Tato část popisuje konfiguraci služby Workspace ONE Access jako poskytovatele identity (IdP) pro službu VMware Cloud Web Security. Nejprve popisujeme konfiguraci Workspace ONE a poté konfiguraci VMware Cloud Orchestrator.
Předpoklady
Ke konfiguraci služby Workspace ONE coby poskytovatele identity pomocí služby
VMware Cloud Web Security uživatelé potřebují následující:
- Účet Workspace ONE.
- Podnik zákazníka v produkčním prostředí VMware Cloud Orchestrator s aktivovanou službou Cloud Web Security. Systém Orchestrator musí využívat verzi 4.5.0 nebo novější.
Konfigurace Workspace ONE Access
- Vytvořte uživatele a skupiny. Přiřaďte uživatele ke skupině.
- Přejděte do nabídky .
- Klikněte na možnost Nová (New) a přidejte Novou aplikaci (New Application).
- Zadejte název aplikace jako VMware CWS a klikněte na možnost Další (Next).
- V části Konfigurace (Configuration):
- Zadejte následující podrobnosti pro jednotné přihlašování (Single Sign-On):
- Typ autentizace: SAML 2.0
- Konfigurace: ruční
- Adresa URL jednotného přihlašování: https://safe-cws-sase.vmware.com/safeview-auth-server/saml
- Adresa URL příjemce: https://safe-cws-sase.vmware.com/safeview-auth-server/saml
- ID aplikace: https://safe-cws-sase.vmware.com/safeview-auth-server/saml/metadata
- Formát uživatelského jména: e-mailová adresa ([email protected])
- Hodnota uživatelského jména: ${user.email}
- Klikněte na možnost Pokročilé vlastnosti (Advanced Properties) a přidejte položku Vlastní mapování atributů (Custom Attribute Mapping). Tato konfigurace slouží k odeslání atributu skupin ve výrazu uplatnění SAML.
Poznámka: Název musí být „skupiny“ (groups) a hodnota je ${groupNames}.
- Klikněte na tlačítko Další (Next).
- Zadejte následující podrobnosti pro jednotné přihlašování (Single Sign-On):
- Na stránce Zásady přístupu (Access Policies) je automaticky vybrána možnost „default_access_policy_set“.
- Klikněte na tlačítko Další (Next) a klikněte na možnost Uložit a přiřadit (Save and Assign).
- V části Nastavení (Settings). > klikněte na možnost
- V okně Nastavení (Settings) přejděte k části Metadata SAML (SAML Metadata).
- Klikněte na Metadata poskytovatele identity (IdP) (Identity Provider (IdP) metadata). Tato akce otevře v prohlížeči nové okno s daty XML. Zkopírujte adresu URL „entityID“ (entityID) a „Umístění“ (Location) do poznámkového bloku.
- ID entity (entityID): https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
- Umístění (Location): https://<ws1access_server>/SAAS/auth/federation/sso
kde <ws1access-server> je server Workspace ONE Access ve vašem prostředí.
- Přejděte zpět do okna Nastavení (Settings) a poté zkopírujte obsah Podpisového certifikátu (Signing Certificate) do poznámkového bloku.
- Přiřaďte uživatelské skupiny k webové aplikaci VMware CWS.
Konfigurace VMware Cloud Orchestrator
- Přihlaste se do nového uživatelského rozhraní systému Orchestrator.
- Přejděte do části Nastavení poskytovatele identity (Identity Provider Settings). . Zobrazí se stránka
- Přepněte možnost Jednotné přihlašování (Single Sign On) na Povoleno (Enabled).
- Nakonfigurujte následující:
- Pro možnost Server SAML je přístupný přes internet (SAML Server Internet Accessible) zvolte možnost Ano (Yes)
- Pro možnost Poskytovatel SAML (SAML Provider) zvolte možnost Workspace ONE Access (Workspace ONE Access)
- Pro Koncový bod SAML 2.0 (SAML 2.0 Endpoint) zkopírujte adresu URL Umístění (Location) z poznámkového bloku. Například Umístění (Location): https://<ws1access_server>/SAAS/auth/federace/sso
- V případě Identifikátor služby (vydavatel) (Service Identifier (Issuer)) zkopírujte adresu URL ID entity (entityID) z poznámkového bloku. Například ID entity (entityID): https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
- Certifikát X.509: klikněte na Přidat certifikát (Add Certificate) a zkopírujte certifikát z aplikace programu Poznámkový blok.
- Klikněte na tlačítko Uložit změny (Save Changes)
- Přidejte pravidlo pro obejití SSL pro doménu Workspace ONE Access.
- Přejděte na .
- Vyberte existující zásadu pro přidání pravidla pro obejití SSL a klikněte na tlačítko Upravit (Edit).
- Klikněte na kartu Kontrola SSL (SSL Inspection) a klikněte na možnost + Přidat pravidlo (+ Add Rule). Zobrazí se stránka Vytvořit výjimku SSL (Create SSL Exception).
- Na obrazovce Vytvořit výjimku SSL (Create SSL Exception) nakonfigurujte následující a klikněte na možnost Další (Next):
- U možnosti Přeskočit kontrolu SSL na základě (Skip SSL Inspection based on) zvolte možnost Cíl (Destination).
- Pro Typ cíle (Destination Type) vyberte možnost Cílový hostitel/doména (Destination Host/Domain).
- Pro možnost Doména (Domain) zadejte vidmpreview.com.
- Na obrazovce Název a značky (Name and Tags) zadejte jedinečný název pravidla a v případě potřeby přidejte důvod.
- Klikněte na možnost Dokončit (Finish) a potom na možnost Publikovat (Publish) pro příslušné zásady zabezpečení a použijte toto nové pravidlo.
Důležité: Doména vidmpreview.com je součástí dvojice domén Workspace ONE, jak je uvedeno v dokumentu: Domény a směrování CIDR, u kterých je doporučeno pravidlo pro obejití kontroly SSL. Pokud jste již nakonfigurovali pravidlo pro obejití SSL, které zahrnuje obě domény Workspace ONE, můžete tento krok přeskočit. Pokud se pokusíte nakonfigurovat výše uvedené pravidlo a současně již máte sadu domény Workspace ONE zahrnutou do existujícího pravidla pro obejití SSL, nové pravidlo zobrazí chybu, protože je povolena pouze jedna instance domény pro obejití SSL pro jednoho podnikového zákazníka.Další informace o doménách, které by měly mít nakonfigurována pravidla pro obejití SSL, naleznete v tématu Domény a směrování CIDR, u kterých je doporučeno pravidlo pro obejití kontroly SSL.
Ověřování vaší konfigurace
Ověření vaší konfigurace lze provést za použití jednoho nebo více pravidel webových zásad platných pro
Cloud Web Security. Například filtrování adres URL a blokování Twitter.com.
Přidejte skupiny, které budou brány v potaz u pravidla filtru adres URL.
Poznámka: Skupiny je nutné zadat ručně. Neexistuje možnost „vyhledávání“ pro výběr skupin. Přidejte název skupiny tak, jak je nastaven ve službě Workspace ONE Access.
Zkontrolujte webové protokoly v části