Indstillinger inkluderer funktioner, der gælder for alle SaaS-apps i dit Workspace ONE-miljø. Styr adgangen med konfigurationer for SAML-godkendelse og påkrævede tilladelser.

Konfigurer SaaS-apps til at påkræve godkendelse, før brugere kan få adgang til dem. Anvend denne funktion, når du har SaaS-apps, der anvender licenser til adgang, så licensaktiveringer er lettere at administrere. Når du aktiverer tilladelser, kan du konfigurere den tilsvarende Licensgodkendelse påkrævet i den relevante SaaS-app-post.

  • Arbejdsgang for godkendelse – Brugere ser appen i deres Workspace ONE-katalog og anmoder om tilladelse til at bruge appen. Workspace ONE Access sender beskeden med godkendelse af anmodningen til organisationens konfigurerede URL-adresse til slutpunkt for godkendelses-REST. Systemet gennemgår anmodningen og returnerer en meddelelse og godkendelse eller afvisning til Workspace ONE Access. Når en app er godkendt, skifter appens status fra Afventer til Tilføjet, og appen vises på brugerens Workspace ONE-startside.
  • Godkendelsesprogrammer – Systemet har to godkendelsesprogrammer.
    • REST API – REST API-godkendelsesprogrammet benytter et eksternt godkendelsesværktøj, der dirigeres gennem din webservers REST API og udfører anmodnings- og godkendelsessvarene. Du indtaster URL-adressen til REST API i Workspace ONE Access-tjenesten og konfigurerer dine REST API'er med legitimationsoplysningsværdier til Workspace ONE Access OAuth-klienten samt opkaldsanmodningen og responshandlingen.
    • REST API via konnektor – REST API'en via konnektor-godkendelsesprogrammet dirigerer tilbagekaldet via konnektoren ved hjælp af den Websocket-baserede kommunikationskanal. Du konfigurerer REST API-slutpunktet ved hjælp af opkalds-anmodningen og svarhandlingen.

SAML-metadata og selvsignerede certifikater eller certifikater fra CA'er

Du kan bruge SAML-certifikaterne fra siden Indstillinger til godkendelsessystemer, f.eks. mobil single sign-on. Tjenesten Workspace ONE Access opretter automatisk et selvsigneret certifikat til SAML-signering. Men visse organisationer kræver certifikater fra certifikatautoriteter (CA'er). Hvis du vil anmode om et certifikat fra din CA, skal du oprette en anmodning om certifikatsignering (CSR) i Indstillinger. Du kan bruge et certifikat til at godkende brugere i SaaS-programmer.

Send certifikatet til apps, der er tillid til, for at konfigurere godkendelse mellem appen og Workspace ONE-systemet.

Du kan tilføje tredjepartsidentitetsudbydere for at godkende brugere i Workspace ONE Access. Hvis du vil konfigurere udbyderens forekomst, skal du bruge de metadata for identitetsudbyder og tjenesteudbyder, som du har kopieret fra sektionen Indstillinger i AirWatch-konsollen. Få flere oplysninger om, hvordan du konfigurerer tredjepartsudbydere, under Konfigurer en tredjepartsidentitetsudbyderinstans, der kan godkende brugere, i Workspace ONE Access.

Du kan konfigurere din app-kilde ved at vælge den tilsvarende tredjeparts-identitetsudbyder. Når app-kilden er konfigureret, kan du derefter oprette de tilknyttede apps.

Konfigurer tilladelser til dine SaaS-apps

Brug tilladelser til SaaS-apps, der aktiverer licenser for brug. Når dette er aktiveret med den tilsvarende indstilling, Licensgodkendelse påkrævet, anmoder brugere om adgang til relevante SaaS-apps i Workspace ONE-kataloget før installationen og licensaktiveringen.

  1. Gå til Ressourcer > Apps > SaaS, og vælg Indstillinger.
  2. Vælg Tilladelser.
  3. Vælg Ja for at aktivere funktionen.
  4. Vælg et Godkendelsesprogram, som systemet skal bruge til at anmode om godkendelser.
  5. Indtast tilbagekalds-URI'en (Uniform Resource Identifier) til den REST-ressource, som lytter efter anmodninger om tilbagekald.
  6. Indtast Brugernavn, hvis REST API kræver legitimationsoplysninger for at få adgang.
  7. Indtast Adgangskode til brugernavnet, hvis REST API kræver legitimationsoplysninger for at få adgang.
  8. Indtast SSL-certifikatet i PEM-format (Privacy-enhanced Electronic Mail) for valgmuligheden SSL-certifikat med PEM-format, hvis REST-ressourcen kører på en server, som har et selvsigneret certifikat eller et certifikat, som en offentlig certifikatautoritet ikke har tillid til, og som bruger HTTPS.

Konfigurer SAML-metadata til single sign-on-egenskab

Hent SAML-metadata og certifikater fra siden Indstillinger til single sign-on-egenskaber med SaaS-apps.

Vigtigt: Alle single sign-on-forbindelser, der er afhængige af de eksisterende SAML-metadata, afbrydes, når processen til oprettelse af en CSR opretter de nye SAML-metadata.
Bemærk:
Hvis du erstatter et eksisterende SSL-certifikat, ændrer denne handling de eksisterende SAML-metadata. Hvis du erstatter et SSL-certifikat, skal du opdatere SaaS-apps, som du konfigurerer til mobil single sign-on, med det seneste certifikat.
  1. Gå til Ressourcer > Apps > SaaS, og vælg Indstillinger.
  2. Vælg SAML-metadata > Download SAML-metadata, og fuldfør opgaverne.
    Tabel 1.
    Indstilling Beskrivelse
    SAML metadata Kopier og gem metadataene for Identitetsudbyder og metadataene for Tjenesteudbyder.

    Vælg disse links, og åbn en browserforekomst med XML-dataene.

    Konfigurer din tredjepartsidentitetsudbyder med disse oplysninger.

    Signerer certifikat Kopier det signeringscertifikat, der inkluderer hele koden i tekstområdet.

    Du kan også downloade certifikatet for at gemme det som en TXT-fil.

  3. Vælg Opret CSR, og fuldfør opgaverne til anmodning om et digitalt identitetscertifikat (SSL-certifikat) fra din certifikatautoritet. Denne anmodning identificerer dit firma, dit domænenavn og din offentlige nøgle. Tredjepartscertifikatautoriteten bruger det til at udstede SSL-certifikatet. Hvis du vil opdatere metadataene, skal du uploade det signerede certifikat.
    Indstilling - nyt certifikat Beskrivelse
    Almindeligt navn Angiv det fuldt kvalificerede domænenavn til organisationens server.
    Organisation Angiv navnet på det firma, der er juridisk registreret.
    Afdeling Angiv den afdeling i dit firma, som certifikatet henviser til.
    By Angiv den by, hvor organisationen er juridisk placeret.
    Stat/provins Angiv den stat/provins, hvor organisationen er juridisk placeret.
    Land Angiv det juridiske land for organisationen.
    Algoritme for oprettelse af nøgle Vælg en algoritme, der bruges til at signere CSR.
    Nøgle størrelse Vælg antallet af bits, der bruges i nøglen. Vælg 2048 eller mere.

    Hvis en RSA-nøgle er mindre end 2048, anses den for usikker.

    Indstilling - erstat et certifikat Indstilling
    Upload SSL-certifikat Upload det SSL-certifikat, du har modtaget fra din tredjepartscertifikatautoritet.
    Certifikat til anmodning om signering Download anmodningen om certifikatsignering (CSR). Send CSR'en til tredjepartscertifikatautoriteten.

Konfigurer appkilde for tredjeparts-id-udbydere

Tilføjelse af en identitetsudbyder som en appkilde strømliner processen med tilføjelse af individuelle apps fra den pågældende udbyder til slutbrugerkataloget, fordi du kan anvende konfigurerede indstillinger og politikker fra tredjepartsappkilden til alle apps, der styres af appkilden.

Begynd ved at give gruppen ALL_USERS ret til at bruge app-kilden, og vælg en adgangspolitik, der skal gælde.

Web-apps, der anvender SAML 2.0-godkendelsesprofilen, kan tilføjes i kataloget. App-konfigurationen er baseret på de indstillinger, der er konfigureret i app-kilden. Kun app-navnet og destinations-URL-adressen skal konfigureres.

Når du tilføjer apps, kan du give bestemte brugere og grupper rettigheder og anvende en adgangspolitik for at administrere adgangen til appen. Brugere kan få adgang til disse apps fra deres desktops og mobile enheder.

De konfigurerede indstillinger og politikker fra tredjeparts-app-kilden kan anvendes på alle apps, der administreres af app-kilden. Af og til kan tredjeparts-identitetsudbydere sende en godkendelsesanmodning uden at oplyse, hvilken app en bruger forsøger at få adgang til. Hvis Workspace ONE Access modtager en anmodning om godkendelse, der ikke inkluderer appoplysninger, anvendes de alternative adgangspolitikregler, der er konfigureret i appkilden.

Følgende identitetsudbydere kan konfigureres som app-kilder.

  • Okta
  • PingFederated-server fra Ping Identity
  • Active Directory Federation Services (ADFS)

Konfigurer din app-kilde ved at vælge tredjeparts-identitetsudbyderen. Når app-kilden er konfigureret, kan du oprette de tilknyttede apps og give brugerne rettigheder.

  1. Gå til Ressourcer > Apps > SaaS, og vælg Indstillinger.
  2. Vælg App-kilder.
  3. Vælg tredjeparts-identitetsudbyder. Vejledningen til tredjeparts-identitetsudbyderens app-kilde vises.
  4. Indtast et beskrivende navn til app-kilden, og klik på Næste.
  5. Godkendelsestype er SAML 2.0 som standard og er skrivebeskyttet.
  6. Rediger app-kildens Konfiguration.
    Tabel 2. Konfigurationsindstillinger – URL/XML
    Indstilling Beskrivelse
    Konfiguration URL/XML er standardindstillingen for SaaS-apps, der endnu ikke er en del af Workspace ONE-kataloget.
    URL/XML Angiv URL-adressen, hvis XML-metadataene kan åbnes via internettet.

    Indsæt XML i tekstfeltet, hvis XML-metadataene ikke kan åbnes via internettet, men du har dem.

    Brug manuel konfiguration, hvis du ikke har XML-metadataene.

    Relæ-tilstand URL-adresse Angiv en URL-adresse, hvor brugere af SaaS-appen skal lande efter en single sign-on-procedure i et scenarie, der er initieret af en identitetsudbyder.
    Tabel 3. Konfigurationsindstillinger – manuel
    Indstilling Beskrivelse
    Konfiguration Manual er standardindstillingen for SaaS-apps, der tilføjes fra kataloget.
    URL-adresse for single sign-on Angiv ACS-URL-adressen (Assertion Consumer Service).

    Workspace ONE sender denne URL-adresse til din tjenesteudbyder med henblik på single sign-on.

    Modtager URL-adresse Angiv URL-adressen med den specifikke værdi, der kræves af din tjenesteudbyder, med angivelse af domæne i emnet for SAML-assertion.

    Hvis din tjenesteudbyder ikke kræver en specifik værdi for denne URL-adresse, skal du angive samme URL-adresse som i URL-adresse for single sign-on.

    App-id Angiv det id, der identificerer din tjenesteudbyderlejer over for Workspace ONE. Workspace ONE sender SAML-assertion til id'et.

    Nogle tjenesteudbydere bruger URL-adresse for single sign-on.

    Format for brugernavn Vælg det format, der kræves af tjenesteudbyderne for SAML-emnets format.
    Værdi for brugernavn Angiv den værdi for navne-id, som Workspace ONE sender i SAML-assertionens emnesætning.

    Denne værdi er en standardværdi for profilfeltet for et brugernavn hos tjenesteudbyderen.

    Relæ-tilstand URL-adresse Angiv en URL-adresse, hvor brugere af SaaS-appen skal lande efter en single sign-on-procedure i et scenarie, der er initieret af en identitetsudbyder.
  7. Rediger de Avancerede egenskaber.
    Indstilling Beskrivelse
    Signer svar Angiv den URL-adresse, der sender brugere til SaaS-appen på internettet.
    Signer assertion Angiv ACS-URL-adressen (Assertion Consumer Service).

    Workspace ONE sender denne URL-adresse til din tjenesteudbyder med henblik på single sign-on.

    Kryptér påstand Angiv URL-adressen med den specifikke værdi, der kræves af din tjenesteudbyder, med angivelse af domæne i emnet for SAML-assertion.

    Hvis din tjenesteudbyder ikke kræver en specifik værdi for denne URL-adresse, skal du angive samme URL-adresse som i URL-adresse for single sign-on.

    Inkluder assertionssignatur Angiv det id, der identificerer din tjenesteudbyderlejer over for Workspace ONE. Workspace ONE sender SAML-assertion til id'et.

    Nogle tjenesteudbydere bruger URL-adresse for single sign-on.

    Signaturalgoritme Vælg SHA256 med RSA som den sikre krypterede hash-algoritme.
    Digestalgoritme Vælg SHA256
    Assertionstid Indtast SAML-påstandens tid i sekunder.
    Anmod om signatur Hvis du vil have, at tjenesteudbyderen skal signere anmodningen, der sendes til Workspace ONE, skal du angive det offentlige signeringscertifikat.
    Krypteringscertifikat Indtast det offentlige krypteringscertifikat, hvis du vil have, at SAML anmodningen fra app-udbyderen til Workspace ONE skal signeres.
    URL-adresse for logon til app Angiv URL-adressen til din tjenesteudbyders logonside. Denne indstilling medfører, at tjenesteudbyderen starter en logonproces til Workspace ONE. Nogle tjenesteudbydere kræver, at godkendelse skal starte fra deres logonside.
    Proxyantal Angiv de tilladte proxylag mellem tjenesteudbyderen og en godkendende identitetsudbyder.
    API-adgang Tillad API-adgang til denne app.
  8. Konfigurer Tilknytning af brugerdefinerede attributter. Hvis din serviceudbyder tillader andre brugerdefinerede attributter end dem til single sign-on, skal du tilføje dem.
  9. Vælg Åbn i VMware Browser, hvis du vil åbne appen i VMware Browser. Dette kræver dog, at Workspace ONE åbner appen i VMware Browser. Hvis du bruger VMware Browser, og du åbner SaaS-apps i den, øges sikkerheden. Med denne handling bevares adgangen i interne ressourcer.
  10. Klik på Næste.
  11. Vælg Adgangspolitikker for at logge sikkert på appressourcer. Klik på Næste for at få vist siden Oversigt.
  12. Klik på Gem. Hvis du vælger Gem og Tildel, mens du konfigurerer app-kilden, indstiller du rettighederne for app-kilden til Alle brugere. Du kan dog ændre standardindstillinger og administrere brugerrettigheder samt tilføje brugere eller brugergrupper.
    1. Når identitetsudbyderen er konfigureret som en app-kilde, kan du oprette de tilknyttede apps for hver enkelt tredjeparts-identitetsudbyder. Når du har fuldført indstillingerne under fanen Definition, kan du vælge OKTA fra rullemenuen Godkendelsestype på fanen Konfiguration.
    2. Du kan indstille rettighederne for app-kilden til Alle brugere eller tilføje brugere/brugergruppe. Hvis du vælger Gem og tildel, mens du konfigurerer app-kilden, indstiller du som standard rettighederne for app-kilden til Alle brugere.