Workspace ONE Access Connector 22.09 puede realizar operaciones de cifrado usando algoritmos conformes al Estándar federal de procesamiento de información (FIPS) 140-2. Puede habilitar el uso de estos algoritmos realizando una instalación nueva de Workspace ONE Access Connector 22.09 en modo FIPS o actualizando una instancia de Connector 22.05 instalada en modo FIPS a la versión 22.09.

El Estándar federal de procesamiento de información (Federal Information Processing Standard, FIPS) 140-2 es un estándar del gobierno de EE. UU. y Canadá que especifica los requisitos de seguridad para módulos criptográficos. Consulte la página de información sobre el Estándar federal de procesamiento de información (FIPS) de VMware.

Workspace ONE Access Connector no admite la actualización ni la migración de una instalación que no sea FIPS a una instalación FIPS, o de una instalación FIPS a una instalación que no sea FIPS. Todas las versiones anteriores a Connector 22.05 eran instalaciones que no eran FIPS.

Importante:
  • Workspace ONE Access Connector en modo FIPS solo es compatible con arrendatarios de Workspace ONE Access FedRAMP. Los otros tipos de arrendatarios e instalaciones locales de Workspace ONE Access no admiten Connector en modo FIPS.
  • El servicio de aplicaciones virtuales no admite el modo FIPS. Las instancias de Workspace ONE Access Connector con el modo FIPS habilitado no admiten la integración con Citrix, Horizon, Horizon Cloud Service on Microsoft Azure con agente de pod único u Horizon Cloud Service on IBM Cloud, o ThinApp. Workspace ONE Access Connector con el modo FIPS habilitado admite la integración de aplicaciones virtuales que se ejecutan en Horizon Cloud Service on Microsoft Azure con Universal Broker.

Instalar Workspace ONE Access Connector en modo FIPS

Para activar el modo FIPS para Workspace ONE Access Connector, seleccione la opción Habilitar FIPS durante la instalación.


En la página Especificar archivo de configuración del instalador de Connector, la opción Habilitar FIPS está seleccionada.
Importante:
  • No se puede cambiar el modo después de la instalación, del modo FIPS al modo no FIPS o del modo no FIPS al modo FIPS. Por lo tanto, revise los requisitos y los requisitos previos detenidamente y decida si desea habilitar FIPS o no antes de comenzar la instalación.
  • Tenga en cuenta también que una instalación FIPS solo se puede actualizar a una instalación FIPS, y una instalación que no es FIPS solo se puede actualizar a una que no es FIPS.

Requisitos y requisitos previos para el modo FIPS

Para el conector en modo FIPS, se aplican los siguientes requisitos y requisitos previos.

  • Asegúrese de instalar todas las instancias del conector en modo FIPS. Todas las instancias de conector asociadas con el arrendatario de Workspace ONE Access deben ejecutarse en modo FIPS o todas deben ejecutarse en modo no FIPS, independientemente de los servicios empresariales que estén instalados en ellas. No implemente algunas instancias del conector en modo FIPS y otras en modo no FIPS.
  • Para directorios de tipo Active Directory mediante autenticación de Windows integrada (IWA):
    • Para crear un directorio de tipo Active Directory mediante IWA en Workspace ONE Access, la contraseña de usuario de DN de enlace debe tener una longitud mínima de 14 caracteres.
    • La longitud mínima de 14 caracteres para las contraseñas también se aplica a todos los usuarios sincronizados en el directorio de IWA.
    • Si se utiliza el atributo sAMAccountName, el nombre de dominio sAMAccountName del usuario debe tener una longitud mínima de 16 caracteres.
  • Para la función Cambiar contraseña de Active Directory:
    • La función Cambiar contraseña para Active Directory requiere una longitud mínima de 14 caracteres para las contraseñas de los usuarios finales.

      Las contraseñas existentes deben cumplir con este requisito. Los usuarios no podrán cambiar sus contraseñas desde la aplicación o el portal de Intelligent Hub si su contraseña actual tiene menos de 14 caracteres.

      Las nuevas contraseñas también deben cumplir este requisito. El mínimo de 14 caracteres no se aplica cuando los usuarios crean una nueva contraseña desde la aplicación o el portal de Intelligent Hub. Sin embargo, si la nueva contraseña no tiene al menos 14 caracteres, el usuario no podrá volver a cambiar la contraseña. Además, si el usuario pertenece a un directorio de tipo Active Directory mediante autenticación de Windows integrada, el usuario no podrá iniciar sesión en la aplicación o el portal de Intelligent Hub con la nueva contraseña.

    • Si se utiliza el atributo sAMAccountName, el nombre de dominio sAMAccountName del usuario debe tener una longitud mínima de 16 caracteres.
  • Si configura la conexión a Active Directory con la opción STARTTLS requerido para todas las conexiones o LDAPS requerido para todas las conexiones seleccionada, los controladores de dominio deben tener certificados firmados por una CA pública válida.

La práctica recomendada es implementar estos requisitos previos antes de instalar Workspace ONE Access Connector en modo FIPS.