deployed (No implementada).
Haz clic en Not Deployed (No implementada).
Marca la casilla Deploy This Application? (¿Implementar esta aplicación?).
Elige para quién quieres implementar la aplicación.
Haz clic en Guardar.

Paso 3: Configura los ajustes

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
Para aplicar el ajuste a todos los usuarios y a los navegadores registrados, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
Ve a Imprivata.
Haz clic en Imprivata login screen integration (Integración con "login screen" de Imprivata).
En el archivo de políticas de la extensión, usa un editor de texto:
1. Asigna el valor singleUser a agentType.
  Nota: Las sesiones de usuario de ChromeOS no funcionan si se asigna el valor sharedKiosk a agentType.
2. Asigna el valor true a useSamlUserSessionsForSingleUserWorkstation.
3. Define el valor ssoProfile para el parámetro "rpid" del ID de entidad.
  - Por ejemplo, si el ID de entidad tiene un formato similar a https://accounts.google.com/webstorerp/metadata?rpid=ABCxyz123, el perfil ssoProfile será ABCxyz123.
Sube el nuevo archivo de políticas de la extensión.
Haz clic en Guardar.
En la consola de administración, ve a Menú Dispositivos Chrome Aplicaciones y extensionesUsuarios y navegadores.
Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú Navegador ChromeAplicaciones y extensionesUsuarios y navegadores.
Instala las extensiones (in-session) de Imprivata, Citrix/VMware y Smart Cards Connector (si hace falta para garantizar la compatibilidad con el lector de tarjetas Prox). Utiliza la misma configuración que en las sesiones de invitado gestionadas. Consulta el Paso 4: Configurar la solución de aplicaciones y escritorios virtuales
En la consola de administración, ve a Menú DispositivosChromeConfiguración. La página Configuración de usuarios y navegadores se abre de forma predeterminada.
Si te has registrado en Chrome Enterprise Core, ve a Menú Navegador ChromeConfiguración.
Ve a Hardware.
Haz clic en Dispositivos permitidos con la API WebUSB.
Introduce la URL y el PID o el VID:
- URL: chrome-extension://omificdfgpipkkpdhbjmefgfgbppehke
- VID:PID:
  - 0C27:3BFA
  - 0C27:3B1E
Haz clic en Guardar.
Ve a Batería y apagado.
Para activar el modo de inactividad con CA, selecciona No hacer nada.
Para activar la acción por inactividad con batería, selecciona No hacer nada.
Haz clic en Guardar.
En la consola de administración, ve a Menú Dispositivos Chrome Configuración Configuración de dispositivos.
(Opcional) Elimina todos los ajustes almacenados de forma local y los datos de usuario de los dispositivos ChromeOS cada vez que un usuario cierre sesión.
1. Ve a Configuración de inicio de sesión.
2. Haz clic en Datos de usuario.
3. Selecciona Borrar todos los datos de usuario locales.
4. Haz clic en Guardar.

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Los demás nombres de empresas y de productos son marcas de las empresas a las que están asociados.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?