Questa sezione illustra come configurare Workspace ONE Access come provider di identità (IdP) per VMware Cloud Web Security. Per prima cosa tratteremo la configurazione di Workspace ONE e quindi la configurazione di VMware Cloud Orchestrator.

Prerequisiti

Per configurare Workspace ONE come provider di identità con VMware Cloud Web Security, è necessario quanto segue:
  1. Un account Workspace ONE.
  2. L'azienda di un cliente in un VMware Cloud Orchestrator di produzione con Cloud Web Security attivato. Orchestrator deve essere alla versione 4.5.0 o successiva.

Configurazione di Workspace ONE Access

  1. Creare gli utenti e i gruppi. Associare gli utenti al gruppo.
  2. Passare a Catalogo (Catalog) > App Web (Web Apps).
  3. Fare clic su Nuovo (New) per aggiungere una Nuova applicazione (New Application).
  4. Denominare l'applicazione VMware CWS e fare clic su Avanti (Next).
  5. Nella sezione Configurazione (Configuration):
    1. Immettere i seguenti dettagli per Single Sign-On:
    2. Fare clic su Proprietà avanzate (Advanced Properties) e aggiungere una Mappatura attributi personalizzati (Custom Attribute Mapping) come indicato di seguito. Questa configurazione consente di inviare l'attributo dei gruppi nell'asserzione SAML.
      Nota: Il Nome (Name) deve essere "groups" e il Valore (Value) deve essere ${groupNames}.
    3. Fare clic su Avanti (Next).
  6. Nella pagina Criteri di accesso (Access Policies) viene selezionato automaticamente "default_access_policy_set".
  7. Fare clic su Avanti (Next) e quindi su Salva e assegna (Save and Assign).
  8. In Catalogo (Catalog) > App Web (Web Apps) >, fare clic su Impostazioni (Settings).
  9. Nella finestra Impostazioni (Settings) passare alla sezione Metadati SAML (SAML Metadata).
  10. Fare clic su Metadati del fornitore di identità (IdP) (Identity Provider (IdP) metadata). Questa azione apre una nuova finestra nel browser con dati XML. Copiare "entityID" e l'URL di "Posizione (Location)" in un Blocco note.
    • entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
    • Posizione (Location): https://<ws1access_server>/SAAS/auth/federation/sso

      dove <ws1access-server> è il server Workspace ONE Access nell'ambiente.

  11. Tornare alla finestra Setting (Impostazioni) e quindi copiare il contenuto di Certificato di firma (Signing Certificate) nel Blocco note.
  12. Assegnare gruppi di utenti all'applicazione Web VMware CWS.

Configurazione VMware Cloud Orchestrator

  1. Accedere alla nuova interfaccia utente Orchestrator.
  2. Passare a Cloud Web Security > Configurazione (Configure) > Impostazioni aziendali (Enterprise Settings) > Provider di identità (Identity Provider). Viene visualizzata la pagina Impostazioni provider di identità (Identity Provider Settings).
  3. Modificare l'impostazione di Single Sign-On su Abilitato (Enabled).
  4. Configurare quanto segue:
    • Per Il server SAML può accedere a Internet? (SAML Server Internet Accessible) selezionare Sì (Yes)
    • Per SAML Provider (Provider SAML), selezionare Workspace ONE Access
    • Per Endpoint SAML 2.0 (SAML 2.0 Endpoint), copiare l'URL Posizione (Location) dal Blocco note. Ad esempio, Posizione (Location): https://<ws1access_server>/SAAS/auth/federation/sso
    • Per Identificatore servizio (emittente) (Service Identifier (Issuer)), copiare l'URL entityID dal Blocco note. Ad esempio, entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
    • Per il certificato X.509, fare clic su Aggiungi certificato (Add Certificate), copiare il certificato da Blocco note e incollarlo qui.
    • Fare clic su Salva modifiche (Save Changes).
  5. Aggiungere una regola di bypass SSL per il dominio Workspace ONE Access.
    1. Passare a Cloud Web Security > Configurazione (Configure) > Criteri di protezione (Security Policies).
    2. Selezionare un criterio esistente per aggiungere una regola di bypass SSL e fare clic sul pulsante Modifica (Edit).
    3. Fare clic sulla scheda Ispezione SSL (SSL Inspection), quindi fare clic su + Aggiungi regola (+ Add Rule). Viene visualizzata la schermata Crea eccezione SSL (Create SSL Exception).
    4. Nella schermata Crea eccezione SSL (Create SSL Exception), configurare quanto segue e fare clic su Avanti (Next):
      • Per Ignora ispezione SSL in base a (Skip SSL Inspection based on), selezionare Destinazione (Destination).
      • Per Tipo di destinazione (Destination Type), selezionare Host/Dominio di destinazione (Destination Host/Domain).
      • Per Dominio (Domain), immettere vidmpreview.com.
    5. Nella schermata Nome e tag (Name and Tags) immettere un nome univoco per la regola e aggiungere un motivo, se necessario.
    6. Fare clic su Fine (Finish) e quindi su Pubblica (Publish) per il criterio di protezione applicabile per applicare la nuova regola.
    Importante: Il dominio vidmpreview.com fa parte della coppia di domini Workspace ONE come indicato nel documento: Domini e CIDR in cui è consigliata una regola di bypass di ispezione SSL. Se è già stata configurata una regola di bypass SSL che include entrambi i domini di Workspace ONE, è possibile ignorare questo passaggio. Se si tenta di configurare la regola di cui sopra mentre il set di domini Workspace ONE è già incluso in una regola di bypass SSL esistente, la nuova regola genera un errore perché è consentita o necessaria una sola istanza di dominio di bypass SSL per ogni cliente aziendale.

    Per ulteriori informazioni sui domini in cui devono essere configurate regole di bypass SSL, consultare Domini e CIDR in cui è consigliata una regola di bypass di ispezione SSL.

Verifica della configurazione

La verifica della configurazione può essere eseguita utilizzando una o più regole dei criteri Web basate sul gruppo in Cloud Web Security. Ad esempio, utilizzando Filtro URL (URL Filtering) e bloccando Twitter.com.

Aggiungere i gruppi da considerare per la regola Filtro URL (URL Filter).

Nota: I gruppi devono essere specificati manualmente. Non è disponibile alcuna funzionalità di "ricerca" per selezionare quali gruppi. Aggiungere il nome del gruppo durante la configurazione in Workspace ONE Access.

Controllare i Registri Web (Web Logs) in Cloud Web Security > Monitoraggio (Monitor) > Registri Web (Web Logs)