Tato část popisuje konfiguraci služby Workspace ONE Access jako poskytovatele identity (IdP) pro službu VMware Cloud Web Security. Nejprve popisujeme konfiguraci Workspace ONE a poté konfiguraci VMware Cloud Orchestrator.
Předpoklady
Ke konfiguraci služby Workspace ONE coby poskytovatele identity pomocí služby
VMware Cloud Web Security uživatelé potřebují následující:
Účet Workspace ONE.
Podnik zákazníka v produkčním prostředí VMware Cloud Orchestrator s aktivovanou službou Cloud Web Security. Systém Orchestrator musí využívat verzi 4.5.0 nebo novější.
Konfigurace Workspace ONE Access
Vytvořte uživatele a skupiny. Přiřaďte uživatele ke skupině.
Přejděte do nabídky Katalog (Catalog) > Webové aplikace (Web Apps).
Klikněte na možnost Nová (New) a přidejte Novou aplikaci (New Application).
Zadejte název aplikace jako VMware CWS a klikněte na možnost Další (Next).
V části Konfigurace (Configuration):
Zadejte následující podrobnosti pro jednotné přihlašování (Single Sign-On):
Klikněte na možnost Pokročilé vlastnosti (Advanced Properties) a přidejte položku Vlastní mapování atributů (Custom Attribute Mapping). Tato konfigurace slouží k odeslání atributu skupin ve výrazu uplatnění SAML.
Poznámka: Název musí být „skupiny“ (groups) a hodnota je ${groupNames}.
Klikněte na tlačítko Další (Next).
Na stránce Zásady přístupu (Access Policies) je automaticky vybrána možnost „default_access_policy_set“.
Klikněte na tlačítko Další (Next) a klikněte na možnost Uložit a přiřadit (Save and Assign).
V části Katalog (Catalog) > Webové aplikace (Web Apps) > klikněte na možnost Nastavení (Settings).
V okně Nastavení (Settings) přejděte k části Metadata SAML (SAML Metadata).
Klikněte na Metadata poskytovatele identity (IdP) (Identity Provider (IdP) metadata). Tato akce otevře v prohlížeči nové okno s daty XML. Zkopírujte adresu URL „entityID“ (entityID) a „Umístění“ (Location) do poznámkového bloku.
ID entity (entityID): https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
Umístění (Location): https://<ws1access_server>/SAAS/auth/federation/sso
kde <ws1access-server> je server Workspace ONE Access ve vašem prostředí.
Přejděte zpět do okna Nastavení (Settings) a poté zkopírujte obsah Podpisového certifikátu (Signing Certificate) do poznámkového bloku.
Přiřaďte uživatelské skupiny k webové aplikaci VMware CWS.
Konfigurace VMware Cloud Orchestrator
Přihlaste se do nového uživatelského rozhraní systému Orchestrator.
Přejděte do části Webové zabezpečení cloudu (Cloud Web Security) > Konfigurace (Configure) > Podniková nastavení (Enterprise Settings) > Poskytovatel identity (Identity Provider). Zobrazí se stránka Nastavení poskytovatele identity (Identity Provider Settings).
Přepněte možnost Jednotné přihlašování (Single Sign On) na Povoleno (Enabled).
Nakonfigurujte následující:
Pro možnost Server SAML je přístupný přes internet (SAML Server Internet Accessible) zvolte možnost Ano (Yes)
Pro možnost Poskytovatel SAML (SAML Provider) zvolte možnost Workspace ONE Access (Workspace ONE Access)
Pro Koncový bod SAML 2.0 (SAML 2.0 Endpoint) zkopírujte adresu URL Umístění (Location) z poznámkového bloku. Například Umístění (Location): https://<ws1access_server>/SAAS/auth/federace/sso
V případě Identifikátor služby (vydavatel) (Service Identifier (Issuer)) zkopírujte adresu URL ID entity (entityID) z poznámkového bloku. Například ID entity (entityID): https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
Certifikát X.509: klikněte na Přidat certifikát (Add Certificate) a zkopírujte certifikát z aplikace programu Poznámkový blok.
Klikněte na tlačítko Uložit změny (Save Changes)
Přidejte pravidlo pro obejití SSL pro doménu Workspace ONE Access.
Přejděte na Webové zabezpečení cloudu (Cloud Web Security) > Konfigurovat (Configure) > Zásady zabezpečení (Security Policies).
Vyberte existující zásadu pro přidání pravidla pro obejití SSL a klikněte na tlačítko Upravit (Edit).
Klikněte na kartu Kontrola SSL (SSL Inspection) a klikněte na možnost + Přidat pravidlo (+ Add Rule). Zobrazí se stránka Vytvořit výjimku SSL (Create SSL Exception).
Na obrazovce Vytvořit výjimku SSL (Create SSL Exception) nakonfigurujte následující a klikněte na možnost Další (Next):
U možnosti Přeskočit kontrolu SSL na základě (Skip SSL Inspection based on) zvolte možnost Cíl (Destination).
Pro Typ cíle (Destination Type) vyberte možnost Cílový hostitel/doména (Destination Host/Domain).
Pro možnost Doména (Domain) zadejte vidmpreview.com.
Na obrazovce Název a značky (Name and Tags) zadejte jedinečný název pravidla a v případě potřeby přidejte důvod.
Klikněte na možnost Dokončit (Finish) a potom na možnost Publikovat (Publish) pro příslušné zásady zabezpečení a použijte toto nové pravidlo.
Důležité: Doména
vidmpreview.com je součástí dvojice domén
Workspace ONE, jak je uvedeno v dokumentu:
Domény a směrování CIDR, u kterých je doporučeno pravidlo pro obejití kontroly SSL. Pokud jste již nakonfigurovali pravidlo pro obejití SSL, které zahrnuje obě domény
Workspace ONE, můžete tento krok přeskočit. Pokud se pokusíte nakonfigurovat výše uvedené pravidlo a současně již máte sadu domény
Workspace ONE zahrnutou do existujícího pravidla pro obejití SSL, nové pravidlo zobrazí chybu, protože je povolena pouze jedna instance domény pro obejití SSL pro jednoho podnikového zákazníka.
Ověření vaší konfigurace lze provést za použití jednoho nebo více pravidel webových zásad platných pro
Cloud Web Security. Například filtrování adres URL a blokování Twitter.com.
Přidejte skupiny, které budou brány v potaz u pravidla filtru adres URL.
Poznámka: Skupiny je nutné zadat ručně. Neexistuje možnost „vyhledávání“ pro výběr skupin. Přidejte název skupiny tak, jak je nastaven ve službě Workspace ONE Access.
Zkontrolujte webové protokoly v části Webové zabezpečení cloudu (Cloud Web Security) > Monitorování (Monitor) > Webové protokoly (Web Logs)
