Compatibilidad con la autenticación con claves de acceso

Nos complace anunciar la disponibilidad de claves de acceso para la autenticación en Workspace ONE Access.

Las claves de acceso son credenciales FIDO detectables, basadas en el estándar WebAuthn. Las claves de acceso permiten la autenticación sin contraseña y proporcionan a los usuarios experiencias de inicio de sesión más rápidas, sencillas y seguras en todos sus dispositivos. Las claves de acceso han obtenido un amplio apoyo de la industria y ofrecen una alternativa a las contraseñas viable y resistente al phishing.

Las claves de acceso simplifican la autenticación FIDO2 mediante la sincronización de la información de registro de FIDO en los dispositivos del usuario. La compatibilidad con claves de acceso está disponible en todos los dispositivos, incluidos iOS, Mac, Windows, Android y todos los navegadores importantes. Los administradores pueden seguir configurando FIDO2 como método de autenticación en Workspace ONE Access y aprovechar las ventajas de las claves de acceso.

Las claves de acceso utilizan criptografía de clave pública y tienen dos partes: una clave pública en el servidor, en la que el usuario inicia sesión, y una clave privada correspondiente en sus dispositivos. La clave pública se sincroniza entre los dispositivos que comparten un inicio de sesión común, como los perfiles del navegador Chrome o Apple ID. Cuando los usuarios inician sesión, Workspace ONE Access inicia un flujo de autenticación web que activa la autenticación biométrica del dispositivo o el PIN para verificar la identidad del usuario y comprueba si la clave pública del usuario coincide con su clave privada. La experiencia del usuario es coherente con el desbloqueo de dispositivos típico con el que el usuario está familiarizado. El usuario iniciará sesión en la cuenta, mientras que la clave privada y su información biométrica permanecerán de forma segura en el dispositivo y nunca se compartirán.

Compatibilidad con clientes públicos PKCE y OAuth 2.0

PKCE es una extensión del flujo de código de autorización OAuth 2.0 que ayuda a proteger los tokens de OAuth de los ataques de inserción de código y CSRF. Los clientes públicos OAuth 2.0 que utilizan la concesión de código de autorización son susceptibles al ataque de interceptación de código de autorización. Una ruta de comunicación no protegida por TLS es susceptible a este ataque y un atacante puede obtener acceso al código de autorización y utilizarlo para obtener el token de acceso.

La extensión PKCE utiliza una clave aleatoria de forma criptográfica creada dinámicamente para garantizar la prueba de posesión por parte del cliente. Workspace ONE Access admite la habilitación de PKCE para clientes públicos OAuth 2.0 y clientes que participan en el flujo de código de autorización. Junto con la compatibilidad con PKCE, Workspace ONE Access ahora admite la creación de clientes públicos OAuth 2.0. Los clientes públicos son útiles para las aplicaciones que se ejecutan en un navegador o en un dispositivo móvil que no puede mantener seguro el secreto de cliente registrado.

PKCE está habilitado de forma predeterminada y es obligatorio para todos los clientes públicos creados en Workspace ONE Access.

Autenticación elegida por el usuario

Nos complace anunciar la disponibilidad de la funcionalidad de autenticación elegida por el usuario con Workspace ONE Access. Con esta nueva función, los usuarios tienen la flexibilidad de elegir entre un conjunto de opciones de autenticación que se les presentan para su autenticación de segundo factor.

Esta función es particularmente valiosa en escenarios en los que es posible que los usuarios no tengan acceso a su opción de autenticación en el segundo factor, como un teléfono inteligente para recibir notificaciones push. En estos casos, los usuarios pueden optar sin problemas por un método alternativo entre las opciones presentadas para completar correctamente la secuencia de inicio de sesión.

Los administradores configuran directivas para controlar la disponibilidad de varias opciones de autenticación para los requisitos de autenticación específicos. Además, se pueden configurar parámetros de acceso condicional como el rango de redes, las especificaciones de los dispositivos, el estado de administración de dispositivos o los grupos de usuarios para proteger y personalizar la experiencia de autenticación para los usuarios finales.

Esta función solo está disponible en Workspace ONE Access SaaS. 

Compatibilidad para el SDK de Duo v4 con la solicitud universal de Duo

Workspace ONE Access ahora es compatible con el SDK de Duo v4. Duo v4 es compatible con la nueva solicitud universal de Duo que proporciona una experiencia de inicio de sesión de Duo simplificada y accesible para aplicaciones basadas en web y ofrece una interfaz visual rediseñada con mejoras de seguridad y facilidad de uso. Los usuarios de Workspace ONE Access se migran automáticamente de la solicitud tradicional de Duo a la solicitud universal de Duo tras implementarse esta compatibilidad. No se requiere ninguna acción por parte del administrador para habilitar este cambio.

Compatibilidad con Horizon Client y el inicio de aplicaciones desde accesos directos

Workspace ONE Access ahora proporciona la capacidad de volver a iniciar las aplicaciones y los escritorios virtuales publicados de Horizon desde accesos directos mediante direcciones URL de inicio. Antes de esta versión, al iniciar un acceso directo que apuntaba a Horizon Client o la aplicación, se dirigía a los usuarios a una pantalla en blanco que bloqueaba el inicio del cliente o la aplicación. Con esta actualización, se proporciona al usuario información de la aplicación y una opción de inicio. 

Workspace ONE Access Connector 23.09

Workspace ONE Access Connector 23.09 es compatible con Workspace ONE Access Cloud, Workspace ONE Access On-premise 23.09 y Workspace ONE Access para FedRAMP.

A continuación se muestra una lista de los problemas resueltos de Connector.

• HW-180874: Se ignora la opción Cliente de inicio predeterminado para las colecciones de aplicaciones virtuales de Horizon

• HW-170798: No se pueden sincronizar las colecciones de aplicaciones virtuales de Horizon Enterprise cuando se utiliza una conexión a través de un proxy

• HW-174051: Al actualizar una colección de aplicaciones virtuales, se restablece el rango de redes

• HW-172671: Error en el inicio de la aplicación Citrix en Firefox

• HW-171435: Se produce un error en el inicio de la aplicación Citrix cuando el primer conector de la colección de aplicaciones virtuales está inactivo

• HW-170576: No se pueden sincronizar las colecciones de aplicaciones virtuales cuando se utiliza una conexión a través de un proxy

• HW-174269: Workspace ONE Access Connector 22.09.1 no se puede instalar cuando el nombre de dominio tiene un carácter "_"

• HW-181989: Al guardar o sincronizar una colección de aplicaciones virtuales de Horizon cuando un servidor de Horizon está inactivo, se eliminan los metadatos existentes

• HW-170576: Cuando se configura un proxy, el servicio de aplicaciones virtuales no puede recuperar metadatos de una configuración de agente de pod único de Horizon Cloud Service

Anuncio de la disponibilidad general del SSO móvil para la autenticación de dispositivos Apple

Nos complace anunciar la disponibilidad general de la autenticación SSO móvil para dispositivos Apple: la función de SSO móvil de última generación en Workspace ONE Access.

Como parte de la especificación de MDM y el SDK de iOS 13, Apple introdujo una nueva extensión de SSO multiplataforma que ofrece un enfoque de SSO nativo mediante protocolos de federación estándar. El SSO móvil para dispositivos Apple en Workspace ONE Access aprovecha este SDK de extensión de SSO nativo en Apple.

Además de proporcionar SSO directo en dispositivos iOS y iPadOS, el SSO móvil para Apple en Workspace ONE Access ofrece autenticación biométrica configurable, que permite utilizar autenticadores biométricos integrados en la plataforma, como TouchID, FaceID o el código de acceso, para realizar autenticaciones adicionales antes de acceder a las aplicaciones.

El método de autenticación SSO móvil para Apple tiene la capacidad de limitar el inicio de sesión único a las aplicaciones seleccionadas. La solución utiliza la autenticación basada en certificados para Workspace ONE Access y admite los casos prácticos de Check-in/Check-out de dispositivos iOS compartidos de Workspace ONE.

AVISO: Workspace ONE Intelligent Hub deben estar instalado en los dispositivos que participan en el SSO.

El SSO móvil para Apple sustituye al SSO móvil para iOS disponible con Workspace ONE Access actualmente. Sin embargo, ambas soluciones pueden coexistir como parte de la configuración de la migración. Se recomienda realizar una migración gradual de SSO móvil para iOS a SSO móvil para Apple. Puede encontrar los pasos de migración aquí.

Esta función solo está disponible en el entorno de Workspace ONE Access en la nube.

Compatibilidad con dispositivos Windows 11 en reglas de directivas de Workspace ONE Access

Workspace ONE Access ahora reconoce los dispositivos Windows 11 para la inscripción y el acceso condicional. Antes de esta compatibilidad, las directivas de acceso con el tipo de dispositivo establecido en Windows 10 no se aplicaban a los dispositivos Windows 11. Con esta actualización, se utilizarán las reglas de tipo de dispositivo Windows 10+ para los dispositivos Windows 10 y Windows 11. Esta funcionalidad es compatible con todos los dispositivos Windows 11, incluidos los dispositivos móviles y de escritorio.

Workspace ONE Access ahora admite FIDO2 como autenticador principal

Workspace ONE Access ahora permite configurar los autenticadores FIDO2 como autenticadores principales. Anteriormente, estos autenticadores solo se admitían para la autenticación incremental. En esta versión, los usuarios finales pueden autenticarse en Workspace ONE Access con autenticadores FIDO2 y registrarlos personalmente. Se admiten tanto autenticadores de plataforma (dispositivos móviles, portátiles, etc., compatibles con FIDO2) como autenticadores externos (dispositivos seguros USB, Yubikey, etc.).

Interrupción de la funcionalidad en las instancias de VMware Identity Manager Connector no compatibles

En esta versión de Workspace ONE Access Cloud, cesará toda la funcionalidad en las instancias de Connector que no son compatibles con ningún entorno. Para mantener activas todas las funciones, debe estar en uso una versión compatible de Workspace ONE Access Connector.

Con este cambio, se interrumpirán las siguientes funciones en los entornos donde se ejecuten instancias de Connector no compatibles:

1. Integración del directorio de Active Directory y otros servidores LDAP compatibles

2. Cambio de contraseña para los usuarios de Active Directory

3. Autenticación de usuarios con métodos basados en Connector

4. Integración de colecciones de aplicaciones virtuales (incluido el inicio) 

Puede encontrar más información en este artículo de la base de conocimientos de VMware.

Se renovó la interfaz de informes de Workspace ONE Access en la consola de Workspace ONE Access

Se reestructuraron los informes de Workspace ONE Access para los usuarios administradores. Este nuevo diseño está actualizado y permite navegar fácilmente por los siguientes informes:

• Actividad reciente

• Uso de recursos

• Autorizaciones de recursos

• Actividad del recurso

• Pertenencia a grupos

• Usuarios

• Uso del dispositivo

• Estado de aprovisionamiento

• Auditar eventos

Las acciones se pueden volver a configurar fácilmente en la nueva página de configuración de funciones de la consola de Workspace ONE Access

La nueva navegación de configuración de funciones permite agregar, eliminar y volver a configurar todas las acciones para un servicio. Las funciones se pueden personalizar de cualquier forma con acciones específicas para cada servicio. Los usuarios que pueden administrar funciones de administrador también podrán eliminar cualquiera de las acciones configuradas para un servicio (o todas ellas).

Funcionalidad reducida de las instancias de VMware Identity Manager Connector no compatibles

En la versión de marzo de Workspace ONE Access Cloud, cualquier entorno que utilice conectores no compatibles ya no podrá crear, editar ni eliminar directorios. Para mantener activas todas las funciones, debe estar en uso una versión compatible de Workspace ONE Access Connector. Se recomienda encarecidamente a todos los clientes que migren a la versión más reciente de Connector lo antes posible.

La capacidad de sincronizar directorios preexistentes seguirá funcionando para las sincronizaciones programadas y a petición. Puede encontrar más información en https://kb.vmware.com/s/article/90808.

Páginas de navegación de Workspace ONE Access actualizadas

Estamos agregando nuevas páginas de navegación a la consola de Workspace ONE Access, que se renovaron con un diseño actualizado. Las siguientes páginas tienen un aspecto nuevo.

• Página integración de UEM

• Página de directorio

• Página del proveedor de identidad

Las páginas Detección automática y Términos de uso se eliminaron porque están relacionadas con Workspace ONE App, que alcanzó el fin de vida. Puede encontrar información sobre el fin de la vida de Workspace ONE App en las notas de la versión de abril de 2022.

Nueva opción para mostrar la contraseña en la pantalla de inicio de sesión

Presentamos una nueva opción en la pantalla de inicio de sesión para permitir que los usuarios seleccionen mostrar la contraseña cuando se les solicite iniciar sesión y autenticarse mediante los servicios de Workspace ONE Access. Esta nueva función estará disponible en las pantallas de autenticación que utilicen el método de autenticación de contraseña.

Workspace ONE Access ahora admite la autenticación FIDO2 en navegadores móviles

Workspace ONE Access ahora permite que los autenticadores FIDO2 se registren y se utilicen para la autenticación en navegadores móviles. La compatibilidad anterior con el registro y la autenticación de FIDO2 se limitaba a los navegadores de escritorio. En esta versión, los usuarios finales pueden autenticarse en aplicaciones federadas de Workspace ONE Access mediante un autenticador FIDO2 (por ejemplo, YubiKey, Touch ID, Windows Hello, etc.) mediante navegadores móviles o de escritorio. Los usuarios finales también pueden registrar personalmente un autenticador FIDO2 para usarlo como factor autenticación principal o secundario.

Introducción a VMware Identity Services

Si es un nuevo cliente de Workspace ONE Access y Workspace ONE UEM, hemos agregado un servicio que facilitará el aprovisionamiento de usuarios y la federación. Ahora puede aprovechar VMware Identity Services para configurar un directorio aprovisionado de usuarios y grupos mediante el protocolo SCIM 2.0 en la consola de administración de nube de Workspace ONE. VMware Identity Services aprovisionará automáticamente usuarios y grupos, así como ajustes de autenticación, a las consolas de administración de Workspace ONE UEM y Workspace ONE Access. 

Orígenes de directorios y proveedores de identidades compatibles:

• Azure AD, un servicio de identidad basado en la nube en Microsoft Azure

• Un origen de identidad de SCIM 2.0 genérico (probado para Okta)

Para obtener más información, consulte las Notas de la versión de VMware Identity Services.

Compatibilidad del componente

Versiones de Windows Server compatibles

Workspace ONE Access Connector 23.09 admite las siguientes versiones.

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

Navegadores web compatibles

• Mozilla Firefox, versión más reciente

• Google Chrome, versión más reciente

• Safari, versión más reciente

• Microsoft Edge, versión más reciente

Servidores de directorio compatibles

• Active Directory - Windows Server 2022, Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2 con las opciones Nivel funcional del dominio y Nivel funcional de bosque de Windows 2003 y versiones posteriores.

• OpenLDAP - 2.4

• Oracle LDAP - Directory Server Enterprise Edition 11g, versión 1 (11.1.1.7.0)

• IBM Tivoli Directory Server 6.3.1

Compatibilidad con aplicaciones virtuales

Connector Workspace ONE Access 23.09 admite integraciones de VMware Horizon, Horizon Cloud Service, Citrix y ThinApp con el servicio de aplicaciones virtuales.

Las siguientes versiones de Citrix son compatibles: Citrix Virtual Apps & Desktops 7 2203, Citrix Virtual Apps & Desktops 7 1912 LTSR, XenApp & XenDesktop 7.15 LTSR, y XenApp & XenDesktop 7.6 LTSR. Las siguientes versiones de Citrix Gateway son compatibles: 12.1-62.27, 12.1-65.25 y 13.1-37.38. Connector es compatible con la API de Citrix StoreFront y no con el SDK de la interfaz web de Citrix.

Para obtener información sobre las versiones de Horizon compatibles, consulte la Matriz de interoperabilidad de productos de VMware.

Matriz de compatibilidad

La Matriz de interoperabilidad de productos de VMware proporciona detalles sobre la compatibilidad de las versiones actuales y anteriores de productos y componentes de VMware como, por ejemplo, VMware vCenter Server, VMware ThinApp y Horizon.

Actualizar a VMware Workspace ONE Access Connector 23.09 (Windows)

La actualización a Workspace ONE Access Connector 23.09 se admite desde las versiones 22.09.1.0, 22.09.0.0, 22.05, 21.08.0.1 y 21.08.0.0.

Consulte la guía Actualizar a VMware Workspace ONE Access Connector 23.09 para obtener más información.

Migrar a Workspace ONE Access Connector 23.09 (Windows)

Puede migrar a Workspace ONE Access Connector 22.09.1.0 desde las mismas versiones compatibles con 22.09.0.0

Desde Workspace ONE Access Connector versión 19.03.x, hay disponible una ruta de migración a la versión 22.09. El proceso incluye la instalación de nuevas instancias de Connector 22.09 y la migración de los directorios existentes y las colecciones de aplicaciones virtuales a las nuevas instancias de Connector. La migración es un proceso único y deben migrarse los directorios y las colecciones de aplicaciones virtuales conjuntamente.

Una vez completada la migración, ya no necesitará Integration Broker para las integraciones de Citrix. La funcionalidad requerida ahora forma parte del componente de servicio de aplicaciones virtuales de Workspace ONE Access Connector.

Consulte la guía Migrar a VMware Workspace ONE Access Connector 22.09 para obtener más información.

Después de migrar los conectores heredados a la versión 22.09, puede actualizarlos a la versión 23.09.

La documentación de VMware Workspace ONE Access se encuentra en el Centro de documentación de VMware Workspace ONE Access.

VMware Workspace ONE Access está disponible en los siguientes idiomas.

• Inglés

• Francés

• Alemán

• Español

• Japonés

• Chino simplificado

• Coreano

• Chino tradicional

• Ruso

• Italiano

• Portugués (Brasil)

• Neerlandés

Póngase en contacto con el soporte de VMware si necesita ayuda con su entorno de Workspace ONE Access. Puede enviar una solicitud de soporte al soporte técnico de VMware en línea utilizando su cuenta de VMware CustomerConnect o por teléfono.

En el artículo 2151511 de la base de conocimientos, Cómo acceder al soporte de VMware Workspace ONE se describe cómo ponerse en contacto con el soporte de Workspace ONE.