Workspace ONE Access Connector 22.09 peut effectuer des opérations de chiffrement à l'aide d'algorithmes conformes à FIPS (Federal Information Processing Standard) 140-2. Vous pouvez activer l'utilisation de ces algorithmes en effectuant une nouvelle installation de Workspace ONE Access Connector 22.09 en mode FIPS ou en mettant à niveau une instance de 22.05 installée en mode FIPS vers la version 22.09.
La norme FIPS (Federal Information Processing Standard) 140-2 est une norme gouvernementale des États-Unis et du Canada qui spécifie les conditions requises de sécurité pour les modules de chiffrement. Reportez-vous à la page d'informations des normes FIPS (Federal Information Processing Standards) de VMware.
Workspace ONE Access Connector ne prend pas en charge la mise à niveau ou la migration d'une installation non-FIPS vers une installation FIPS, ou inversement. Toutes les versions de Connector antérieures à la version 22.05 étaient des installations non-FIPS.
- Workspace ONE Access Connector en mode FIPS est pris en charge uniquement avec les locataires FedRAMP de Workspace ONE Access. Les autres types d'installations de locataires et de Workspace ONE Access sur site ne prennent pas en charge le connecteur en mode FIPS.
- Le service d'applications virtuelles ne prend pas en charge le mode FIPS. Les instances de Workspace ONE Access Connector avec le mode FIPS activé ne prennent pas en charge l'intégration à Citrix, Horizon, Horizon Cloud Service on Microsoft Azure avec un broker à espace unique ou Horizon Cloud Service on IBM Cloud ou ThinApp. Une instance de Workspace ONE Access Connector avec le mode FIPS activé prend en charge l'intégration d'applications virtuelles exécutées dans Horizon Cloud Service on Microsoft Azure avec Universal Broker.
Installation de Workspace ONE Access Connector en mode FIPS
Pour activer le mode FIPS pour Workspace ONE Access Connector, sélectionnez l'option Activer FIPS pendant l'installation.
- Vous ne pouvez pas changer de mode après l'installation et passer du mode FIPS au mode non-FIPS, ou inversement. Par conséquent, examinez attentivement la configuration requise et les conditions préalables et indiquez si vous souhaitez activer FIPS ou non avant de commencer l'installation.
- Sachez également qu'une installation FIPS ne peut être mise à niveau que vers une installation FIPS et qu'une installation non-FIPS ne peut être mise à niveau que vers une installation non-FIPS.
Configuration requise et conditions préalables pour le mode FIPS
Pour le connecteur en mode FIPS, la configuration requise et les conditions préalables suivantes s'appliquent.
- Veillez à installer toutes les instances de connecteur en mode FIPS. Toutes les instances de connecteur associées à un locataire Workspace ONE Access doivent s'exécuter en mode FIPS ou non-FIPS, quels que soient les services d'entreprise qui sont installés sur celles-ci. Ne déployez pas certaines instances de connecteur en mode FIPS et d'autres en mode non-FIPS.
- Pour les annuaires de type Active Directory via l'authentification Windows intégrée (IWA) :
- Pour créer un annuaire de type Active Directory sur IWA dans Workspace ONE Access, le mot de passe de l'utilisateur de nom unique de liaison doit comporter au moins 14 caractères.
- La longueur minimale de 14 caractères des mots de passe s'applique également à tous les utilisateurs synchronisés dans l'annuaire IWA.
- Si l'attribut sAMAccountName est utilisé, le sAMAccountName de l'utilisateur et le nom de domaine ne doivent pas dépasser 16 caractères.
- Pour la fonctionnalité Modifier le mot de passe pour Active Directory :
- La fonctionnalité Modifier le mot de passe pour Active Directory nécessite une longueur minimale de 14 caractères pour les mots de passe des utilisateurs finaux.
Les mots de passe existants doivent répondre à cette condition requise. Les utilisateurs ne pourront pas modifier leurs mots de passe à partir du portail ou de l'application Intelligent Hub si leurs mots de passe existants comportent moins de 14 caractères.
Les nouveaux mots de passe doivent également répondre à cette condition requise. Vous ne pouvez pas imposer le minimum de 14 caractères lorsque les utilisateurs créent un mot de passe à partir du portail ou de l'application Intelligent Hub. Cependant, si le nouveau mot de passe ne comporte pas au moins 14 caractères, l'utilisateur ne pourra pas le modifier à nouveau. En outre, si l'utilisateur est rattaché à un annuaire de type Active Directory via l'authentification Windows intégrée, il ne pourra pas se connecter au portail ou à l'application Intelligent Hub avec le nouveau mot de passe.
- Si l'attribut sAMAccountName est utilisé, le sAMAccountName de l'utilisateur et le nom de domaine ne doivent pas dépasser 16 caractères.
- La fonctionnalité Modifier le mot de passe pour Active Directory nécessite une longueur minimale de 14 caractères pour les mots de passe des utilisateurs finaux.
- Si vous configurez la connexion sur Active Directory lorsque l'option STARTTLS requis pour toutes les connexions ou LDAPS requis pour toutes les connexions est sélectionnée, les contrôleurs de domaine doivent disposer de certificats signés par une autorité de certification publique valide.
Il est recommandé de mettre en œuvre les conditions préalables suivantes avant d'installer Workspace ONE Access Connector en mode FIPS.
