Cette section couvre la configuration de Workspace ONE Access en tant que fournisseur d'identité (IdP) pour VMware Cloud Web Security. Nous abordons d'abord la configuration de Workspace ONE, puis la configuration de VMware Cloud Orchestrator.
Conditions préalables
Les utilisateurs ont besoin des éléments suivants pour configurer Workspace ONE en tant que fournisseur d'identité avec
VMware Cloud Web Security :
Un compte Workspace ONE.
Une entreprise cliente sur une instance de VMware Cloud Orchestrator de production avec Cloud Web Security activé. Orchestrator doit utiliser la version 4.5.0 ou une version ultérieure.
Configuration de Workspace ONE Access
Créez des utilisateurs et des groupes. Associez les utilisateurs au groupe.
Accédez à Catalogue (Catalog) > Applications Web (Web Apps).
Cliquez sur Nouveau (New) pour ajouter une Nouvelle application (New application).
Nommez l'application VMware CWS et cliquez sur Suivant (Next).
Sur la section Configuration :
Entrez les informations suivantes pour Single Sign-On :
Cliquez sur Propriétés avancées (Advanced Properties) et ajoutez un Mappage d'attributs personnalisés (Custom Attribute Mapping), comme suit. Cette configuration permet d'envoyer des attributs de groupes dans l'assertion SAML.
Note : Le champ Nom (Name) doit être « groupes » et le champ Valeur (Value) est ${groupNames}.
Cliquez sur Suivant (Next).
Sur la page Stratégies d'accès (Access Policies), « default_access_policy_set » est automatiquement sélectionné.
Cliquez sur Suivant (Next), puis sur Enregistrer et attribuer (Save and Assign).
Sous Catalogue (Catalog) > Applications Web (Web Apps), cliquez sur Paramètres (Settings).
Dans la fenêtre Paramètres (Settings), accédez à la section Métadonnées SAML (SAML Metadata).
Cliquez sur Métadonnées du fournisseur d'identité (Identity Provider (IdP) metadata). Cette action ouvre une nouvelle fenêtre dans votre navigateur avec des données XML. Copiez les URL « ID d'entité (entityID) » et « Emplacement (Location) » dans un bloc-notes.
ID d'entité (entityID) : https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
où <ws1access-server> est le serveur Workspace ONE Access dans votre environnement.
Revenez à la fenêtre Paramètres (Settings), puis copiez le contenu de Certificate de signature (Signing Certificate) dans le bloc-notes.
Attribuez des groupes d'utilisateurs à l'application Web CWS VMware.
Configuration de VMware Cloud Orchestrator
Connectez-vous à la nouvelle interface utilisateur d'Orchestrator.
Accédez à Cloud Web Security > Configurer (Configure) > Paramètres d'entreprise (Enterprise Settings) > Fournisseur d'identité (Identity Provider). La page Paramètres du fournisseur d'identité (Identity Provider Settings) s'ouvre.
Définissez Single Sign-On sur Activé (Enabled).
Configurez les paramètres suivants :
Pour Serveur SAML accessible par Internet (SAML Server Internet Accessible), sélectionnez Oui (Yes)
Pour Fournisseur SAML (SAML Provider), sélectionnez Workspace ONE Access
Pour Point de terminaison SAML 2.0 (SAML 2.0 Endpoint), copiez l'URL Emplacement (Location) à partir du bloc-notes. Par exemple, Emplacement (Location) : https://<ws1access_server>/SAAS/auth/federation/sso
Pour Identifiant de service (émetteur) (Service Identifier (Issuer)), copiez l'URL ID d'entité (entityID) à partir du bloc-notes. Par exemple, ID d'entité (entityID) : https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
Pour un certificat X.509, cliquez sur Ajouter un certificat (Add Certificate), puis copiez le certificat à partir du bloc-notes et collez-le ici.
Cliquez sur Enregistrer les modifications (Save Changes).
Ajoutez une règle de contournement SSL pour le domaine Workspace ONE Access.
Accédez à Cloud Web Security > Configurer (Configure) > Stratégies de sécurité (Security Policies).
Sélectionnez une stratégie existante pour ajouter une règle de contournement SSL et cliquez sur le bouton Modifier (Edit).
Cliquez sur l'onglet Inspection SSL (SSL inspection), puis cliquez sur + AJOUTER UNE RÈGLE (+ ADD RULE). L'écran Créer une exception SSL (Create SSL Exception) s'affiche.
Dans l'écran Créer une exception SSL (Create SSL Exception), configurez les éléments suivants, puis cliquez sur Suivant (Next) :
Pour Ignorer l'inspection SSL basée sur (Skip SSL Inspection based on), sélectionnez Destination.
Pour Type de destination (Destination Type), sélectionnez Hôte/domaine de destination (Destination Host/Domain).
Pour Domaine (Domain), entrez vidmpreview.com.
Dans l'écran Noms et balises (Name and Tags), entrez un nom unique pour la règle et ajoutez un motif, si nécessaire.
Cliquez sur Terminer (Finish), puis sur Publier (Publish) pour publier la stratégie de sécurité applicable et appliquer cette nouvelle règle.
Important : Le domaine
vidmpreview.com fait partie de la paire de domaines
Workspace ONE comme indiqué dans le document :
Domaines et CIDR dans lesquels une règle de contournement de l'inspection SSL est recommandée. Si vous avez déjà configuré une règle de contournement SSL qui inclut les domaines
Workspace ONE, vous pouvez ignorer cette étape. Si vous tentez de configurer la règle ci-dessus tout en disposant déjà de l'ensemble de domaines
Workspace ONE inclus dans une règle de contournement SSL existante, la nouvelle règle génère une erreur, car une seule instance de domaine de contournement SSL est autorisée ou nécessaire par client d'entreprise.
La vérification de votre configuration peut être effectuée à l'aide d'une ou de plusieurs règles de stratégie Web basées sur un groupe sur
Cloud Web Security. Par exemple, l'utilisation du filtrage d'URL et le blocage de Twitter.com.
Ajoutez les groupes à prendre en compte pour la règle de filtre d'URL.
Note : Les groupes doivent être spécifiés manuellement. Il n'existe aucune capacité de « recherche » pour sélectionner les groupes. Ajoutez le nom du groupe lors de leur configuration dans Workspace ONE Access.
Consultez les journaux Web sous Cloud Web Security > Surveiller (Monitor) > Journaux Web (Web Logs).
