Mit Workspace ONE Access 22.05 Connector können Sie Verschlüsselungsvorgänge mithilfe von FIPS 140-2-konformen Algorithmen (Federal Information Processing Standard) durchführen. Sie können die Verwendung dieser Algorithmen aktivieren, indem Sie eine Neuinstallation von Workspace ONE Access Connector 22.05 im FIPS-Modus durchführen.
Der Federal Information Processing Standard (FIPS) 140-2 ist ein Standard der US-amerikanischen und kanadischen Regierung, der Sicherheitsanforderungen für kryptografische Module spezifiziert. Weitere Informationen finden Sie auf der Informationsseite VMware Federal Information Processing Standards (FIPS) .
Der Workspace ONE Access Connector unterstützt weder ein Upgrade oder eine Migration von einer Nicht-FIPS-Installation auf eine FIPS-Installation noch ein Upgrade oder eine Migration von einer FIPS-Installation auf eine Nicht-FIPS-Installation. Alle Connector-Versionen vor 22.05 waren Nicht-FIPS-Installationen.
- Workspace ONE Access Connector im FIPS-Modus wird nur mit Workspace ONE Access FedRAMP-Mandanten unterstützt. Andere Mandantentypen und lokale Workspace ONE Access-Installationen unterstützen den Konnektor im FIPS-Modus nicht.
- Der Dienst „Virtuelle App“ bietet keine Unterstützung für den FIPS-Modus. Workspace ONE Access Connector-Instanzen mit aktiviertem FIPS-Modus bieten keine Unterstützung für die Integration in Citrix, Horizon, Horizon Cloud Service on Microsoft Azure mit Einzel-Pod-Broker oder Horizon Cloud Service on IBM Cloud. Ein Workspace ONE Access Connector mit aktiviertem FIPS-Modus unterstützt die Integration virtueller Apps, die in Horizon Cloud Service on Microsoft Azure mit Universal Broker ausgeführt werden.
Installieren von Workspace ONE Access Connector im FIPS-Modus
Um den FIPS-Modus für den Workspace ONE Access Connector zu aktivieren, wählen Sie während der Installation die Option FIPS aktivieren aus.
- Sie können den Modus nach der Installation weder vom FIPS-Modus in den Nicht-FIPS-Modus noch vom Nicht-FIPS-Modus in den FIPS-Modus ändern. Überprüfen Sie die Anforderungen und Voraussetzungen deshalb sorgfältig und denken Sie vor der Installation darüber nach, ob FIPS aktiviert werden soll.
- Beachten Sie auch, dass eine FIPS-Installation nur auf eine FIPS-Installation und eine Nicht-FIPS-Installation nur auf eine Nicht-FIPS-Installation aktualisiert werden kann.
Anforderungen und Voraussetzungen für den FIPS-Modus
Für den Connector im FIPS-Modus gelten die folgenden Anforderungen und Voraussetzungen.
- Stellen Sie sicher, dass Sie alle Konnektorinstanzen im FIPS-Modus installieren. Alle Ihrem Workspace ONE Access-Mandanten zugeordneten Connector-Instanzen müssen unabhängig von den installierten Unternehmensdiensten entweder im FIPS-Modus oder im Nicht-FIPS-Modus ausgeführt werden. Stellen Sie bestimmte Connector-Instanzen nicht im FIPS-Modus und andere nicht im Nicht-FIPS-Modus bereit.
- Für Verzeichnisse vom Typ „Active Directory über integrierte Windows-Authentifizierung (IWA)“:
- Zum Erstellen eines Verzeichnisses vom Typ „Active Directory über IWA“ in Workspace ONE Access muss das Bind-DN-Benutzerkennwort mindestens 14 Zeichen aufweisen.
- Die Mindestlänge von 14 Zeichen für Kennwörter gilt auch für alle synchronisierten Benutzer im IWA-Verzeichnis.
- Wird das Attribut sAMAccountName verwendet, müssen der sAMAccountName des Benutzers und der Domänenname eine Mindestlänge von 16 Zeichen haben.
- Für die Funktion „Kennwort ändern“ für Active Directory:
- Die Funktion „Kennwort ändern“ für Active Directory erfordert eine Mindestlänge von 14 Zeichen für Endbenutzerkennwörter.
Vorhandene Kennwörter müssen diese Anforderung erfüllen. Benutzer können ihr Kennwort nicht über die Intelligent Hub-App oder das -Portal ändern, wenn das vorhandene Kennwort weniger als 14 Zeichen umfasst.
Neue Kennwörter müssen diese Anforderung ebenfalls erfüllen. Die Mindestlänge von 14 Zeichen wird nicht erzwungen, wenn Benutzer ein neues Kennwort über die Intelligent Hub-App oder das -Portal erstellen. Wenn das neue Kennwort jedoch weniger als 14 Zeichen umfasst, kann der Benutzer das Kennwort nicht erneut ändern. Wenn der Benutzer außerdem einem Verzeichnis vom Typ „Active Directory über integrierte Windows-Authentifizierung“ angehört, kann sich der Benutzer nicht mit dem neuen Kennwort bei der Intelligent Hub-App oder beim -Portal anmelden.
- Wird das Attribut sAMAccountName verwendet, müssen der sAMAccountName des Benutzers und der Domänenname eine Mindestlänge von 16 Zeichen haben.
- Die Funktion „Kennwort ändern“ für Active Directory erfordert eine Mindestlänge von 14 Zeichen für Endbenutzerkennwörter.
- Wenn Sie die Verbindung zu Active Directory einrichten und dabei die Option STARTTLS sind für alle Verbindungen erforderlich oder LDAPS für alle Verbindungen erforderlich auswählen, müssen die Domänencontroller über gültige, von einer öffentlichen Zertifizierungsstelle signierte Zertifikate verfügen.
Es empfiehlt sich, diese Voraussetzungen zu implementieren, bevor der Workspace ONE Access Connector im FIPS-Modus installiert wird.