必备条件

以下是 Cloud Web Security Web 代理配置的必备条件。

SSL 证书

在用户首次连接到 Web 代理时，用户将打开其浏览器并导航到一个网站，例如 HTTPS 站点。Web 代理对该流量进行 SSL 拦截，并将重定向返回到身份验证服务。因此，建议在端点上安装 VMware 根证书，而不是指示用户接受安全警告。

要检索根证书并将其安装在主机上，请执行以下步骤：

打开 Web 浏览器并导航到 VMware Cloud Orchestrator。
从顶部导航栏中，转到企业应用程序 (Enterprise Applications) > Cloud Web Security。
单击配置 (Configure) 选项卡，然后在企业设置 (Enterprise Settings) 下面选择 SSL 证书 (SSL Certificate)。将显示 SSL 证书设置 (SSL Certificate Settings) 屏幕。
单击下载证书 (Download Certificate)，并将该文件保存到主机中。
（可选）使用实用程序（例如 OpenSSL）确认在传输过程中未篡改下载的根证书。这是通过计算证书指纹并与 Orchestrator 中显示的内容进行比较来完成的。对于测试，该步骤可能是可选的，但在生产环境中不应跳过该步骤。
以下是用于计算证书指纹的 OpenSSL 命令：
```
$openssl x509 -noout -fingerprint -sha1 -inform pem -in certificate.cer 
$openssl x509 -noout -fingerprint -sha256 -inform pem -in certificate.cer
```
图 1. 终端中的 OpenSSL 命令

图 2. SSL 证书 SHA1、SHA256 指纹

在主机上安装

以下外部链接提供了有关如何在通用端点设备上安装专用根证书的说明：

或者，可以在浏览器级别安装根证书。这对于测试非常有用，但建议不要用于生产用途。以下外部链接提供了有关如何在常用 Web 浏览器上安装专用根证书的说明：

需要使用 SAML 提供程序以在 Cloud Web Security 代理服务中验证用户身份。该要求确保仅经过身份验证的用户连接到 Cloud Web Security，并提供使用 Web 代理的用户的活动运行状况。

以下示例基于将 Okta 作为 Cloud Web Security 的身份提供程序 (IdP)。以下屏幕截图突出显示在 Okta 中为 Cloud Web Security 创建自定义应用程序后用于激活集成的三条关键信息。

要集成 IdP 并在 CWS 中配置 IdP 信息，请执行以下步骤：

导航到 Cloud Web Security > 配置 (Configure) > 企业设置 (Enterprise Settings) > 身份提供程序 (Identity Provider)。将显示以下屏幕。

打开单点登录 (Single Sign On) 切换按钮并输入以下详细信息：


字段	描述
SAML 服务器 Internet 是否可访问 (SAML Server Internet Accessible)	选择“是”(Yes) 以访问 SAML 服务器 Internet。
SAML 提供程序 (SAML Provider)	从列表中选择 Okta。
SAML 2.0 端点 (SAML 2.0 Endpoint)	从 IdP 中复制并粘贴位置 (Location) 信息。
服务标识符 (颁发者) (Service Identifier (Issuer))	从 IdP 中复制并粘贴 EntityID 信息。
域 (Domain)	输入公司的域（例如，vmware.com）。注：用户将使用其电子邮件地址在该服务中进行身份验证。用户的电子邮件域必须与此处配置的内容相匹配。
启用 SAML 详细调试 (Enable SAML Verbose Debugging)	根据您是否要激活 SAML 详细调试，选择“是”(Yes) 或“否”(No)。默认情况下，将停用 SAML 调试，除非对 SAML 登录问题进行故障排除。

在设置上述属性后，确保单击保存更改 (Save Changes) 按钮以保存更改。
单击编辑证书 (Edit Certificate) 按钮以在 CWS 中配置 IdP 证书信息。将显示证书详细信息 (Certificate Detail) 弹出窗口。
在显示证书 (Show Certificate) 部分下面，粘贴从 IdP 中复制的证书信息，然后单击保存 (Save)。
在配置所需的所有 IdP 信息后，单击保存更改 (Save Changes)。