In diesem Abschnitt wird die Konfiguration von Workspace ONE Access als Identitätsanbieter (IdP) für VMware Cloud Web Security behandelt. Zunächst wird die Workspace ONE-Konfiguration behandelt, dann die VMware Cloud Orchestrator-Konfiguration.
Voraussetzungen
Benutzer benötigen Folgendes, um Workspace ONE als Identitätsanbieter mit
VMware Cloud Web Security zu konfigurieren:
Ein Workspace ONE-Konto.
Ein Kundenunternehmen auf einem VMware Cloud Orchestrator in der Produktionsumgebung mit aktivierter Cloud Web Security. Der Orchestrator muss Version 4.5.0 oder höher verwenden.
Workspace ONE Access-Konfiguration
Erstellen Sie Benutzer und Gruppen. Ordnen Sie die Benutzer der Gruppe zu.
Navigieren Sie zu Katalog (Catalog) > Web Apps.
Klicken Sie auf Neue (New), um eine Neue Anwendung (New Application) hinzuzufügen.
Benennen Sie die Anwendung als VMware CWS und klicken Sie auf Weiter (Next).
Erweitern Sie den Abschnitt Konfiguration (Configuration):
Geben Sie die folgenden Details für Single Sign-On ein:
Klicken Sie auf Erweiterte Eigenschaften (Advanced Properties) und fügen Sie eine Benutzerdefinierte Attributzuordnung (Customer Attribute Mapping) hinzu (siehe unten). Diese Konfiguration dient zum Senden von Gruppenattributen in der SAML-Assertion.
Hinweis: Der Name muss „groups“ lauten, und der Wert ist ${groupNames}.
Klicken Sie auf Weiter (Next).
Auf der Seite Zugriffsrichtlinien (Access Policies) wird automatisch „default_access_policy_set“ ausgewählt.
Klicken Sie auf Weiter (Next) und dann auf Speichern und Zuweisen (Save and Assign).
Klicken Sie unter Katalog (Catalog) > Web Apps > auf Einstellungen (Settings).
Wechseln Sie im Fenster Einstellungen (Settings) zum Abschnitt SAML Metadata (SAML-Metadaten).
Klicken Sie auf Metadaten des Identitätsanbieters (IdP) (Identity Provider (IdP)metadata). Mit dieser Aktion wird ein neues Fenster in Ihrem Browser mit XML-Daten geöffnet. Kopieren Sie die URL „ entityID“ und „Speicherort“ in einen Notepad.
wobei <ws1access-server> der Workspace ONE Access-Server in Ihrer Umgebung ist.
Wechseln Sie zurück zum Fenster Einstellung (Setting) und kopieren Sie dann den Inhalt von Signaturzertifikat (Signing Certificate) in den Notepad.
Weisen Sie der VMware CWS-Web-Anwendung Benutzergruppen zu.
VMware Cloud Orchestrator-Konfiguration
Melden Sie sich bei der neuen Orchestrator-Benutzeroberfläche an.
Navigieren Sie zu Cloud Web Security > Konfigurieren (Configure) > Enterprise-Einstellungen (Enterprise Settings) > Identitätsanbieter (Identity Provider). Die Seite Einstellungen für Identitätsanbieter (Identity Provider Settings) wird angezeigt.
Schalten Sie Single Sign-On auf Aktiviert (Enabled) um.
Konfigurieren Sie die folgenden Optionen:
Wählen Sie für SAML-Server über das Internet erreichbar (SAML Server Internet Accessible) die Option Ja (Yes) aus.
Wählen Sie für SAML-Anbieter (SAML Provider)Workspace ONE Access aus
Kopieren Sie für SAML 2.0-Endpoint die Speicherort-URL aus dem Notepad. Beispiel: Speicherort: https://<ws1access_server>/SAAS/auth/federation/sso
Kopieren Sie für Dienstbezeichner (Aussteller) (Service Identifier (Issuer)) die URL entityID aus dem Notepad. Beispiel: entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
X.509-Zertifikat, klicken Sie auf Zertifikat hinzufügen (Add Certificate) und kopieren Sie das Zertifikat aus dem Notepad.
Klicken Sie auf Änderungen speichern (Save Changes)
Fügen Sie eine SSL-Umgehungsregel für die Workspace ONE Access-Domäne hinzu.
Navigieren Sie zu Cloud Web Security > Konfigurieren (Configure) > Sicherheitsrichtlinien (Security Policies).
Wählen Sie eine vorhandene Richtlinie aus, um eine SSL-Umgehungsregel hinzuzufügen, und klicken Sie auf die Schaltfläche Bearbeiten (Edit).
Klicken Sie auf die Registerkarte SSL-Überprüfung (SSL Inspection) und dann auf + Regel hinzufügen (+ Add Rule). Der Bildschirm SSL-Ausnahme erstellen (Create SSL Exception) wird angezeigt.
Konfigurieren Sie im Bildschirm SSL-Ausnahme erstellen (Create SSL Exception) Folgendes und klicken Sie auf Weiter (Next):
Wählen Sie für SSL-Inspektion überspringen basierend auf (Skip SSL Inspection based on) die Option Ziel (Destination) aus.
Wählen Sie für Zieltyp (Destination Type) die Option Zielhost/-domäne (Destination Host/Domain) aus.
Geben Sie für Domänevidmpreview.com ein.
Geben Sie im Bildschirm Name und Tags (Name and Tags) einen eindeutigen Namen für die Regel ein und fügen Sie bei Bedarf einen Grund hinzu.
Klicken Sie auf Fertig stellen (Finish) und dann auf Veröffentlichen (Publish), um die entsprechende Sicherheitsrichtlinie zu veröffentlichen und diese neue Regel anzuwenden.
Wichtig: Die Domäne
vidmpreview.com ist Teil des
Workspace ONE-Domänenpaars, wie im Dokument zu finden:
Domänen und CIDRs, für die eine Regel zur Umgehung der SSL-Überprüfung empfohlen wird. Wenn Sie bereits eine SSL-Umgehungsregel konfiguriert haben, die beide
Workspace ONE-Domänen umfasst, können Sie diesen Schritt überspringen. Wenn Sie versuchen, die obige Regel zu konfigurieren, während die
Workspace ONE-Domäne bereits in einer vorhandenen SSL-Umgehungsregel enthalten ist, wird die neue Regel einen Fehler auslösen, da nur eine SSL-Umgehungsdomänen-Instanz pro Unternehmenskunde zulässig oder erforderlich ist.
Die Überprüfung Ihrer Konfiguration kann mithilfe einer oder mehrerer gruppenbasierter Webrichtlinienregeln auf
Cloud Web Security erfolgen. Beispiel: URL-Filterung und Blockieren von Twitter.com.
Fügen Sie die Gruppen hinzu, die für die URL-Filterregel berücksichtigt werden sollen.
Hinweis: Die Gruppen müssen manuell angegeben werden. Es gibt keine Suchfunktion zur Auswahl der Gruppen. Fügen Sie den Gruppennamen bei der Einrichtung in Workspace ONE Access hinzu.
Überprüfen Sie die Web-Protokolle unter Cloud Web Security > Überwachen (Monitor) > Webprotokolle (Web Logs)
