Esta sección abarca la configuración de Workspace ONE Access como proveedor de identidad (IdP) para VMware Cloud Web Security. Primero cubriremos la configuración de Workspace ONE y, a continuación, la configuración de VMware Cloud Orchestrator.
Requisitos previos
Los usuarios necesitan lo siguiente para configurar Workspace ONE como proveedor de identidad con
VMware Cloud Web Security:
Una cuenta de Workspace ONE.
Una empresa de cliente en una instancia de VMware Cloud Orchestrator de producción con Cloud Web Security activado. Orchestrator deben utilizar la versión 4.5.0 o una versión posterior.
Configuración de Workspace ONE Access
Cree usuarios y grupos. Asocie los usuarios al grupo.
Vaya a Catálogo (Catalog) > Aplicaciones web (Web Apps).
Haga clic en Nuevo (New) para agregar una Nueva aplicación (New Application).
Asigne a la aplicación como VMware CWS y haga clic en Siguiente (Next).
En la sección Configuración (Configuration):
Introduzca los siguientes detalles para Inicio de sesión único (Single Sign-On):
Formato de nombre de usuario: Dirección de correo electrónico ([email protected])
Valor de nombre de usuario: ${user.email}
Haga clic en Propiedades avanzadas (Advanced Properties) y agregue una Asignación de atributos personalizados (Custom Attribute Mapping), como se indica a continuación. Esta configuración se utiliza para enviar el atributo de grupos en la aserción de SAML.
Nota: El nombre debe ser "groups" y el valor es ${groupNames}.
Haga clic en Siguiente (Next).
En la página Directivas de acceso (Access Policies), se selecciona automáticamente "default_access_policy_set".
Haga clic en Siguiente (Next) y haga clic en Guardar y asignar (Save and Assign).
En Catálogo (Catalog) > Aplicaciones web (Web Apps), haga clic en Configuración (Settings).
En la ventana Configuración (Settings), vaya a la sección Metadatos SAML (SAML Metadata).
Haga clic en Metadatos del proveedor de identidades (IdP) (Identity Provider (IdP) metadata). Esta acción abre una nueva ventana en el navegador con datos XML. Copie las URL de "entityID" y "Location" en un bloc de notas.
donde <ws1access-server> es el servidor de Workspace ONE Access en su entorno.
Vuelva a la ventana Configuración (Settings) y copie el contenido de Certificado de firma (Signing Certificate) en el bloc de notas.
Asigne grupos de usuarios a la aplicación web de VMware CWS.
Configuración de VMware Cloud Orchestrator
Inicie sesión en la nueva interfaz de usuario de Orchestrator.
Vaya a Cloud Web Security > Configurar (Configure) > Configuración empresarial (Enterprise Settings) > Proveedor de identidad (Identity Provider). Aparece la página Configuración del proveedor de identidades (Identity Provider Settings).
Cambie Inicio de sesión único (Single Sign On) a Habilitado (Enabled).
Configure lo siguiente:
Para ¿Se puede acceder al servidor SAML en Internet? (SAML Server Internet Accessible), seleccione Sí (Yes)
Para Proveedor SAML (SAML Provider) seleccione Workspace ONE Access
Para Endpoint de SAML 2.0 (SAML 2.0 Endpoint), copie la URL de Location del bloc de notas. Por ejemplo, Location: https://<ws1access_server>/SAAS/auth/federation/sso
Para Identificador de servicio (emisor) (Service Identifier [Issuer]), copie la URL de entityID del bloc de notas. Por ejemplo, entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
Para el Certificado X.509 (X.509 Certificate), haga clic en Agregar certificado (Add Certificate) y copie el certificado desde el bloc de notas y péguelo aquí.
Haga clic en Guardar cambios (Save Changes).
Agregue una regla de omisión de SSL para el dominio Workspace ONE Access.
Desplácese hasta Cloud Web Security > Configurar (Configure) > Directivas de seguridad (Security Policies).
Seleccione una directiva existente para agregar una regla de omisión SSL y haga clic en el botón Editar (Edit).
Haga clic en la pestaña Inspección de SSL (SSL Inspection) y, a continuación, en + Agregar regla (+ Add Rule). Se mostrará la pantalla Crear excepción de SSL (Create SSL Exception).
En la pantalla Crear excepción de SSL (Create SSL Exception), configure lo siguiente y haga clic en Siguiente (Next):
Para Omitir inspección SSL en función de (Skip SSL Inspection based on), seleccione Destino (Destination).
Para Tipo de destino (Destination Type), seleccione Host/dominio de destino (Destination Host/Domain).
Para Dominio (Domain), introduzca vidmpreview.com.
En la pantalla Nombre y etiquetas (Name and Tags), introduzca un nombre único para la regla y agregue un motivo, si es necesario.
Haga clic en Finalizar (Finish) y en la opción para Publicar (Publish) la directiva de seguridad correspondiente para aplicar esta nueva regla.
Importante: El dominio
vidmpreview.com forma parte del par de dominios de
Workspace ONE, como se describe en el documento:
Dominios y CIDR en los que se recomienda una regla de omisión de inspección de SSL. Si ya configuró una regla de omisión de SSL que incluye ambos dominios de
Workspace ONE, puede omitir este paso. Si intenta configurar la regla anterior mientras ya tiene el conjunto de dominios de
Workspace ONE incluido en una regla de omisión de SSL existente, la nueva regla generará un error, ya que solo se permite o se necesita una instancia de dominio de omisión de SSL por cliente empresarial.
La comprobación de la configuración se puede realizar mediante una o varias reglas de directivas web basadas en grupos en
Cloud Web Security. Por ejemplo, el uso del filtrado de URL y el bloqueo de Twitter.com.
Agregue los grupos que se deben tener en cuenta para la regla de filtro de URL.
Nota: Los grupos deben especificarse manualmente. No hay capacidad de "búsqueda" para seleccionar los grupos. Agregue el nombre del grupo a medida que se configure en Workspace ONE Access.
Consulte los registros web en Cloud Web Security > Supervisar (Monitor) > Registros web (Web Logs)
