Cette section couvre la configuration de Workspace ONE Access en tant que fournisseur d'identité (IdP) pour VMware Cloud Web Security. Nous abordons d'abord la configuration de Workspace ONE, puis la configuration de VMware Cloud Orchestrator.
Conditions préalables
Les utilisateurs ont besoin des éléments suivants pour configurer Workspace ONE en tant que fournisseur d'identité avec
VMware Cloud Web Security :
- Un compte Workspace ONE.
- Une entreprise cliente sur une instance de VMware Cloud Orchestrator de production avec Cloud Web Security activé. Orchestrator doit utiliser la version 4.5.0 ou une version ultérieure.
Configuration de Workspace ONE Access
- Créez des utilisateurs et des groupes. Associez les utilisateurs au groupe.
- Accédez à .
- Cliquez sur Nouveau (New) pour ajouter une Nouvelle application (New application).
- Nommez l'application VMware CWS et cliquez sur Suivant (Next).
- Sur la section Configuration :
- Entrez les informations suivantes pour Single Sign-On :
- Type d'authentification : SAML 2.0
- Configuration : manuelle
- URL Single Sign-On : https://safe-cws-sase.vmware.com/safeview-auth-server/saml
- URL destinataire : https://safe-cws-sase.vmware.com/safeview-auth-server/saml
- ID d'application : https://safe-cws-sase.vmware.com/safeview-auth-server/saml/metadata
- Format du nom d'utilisateur : adresse e-mail ([email protected])
- Valeur du nom d'utilisateur : ${user.email}
- Cliquez sur Propriétés avancées (Advanced Properties) et ajoutez un Mappage d'attributs personnalisés (Custom Attribute Mapping), comme suit. Cette configuration permet d'envoyer des attributs de groupes dans l'assertion SAML.
Note : Le champ Nom (Name) doit être « groupes » et le champ Valeur (Value) est ${groupNames}.
- Cliquez sur Suivant (Next).
- Entrez les informations suivantes pour Single Sign-On :
- Sur la page Stratégies d'accès (Access Policies), « default_access_policy_set » est automatiquement sélectionné.
- Cliquez sur Suivant (Next), puis sur Enregistrer et attribuer (Save and Assign).
- Sous Paramètres (Settings). , cliquez sur
- Dans la fenêtre Paramètres (Settings), accédez à la section Métadonnées SAML (SAML Metadata).
- Cliquez sur Métadonnées du fournisseur d'identité (Identity Provider (IdP) metadata). Cette action ouvre une nouvelle fenêtre dans votre navigateur avec des données XML. Copiez les URL « ID d'entité (entityID) » et « Emplacement (Location) » dans un bloc-notes.
- ID d'entité (entityID) : https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
- Emplacement (Location) : https://<ws1access_server>/SAAS/auth/federation/sso
où <ws1access-server> est le serveur Workspace ONE Access dans votre environnement.
- Revenez à la fenêtre Paramètres (Settings), puis copiez le contenu de Certificate de signature (Signing Certificate) dans le bloc-notes.
- Attribuez des groupes d'utilisateurs à l'application Web CWS VMware.
Configuration de VMware Cloud Orchestrator
- Connectez-vous à la nouvelle interface utilisateur d'Orchestrator.
- Accédez à Paramètres du fournisseur d'identité (Identity Provider Settings) s'ouvre. . La page
- Définissez Single Sign-On sur Activé (Enabled).
- Configurez les paramètres suivants :
- Pour Serveur SAML accessible par Internet (SAML Server Internet Accessible), sélectionnez Oui (Yes)
- Pour Fournisseur SAML (SAML Provider), sélectionnez Workspace ONE Access
- Pour Point de terminaison SAML 2.0 (SAML 2.0 Endpoint), copiez l'URL Emplacement (Location) à partir du bloc-notes. Par exemple, Emplacement (Location) : https://<ws1access_server>/SAAS/auth/federation/sso
- Pour Identifiant de service (émetteur) (Service Identifier (Issuer)), copiez l'URL ID d'entité (entityID) à partir du bloc-notes. Par exemple, ID d'entité (entityID) : https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
- Pour un certificat X.509, cliquez sur Ajouter un certificat (Add Certificate), puis copiez le certificat à partir du bloc-notes et collez-le ici.
- Cliquez sur Enregistrer les modifications (Save Changes).
- Ajoutez une règle de contournement SSL pour le domaine Workspace ONE Access.
- Accédez à .
- Sélectionnez une stratégie existante pour ajouter une règle de contournement SSL et cliquez sur le bouton Modifier (Edit).
- Cliquez sur l'onglet Inspection SSL (SSL inspection), puis cliquez sur + AJOUTER UNE RÈGLE (+ ADD RULE). L'écran Créer une exception SSL (Create SSL Exception) s'affiche.
- Dans l'écran Créer une exception SSL (Create SSL Exception), configurez les éléments suivants, puis cliquez sur Suivant (Next) :
- Pour Ignorer l'inspection SSL basée sur (Skip SSL Inspection based on), sélectionnez Destination.
- Pour Type de destination (Destination Type), sélectionnez Hôte/domaine de destination (Destination Host/Domain).
- Pour Domaine (Domain), entrez vidmpreview.com.
- Dans l'écran Noms et balises (Name and Tags), entrez un nom unique pour la règle et ajoutez un motif, si nécessaire.
- Cliquez sur Terminer (Finish), puis sur Publier (Publish) pour publier la stratégie de sécurité applicable et appliquer cette nouvelle règle.
Important : Le domaine vidmpreview.com fait partie de la paire de domaines Workspace ONE comme indiqué dans le document : Domaines et CIDR dans lesquels une règle de contournement de l'inspection SSL est recommandée. Si vous avez déjà configuré une règle de contournement SSL qui inclut les domaines Workspace ONE, vous pouvez ignorer cette étape. Si vous tentez de configurer la règle ci-dessus tout en disposant déjà de l'ensemble de domaines Workspace ONE inclus dans une règle de contournement SSL existante, la nouvelle règle génère une erreur, car une seule instance de domaine de contournement SSL est autorisée ou nécessaire par client d'entreprise.Pour plus d'informations sur les domaines sur lesquels des règles de contournement SSL doivent être configurées, reportez-vous à la section Domaines et CIDR dans lesquels une règle de contournement de l'inspection SSL est recommandée.
Vérification de votre configuration
La vérification de votre configuration peut être effectuée à l'aide d'une ou de plusieurs règles de stratégie Web basées sur un groupe sur
Cloud Web Security. Par exemple, l'utilisation du filtrage d'URL et le blocage de Twitter.com.
Ajoutez les groupes à prendre en compte pour la règle de filtre d'URL.
Note : Les groupes doivent être spécifiés manuellement. Il n'existe aucune capacité de « recherche » pour sélectionner les groupes. Ajoutez le nom du groupe lors de leur configuration dans Workspace ONE Access.
Consultez les journaux Web sous
.