本記事は管理対象の Chrome OS デバイスに関する説明です。
これらの設定はすべての環境に適用されるわけではありません。関連する機能を使用したい場合にのみ設定してください。
共有管理対象ゲスト セッションのアプリケーション レベルでの FUS(共有デバイス)アプリケーション レベルでのユーザーの簡易切り替え(FUS)では、電子医療記録(EHR)がユーザーと関連付けられます。ここでは、EHR を介してアプリ内でユーザーが切り替わります。
要件
- ワークステーションが共有管理対象ゲスト セッションとして設定されている
- EHR でアプリ内のユーザーの切り替えをサポートしている
設定
EHR 仮想アプリが、管理対象ゲスト セッションの開始時に一般的なユーザー アカウントで自動起動するように設定されていることを確認してください。詳しくは、V-Launcher 導入ガイドをご覧ください。
ユーザーの簡易切り替えについては、Imprivata のドキュメントをお読みください。
以下の PC/SC リーダーを使用する場合は、Smart Card Connector アプリをインストールして設定する必要があります。
- IMP-MFR-75
- IMP-MFR-75A
- HID OMNIKEY 5022
- HID OMNIKEY 5023
- HID OMNIKEY 5025 CL
- HID OMNIKEY 5427 CK
- HID OMNIKEY 5422
始める前に
this templateを使用して JSON ファイルを作成し、force_allowed_client_app_ids の値に拡張機能の ID を記入します。
ステップ 1: ログイン画面にアプリをインストールする
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [ログイン設定] でログイン画面アプリのページへのリンクを選択します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- アプリと拡張機能のリストで [Smart Card Connector] を探します。
- [インストール ポリシー] で [インストール済み] を選択します。
- 右側のパネルの [拡張機能のポリシー] で、次の操作を行います。
- [アップロード] をクリックします。
- 作成した JSON ファイルを選択します。
- [開く] をクリックします。
- [保存] をクリックします。
ステップ 2: 管理対象ゲスト セッションにアプリをインストールする
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
- 追加アイコン
[Chrome アプリや拡張機能を ID で追加] をクリックします。
- Smart Card Connector アプリの ID(khpfeaanjngmcnplbdlpegiifgpfgdco)を入力します。
- [Chrome ウェブストアから追加] を選択します。
- [保存] をクリックします。
- アプリと拡張機能のリストで [Smart Card Connector] を探します。
- [インストール ポリシー] で [自動インストールする] を選択します。
- 右側のパネルの [拡張機能のポリシー] で、次の操作を行います。
- [アップロード] をクリックします。
- 作成した JSON ファイルを選択します。
- [開く] をクリックします。
- [保存] をクリックします。
[Chrome アプリや拡張機能を ID で追加] をクリックします。Imprivata ウェブ SSO では、ChromeOS デバイス内蔵の Chrome ブラウザで SAML ベースのウェブサービスへの認証をスムーズに行うことができます。
ChromeOS デバイス上の共有または個別管理対象ゲスト セッションに Imprivata ウェブ SSO を使用すると、ユーザーに SSO を使用したウェブサービスへのアクセスを提供できます。
注: ユーザー セッションでは、ウェブ SSO がデフォルトでサポートされます。そのため、ユーザー セッション用にウェブ SSO を設定する必要はありません。
管理対象ゲスト セッション用にウェブ SSO を設定する
ステップ 1: Google Workspace をサービス プロバイダ(SP)として設定する
Imprivata 管理コンソールでの操作:
- Imprivata 管理コンソールで、
- Imprivata の IdP メタデータのうち、Entity ID、SSO(ログインページの URL)、SLO(ログアウト ページの URL)をコピーします。
- Imprivata IdP 証明書をダウンロードします。
Google 管理コンソールでの操作:
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [SAML プロファイルを追加] をクリックします。
- プロファイルの名前を入力します。
- Imprivata 管理コンソールから取得した情報(IdP のエンティティ ID、ログインページの URL、ログアウト ページの URL)を入力します。
- パスワード変更用 URL を入力します。ユーザーは、Google のパスワード変更ページではなく、この URL にアクセスしてパスワードを再設定します。
- [証明書をアップロード] をクリックし、Imprivata IdP 証明書ファイルを選択してアップロードします。
- [保存] をクリックします。
- [SP の詳細] で、新しく作成した SAML SSO プロファイルの [エンティティ ID] と [ACS の URL] の値をコピーして保存します。
- [SSO プロファイルの割り当ての管理] で、新しく作成した SAML SSO プロファイルを、Imprivata ユーザー セッション用に作成した組織部門に割り当てます。
- 変更を保存します。
ステップ 2: Imprivata を ID プロバイダとして設定する
注: Imprivata は、XML メタデータを使用して SP 情報のみを受け付けます。Google Workspace でメタデータを XML 形式でダウンロードできない場合は、手動でビルドする必要があります。
- 先ほどコピーした [エンティティ ID] と [ACS の URL] の値を使用して、手動で XML メタデータをビルドします。See this sample XML metadata.
- Imprivata 管理コンソールで、[Applications]
- [Get SAML metadata] で次の操作を行います。
- [From XML] を選択します。
- ダウンロードまたは作成した XML ファイルをアップロードします。
- 変更を保存します。
- OneSign のシングル サインオン アプリケーション プロファイル ページにリダイレクトされ、新しく作成された SAML アプリ プロファイルが表示されます。[Deployment status] に [Not Deployed] と表示されます。
- [Not Deployed] をクリックします。
- [Deploy This Application?] チェックボックスをオンにします。
- アプリのデプロイ先のユーザーを選択します。
- [Save] をクリックします。
(省略可)ADFS リダイレクト
Imprivata ウェブ SSO が設定された医療用ワークステーションと、デフォルトの AD FS ログイン ワークフローを使用して認証を行う医療用以外のワークステーションが混在する企業環境では、Microsoft Active Directory フェデレーション サービスの Imprivata ウェブ SSO セットアップ手順に従って adfsLoginPagesAllowlist 拡張機能ポリシーを設定することにより、シームレスなアクセスを設定できます。
- Imprivata が提供する Microsoft Active Directory フェデレーション サービス: Imprivata ウェブ SSO セットアップのドキュメントをご覧ください。Imprivata パートナー ポータルへのアクセスが必要です。
- adfsLoginPagesAllowlist ポリシーを設定します。ステップ 3: Imprivata 拡張機能を設定するをご覧ください。
Imprivata SPINE サポートには、スマートカードへのセッション内アクセスが必要です。次の設定を行うと、Smart Card Connector アプリで Spine ワークフローがサポートされるようになります。
注: ユーザー認証にログイン画面でスマートカードを使用することはサポートされていません。認証にはバッジを使用することをおすすめします。
まず、Imprivata の管理コンソールで以下の操作を行います。
- [User policies settings] ページで 2 要素認証プロセスを設定します。
- Spine 結合ワークフロー セッションの永続性を設定します。
- Imprivata が提供する Imprivata ProveID Embedded の NHS Spine サポートのドキュメントをご覧ください。Imprivata パートナー ポータルへのアクセスが必要です。
次に、Google 管理コンソールで以下の操作を行います。
- Smart Card Connector アプリをインストールします。PC/SC 近接型カードリーダーの手順に沿って操作します。
- テキスト エディタを使用して、JSON ファイルで
scard_disconnect_fallback_client_app_idsの値に拡張機能の ID を記入します。
追加するサンプル コード:
{
"scard_disconnect_fallback_client_app_ids":{
"Value":[
"CITRIX_EXTENSION_ID",
"VMWARE_EXTENSION_ID"
]
}
}
安定性を高めるため、ChromeOS を特定のバージョンに固定して自動で更新されないようにすることができます。セキュリティを確保し、最新の機能および修正プログラムを利用できるようにするため、最新の ChromeOS バージョンを一部でテストして確認した後に、そのバージョンに固定することをおすすめします。
ChromeOS のアップデートを特定のバージョンに固定するをご確認ください。
安定性を高めるために、アプリと拡張機能(Citrix や VMware クライアント アプリなど)を特定のバージョンに固定して自動で更新されないようにすることができます。セキュリティを確保し、最新の機能および修正プログラムを利用できるようにするために、最新のバージョンを一部でテストして確認した後に、そのバージョンに固定することを引き続きおすすめしています。
拡張機能を特定のバージョンに固定する
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
- 固定するアプリまたは拡張機能を選択します。
- [バージョンの固定] で、固定するバージョンを選択します。
- [保存] をクリックします。
組織がまだバンドルされた ChromeOS Imprivata 拡張機能に切り替える準備ができていない場合は、代わりに Imprivata バージョン 4(in-session)拡張機能を使用できます。
- 必須のポリシーを設定するの説明に沿って、共有型管理対象ゲスト セッションのデフォルト設定を行います。
- (省略可)統合タイプを切り替えるの説明に沿って、分離された管理対象ゲスト セッションまたはユーザー セッションに切り替えます。
- 次の手順に従って、Imprivata バージョン 4(in-session)拡張機能の使用に切り替えます。
ステップ 1: Imprivata 拡張機能を設定する
Imprivata(sign-in screen)拡張機能
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [Imprivata] に移動します。
- [ログイン画面への Imprivata の統合] をクリックします。
- [Imprivata のログイン画面のバージョン] で、[バージョン 4 に固定] を選択します。
- [保存] をクリックします。
- (省略可)JSON ファイルで agentType を sharedKiOSk に設定した場合は、以下のように Imprivata の設定を行います。
- [共有キオスクモード] をクリックします。
- [共有キオスクモードを有効にする] を選択します。
- [保存] をクリックします。
- [共有されたアプリと拡張機能] をクリックします。
- ユーザーが消去したり再起動したりすることができないようにするアプリと拡張機能の拡張機能 ID を入力します。
- 重要: 拡張機能ポリシー ファイルに入力した Imprivata バージョン 4(in-session)拡張機能 ID(pllbepacblmgialkkpcceohmjakafnbb)と、Citrix や VMware などの拡張機能 ID を必ず追加してください。
- これらの拡張機能がユーザー間でクリーンアップされないようにするには、ここに VDI 拡張機能 ID を追加します。ユーザーがリソースを手動で起動できるようにする場合は、セッションがクリーンアップされないように VDI 拡張機能をリストに追加しないでください。
- [保存] をクリックします。
Imprivata(in-session)拡張機能
-
メニュー アイコン
[デバイス] > [Chrome] > [アプリと拡張機能] > [管理対象ゲスト セッション] に移動します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- Imprivata(in-session)拡張機能を追加します。
- 追加アイコン
「Chrome アプリや拡張機能を ID で追加」アイコン
をクリックします。
- Imprivata(in-session)拡張機能 ID「pllbepacblmgialkkpcceohmjakafnbb」を入力します。
- [カスタム URL] を選択します。
- スペースを入れずに次の URL を入力します。
https://storage.googleapis.com/chromeos-mgmt-public-extension/imprivata/v4/update_manifest.xml - [保存] をクリックします。
- 追加アイコン
- Imprivata(in-session)拡張機能を設定します。
- アプリと拡張機能のリストで、追加した Imprivata(in-session)拡張機能(pllbepacblmgialkkpcceohmjakafnbb)を見つけます。
- [インストール ポリシー] で [自動インストールする] を選択します。
- Imprivata(in-session)拡張機能(pllbepacblmgialkkpcceohmjakafnbb)をクリックします。オプション パネルが開きます。
- [証明書の管理] で、[鍵へのアクセスを許可する] の隣にあるアイコンをオン
にします。
- [保存] をクリックします。
注: Imprivata(in-session)拡張機能には、拡張機能ポリシー ファイルは不要です。
ステップ 2:(省略可)Citrix Workspace を設定する
必須ポリシーを設定するの説明に沿って Citrix Workspace をインストールして構成した場合は、次の手順に従います。
- メニュー アイコン
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- Citrix Workspace を設定します。
- アプリと拡張機能のリストで [Citrix Workspace] を見つけます。
- [インストール ポリシー] で [自動インストールする] を選択します。
- [Citrix Workspace] をクリックします。オプション パネルが開きます。
- [拡張機能のポリシー] で、有効な JSON 形式を使用して拡張機能ポリシーを編集またはアップロードします。こちらに JSON ファイルのサンプルを示します。このサンプルでは、Imprivata 拡張機能が Citrix Workspace アプリと通信できるようにします。
全画面モードなどの設定オプションについては、Citrix 製品のドキュメントをご覧ください。 - [保存] をクリックします。
ステップ 3:(省略可)ユーザー セッション設定を構成する
統合タイプがユーザーセッションの場合は、WebUSB API が許可されたデバイスを構成する必要があります。
-
-
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [ハードウェア] に移動します。
- [WebUSB API 対応デバイス] をクリックします。
- URL と PID / VID を入力します。
- URL: chrome-extension://pllbepacblmgialkkpcceohmjakafnbb
- VID:PID:
0C27:3BFA
0C27:3B1E
- [保存] をクリックします。
ステップ 4(省略可)Smart Card Connector アプリを設定する
組織で、Smart Card Connector アプリのインストールと設定を必要とする PC/SC リーダーを使用している場合は、以前に作成した JSON ファイルを編集する必要があります。PC/SC 近接型カードリーダーの設定をご覧ください。
ステップ a: JSON ファイルを作成する
このテンプレートを使用して JSON ファイルを作成し、force_allowed_client_app_ids の値に拡張機能の ID を記入します。
ステップ b: ログイン画面でアプリを設定する
-
- [ログイン設定] でログイン画面アプリのページへのリンクを選択します。
- すべてのデバイスに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- アプリと拡張機能のリストで [Smart Card Connector] を探し、クリックします。
- 右側のパネルの [拡張機能のポリシー] で、次の操作を行います。
- [アップロード] をクリックします。
- 作成した JSON ファイルを選択します。
- [開く] をクリックします。
- [保存] をクリックします。
ステップ c: 管理対象ゲスト セッション用にアプリを設定する
- メニュー アイコン
- アプリと拡張機能のリストで [Smart Card Connector]、[khpfeaanjngmcnplbdlpegiifgpfgdco] を探し、クリックします。
- 右側のパネルの [拡張機能のポリシー] で、次の操作を行います。
- [アップロード] をクリックします。
- 作成した JSON ファイルを選択します。
- [開く] をクリックします。
- [保存] をクリックします。
デフォルトでは、Imprivata の拡張機能は個人情報(PII)以外の指標を Google に報告し、エラー診断やパフォーマンスの分析を効率よく行えるようにします。指標には、ユーザーを特定できるデータは含まれません。ランダムに作成したデバイス固有の ID が使用されます。Google はデータを 14 か月間保持します。
ChromeOS への Imprivata の連携を分析、強化するために Google が収集する指標の例を以下に示します。
発生中のエラー
- 未処理の例外
- VDI の起動エラー
- ウェブ API リクエストのエラー(ネットワーク エラーや予期しない応答など)
- USB デバイスのエラー(バッジや指紋リーダーなど)
パフォーマンス
- OS セッションの起動、ロック解除、ロック、ログアウトにかかった時間
- ユーザーの切り替えにかかった時間
- VDI セッションの起動にかかった時間
- ウェブ API リクエストを Imprivata アプライアンスに送信するのにかかった時間
- 他のアプリ(Citrix、VMware、Smart Card Connector など)のインストールにかかった時間
- 認証で使用する主な操作(署名操作など)にかかった時間
使用パターン
- 特定のフロー(バッジの登録など)をトリガーして完了した頻度
- ログインに使用した方式(バッジ、認証情報、PIN など)の種類
- 開始したセッションの数
- Imprivata OneSign を実行したデバイスの数
- 特定の機能(ウェブ SSO など)を使用した頻度
- ロックおよびログアウト イベントの発生元(アイドル状態のイベントまたは入力)
- 仮想デスクトップまたはアプリが起動された回数(自動起動を含む)
- Citrix または VMware の仮想デスクトップまたは仮想クライアント アプリのどちらを使用したか
- OS セッションの継続時間
- VDI セッションの継続時間
メタデータ
- ChromeOS または ChromeOS Flex のバージョン
- 拡張機能のバージョン
- バッジリーダーのモデルおよびファームウェアのバージョン
- エージェントのタイプ
指標の報告を無効にする
デフォルトでは、指標の報告は有効になっています。無効にするには、Imprivata(ログイン画面)拡張機能でオプションの拡張機能ポリシー metricsCollectionEnabled を false にします。詳細については、ステップ 3: Imprivata 拡張機能を設定するをご覧ください。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。