Workspace ONE Access 23.09 Connector 可以使用符合联邦信息处理标准 (FIPS) 140-2 的算法来执行加密操作。您可以在 FIPS 模式下执行 Workspace ONE Access Connector 23.09 的全新安装,或者将在 FIPS 模式下安装的 22.05 或 22.09 Connector 升级到版本 23.09,以启用这些算法。

美国联邦信息处理标准 (Federal Information Processing Standard, FIPS) 140-2 是美国和加拿大政府制定的标准,用于规定加密模块的安全要求。请参阅 VMware 联邦信息处理标准 (FIPS) 信息页面

Workspace ONE Access Connector 不支持从非 FIPS 安装升级或迁移到 FIPS 安装或从 FIPS 安装升级或迁移到非 FIPS 安装。22.05 之前的所有连接器版本均为非 FIPS 安装。

重要说明:
  • Workspace ONE Access FedRAMP 租户支持处于 FIPS 模式的 Workspace ONE Access Connector。其他类型的租户和内部部署 Workspace ONE Access 安装则不支持处于 FIPS 模式的连接器。
  • 虚拟应用程序服务不支持 FIPS 模式。启用了 FIPS 模式的 Workspace ONE Access Connector 不支持与 Citrix、Horizon、具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 或者 ThinApp 集成。启用了 FIPS 模式的 Workspace ONE Access Connector 支持集成在具有 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 中运行的虚拟应用程序。

在 FIPS 模式下安装 Workspace ONE Access Connector

要为 Workspace ONE Access Connector 激活 FIPS 模式,请在安装过程中选择启用 FIPS 选项。


在连接器安装程序的“指定配置文件”页面上,选择“启用 FIPS”选项。
重要说明:
  • 无法在安装后将模式从 FIPS 模式更改为非 FIPS 模式或从非 FIPS 模式更改为 FIPS 模式。因此,在开始安装之前,请仔细查看要求和必备条件,并确定是否要启用 FIPS。
  • 另请注意,FIPS 安装只能升级到 FIPS 安装,非 FIPS 安装只能升级到非 FIPS 安装。

FIPS 模式的要求和必备条件

对于处于 FIPS 模式的连接器,以下要求和必备条件适用。

  • 确保以 FIPS 模式安装所有连接器实例。与 Workspace ONE Access 租户关联的所有连接器实例都必须在 FIPS 模式下运行,或者所有连接器实例都必须在非 FIPS 模式下运行,而无论在这些实例上安装了哪些企业服务。请不要在 FIPS 模式下部署一些连接器实例,而在非 FIPS 模式下部署另一些连接器实例。
  • 对于通过集成 Windows 身份验证 (Integrated Windows Authentication, IWA) 访问的 Active Directory 类型的目录:
    • 要在 Workspace ONE Access 中创建通过 IWA 访问的 Active Directory 类型的目录,绑定 DN 用户密码的长度必须至少为 14 个字符。
    • 最少 14 个字符的密码长度要求还适用于 IWA 目录中的所有已同步用户。
    • 如果使用 sAMAccountName 属性,则用户的 sAMAccountName 加域名的长度必须至少为 16 个字符。
  • 对于 Active Directory 的“更改密码”功能:
    • Active Directory 的“更改密码”功能要求最终用户密码的长度至少为 14 个字符。

      现有密码必须满足此要求。如果现有密码少于 14 个字符,用户将无法从 Intelligent Hub 应用程序或门户更改其密码。

      新密码也必须满足此要求。当用户从 Intelligent Hub 应用程序或门户创建新密码时,不会强制满足最少 14 个字符的要求。但如果新密码的长度不符合至少 14 个字符的要求,则用户将无法再次更改密码。此外,如果用户属于通过集成 Windows 身份验证访问的 Active Directory 类型的目录,则用户将无法使用新密码登录到 Intelligent Hub 应用程序或门户。

    • 如果使用 sAMAccountName 属性,则用户的 sAMAccountName 加域名的长度必须至少为 16 个字符。
  • 如果为选择的所有连接均需要 STARTTLS所有连接均需要 LDAPS 选项设置了所需的 Active Directory 的连接,则域控制器必须具有有效的公用 CA 签名证书。

最佳做法是在 FIPS 模式下安装 Workspace ONE Access Connector 之前满足这些必备条件。