将 SaaS 应用程序配置为在用户访问它们之前需要审批。您的 SaaS 应用程序使用许可证进行访问时,使用此功能可帮助管理许可证激活。当启用审批时,在适用的 SaaS 应用程序记录中配置相应的需要许可证审批

  • 审批工作流程 - 用户在其 Workspace ONE 目录中查看应用程序并请求使用该应用程序。Workspace ONE Access 将审批请求消息发送到组织配置的审批 REST 端点 URL。系统审核该请求,并将已批准或拒绝的消息发送回 Workspace ONE Access。应用程序得到批准后,应用程序状态从待定变为已添加且应用程序显示在用户的 Workspace ONE 启动器页面中。
  • 审批引擎 - 系统会提供两个审批引擎。
    • REST API - REST API 审批引擎使用外部审批工具,该工具通过 Webserver REST API 进行路由以执行请求和审批响应。在 Workspace ONE Access 服务中输入 REST API URL,并为 REST API 配置 Workspace ONE Access OAuth 客户端凭据值以及标注请求和响应操作。
    • 使用连接器的 REST API - 使用连接器审批引擎的 REST API 会通过使用基于 Websocket 的通信通道的连接器来路由回调调用。为 REST API 端点配置标注请求和响应操作。

SAML 元数据和自签字证书或来自证书颁发机构的证书

您可以将设置页面中的 SAML 证书用于移动单点登录等身份验证系统。Workspace ONE Access 服务为 SAML 签名自动创建自签名证书。但是,某些组织需要来自证书颁发机构 (CA) 的证书。要从证书颁发机构请求证书,请在设置中生成证书签名请求 (CSR)。您可以使用证书来对 SaaS 应用的用户进行身份验证。

将证书发送到有需要的应用,配置应用和 Workspace ONE 系统之间的身份验证。

您可以添加第三方身份提供程序以便在 Workspace ONE Access 中对用户进行身份验证。要配置提供程序实例,请使用您从 AirWatch 控制台中的设置部分复制的身份提供程序元数据和服务提供程序元数据。有关如何配置第三方提供程序的详细信息,请参阅 Workspace ONE Access 中的配置第三方身份提供程序实例以对用户进行身份验证

您可以通过选择对应的第三方身份提供程序来配置应用程序源。设置应用程序源后,可以创建关联的应用程序。

为 Saas 应用程序配置批准

为激活许可证以供使用的 SaaS 应用程序使用批准。启用相应的需要许可证审批选项后,在安装和许可证激活之前,用户从 Workspace ONE 目录请求访问适用的 SaaS 应用程序。

  1. 导航到资源 > 应用 > SaaS,然后选择设置
  2. 选择审批
  3. 选择可启用该功能。
  4. 选择系统用来请求审批的审批引擎
  5. 输入侦听标注请求的 REST 资源的回调 URI(统一资源标识符)。
  6. 如果 REST API 需要凭证进行访问,则输入用户名
  7. 如果 REST API 需要凭证进行访问,则输入用户名对应的密码
  8. 如果 REST 资源在具有自签名证书或不受公共证书颁发机构信任的证书的服务器上运行,且使用 HTTPS,则为 PEM 格式的 SSL 证书选项输入 PEM(隐私增强电子邮件)格式的 SSL 证书。

为单点登录功能配置 SAML 元数据

设置页面检索 SAML 元数据和证书,以使用单点登录功能访问 SaaS 应用程序。

**重要提示:**如果生成 CSR 时创建了 SAML 元数据,依靠现有 SAML 元数据的所有单点登录连接都会断开。

**注:**如果您替换了现有 SSL 证书,则该操作将更改现有的 SAML 元数据。如果您替换了 SSL 证书,您必须更新配置为使用最新证书进行移动单点登录的 SaaS 应用程序。

  1. 导航到资源 > 应用 > SaaS,然后选择设置

  2. 选择 SAML 元数据 > 下载 SAML 元数据并完成任务。

    设置 说明
    SAML 元数据 复制并保存身份提供程序元数据和服务提供程序元数据。
    选择链接并打开使用 XML 数据的浏览器实例。
    使用此信息配置第三方身份提供程序。
    签名证书 复制在文本区中包含所有代码的签名证书。
    您还可以下载证书,将其以 TXT 文件格式保存起来。
  3. 选择“生成 CSR”,并完成向证书颁发机构申请数字身份证书(SSL 证书)的任务。该申请将确定您的公司、域名和公共密钥。第三方证书颁发机构使用它来颁发 SSL 证书。要更新元数据,请上传签名证书。

    设置 - 新证书 说明
    公用名 输入组织服务器的完全符合规则的域名。
    组织 输入合法注册的公司名称。
    部门 输入证书引用的贵公司的部门。
    城市 输入组织法律上所在的城市。
    州/省 输入组织法律上所在的州或省。
    国家/地区 输入组织法律上所在的国家/地区。
    密钥生成算法 选择签署 CSR 所使用的算法。
    密钥大小 选择密钥中使用的位数。选择 2048 或更大。
    小于 2048 的 RSA 密钥被视为不安全。
    设置 - 替换证书 说明
    上传 SSL 证书 上传您从第三方证书颁发机构处收到的 SSL 证书。
    证书签名请求 下载证书签名请求 (CSR)。将 CSR 发送给第三方证书颁发机构。

为第三方身份提供程序配置应用程序源

将身份提供程序添加为应用程序源可简化将各个应用程序从该提供程序添加到最终用户目录的过程,因为您可以将配置的设置和策略从第三方应用程序源应用到所有由应用程序源管理的应用程序。

要开始,请将 ALL_USERS 组授权给应用程序源,然后选择要应用的访问策略。

可以将使用 SAML 2.0 身份验证配置文件 Web 应用程序添加到目录。应用程序配置基于在应用程序源中配置的设置。仅需要配置应用程序名称和目标 URL。

添加应用程序时,可以授权特定用户和组并应用访问策略控制用户对应用程序的访问。用户可以从其桌面和移动设备访问这些应用程序。

可以将已配置的设置和来自第三方应用程序源的应用于应用程序源管理的所有应用程序。有时,第三方身份提供程序发送的身份验证请求中不包含用户正尝试访问的应用程序。如果 Workspace ONE Access 收到不包含应用程序信息的身份验证请求,将应用在应用程序源中配置的备份访问策略规则。

可以将以下身份提供程序配置为应用程序源。

  • Okta
  • Ping Identity 提供的 PingFederated 服务器
  • Active Directory 联合服务 (ADFS)

通过选择第三方身份提供程序来配置应用程序源。设置应用程序源后,可以创建关联的应用程序并为用户授权。

  1. 导航到资源 > 应用 > SaaS,然后选择设置

  2. 选择应用程序源

  3. 选择第三方身份提供程序。系统将显示第三方身份提供程序的应用程序源向导。

  4. 为应用程序源输入描述性名称,然后单击下一步

  5. 身份验证类型默认为 SAML 2.0 且为只读。

  6. 修改应用程序源配置

    配置设置 - URL/XML

    设置 说明
    配置 URL/XML 是 SaaS 应用程序的默认选项,不属于 Workspace ONE 目录的一部分。
    URL/XML 如果 XML 元数据可在 Internet 上访问,则输入 URL。
    如果元数据不可在 Internet 上访问,而您拥有元数据,请在文本框中粘贴 XML。
    如果您没有 XML 元数据,请采用手动配置。
    中继状态 URL 输入您希望 SaaS 应用程序用户在 identity provider-initiated (IDP) 场景中单点登录后到达的 URL。

    配置设置 - 手动

    设置 说明
    配置 “手动”是从目录添加的 SaaS 应用程序的默认选项。
    单点登录 URL 输入断言使用者服务 (ACS) URL。
    Workspace ONE 会将该 URL 发送给您的服务提供程序用于单点登录。
    接收者 URL 输入带有服务提供程序所要求的特定值的 URL,该值用于说明 SAML 断言项目中的域。
    如果您的服务提供程序未要求此 URL 的特定值,请输入与单点登录 URL 相同的 URL。
    应用程序 ID 将确定服务提供程序租户身份的 ID 输入 Workspace ONE。Workspace ONE 会将 SAML 断言发送给该 ID。
    有些服务提供程序使用单点登录 URL。
    用户名格式 选择提供程序所要求的格式作为 SAML 项目格式。
    用户名值 输入 Workspace ONE 在 SAML 断言的主题声明中发送的名称 ID 值。
    该值是应用程序服务提供程序中用户名的默认配置文件字段值。
    中继状态 URL 输入您希望 SaaS 应用程序用户在 identity provider-initiated (IDP) 场景中单点登录后到达的 URL。
  7. 修改高级属性

    设置 说明
    签署响应 输入 URL,将用户定向到 Internet 中的 SaaS 应用。
    签署断言 输入断言使用者服务 (ACS) URL。
    Workspace ONE 会将该 URL 发送给您的服务提供程序用于单点登录。
    对断言进行加密 输入带有服务提供程序所要求的特定值的 URL,该值用于说明 SAML 断言项目中的域。
    如果您的服务提供程序未要求此 URL 的特定值,请输入与单点登录 URL 相同的 URL。
    包括断言签名 将确定服务提供程序租户身份的 ID 输入 Workspace ONE。Workspace ONE 会将 SAML 断言发送给该 ID。
    有些服务提供程序使用单点登录 URL。
    签名算法 选择具有 RSA 的 SHA256 作为安全加密哈希算法。
    摘要算法 选择 SHA256
    断言时间 输入 SAML 断言时间,以秒为单位。
    请求签名 如果您想要服务提供程序签署其发送到 Workspace ONE 的请求,请输入公共签名证书。
    加密证书 如果希望签署从应用程序服务提供程序到 Workspace ONE 的 SAML 请求,请输入公共加密证书。
    应用程序登录 URL 输入服务提供程序登录页面的 URL。此选项可触发服务提供程序启动到 Workspace ONE 的登录。有些服务提供程序需要身份验证才能从登录页面启动。
    代理计数 输入在服务提供程序和正在验证的身份提供程序之间允许的代理层。
    API 访问 允许 API 访问该应用程序。
  8. 配置自定义属性映射。如果您的服务提供程序允许自定义属性而不是适用于单点登录的属性,请添加。

  9. 如果您要在 VMware Browser 中打开该应用程序,请选择在 VMware Browser 中打开。但是,它要求 Workspace ONE 在 Vmware Browser 中打开应用程序。如果您使用的是 Vmware Browser,在其中打开 SaaS 应用程序可增加安全性。该操作可让访问保持在内部资源中。

  10. 单击下一步

  11. 要确保安全登录到应用程序资源,请选择访问策略。单击下一步以查看摘要页面。

  12. 单击保存。如果在配置应用程序源时选择保存分配,则将应用程序源的授权设置为所有用户。但是,您可以更改默认设置,并管理用户授权和添加用户或用户组。

  13. 将身份提供程序配置为应用程序源后,您可以为每个第三方身份提供程序创建关联的应用程序。完成定义标签页上的选项后,您可以从配置标签页的身份验证类型下拉菜单中选择 OKTA

  14. 您可以将应用程序源的授权设置为所有用户或添加用户/用户组。默认情况下,如果在配置应用程序源时选择保存并分配,则将应用程序源的授权设置为所有用户

check-circle-line exclamation-circle-line close-line
Scroll to top icon