Configure aplicativos SaaS para exigir aprovação antes que os usuários possam acessá-los. Use esse recurso quando tiver aplicativos SaaS que usam licenças para acesso para ajudar a gerenciar ativações de licença. Ao ativar aprovações, configure a Aprovação de licença necessária correspondente no registro do aplicativo de SaaS aplicável.

  • Fluxo de trabalho de aprovação – Os usuários visualizam o aplicativo em seu catálogo do Workspace ONE e solicitam o uso do aplicativo. O Workspace ONE Access envia a mensagem de solicitação de aprovação para o URL do endpoint REST de aprovação configurado pela organização. O sistema analisa a solicitação e envia de volta uma mensagem de aprovação ou recusa para o Workspace ONE Access. Quando um aplicativo é aprovado, o status do aplicativo muda de Pendente para Adicionado e o aplicativo é exibido na página do iniciador do Workspace ONE.
  • Mecanismos de aprovação – O sistema oferece dois mecanismos de aprovação.
    • API REST - O mecanismo de aprovação da API REST usa uma ferramenta de aprovação externa que roteia através da API REST do servidor Web para executar as respostas de solicitação e de aprovação. Você digita o URL da API REST no serviço Workspace ONE Access e configura as APIs REST com os valores de credencial de cliente OAuth do Workspace ONE Access, a solicitação de chamada e a ação de resposta.
    • API REST via Connector - A API REST através do mecanismo de aprovação do Connector roteia as chamadas de retorno de chamada através do conector usando o canal de comunicação baseado em Websocket. Você configura seu endpoint da API REST com a solicitação de texto explicativo e a ação de resposta.

Metadados SAML e certificados autoassinados ou certificados de autoridades de certificação

Você pode usar os certificados do SAML na página Configurações para sistemas de autenticação como o logon único móvel. O serviço Workspace ONE Access cria automaticamente um certificado autoassinado para assinatura SAML. No entanto, algumas organizações exigem certificados de autoridades de certificação (CAs). Para solicitar um certificado de uma CA, gere uma solicitação de assinatura de certificado (CSR) em Configurações. Você pode usar qualquer um dos dois certificados para autenticar usuários em aplicativos SaaS.

Envie o certificado para aplicativos confiáveis a fim de configurar a autenticação entre o aplicativo e o sistema do Workspace ONE.

Você pode adicionar provedores de identidade terceirizados para autenticar usuários no Workspace ONE Access. Para configurar a instância do provedor, use os metadados do provedor de identidade e do provedor de serviços copiados da seção Configurações no console da AirWatch. Para obter informações detalhadas sobre como configurar provedores terceirizados, consulte Configurar uma instância de provedor de identidade terceirizado para autenticar usuários, no Workspace ONE Access.

Você pode configurar a origem do aplicativo selecionando o provedor de identidade de terceiros correspondente. Após a configuração da origem do aplicativo, você pode criar os aplicativos associados.

Configurar aprovações para seus aplicativos SaaS

Use aprovações para aplicativos SaaS que ativem licenças para uso. Quando ativado com a opção Aprovação de licença necessária correspondente, os usuários solicitam acesso aos aplicativos SaaS aplicáveis do catálogo do Workspace ONE antes da instalação e ativação de licença.

  1. Vá para Recursos > Aplicativos > SaaS e selecione Configurações.
  2. Selecione Aprovações.
  3. Selecione Sim para ativar o recurso.
  4. Selecione um Mecanismo de aprovação que o sistema usa para solicitar aprovações.
  5. Insira o URI (Uniform Resource Identifier) do retorno de chamada do recurso REST que escuta a solicitação de texto explicativo.
  6. Insira o Nome de usuário, se a REST API exigir credenciais para acesso.
  7. Insira a Senha para o nome de usuário, se a REST API exigir credenciais para acesso.
  8. Insira o certificado SSL no formato PEM (correio eletrônico com privacidade reforçada) para a opção Certificado SSL de formato PEM, se o recurso REST for executado em um servidor que possui um certificado autoassinado ou um certificado não confiável por uma autoridade de certificação pública e usar HTTPS.

Configurar os metadados do SAML para o recurso de logon único

Recuperar metadados e certificados SAML da página Definições para recursos de conexão única com aplicativos SaaS.

Importante: todas as conexões de logon único que dependem dos metadados do SAML existentes serão interrompidas quando a geração do CSR criar os novos metadados do SAML.

Observação: Se você substituir um certificado SSL existente, os metadados do SAML existentes serão alterados. se você realmente substituir um certificado SSL, deverá atualizar os aplicativos SaaS configurados para logon único móvel com o certificado mais recente.

  1. Vá para Recursos > Aplicativos > SaaS e selecione Configurações.

  2. Selecione Metadados do SAML > Baixar metadados do SAML e conclua as tarefas.

    Configuração Descrição
    Metadados do SAML Copie e salve os metadados do provedor de identidade e os metadados do provedor de serviços.
    Selecione os links e abra uma instância de navegador com os dados XML.
    Configure o provedor de identidade de terceiros com essas informações.
    Certificado de assinatura Copie o certificado de assinatura que inclui todo o código na área de texto.
    Você também pode baixar o certificado para salvá-lo como um arquivo TXT.
  3. Selecione Gerar CSR e conclua as tarefas para solicitar um certificado de identidade digital (certificado SSL) da autoridade de certificação. Essa solicitação identifica a empresa, o nome de domínio e a chave pública. A autoridade de certificação externa usa a solicitação para emitir o certificado SSL. Para atualizar os metadados, carregue o certificado de assinatura.

    Configuração - Novo certificado Descrição
    Nome comum Digite o nome de domínio completo do servidor da organização.
    Organização Digite o nome legalmente registrado da empresa.
    Departamento Digite o departamento da empresa ao qual o certificado faz referência.
    Cidade Digite a cidade onde a organização está legalmente localizada.
    Estado Digite o estado ou província onde a organização reside legalmente.
    País Digite o país de residência legal da organização.
    Algoritmo de geração de chave Selecione um algoritmo a ser usado para assinar o CSR.
    Tamanho da chave Selecione o número de bits usados na chave. Selecione 2048 ou superior.
    Tamanhos de chave RSA inferiores a 2048 são considerados inseguros.
    Configuração - Substituir um certificado Descrição
    Carregar certificado SSL Carregue o certificado SSL recebido da autoridade de certificação externa.
    Solicitação de assinatura de certificado Baixa a solicitação de assinatura de certificado (CSR). Envie o CSR à autoridade de certificação externa.

Configurar origem do aplicativo para os provedores de identidade de terceiros

Adicionar um provedor de identidade como uma fonte de aplicativo agiliza o processo de adicionar aplicativos individuais desse provedor ao catálogo de usuário final, pois você pode aplicar configurações e políticas da fonte de aplicativos de terceiros a todos os aplicativos gerenciados pela origem do aplicativo.

Para começar, autorize o grupo ALL_USERS à origem do aplicativo e selecione uma política de acesso a ser aplicada.

Aplicativos web que usam o perfil de autenticação SAML 2.0 podem ser adicionados ao catálogo. A configuração do aplicativo baseia-se nas configurações definidas na origem do aplicativo. Somente o nome do aplicativo e a URL de destino devem ser configurados.

Ao adicionar aplicativos, você pode autorizar usuários e grupos específicos e aplicar uma política de acesso para controlar o acesso do usuário ao aplicativo. Os usuários podem acessar esses aplicativos em seus desktops e dispositivos móveis.

As configurações e políticas definidas da origem do aplicativo de terceiros podem ser aplicadas a todos os aplicativos gerenciados pela origem do aplicativo. Às vezes, os provedores de identidade de terceiros enviam uma solicitação de autenticação sem incluir qual aplicativo um usuário está tentando acessar. Se o Workspace ONE Access receber uma solicitação de autenticação que não inclua informações do aplicativo, as regras de política de acesso ao backup configuradas na fonte do aplicativo serão aplicadas.

Os provedores de identidade a seguir podem ser configurados como origens de aplicativo.

  • Okta
  • Servidor PingFederated de identidade Ping
  • Serviços de Federação do Active Directory (ADFS)

Configure a origem do aplicativo, selecionando o provedor de identidade de terceiros. Depois que a origem do aplicativo é configurada, você pode criar os aplicativos associados e autorizar os usuários.

  1. Vá para Recursos > Aplicativos > SaaS e selecione Configurações.

  2. Selecione Origens do aplicativo.

  3. Selecione o provedor de identidade de terceiros. O assistente de origem do aplicativo do provedor de identidade de terceiros é exibido.

  4. Insira um nome descritivo para a origem do aplicativo e clique em Avançar.

  5. Tipo de autenticação é padronizado como SAML 2.0 e é somente leitura.

  6. Modifique a Configuração de origem do aplicativo

    Definições de configuração – URL/XML

    Configuração Descrição
    Configuração URL/XML é a opção padrão para aplicativos SaaS que ainda não fazem parte do catálogo do Workspace ONE.
    URL/XML Digite o URL se for possível acessar os metadados XML na internet.
    Caso o XML não esteja disponível na internet mas você o tenha, cole-o na caixa de texto.
    Use a configuração manual se você não tiver os metadados XML.
    URL do estado da retransmissão Digite a URL da página inicial a ser exibida para os usuários do aplicativo SaaS após o procedimento de logon único para um cenário iniciado por um provedor de identidade (IDP).

    Definições de configuração – Manual

    Configuração Descrição
    Configuração Manual é a opção padrão para aplicativos SaaS adicionados do catálogo.
    URL de logon único Insira o URL do Assertion Consumer Service (ACS).
    O Workspace ONE envia esse URL ao provedor de serviços para logon único.
    URL do destinatário Digite o URL com o valor específico exigido pelo provedor de serviços que declara o domínio no assunto afirmação SAML.
    Se o provedor de serviços não exigir um valor específico para esse URL, digite o mesmo URL do URL de logon único.
    ID do aplicativo Digite a ID que identifica o locatário do provedor de serviços no Workspace ONE. O Workspace ONE envia a afirmação SAML para a ID.
    Alguns provedores de serviços usam o URL de logon único.
    Formato do nome de usuário Selecione o formato exigido pelos provedores de serviço para o formato assunto do SAML.
    Valor do nome de usuário Digite o valor da ID de nome que o Workspace ONE envia na declaração de assunto da afirmação SAML.
    Esse valor é um valor de campo de perfil padrão para um nome de usuário no provedor de serviços de aplicativos.
    URL do estado da retransmissão Digite a URL da página inicial a ser exibida para os usuários do aplicativo SaaS após o procedimento de logon único para um cenário iniciado por um provedor de identidade (IDP).
  7. Modifique as Propriedades avançadas.

    Configuração Descrição
    Assinar resposta Digite a URL para direcionar usuários ao aplicativo SaaS na internet.
    Assinar asserção Insira o URL do Assertion Consumer Service (ACS).
    O Workspace ONE envia esse URL ao provedor de serviços para logon único.
    Criptografar asserção Digite o URL com o valor específico exigido pelo provedor de serviços que declara o domínio no assunto afirmação SAML.
    Se o provedor de serviços não exigir um valor específico para esse URL, digite o mesmo URL do URL de logon único.
    Incluir assinatura da asserção Digite a ID que identifica o locatário do provedor de serviços no Workspace ONE. O Workspace ONE envia a afirmação SAML para a ID.
    Alguns provedores de serviços usam o URL de logon único.
    Algoritmo de assinatura Selecione SHA256 com RSA como o algoritmo de hash criptografado seguro.
    Algoritmo de resumo Selecione SHA256
    Hora da asserção Insira o tempo de asserção SAML em segundos.
    Solicitar assinatura Se você quiser que o provedor de serviços assine a solicitação enviada ao Workspace ONE, digite o certificado de assinatura público.
    Certificado de criptografia Insira o certificado de criptografia pública se desejar que a solicitação SAML do provedor de serviços de aplicativos para o Workspace ONE seja assinado.
    URL de login do aplicativo Digite a URL da página de login do provedor de serviços. Esta opção aciona o provedor de serviços para iniciar um login no Workspace ONE. Alguns provedores de serviços exigem autenticação para iniciar na página de login.
    Contagem de proxy Digite as camadas de proxy permitidas entre o provedor de serviços e um provedor de identidade que efetua a autenticação.
    Acesso a APIs Permita o acesso de API a este aplicativo.
  8. Configure Mapeamento de atributos personalizados. Se o provedor de serviços permitir atributos personalizados além dos utilizados para logon único, adicione-os.

  9. Selecione Abrir no VMware Browser se desejar abrir o aplicativo no VMware Browser. No entanto, ele exige que o Workspace ONE abra o aplicativo no VMware Browser. Se você usar o VMware Browser para abrir aplicativos SaaS, aumentará a segurança. Esta ação mantém o acesso dentro dos recursos internos.

  10. Selecione Próximo.

  11. Para garantir a assinatura de recursos de aplicativo, selecione as Políticas de acesso. Clique em Avançar para exibir a página Resumo.

  12. Clique em Salvar. Caso selecione Salvar e Atribuir ao configurar a origem do aplicativo, você definirá os direitos da origem do aplicativo como Todos os usuários. No entanto, você pode alterar as configurações padrão e gerenciar os direitos de usuário e adicionar usuários ou grupos de usuários.

  13. Depois que o provedor de identidade é configurado como uma origem de aplicativo, você pode criar os aplicativos associados para cada um dos provedores de identidade de terceiros. Depois de concluir as opções na guia Definição, você pode selecionar OKTA no menu suspenso Tipo de autenticação na guia Configuração.

  14. Você pode definir os direitos da origem do aplicativo como Todos os usuários ou adicionar Usuários/Grupos de usuários. Por padrão, caso selecione Salvar e atribuir ao configurar a origem do aplicativo, você definirá os direitos da origem do aplicativo como Todos os usuários.

check-circle-line exclamation-circle-line close-line
Scroll to top icon