Následují možnosti konfigurace webového proxy serveru Cloud Web Security.

Certifikát SSL

Když se uživatelé připojí k webovému proxy serveru, uživatelé otevřou prohlížeč a přejdou na webovou stránku, například na web HTTPS. Webový proxy server zachytí tento provoz přes SSL a vrací přesměrování do služby autentizace. Doporučujeme mít na koncovém bodu nainstalován kořenový certifikát VMware namísto instruování uživatelů, aby přijali bezpečnostní varování.

Chcete-li získat kořenový certifikát a nainstalovat jej na hostiteli, proveďte následující kroky:
  1. Otevřete webový prohlížeč a přejděte do části VMware Cloud Orchestrator.
  2. V horním navigačním panelu přejděte na možnost Podnikové aplikace (Enterprise Applications) > Webové zabezpečení cloudu (Cloud Web Security).
  3. Klikněte na kartu Konfigurovat (Configure) a v části Podniková nastavení (Enterprise Settings) vyberte Certifikát SSL (SSL Certificate). Otevře se obrazovka Nastavení certifikátu SSL (SSL Certificate Settings).
  4. Klikněte na možnost Stáhnout certifikát (Download Certificate) a uložte soubor do hostitelského počítače.
  5. (Volitelné) Použijte nástroj, jako je OpenSSL, k ověření, že se staženým kořenovým certifikátem nebylo během přenosu manipulováno. K tomu dochází výpočtem otisku prstu certifikátu a porovnáním s tím, co je zobrazeno v systému Orchestrator. Pro účely testování může být tento krok volitelný, ale v produkčních prostředích by neměl být přeskočen.

    Následují příkazy OpenSSL pro výpočet otisku prstu certifikátu:

    $openssl x509 -noout -fingerprint -sha1 -inform pem -in certificate.cer 
$openssl x509 -noout -fingerprint -sha256 -inform pem -in certificate.cer
    Obrázek 1. Příkazy OpenSSL v terminálu
    Obrázek 2. Certifikát SSL SHA1, otisky prstu SHA256
Instalace na hostitele

Následující externí odkazy obsahují pokyny k instalaci privátního kořenového certifikátu na běžných zařízeních koncových bodů:

Alternativně může být kořenový certifikát instalován na úrovni prohlížeče. Toto je užitečné pro testovací účely, ale není to doporučeno pro produkční použití. Následující externí odkazy obsahují pokyny k instalaci privátního kořenového certifikátu na populárních webových prohlížečích:

Poskytovatel SAML

K autentizaci uživatelů ke službě proxy serveru Cloud Web Security je nutný poskytovatel SAML. Tento požadavek zajišťuje, že pouze ověření uživatelé jsou připojeni ke službě Cloud Web Security a poskytuje provozní přehled o aktivitách těch, kteří používají webový proxy server.

Následující příklad vychází z použití řešení Okta jako poskytovatele identity (IdP) pro Cloud Web Security. Následující snímek obrazovky zvýrazňuje tři klíčové informace, které se po vytvoření vlastní aplikace v systému Okta pro aplikaci Cloud Web Security používají k aktivaci integrace.
Obrázek 3. Konfigurace řešení Okta pro integraci VMware
  • Umístění (Location) – toto je adresa URL jednotného přihlašování (SSO) poskytnutá IdP pro definovanou aplikaci SAML. V tomto případě je tato aplikace Cloud Web Security.
  • EntityID – identifikátor entity (EntityID) nebo „Vydavatel“ je součástí procesu ověřování pro ověřování IdP.
  • Certifikát (Certificate) – toto je certifikát x.509, který IdP používá k autentizaci a autorizaci služby SAML.

Aktivace jednotného přihlašování (SSO)

Chcete-li integrovat IdP a nakonfigurovat informace IdP v CWS, proveďte následující kroky:
  1. Přejděte do části Webové zabezpečení cloudu (Cloud Web Security) > Konfigurace (Configure) > Podniková nastavení (Enterprise Settings) > Poskytovatel identity (Identity Provider). Zobrazí se následující obrazovka.
  2. Zapněte přepínač Jednotné přihlašování (Single Sign On) a zadejte následující údaje:
    Pole Popis
    Server SAML je přístupný přes internet (SAML Server Internet Accessible) Vyberte Ano (Yes), chcete-li získat internetový přístup k serveru SAML.
    Poskytovatel SAML (SAML Provider) Ze seznamu vyberte Okta.
    Koncový bod SAML 2.0 (SAML 2.0 Endpoint) Zkopírujte informace Umístění (Location) z IdP.
    Identifikátor služby (vydavatel) (Service Identifier (Issuer))

    Zkopírujte z IdP informace ID entity (EntityID).

    Doména (Domain) Zadejte doménu vaší společnosti (například vmware.com).
    Poznámka: Uživatelé se budou autentizovat do služby pomocí své e-mailové adresy. E-mailová doména uživatele musí odpovídat tomu, co je zde nakonfigurováno.
    Aktivovat podrobné ladění SAML (Enable SAML Verbose Debugging) Vyberte možnost Ano (Yes) nebo Ne (No) v závislosti na tom, zda chcete aktivovat podrobné ladění SAML. Ve výchozím nastavení je ladění SAML deaktivováno, pokud neřešíte problémy s přihlašováním SAML.
  3. Po nastavení výše uvedených atributů uložte změny kliknutím na tlačítko Uložit změny (Save changes).
  4. Kliknutím na tlačítko Upravit certifikát (Edit Certificate) nakonfigurujte informace o certifikátu IdP v CWS. Zobrazí se vyskakovací okno  Podrobné informace o certifikátu (Certificate Detail).
  5. V části Zobrazit certifikát (Show Certificate) vložte informace o certifikátu zkopírované z IdP a klikněte na možnost Uložit (Save).
  6. Po nakonfigurování všech potřebných údajů IdP klikněte na tlačítko Uložit změny (Save Changes).