Unterstützung der Authentifizierung mit Passkeys

Wir freuen uns, die Verfügbarkeit von Passkeys für die Authentifizierung in Workspace ONE Access ankündigen zu können.

Passkeys sind erkennbare FIDO-Anmeldedaten, die auf dem WebAuthn-Standard basieren. Passkeys ermöglichen kennwortlose Authentifizierung und bieten Benutzern eine schnelle, einfache und sichere Anmeldung auf allen ihren Geräten. Passkeys werden branchenweit unterstützt und stellen eine gegen Phishing resistente praktikable Alternative zu Kennwörtern dar.

Passkeys vereinfachen die FIDO2-Authentifizierung, indem FIDO-Registrierungsinformationen über die Geräte des Benutzers hinweg synchronisiert werden. Passkey-Unterstützung ist auf allen Geräten verfügbar, einschließlich iOS, Mac, Windows, Android und allen gängigen Browsern. Administratoren können FIDO2 weiterhin als Authentifizierungsmethode in Workspace ONE Access konfigurieren und die Vorteile von Passkeys nutzen.

Passkeys verwenden Kryptografie mit öffentlichen Schlüsseln und bestehen aus zwei Teilen: einem öffentlichen Schlüssel auf dem Server, bei dem sich die Benutzer anmelden, und einem entsprechenden privaten Schlüssel auf ihren Geräten. Der öffentliche Schlüssel wird zwischen Geräten synchronisiert, die eine gemeinsame Anmeldung nutzen, wie z. B. Chrome-Browserprofile oder Apple-ID. Bei der Benutzeranmeldung initiiert Workspace ONE Access einen Webauthn-Flow, der die biometrische Authentifizierung oder PIN des Geräts auslöst, um die Identität des Benutzers zu überprüfen. Darüber hinaus wird sichergestellt, dass der öffentliche Schlüssel des Benutzers mit seinem privaten Schlüssel übereinstimmt. Das Benutzererlebnis entspricht einer dem Benutzer vertrauten Geräteentsperrung. Der Benutzer wird beim Konto angemeldet, wobei der private Schlüssel samt zugehöriger Biometrie sicher auf dem Gerät verbleibt und nie freigegeben wird.

Unterstützung für PKCE und öffentliche OAuth 2.0-Clients

PKCE (Proof Key for Code Exchange) ist eine Erweiterung des OAuth 2.0-Autorisierungscode-Flows, die dazu dient, OAuth-Token vor CSRF- und Code-Einschleusungsangriffen zu schützen. Öffentliche OAuth 2.0-Clients, die die Gewährung „Autorisierungscode“ verwenden, sind anfällig für einen Code-Einschleusungsangriff bei Autorisierung. Ein nicht mittels TLS geschützter Kommunikationspfad ist anfällig für einen solchen Angriff. Ein Angreifer kann Zugriff auf den Autorisierungscode erlangen und diesen zum Abrufen des Zugriffstokens verwenden.

Die PKCE-Erweiterung verwendet einen dynamisch erstellten kryptografischen Zufallsschlüssel, um einen Eigentumsnachweis des Kunden zu erbringen. Workspace ONE Access unterstützt die Aktivierung von PKCE für öffentliche OAuth 2.0-Clients und -Clients, die am Autorisierungscode-Flow teilnehmen. Neben PKCE unterstützt Workspace ONE Access jetzt auch die Erstellung öffentlicher OAuth 2.0-Clients. Öffentliche Clients eignen sich für Anwendungen, die in einem Browser oder auf einem mobilen Gerät ausgeführt werden und ihren registrierten geheimen Clientschlüssel nicht schützen können.

PKCE ist standardmäßig aktiviert und für alle in Workspace ONE Access erstellten öffentlichen Clients obligatorisch.

Authentifizierungsauswahl durch Benutzer

Wir freuen uns, Sie über die Verfügbarkeit der Funktion „Authentifizierungsauswahl durch Benutzer“ mit Workspace ONE Access informieren zu können. Diese neue Funktion ermöglicht Benutzern die flexible Auswahl verschiedener Authentifizierungsoptionen für die Zwei-Faktor-Authentifizierung.

Diese Funktion eignet sich besonders in Szenarien, in denen Benutzer unter Umständen keinen Zugriff auf die Zwei-Faktor-Authentifizierung haben, wie z. B. bei einem Smartphone für den Empfang von Push-Benachrichtigungen. In solchen Fällen können Benutzer nahtlos eine alternative Methode aus den bereitgestellten Optionen auswählen, um die Anmeldung erfolgreich abzuschließen.

Administratoren konfigurieren Richtlinien, um die Verfügbarkeit verschiedener Authentifizierungsoptionen für bestimmte Authentifizierungsanforderungen zu steuern. Darüber hinaus können Parameter für den bedingten Zugriff wie Netzwerkbereich, Gerätespezifikationen, Geräteverwaltungsstatus oder Benutzergruppen konfiguriert werden, um die Authentifizierung für Endbenutzer abzusichern und anzupassen.

Diese Funktion ist nur mit Workspace ONE Access SaaS verfügbar. 

Unterstützung für DUO v4 SDK mit universeller Duo-Eingabeaufforderung

Workspace ONE Access unterstützt jetzt Duo v4 SDK. DUO v4 unterstützt die neue universelle Duo-Eingabeaufforderung, die eine vereinfachte und zugängliche Duo-Anmeldeerfahrung für webbasierte Anwendungen und eine neu gestaltete visuelle Schnittstelle mit Verbesserungen in Bezug auf Sicherheit und Benutzerfreundlichkeit bietet. Workspace ONE Access-Benutzer werden automatisch von der herkömmlichen Duo-Eingabeaufforderung zur universellen Duo-Eingabeaufforderung migriert, nachdem diese Unterstützung eingeführt wurde. Es ist keine Administratoraktion erforderlich, um diese Änderung zu aktivieren.

Unterstützung für den Start von Horizon Client und der Horizon App über Verknüpfungen

Workspace ONE Access bietet jetzt die Möglichkeit, veröffentlichte virtuelle Horizon-Desktops und -Apps über Verknüpfungen mithilfe von Start-URLs neu zu starten. Vor dieser Version wurden Benutzer beim Starten einer Verknüpfung, die auf den Horizon Client oder die Horizon App verweist, zu einem leeren Bildschirm geleitet, der den Start des Clients oder der App blockiert. Mit diesem Update werden den Benutzern die App-Informationen und eine Startoption zur Verfügung gestellt. 

Workspace ONE Access Connector 23.09

Workspace ONE Access Connector 23.09 ist kompatibel mit Workspace ONE Access Cloud, der lokalen Version von Workspace ONE Access 23.09 und Workspace ONE Access für FedRAMP.

Im Folgenden finden Sie eine Liste der behobenen Probleme mit dem Connector.

• HW-180874: Die Einstellung „Standardclient für Start“ für Sammlungen virtueller Horizon-Apps wird ignoriert

• HW-170798: Sammlungen virtueller Horizon Enterprise-Apps können nicht synchronisiert werden, wenn eine Verbindung über einen Proxy verwendet wird

• HW-174051: Durch das Aktualisieren einer Sammlung virtueller Apps wird der Netzwerkbereich zurückgesetzt

• HW-172671: Citrix App kann mit dem Firefox-Browser nicht gestartet werden

• HW-171435: Der Citrix App-Start schlägt fehl, wenn der erste Connecztor in der Sammlung virtueller Apps ausgefallen ist

• HW-170576: Sammlungen virtueller Apps können nicht synchronisiert werden, wenn eine Verbindung über einen Proxy verwendet wird

• HW-174269: Workspace ONE Access Connector 22.09.1 kann nicht installiert werden, wenn der Domänenname ein „_“-Zeichen enthält

• HW-181989: Beim Speichern oder Synchronisieren einer Sammlung virtueller Horizon-Apps werden bei Ausfall eines Horizon-Servers vorhandene Metadaten entfernt

• HW-170576: Wenn ein Proxy konfiguriert ist, kann der Virtual App-Dienst keine Metadaten aus einem Horizon Cloud Service-Setup mit Einzel-Pod-Broker abrufen.

Ankündigung der allgemeinen Verfügbarkeit der Authentifizierung von Mobile SSO für Apple-Geräten

Wir freuen uns, die allgemeine Verfügbarkeit der Authentifizierung von Mobile SSO für Apple-Geräten bekannt geben zu können – die Mobile SSO-Funktion der nächsten Generation in Workspace ONE Access.

Im Rahmen des iOS 13 SDK und der MDM-Spezifikation haben Apple eine neue plattformübergreifende SSO-Erweiterung eingeführt, die einen nativen SSO-Ansatz mit Standardverbundprotokollen bietet. Mobile SSO für Apple-Geräte in Workspace ONE Access nutzt dieses native SSO-Erweiterungs-SDK in Apple.

Zusätzlich zum nahtlosen SSO über iOS- und iPadOS-Geräte hinweg bietet Mobile SSO für Apple in Workspace ONE Access eine konfigurierbare biometrische Authentifizierung, die es ermöglicht, die in die Plattform integrierten biometrischen Authentifikatoren wie TouchID, FaceID oder Passcode für zusätzliche Authentifizierungen vor dem Zugriff auf Anwendungen zu verwenden.

Die Authentifizierungsmethode Mobile SSO für Apple bietet die Möglichkeit, Single Sign-On auf ausgewählte Apps zu beschränken. Die Lösung verwendet zertifikatsbasierte Authentifizierung zur Workspace ONE Access und unterstützt Anwendungsfälle für das Ein-/Auschecken für iOS-Gemeinschaftsgeräte in Workspace ONE.

HINWEIS: Workspace ONE Intelligent Hub müssen auf den Geräten installiert sein, die an SSO teilnehmen.

Mobile SSO für Apple ist ein Ersatz für die Funktion Mobile SSO für iOS, die heute mit Workspace ONE Access verfügbar ist. Beide Lösungen können jedoch als Teil der Migrationskonfiguration nebeneinander bestehen. Eine schrittweise Migration von Mobile SSO für iOS zu Mobile SSO für Apple wird empfohlen. Migrationsschritte finden Sie hier.

Diese Funktion ist nur in der Workspace ONE Access Cloud-Umgebung verfügbar.

Unterstützung für Windows 11-Geräte in Workspace ONE Access-Richtlinienregeln

Workspace ONE Access erkennt jetzt Windows 11 Geräte für die Registrierung und den bedingten Zugriff. Vor dieser Unterstützung wurden Zugriffsrichtlinien, deren Gerätetyp auf Windows 10 festgelegt war, nicht auf Windows 11-Geräte angewendet. Mit diesem Update werden die Windows 10+-Gerätetypregeln für Windows 10- und Windows 11-Geräte verwendet. Diese Funktionalität wird auf allen Windows 11-Geräten einschließlich Desktops und Mobilgeräten unterstützt.

Workspace ONE Access unterstützt jetzt FIDO2 als primären Authentifikator

Workspace ONE Access ermöglicht jetzt die Konfiguration von FIDO2-Authentifikatoren als primäre Authentifikatoren. Die bisherige Unterstützung der FIDO2-Authentifizierung war auf die Step-up-Authentifizierung beschränkt. Mit dieser Version können sich Endbenutzer mithilfe eines FIDO2-Authentifikators bei Workspace ONE Access authentifizieren. Endbenutzer können auch einen FIDO2-Authentifikator selbst registrieren. Sowohl Plattformauthentifikatoren (Mobilgeräte, Laptops usw., die FIDO2 unterstützen) als auch Authentifikatoren von Drittanbietern (Yubikey, sichere USB-Geräte usw.) werden unterstützt.

Einstellung von nicht unterstützten VMware Identity Manager Connector-Instanzen

In dieser Version von Workspace ONE Access Cloud werden alle Funktionen für nicht unterstützte Connectors-Instanzen in jeder Umgebung eingestellt. Um die Funktionalität aller Funktionen fortzusetzen, muss eine unterstützte Workspace ONE Access Connector-Version verwendet werden.

In Umgebungen, in denen nicht unterstützte Connector-Instanzen ausgeführt werden, werden mit dieser Änderung die folgenden Funktionen eingestellt.

1. Verzeichnisintegration von Active Directory und anderen unterstützten LDAP-Servern

2. Kennwortänderung für Active Directory-Benutzer

3. Benutzerauthentifizierung mit Connector-basierten Authentifizierungsmethoden

4. Integration von Sammlungen virtueller Apps, einschließlich Start 

Weitere Informationen finden Sie in diesem VMware KB-Artikel.

Erneuerte Workspace ONE Access-Berichtsschnittstelle in der Workspace ONE Access-Konsole

Das Workspace ONE Access-Reporting wurde für Administratorbenutzer überarbeitet. Dieses neue Design ist auf dem neuesten Stand und ermöglicht eine einfache Navigation durch die folgenden Berichte.

• Aktuelle Aktivitäten

• Ressourcennutzung

• Ressourcenberechtigungen

• Ressourcenaktivität

• Gruppenmitgliedschaft

• Benutzer

• Gerätenutzung

• Bereitstellungsstatus

• Überwachungsereignisse

Aktionen können auf der neuen Rollenkonfigurationsseite in der Workspace ONE Access-Konsole einfach neu konfiguriert werden

Die neue Navigation zum Konfigurieren von Rollen ermöglicht das Hinzufügen, Neukonfigurieren und Entfernen aller Aktionen für einen Dienst. Rollen können mit spezifischen Aktionen für jeden Dienst auf beliebige Weise angepasst werden. Benutzer, die Administratorrollen verwalten können, können auch alle für einen Dienst konfigurierten Aktionen löschen.

Eingeschränkte Funktionalität von nicht unterstützten VMware Identity Manager Connector-Instanzen

In der Märzversion von Workspace ONE Access Cloud kann jede Umgebung, die nicht unterstützte Connectoren verwendet, Verzeichnisse nicht mehr erstellen, bearbeiten oder löschen. Um die Funktionalität aller Funktionen fortzusetzen, muss eine unterstützte Workspace ONE Access Connector-Version verwendet werden. Jedem Kunden wird dringend empfohlen, so bald wie möglich auf den neuesten Connector zu migrieren.

Die Möglichkeit, bereits vorhandene Verzeichnisse zu synchronisieren, funktioniert weiterhin sowohl für geplante als auch für bedarfsgesteuerte Synchronisierungen. Weitere Informationen finden Sie unter https://kb.vmware.com/s/article/90808.

Aktualisierte Workspace ONE Access-Navigationsseiten

Wir fügen neue Navigationsseiten zur Workspace ONE Access-Konsole hinzu, die mit einem aktuellen Design aktualisiert wurden. Die folgenden Seiten haben ein neues Erscheinungsbild.

• Seite „UEM-Integration“

• Seite „Verzeichnis“

• Seite „Identitätsanbieter“

Die Seiten „Automatische Erkennung“ und „Nutzungsbedingungen“ wurden entfernt, da sie sich auf die Workspace ONE-App beziehen, die das Ende der Lebensdauer erreicht hat. Informationen zum Ende der Lebensdauer der Workspace ONE-App finden Sie in den Versionshinweisen von April 2022.

Neue Option zum Anzeigen des Kennworts auf dem Anmeldebildschirm

Wir führen eine neue Umschaltoption auf dem Anmeldebildschirm ein, damit Benutzer das Kennwort anzeigen können, wenn sie aufgefordert werden, sich mit Workspace ONE Access-Diensten anzumelden und zu authentifizieren. Diese neue Funktion wird auf Authentifizierungsbildschirmen verfügbar sein, die die Kennwortauthentifizierungsmethode verwenden.

Workspace ONE Access unterstützt jetzt die FIDO2-Authentifizierung in mobilen Browsern

Mit Workspace ONE Access können jetzt FIDO2-Authentifikatoren registriert und zur Authentifizierung in mobilen Browsern verwendet werden. Die vorherige Unterstützung der FIDO2-Registrierung und -Authentifizierung war auf Desktop-Browser beschränkt. Mit dieser Version können sich Endbenutzer bei Workspace ONE Access-Verbundanwendungen mithilfe eines FIDO2-Authentifikators (z. B. YubiKey, Touch ID, Windows Hello usw.) über mobile oder Desktop-Browser authentifizieren. Endbenutzer können auch selbst einen FIDO2-Authentifikator registrieren, um ihn als primäre Authentifizierung oder als zweite Faktor-Authentifizierung zu verwenden.

Erste Schritte mit VMware-Identitätsdiensten

Wenn Sie ein neuer Kunde von Workspace ONE Access und Workspace ONE UEM sind, haben wir einen Dienst hinzugefügt, der die Benutzerbereitstellung und den Verbund erleichtert! Sie können jetzt VMware Identity Services nutzen, um ein bereitgestelltes Verzeichnis von Benutzern und Gruppen mithilfe des SCIM 2.0-Protokolls in Ihrer Workspace ONE Cloud-Verwaltungskonsole zu konfigurieren. VMware Identity Services stellen automatisch Benutzer und Gruppen sowie Authentifizierungseinstellungen für Ihre Workspace ONE UEM- und Workspace ONE Access-Verwaltungskonsolen bereit. 

Unterstützte Identitätsanbieter und Verzeichnisquellen:

• Azure AD, ein cloudbasierter Identitätsdienst in Microsoft Azure

• Generische SCIM 2.0-Identitätsquelle (getestet für Okta)

Weitere Informationen finden Sie in den Versionshinweisen zu VMware Identity Services.

Komponentenkompatibilität

Unterstützung für Windows Server

Workspace ONE Access Connector 23.09 unterstützt die folgenden Versionen.

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

Unterstützung für Webbrowser

• Mozilla Firefox, neueste Version

• Google Chrome, neueste Version

• Safari, neueste Version

• Microsoft Edge, neueste Version

Unterstützung für Verzeichnisserver

• Active Directory unter Windows Server 2022, Windows Server 2019, Windows Server 2016 oder Windows Server 2012 R2, mit einer Domain-Funktionsebene und einer Forest-Funktionsebene ab Windows 2003.

• OpenLDAP – 2.4

• Oracle LDAP - Directory Server Enterprise Edition 11g, Version 1 (11.1.1.7.0)

• IBM Tivoli Directory Server 6.3.1

Kompatibilität virtueller Apps

Der Workspace ONE Access 23.09-Connector unterstützt VMware Horizon, Horizon Cloud Service, Citrix und ThinApp-Integrationen mit dem Virtual App-Dienst.

Die folgenden Versionen von Citrix werden unterstützt: Citrix Virtual Apps and Desktops 7 2203, Citrix Virtual Apps and Desktops 7 1912 LTSR, XenApp und XenDesktop 7.15 LTSR, und XenApp und XenDesktop 7.6 LTSR. Die folgenden Versionen von Citrix Gateway werden unterstützt: 12.1-62.27, 12.1-65.25 und 13.1-37.38. Der Connector unterstützt die Citrix StoreFront-API und nicht das Citrix Web Interface SDK.

Informationen zu unterstützten Horizon-Versionen finden Sie in der VMware-Produkt-Interoperabilitätsmatrix.

Kompatibilitätstabelle

Die VMware-Produkt-Interoperabilitätsmatrix bietet Details zur Kompatibilität aktueller und vorheriger Versionen von VMware-Produkten und ‑Komponenten wie VMware vCenter Server, VMware ThinApp und Horizon.

Upgrade auf VMware Workspace ONE Access Connector 23.09 (Windows)

Ein Upgrade auf Workspace ONE Access Connector 23.09 wird von den Versionen 22.09.1.0, 22.09.0.0, 22.05, 21.08.0.1 und 21.08.0.0 unterstützt.

Weitere Informationen finden Sie im Handbuch unter Durchführen eines Upgrades auf VMware Workspace ONE Access Connector 23.09.

Migrieren zu Workspace ONE Access Connector 23.09 (Windows)

Sie können eine Migration auf Workspace ONE Access Connector 22.09.1.0 von denselben Versionen durchführen, die für 22.09.0.0 unterstützt werden.

Ab Workspace ONE Access Connector Version 19.03.x ist ein Migrationspfad zu Version 22.09 verfügbar. Der Prozess umfasst die Installation der neuen 22.09-Connectoren und die Migration Ihrer vorhandenen Verzeichnisse und virtuellen Anwendungssammlungen zu den neuen Connectoren. Die Migration ist ein einmaliger Vorgang, bei dem Sie Verzeichnisse und Sammlungen virtueller Apps zusammen migrieren müssen.

Nach Abschluss der Migration benötigen Sie den Integration Broker für Citrix-Integrationen nicht mehr. Die erforderliche Funktionalität ist jetzt Teil der Dienstkomponente „Virtuelle App“ von Workspace ONE Access Connector.

Weitere Informationen finden Sie im Handbuch unter Migrieren zu VMware Workspace ONE Access Connector 22.09.

Nach der Migration der älteren Connectoren auf Version 22.09 können Sie sie auf 23.09 aktualisieren.

Die Dokumentation zu VMware Workspace ONE Access befindet sich im VMware Workspace ONE Access-Dokumentationscenter.

VMware Workspace ONE Access ist in den folgenden Sprachen verfügbar.

• Englisch

• Französisch

• Deutsch

• Spanisch

• Japanisch

• Vereinfachtes Chinesisch

• Koreanisch

• Traditionelles Chinesisch

• Russisch

• Italienisch

• Portugiesisch (Brasilien)

• Niederländisch

Wenden Sie sich an VMware Support, wenn Sie Hilfe zu Ihrer Workspace ONE Access-Umgebung benötigen. Sie können über Ihr VMware CustomerConnect-Konto oder telefonisch eine Support-Anfrage an den VMware Support senden.

In KB-Artikel 2151511 Vorgehensweise für den Zugriff auf den VMware Workspace ONE-Support erfahren Sie, wie Sie den Workspace ONE-Support kontaktieren können.