Configurez les applications SaaS pour exiger une approbation afin que les utilisateurs puissent y accéder. Utilisez cette fonctionnalité si vous disposez d'applications SaaS qui utilisent des licences d'accès pour simplifier la gestion des activations de licences. Lorsque vous activez les approbations, configurez le paramètre Approbation de licence requise correspondant dans l'enregistrement d'application SaaS applicable.

  • Workflow d'approbation – Les utilisateurs voient l'application dans leur catalogue Workspace ONE et demandent à l'utiliser. Workspace ONE Access envoie le message de demande d'approbation à l'URL du point de terminaison REST d'approbation configuré de l'organisation. Le système examine la demande et envoie un message d'approbation ou de refus à Workspace ONE Access. Lorsqu'une application est approuvée, le statut de l'application passe d'En attente à Ajouté, et l'application s'affiche sur la page de démarrage de Workspace ONE de l'utilisateur.
  • Moteurs d'approbation – Le système propose deux moteurs d'approbation.
    • API REST – Le moteur d'approbation API REST utilise un outil d'approbation externe qui effectue un routage via votre serveur Web API REST pour traiter les réponses de demande et d'approbation. Entrez l'URL de votre API REST dans le service Workspace ONE Access, puis configurez votre API REST avec les identifiants du client OAuth Workspace ONE Access et l'action de demande et de réponse à l'appel.
    • API REST via Connector – L'API REST via le moteur d'approbation Connector achemine les appels de rappel via le connecteur à l'aide du canal de communication basé sur Websocket. Configurez votre point de terminaison d'API REST avec l'action de demande et de réponse à l'appel.

Métadonnées SAML et certificats auto-signés ou certificats émanant d'autorités de certification

Vous pouvez utiliser les certificats SAML dans la page Paramètres pour les systèmes d'authentification, comme l'authentification unique mobile. Le service Workspace ONE Access crée automatiquement un certificat auto-signé pour la signature SAML. Cependant, certaines entreprises requièrent des certificats émanant d'autorités de certification. Pour demander un certificat à votre autorité de certification, générez une demande de signature de certificat (CSR, Certificate Signing Request) dans Paramètres. Vous pouvez alors utiliser un certificat pour authentifier les utilisateurs auprès des applications SaaS.

Envoyez le certificat aux applications fiables pour configurer l'authentification entre l'application et le système Workspace ONE.

Vous pouvez ajouter des fournisseurs d'identité tiers pour authentifier les utilisateurs dans Workspace ONE Access. Pour configurer l'instance de fournisseur, utilisez les métadonnées du fournisseur d'identité et du fournisseur de service que vous avez copiées dans la section Paramètres dans la console AirWatch. Pour obtenir des informations détaillées sur la configuration des fournisseurs tiers, consultez la section Configurer une instance de fournisseur d'identité pour authentifier des utilisateurs dans la documentation Workspace ONE Access.

Vous pouvez configurer votre source d'application en sélectionnant le fournisseur d'identité tiers correspondant. Une fois la source d'application configurée, vous pouvez créer les applications associées.

Configurer des approbations pour vos applications SaaS

Utilisez des approbations pour les applications SaaS qui activent les licences pour utilisation. Lorsque l'option Approbation de licence requise correspondante est activée, les utilisateurs demandent l'accès aux applications SaaS applicables à partir du catalogue Workspace ONE avant l'installation et l'activation de la licence.

  1. Accédez à Ressources > Applications > SaaS et sélectionnez Paramètres.
  2. Sélectionnez Approbations.
  3. Sélectionnez Oui pour activer la fonctionnalité.
  4. Sélectionnez un moteur d'approbation que le système utilisera pour demander des approbations.
  5. Entrez l'Uniform Resource Identifier (URI) de rappel de la ressource REST qui écoute la demande d'appel.
  6. Entrez le nom d'utilisateur, si l'API REST requiert des identifiants pour autoriser l'accès.
  7. Entrez le mot de passe associé au nom d'utilisateur, si l'API REST requiert des identifiants pour autoriser l'accès.
  8. Entrez le certificat SSL au format Privacy-enhanced Electronic Mail (PEM) pour l'option Certificat SSL au format PEM, si la ressource REST s'exécute sur un serveur disposant d'un certificat auto-signé ou d'un certificat non approuvé par une autorité de certification publique et si elle utilise le protocole HTTPS.

Configurer les métadonnées SAML pour la capacité Single Sign-On

Récupérez les métadonnées et les certificats SAML sur la page Paramètres pour les capacités Single Sign-on avec des applications SaaS.

Important : toutes les connexions d'authentification unique qui dépendent des métadonnées SAML existantes s'arrêtent lorsque la génération d'une demande de signature de certificat (CSR) crée les nouvelles métadonnées SAML.

Remarque : Si vous remplacez un certificat SSL existant, cette action modifie les métadonnées SAML existantes. si vous remplacez un certificat SSL, vous devez mettre à jour avec le dernier certificat les applications SaaS que vous configurez pour la connexion unique mobile.

  1. Accédez à Ressources > Applications > SaaS et sélectionnez Paramètres.

  2. Sélectionnez Métadonnées SAML > Télécharger les métadonnées SAML et effectuez les tâches.

    Paramètre Description
    Métadonnées SAML Copiez et enregistrez les métadonnées du fournisseur d'identité et les métadonnées du fournisseur de services.
    Sélectionnez les liens et ouvrez une instance de navigateur avec les données XML.
    Configurez votre fournisseur d'identité tiers avec ces informations.
    Certificat de signature Copiez le certificat de signature qui inclut tout le code dans la zone de texte.
    Vous pouvez également télécharger le certificat pour l'enregistrer en tant que fichier TXT.
  3. Sélectionnez Générer une CSR et effectuez les tâches pour demander un certificat d'identité numérique (certificat SSL) à votre autorité de certification. Cette demande identifie votre nom, votre nom de domaine et votre clé publique. L'autorité de certification tierce l'utilise pour émettre le certificat SSL. Pour mettre à jour les métadonnées, importez le certificat signé.

    Paramètre – Nouveau certificat Description
    Nom commun Saisissez le nom de domaine complet du serveur de l'organisation.
    Groupe Entrez le nom de l'organisation tel qu'il est inscrit au registre des sociétés.
    Service Saisissez le service de votre entreprise auquel le certificat fait référence.
    Ville Saisissez la localité de résidence de l'organisation.
    État / Province Saisissez l'État ou la province de résidence officielle de l'organisation.
    Pays Saisissez le pays de résidence officielle de l'organisation.
    Algorithme de génération de clé Sélectionnez un algorithme de signature de la CSR.
    Taille de la clé Sélectionnez le nombre de bits utilisés dans la clé. Sélectionnez 2048 ou plus.
    Une taille de clé RSA inférieure à 2048 est considérée comme peu sûre.
    Définition – Remplacer un certificat Description
    Importer un certificat SSL Importez le certificat SSL envoyé par votre autorité de certification tierce partie.
    Demande de signature du certificat Importez la CSR. Envoyez la demande de signature de certificat à votre autorité de certification tierce partie.

Configuration d'une source d'application pour les fournisseurs d'identité tiers

L'ajout d'un fournisseur d'identité en tant que source d'application rationalise le processus d'ajout d'applications individuelles de ce fournisseur au catalogue de l'utilisateur final, car vous pouvez appliquer des paramètres et des stratégies configurés de la source d'application tierce à toutes les applications gérées par la source d'application.

Pour commencer, affectez le groupe ALL_USERS comme source d'application et sélectionnez une politique d'accès à appliquer.

Les applications Web qui utilisent le profil d'authentification SAML 2.0 peuvent être ajoutées au catalogue. La configuration de l'application est basée sur les paramètres configurés dans la source d'application. Seuls le nom de l'application et l'URL cible doivent être configurés.

Lorsque vous ajoutez des applications, vous pouvez autoriser des utilisateurs et des groupes spécifiques et appliquer une politique d'accès pour contrôler l'accès des utilisateurs à l'application. Les utilisateurs peuvent accéder à ces applications à partir de leurs postes de travail et de leurs terminaux mobiles.

Les politiques et paramètres configurés à partir de la source d'application tierce peuvent être appliqués à toutes les applications gérées par la source d'application. Les fournisseurs d'identité tiers envoient parfois une demande d'authentification sans inclure l'application à laquelle un utilisateur tente d'accéder. Si Workspace ONE Access reçoit une demande d'authentification qui n'inclut pas les informations d'application, les règles de la politique d'accès de sauvegarde configurés dans la source d'application sont appliquées.

Les fournisseurs d'identité suivants peuvent être configurés en tant que sources d'application.

  • Okta
  • Serveur PingFederated à partir de Ping Identity
  • Active Directory Federation Services (ADFS)

Configurez votre source d'application en sélectionnant le fournisseur d'identité tiers. Une fois la source d'application configurée, vous pouvez créer les applications associées et attribuer des autorisations aux utilisateurs.

  1. Accédez à Ressources > Applications > SaaS et sélectionnez Paramètres.

  2. Sélectionnez Sources d'application.

  3. Sélectionnez le fournisseur d'identité tiers. L'assistant de source d'application du fournisseur d'identité tiers s'affiche.

  4. Entrez un nom descriptif pour la source d'application et cliquez sur Suivant.

  5. Le type d'authentification par défaut est SAML 2.0 et est en lecture seule.

  6. Modifiez la configuration de la source d'application

    Paramètres de configuration - URL/XML

    Paramètre Description
    Configuration URL/XML est l'option par défaut des applications SaaS qui ne font pas encore partie de Workspace ONE Catalog.
    URL/XML Entrez l'URL si les métadonnées XML sont accessibles sur Internet.
    Collez le code XML dans la zone de texte si vous disposez des métadonnées XML alors qu'elles ne sont pas accessibles sur Internet.
    Utilisez la configuration manuelle si vous ne disposez pas des métadonnées XML.
    URL de l'état de relais Saisissez l'URL de la page vers laquelle vous souhaitez diriger les utilisateurs d'application SaaS après une authentification unique dans un scénario avec des identifiants octroyés par un fournisseur d'identités.

    Paramètres de configuration - Manuel

    Paramètre Description
    Configuration L'option Manuelle est l'option par défaut pour les applications SaaS ajoutées depuis le catalogue.
    URL d'authentification unique (SSO, Single Sign-On) Entrez l'URL d'Assertion Consumer Service (ACS).
    Workspace ONE envoie cette URL à votre fournisseur en vue d'une authentification unique.
    URL destinataire Saisissez l'URL avec la valeur spécifique requise par votre fournisseur de services qui indique le domaine dans l'objet d'assertion SAML.
    Si votre fournisseur de services n'exige pas de valeur spécifique pour cette URL, saisissez la même URL que l'URL SSO.
    ID d'application Entrez l'ID qui identifie le tenant du fournisseur de services à l'espace de travail ONE. Workspace ONE envoie l'assertion SAML à l'ID.
    Certains fournisseurs de services utilisent l'URL SSO.
    Format du nom d'utilisateur Sélectionnez le format requis par les fournisseurs de services pour le format d'objet SAML.
    Valeur du nom d'utilisateur Saisissez la valeur d'ID de nom que Workspace ONE envoie dans la déclaration d'objet de l'assertion SAML.
    Cette valeur est la valeur du champ de profil par défaut d'un nom d'utilisateur définie auprès d'un fournisseur de services d'application.
    URL de l'état de relais Saisissez l'URL de la page vers laquelle vous souhaitez diriger les utilisateurs d'application SaaS après une authentification unique dans un scénario avec des identifiants octroyés par un fournisseur d'identités.
  7. Modifiez les propriétés avancées.

    Paramètre Description
    Signer la réponse Saisissez l'URL pour diriger les utilisateurs vers l'application SaaS sur Internet.
    Signer l'assertion Entrez l'URL d'Assertion Consumer Service (ACS).
    Workspace ONE envoie cette URL à votre fournisseur en vue d'une authentification unique.
    Chiffrer l'assertion Saisissez l'URL avec la valeur spécifique requise par votre fournisseur de services qui indique le domaine dans l'objet d'assertion SAML.
    Si votre fournisseur de services n'exige pas de valeur spécifique pour cette URL, saisissez la même URL que l'URL SSO.
    Inclure la signature d'assertion Entrez l'ID qui identifie le tenant du fournisseur de services à l'espace de travail ONE. Workspace ONE envoie l'assertion SAML à l'ID.
    Certains fournisseurs de services utilisent l'URL SSO.
    Algorithme de signature Sélectionnez SHA256 avec RSA comme algorithme de hachage chiffré sécurisé.
    Algorithme de résumé Sélectionnez SHA256
    Heure d'assertion Entrez la durée de l'assertion SAML en secondes.
    Demander une signature Si vous souhaitez que le fournisseur de services signe la demande qu'il envoie à Workspace ONE, entrez le certificat de signature public.
    Certificat de chiffrement Entrez le certificat de chiffrement public si vous souhaitez que la demande SAML envoyée par le fournisseur de services d'application à Workspace ONE soit signée.
    URL de connexion d'application Saisissez l'URL de la page de connexion du fournisseur de service. Cette option déclenche l'initiation par le fournisseur de service d'une connexion à Workspace ONE. Certains fournisseurs de service nécessitent une authentification pour démarrer à partir de leur page de connexion.
    Nombre de proxy Saisissez les couches de proxy autorisées entre le fournisseur de service et un fournisseur authentifiant l'identité.
    Accès d'API Autorisez l'API à accéder à cette application.
  8. Configurez Mappage des attributs personnalisés. Si le fournisseur de service autorise les attributs personnalisés autres que la connexion SSO, ajoutez-les.

  9. Sélectionnez Ouvrir dans VMware Browser si vous souhaitez ouvrir l'application dans VMware Browser. Toutefois, Workspace ONE doit ouvrir l'application dans VMware Browser. Si vous utilisez VMware Browser, l'ouverture d'applications SaaS dans ce navigateur renforce la sécurité. Cette action conserve l'accès dans les ressources internes.

  10. Cliquez sur Suivant.

  11. Pour sécuriser la connexion à des ressources d'application, sélectionnez les politiques d'accès. Cliquez sur Suivant pour afficher la page Résumé.

  12. Cliquez sur Enregistrer. Si vous sélectionnez Enregistrer et Attribuer lors de la configuration de la source d'application, vous définissez les autorisations pour la source d'application sur Tous les utilisateurs. Cependant, vous pouvez modifier les paramètres par défaut, gérer les autorisations des utilisateurs et ajouter des utilisateurs ou des groupes d'utilisateurs.

  13. Une fois le fournisseur d'identité configuré comme source d'application, vous pouvez créer les applications associées pour chacun des fournisseurs d'identité tiers. Une fois que vous avez rempli les options de l'onglet Définition, vous pouvez sélectionner OKTA dans le menu déroulant Type d'authentification dans l'onglet Configuration.

  14. Vous pouvez définir les autorisations pour la source de l'application sur Tous les utilisateurs ou ajouter des utilisateurs/groupes d'utilisateurs. Par défaut, si vous sélectionnez Enregistrer et attribuer lors de la configuration de la source d'application, vous définissez les autorisations pour la source d'application sur Tous les utilisateurs.

check-circle-line exclamation-circle-line close-line
Scroll to top icon