Διαμόρφωση του Workspace ONE Access ως παρόχου ταυτότητας (IdP) με VMware Cloud Web Security

Αυτή η ενότητα καλύπτει τη διαμόρφωση του Workspace ONE Access ως παρόχου ταυτότητας (IdP) για το VMware Cloud Web Security. Καλύπτουμε πρώτα τη διαμόρφωση του Workspace ONE και, στη συνέχεια, τη διαμόρφωση του VMware Cloud Orchestrator.

Προϋποθέσεις

Οι χρήστες χρειάζονται τα εξής για να διαμορφώσουν το Workspace ONE ως πάροχο ταυτότητας με το VMware Cloud Web Security:

Λογαριασμό Workspace ONE.
Μια επιχείρησης πελάτη σε VMware Cloud Orchestrator παραγωγής με ενεργοποιημένο Cloud Web Security. Το Orchestrator πρέπει χρησιμοποιεί την έκδοση 4.5.0 ή μεταγενέστερη έκδοση.

Διαμόρφωση του Workspace ONE Access

Δημιουργήστε χρήστες και ομάδες. Συσχετίστε τους χρήστες με την ομάδα.
Μεταβείτε στις επιλογές Κατάλογος (Catalog) > Εφαρμογές Web (Web Apps).
Κάντε κλικ στην επιλογή Νέα (New), για να προσθέσετε μια Νέα εφαρμογή (New Application).
Ονομάστε την εφαρμογή ως VMware CWS και κάντε κλικ στην επιλογή Επόμενο (Next).
Στην ενότητα Διαμόρφωση (Configuration):
1. Εισαγάγετε τα ακόλουθα στοιχεία για καθολική σύνδεση:
  - Τύπος ελέγχου ταυτότητας (Authentication Type): SAML 2.0
  - Διαμόρφωση (Configuration): Χειροκίνητη
  - Διεύθυνση URL καθολικής σύνδεσης (Single Sign-On URL): https://safe-cws-sase.vmware.com/safeview-auth-server/saml
  - Διεύθυνση URL παραλήπτη (Recipient URL): https://safe-cws-sase.vmware.com/safeview-auth-server/saml
  - Αναγνωριστικό εφαρμογής (Application ID): https://safe-cws-sase.vmware.com/safeview-auth-server/saml/metadata
  - Μορφή ονόματος χρήστη (Username Format): Διεύθυνση email (όνομα@τομέας.com)
  - Τιμή ονόματος χρήστη (Username Value): ${user.email}
2. Κάντε κλικ στην επιλογή Προηγμένες ιδιότητες (Advanced Properties) και προσθέστε μια Προσαρμοσμένη αντιστοίχιση χαρακτηριστικών (Custom Attribute Mapping) όπως παρακάτω. Αυτή η διαμόρφωση προορίζεται για την αποστολή χαρακτηριστικών ομάδων στη διεκδίκηση SAML.
  Σημείωση: Το Όνομα (Name) πρέπει να είναι «ομάδες» και η Τιμή (Value) να είναι ${groupNames}.
3. Κάντε κλικ στο κουμπί Επόμενο (Next).
Στη σελίδα Πολιτικές πρόσβασης (Access Policies), επιλέγεται αυτόματα το «default_access_policy_set».
Κάντε κλικ στην επιλογή Επόμενο (Next) και κάντε κλικ στην επιλογή Αποθήκευση και αντιστοίχιση (Save and Assign).
Στην περιοχή Κατάλογος (Catalog) > Εφαρμογές Web (Web Apps) >, κάντε κλικ στην επιλογή Ρυθμίσεις (Settings).
Στο παράθυρο Ρυθμίσεις (Settings), μεταβείτε στην ενότητα Μεταδεδομένα SAML (SAML Metadata).
Κάντε κλικ στην επιλογή Μεταδεδομένα παρόχου ταυτότητας (IdP) (Identity Provider (IdP) metadata). Αυτή η ενέργεια ανοίγει ένα νέο παράθυρο στο πρόγραμμα περιήγησης με δεδομένα XML. Αντιγράψτε τη διεύθυνση URL «entityID» και «Τοποθεσία» σε ένα σημειωματάριο.
- entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
- Τοποθεσία: https://<ws1access_server>/SAAS/auth/federation/sso
  όπου <ws1access-server> είναι ο διακομιστής Workspace ONE Access στο περιβάλλον σας.
Επιστρέψτε στο παράθυρο Ρύθμιση (Setting) και, στη συνέχεια, αντιγράψτε το περιεχόμενο του Πιστοποιητικού υπογραφής (Signing Certificate) στο σημειωματάριο.
Αντιστοιχίστε ομάδες χρηστών στην εφαρμογή Web VMware CWS.

Διαμόρφωση VMware Cloud Orchestrator

Συνδεθείτε στο νέο περιβάλλον εργασίας χρήστη του Orchestrator.
Μεταβείτε στις επιλογές Cloud Web Security > Διαμόρφωση (Configure) > Ρυθμίσεις επιχείρησης (Enterprise Settings) > Πάροχος ταυτότητας (Identity Provider). Εμφανίζεται η σελίδα Ρυθμίσεις παρόχου ταυτότητας (Identity Provider Settings).
Αλλάξτε την Καθολική σύνδεση (Single Sign On) σε Ενεργοποιημένη (Enabled).
Διαμορφώστε τα εξής:
- Για την Πρόσβαση στον διακομιστή SAML μέσω Internet (SAML Server Internet Accessible) επιλέξτε Ναι (Yes)
- Για την επιλογή Πάροχος SAML (SAML Provider), επιλέξτε Workspace ONE Access
- Για την επιλογή Τελικό σημείο SAML 2.0 (SAML 2.0 Endpoint), αντιγράψτε τη διεύθυνση URL της Τοποθεσίας (Location) από το σημειωματάριο. Για παράδειγμα, Τοποθεσία (Location): https://<ws1access_server>/SAAS/auth/federation/sso
- Για το Αναγνωριστικό υπηρεσίας (εκδότης) (Service Identifier (Issuer)), αντιγράψτε τη διεύθυνση URL entityID από το σημειωματάριο. Για παράδειγμα, entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
- Πιστοποιητικό X.509, κάντε κλικ στην επιλογή Προσθήκη πιστοποιητικού (Add Certificate) και αντιγράψτε το πιστοποιητικό από το σημειωματάριο και επικολλήστε το εδώ.
- Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes)
Προσθέστε έναν κανόνα Παράκαμψης SSL για τον τομέα Workspace ONE Access.
1. Μεταβείτε στις επιλογές Cloud Web Security > Διαμόρφωση (Configure) > Πολιτικές ασφάλειας (Security Policies).
2. Επιλέξτε μια υπάρχουσα πολιτική για να προσθέσετε κανόνα Παράκαμψης SSL και κάντε κλικ στο κουμπί Επεξεργασία (Edit).
3. Κάντε κλικ στην καρτέλα Επιθεώρηση SSL (SSL Inspection) και κάντε κλικ στην επιλογή + Προσθήκη κανόνα (+ Add Rule). Εμφανίζεται η οθόνη Δημιουργία εξαίρεσης SSL (Create SSL Exception).
4. Στην οθόνη Δημιουργία εξαίρεσης SSL (Create SSL Exception), διαμορφώστε τα εξής και κάντε κλικ στην επιλογή Επόμενο (Next):
  - Για την επιλογή Παράλειψη επιθεώρησης SSL με βάση (Skip SSL Inspection based on), επιλέξτε Προορισμός (Destination).
  - Για την επιλογή Τύπος προορισμού (Destination Type), επιλέξτε Κεντρικός υπολογιστής/Τομέας προορισμού (Destination Host/Domain).
  - Για την επιλογή Τομέας (Domain), πληκτρολογήστε vidmpreview.com.
5. Στην οθόνη Όνομα και ετικέτες (Name and Tags), εισαγάγετε ένα μοναδικό όνομα για τον κανόνα και προσθέστε μια αιτία, εάν χρειάζεται.
6. Κάντε κλικ στην επιλογή Τέλος (Finish) και, στη συνέχεια, κάντε Δημοσίευση (Publish) της ισχύουσας Πολιτικής ασφάλειας για την εφαρμογή αυτού του νέου κανόνα.
Σημαντικό: Ο τομέας vidmpreview.com είναι μέρος του ζεύγους τομέων Workspace ONE όπως αναφέρεται στο έγγραφο: Τομείς και CIDR για τα οποία συνιστάται κανόνας παράκαμψης επιθεώρησης SSL. Εάν έχετε ήδη διαμορφώσει έναν κανόνα Παράκαμψης SSL που περιλαμβάνει και τους δύο τομείς Workspace ONE, μπορείτε να παραλείψετε αυτό το βήμα. Εάν προσπαθήσετε να διαμορφώσετε τον παραπάνω κανόνα, ενώ παράλληλα έχετε ήδη ορίσει τον τομέα Workspace ONE σε έναν υπάρχοντα κανόνα Παράκαμψης SSL, ο νέος κανόνας θα εμφανίσει σφάλμα, καθώς μόνο μία παρουσία τομέα Παράκαμψης SSL επιτρέπεται ή απαιτείται ανά εταιρικό πελάτη.
Για περισσότερες πληροφορίες σχετικά με τους τομείς που πρέπει να έχουν διαμορφωμένους κανόνες Παράκαμψης SSL, ανατρέξτε στην ενότητα Τομείς και CIDR για τα οποία συνιστάται κανόνας παράκαμψης επιθεώρησης SSL.

Επαλήθευση της διαμόρφωσής σας

Η επαλήθευση της διαμόρφωσής σας μπορεί να γίνει χρησιμοποιώντας έναν ή περισσότερους κανόνες πολιτικής Web βάσει ομάδας στο Cloud Web Security. Για παράδειγμα, χρήση Φιλτραρίσματος διευθύνσεων URL και αποκλεισμός του Twitter.com.

Προσθέστε τις ομάδες που θα ληφθούν υπόψη για τον κανόνα φίλτρου διευθύνσεων URL.

Σημείωση: Οι ομάδες πρέπει να καθορίζονται χειροκίνητα. Δεν υπάρχει δυνατότητα «αναζήτησης» για να επιλέξετε τις ομάδες. Προσθέστε το όνομα της ομάδας καθώς ρυθμίζονται στο Workspace ONE Access.

Ελέγξτε τα αρχεία καταγραφής Web στην περιοχή Cloud Web Security > Παρακολούθηση (Monitor) > Αρχεία καταγραφής Web (Web Logs)